Publicité

Il y a quelques jours nous avons appris que la NSA, l’agence nationale de sécurité américaine, avait reçu tous les enregistrements des clients de l’opérateur téléphonique américain Verizon pour une période de trois mois à compter d’avril”, commence le spécialiste de la sécurité Bruce Schnier (@schneier) dans un article pour The Atlantic intitulé “Ce que nous ne savons pas sur l’espionnage des citoyens est plus effrayant que ce que nous savons”, réagissant aux premières révélations du Guardian sur le programme de surveillance des écoutes de Verizon (auquel s’est ajouté celui du programme de surveillance des contenus hébergés par les Majors de l’internet via le programme Prism, révélé par le Washington Post).

Les enregistrements provenant de Verizon concernent tout sauf le contenu vocal, rappelle Schneier : qui appelle qui, la localisation des appels, leur durée… “Ces métadonnées” permettent au gouvernement de suivre les mouvements de tout le monde durant cette période et de construire une image détaillée de qui parle à qui. Ce sont exactement les mêmes données que le ministère de la Justice américain a recueillies récemment sur les journalistes d’Associated Press (voir les explications du Monde.fr et comme le rappelait Chris Soghoian de l’Union pour les libertés civiles américaines dans un article de The Verge, il y a des catégories entières d’informations pour lesquelles les métadonnées peuvent être aussi sensibles que les contenus).

 

L’ordre de la NSA à Verizon a commencé quelques jours après que les auteurs de l’attentat de Boston aient été capturés par la police, souligne Schneier, qui pointe le fait que nos démocraties ont besoin d’une plus grande transparence sur les activités de sa police.

“Nous ne savons pas beaucoup de choses sur la façon dont le gouvernement espionne, mais nous savons certaines choses. Nous savons que le FBI a émis des dizaines de milliers de lettres de sécurité nationale ultra secrètes (ce sont des demandes d’information demandées par le FBI aux opérateurs téléphoniques et fournisseurs d’accès, NDE) pour collecter toutes sortes de données sur les personnes – nous pensons que cela concernerait des millions de personnes – et en a abusé pour espionner les utilisateurs de services de cloud computing. Nous savons qu’il peut recueillir un large éventail de données personnelles d’internet sans mandat. Nous savons également que le FBI a intercepté les données de téléphones portables, toutes, sauf les contenus vocaux, depuis les 20 dernières années, sans mandat et peut utiliser un micro sur certains téléphones classiques – sans doute uniquement avec mandat.”


Image extraite du blog “Obama is checking your e-mail” (Obama contrôle vos e-mails), une réponse parodique aux révélations récentes.

“Nous savons que la NSA dispose de nombreux programmes nationaux de surveillance et d’extractions de données, ayant des noms de code comme Traiblazer, Stellar Wind et Ragtime – utilisant délibérément différents noms de code pour des programmes similaires pour contrecarrer la surveillance et cacher ce qui se passe réellement. Nous savons que la NSA construit une énorme installation informatique dans l’Utah pour stocker toutes ces données et dispose de réseaux informatiques plus rapides pour traiter tout cela. Nous savons que le cyber commandement américain emploie 4000 personnes.

Nous savons que le département de la sécurité intérieure américain collecte également une quantité massive de données sur les personnes et que les services de police locaux organisent des “centres de fusion” pour collecter et analyser ces données pour dissimuler les ratés de ce programme. Tout cela fait partie de la militarisation de la police.

Rappelez-vous en 2003, quand le Congrès américain a refusé les fonds pour le décidément sinistre programme Total Information Awareness ? Il n’est pas mort. Il a juste changé de nom et a été divisé en plusieurs petits programmes. Nous savons que des entreprises font une énorme quantité d’espionnage pour le compte du gouvernement : de toutes parts.

Mais si nous savons tout cela ce n’est pas parce que le gouvernement est honnête et disponible, mais principalement par le biais de trois canaux de retour : les allusions par inadvertance ou les aveux catégoriques d’officiers du gouvernement lors d’auditions ou d’enquêtes, les informations recueillies par des documents gouvernementaux dans le cadre de la législation sur la liberté d’information, et par les actions des dénonciateurs et lanceurs d’alertes.

Mais il y a bien plus de choses que nous ne savons pas, et souvent ce que nous savons est obsolète. Nous en savons un peu sur le programme Echelon de la NSA grâce à une enquête européenne de 2000 et sur les plans du Département de sécurité intérieure concernant le Total Information Awareness de 2002, mais beaucoup moins sur la façon dont ces programmes ont évolué. Nous pouvons tirer des déductions sur les installations de la NSA dans l’Utah sur la base du montant théorique de données provenant de diverses sources comme le coût des infrastructures de calcul et les exigences de puissance de l’installation, mais ce sont au mieux des approximations. Pour l’essentiel, nous sommes complètement dans le noir.

 

Et ce n’est pas ce qu’il faut.

Le gouvernement américain est dans une frénésie du secret. Il surclassifie plus d’informations que jamais. Et nous apprenons, encore et encore, que notre gouvernement qualifie régulièrement des choses, non pas parce qu’elles ont besoin d’être secrètes, mais parce que leur libération l’embarrasserait.

Savoir comment le gouvernement espionne nous est important. Non seulement parce que l’essentiel de cet espionnage est illégal – ou, pour être aussi charitable que possible, basé sur de nouvelles interprétations de la loi – mais parce que nous avons le droit de savoir. La démocratie exige des citoyens bien informés afin de fonctionner correctement, la transparence et la responsabilité sont des éléments essentiels de cela. Cela signifie savoir ce que notre gouvernement fait pour nous, en notre nom. Cela signifie savoir ce que le gouvernement fait dans les limites de la loi. Sinon, nous vivons dans un état policier.”

 

Protéger les dénonciateurs
“Nous avons besoin de dénonciateurs.

Faire fuiter l’information sans se faire attraper est devenu difficile. Il est presque impossible de maintenir la vie privée à l’ère d’internet” (comme le disait Schneier dans un récent article pour CNN dont nous avions rendu compte), explique-t-il en évoquant Bradley Manning et Wikileaks ou la plateforme sécurisée du New Yorker pour lui communiquer des informations compromettantes et en pointant vers les solutions existantes pour faire fuiter des informations de la manière la plus discrète possible, comme le fait le Centre national des lanceurs d’alerte américain.

“La fuite d’information est également très dangereuse. L’administration Obama a lancé une guerre contre les dénonciateurs, les poursuit – à la fois légalement et par l’intimidation – plus que ne l’a faite toute autre administration précédente. Mark Klein, Thomas Drake et William Binney ont tous été persécutés pour avoir exposé les détails techniques de notre état de surveillance. Bradley Manning a été traité cruellement et inhumainement – et peut-être torturé – pour avoir organisé la fuite des secrets du département d’État.

Les actions de l’administration Obama contre l’Associated Press, sa persécution de Julian Assange et sa poursuite sans précédent de Manning pour “intelligence avec l’ennemi” démontre dans quelle mesure il est prêt à aller pour intimider les dénonciateurs – ainsi que les journalistes qui leur parlent.

Mais la dénonciation est essentielle, et doit être d’autant plus étendue dans un gouvernement-espion. Elle est nécessaire pour le bon gouvernement et pour nous protéger contre les abus de pouvoir.”

L’enjeu que pointe très bien Schneier ici vise à la protection des lanceurs d’alertes, même si toute la difficulté consiste à les définir. On voit bien que les législations nationales et internationales s’interrogent et évoluent sur ce point, passant de la reconnaissance à l’élargissement du champ d’application de la loi. Ce que montre Schneier c’est qu’il faut activement continuer ces travaux.

 

Mieux surveiller les surveillants
“Nous avons besoin de plus de détails sur la pleine mesure des capacités d’espionnage du FBI. Nous ne savons pas qu’elles sont les informations qu’il recueille systématiquement sur les citoyens américains, les informations supplémentaires qu’il recueille sur ceux des diverses listes de surveillance, et les justifications juridiques qu’il invoque pour ses actions. Nous ne savons pas ses plans pour la collecte des données à l’avenir. Nous ne savons pas ce que recouvrent les scandales et les actions illégales passées ou présentes.

Nous avons également besoin d’informations sur les données que la NSA rassemble, que ce soit au niveau national ou international. Nous ne savons pas combien il en recueille subrepticement, ni combien en s’appuyant sur des arrangements passés avec diverses sociétés. Nous ne savons pas combien de fois il utilise des outils pour craquer des mots de passe ou des données cryptées ni combien de fois il exploite les vulnérabilités de systèmes existants. Nous ne savons pas si délibérément il insère des portes dérobées sur les systèmes qu’il veut tracer, que ce soit avec ou sans la permission des éditeurs de systèmes de communication.

Et nous avons besoin d’informations sur les types d’analyses que ces organisations réalisent. Nous ne savons pas ce qu’ils éliminent rapidement au point de collecte, ni ce qu’ils stockent pour une analyse ultérieure – ni combien de temps ils stockent. Nous ne savons pas le genre de profilage de base de données qu’ils réalisent, ni la réalité de l’étendue de l’analyse des réseaux de caméras de surveillance ou de drones, combien de fois ils effectuent une analyse comportementale, ou comment tracent-ils massivement les relations des personnes qui sont sur leurs listes de surveillance.

Nous ne savons pas quel est l’ampleur de l’appareil de surveillance américain aujourd’hui, que ce soit en terme d’argent, d’employés, ni du nombre de personnes surveillées ou la quantité de données recueillies. La technologie moderne permet de contrôler largement plus de personnes qu’il ne pourrait jamais être fait manuellement – les révélations récentes sur la NSA démontrent qu’elle pourrait facilement surveiller tout le monde.”

Schneier, ici, pointe très bien du doigt que la surveillance organisée par nos gouvernants doit être plus transparente. Cela ne signifie pas que nous devions tout savoir, mais que celle-ci doit être mieux encadrée qu’elle ne l’est. L’enjeu n’est pas de savoir ce qu’ils font, mais jusqu’où ils vont, ou pour le dire autrement, que la classification des actions ne doit pas signifier la classification des bilans ou des méthodes. On pourrait dire que l’action de la police devrait être plus transparente, mais en fait il faudrait plutôt dire qu’elle ne peut pas être totalement obscure.

Face à la montée de la surveillance, la dénonciation est la seule arme des citoyens
“La dénonciation est la réponse morale à une activité immorale accomplie par ceux qui sont au pouvoir. Ce qui est important ici, ce sont les programmes et les méthodes, plus que les données concernant le public. Je comprends que je demande aux gens de s’engager dans un comportement illégal et dangereux. Faites-le avec soin et faites avec le plus de sécurité possible, mais – et je parle directement à vous, personne travaillant sur un de ces secrets ou de ces programmes illégaux – faites-le.

Si vous voyez quelque chose, dites quelque chose. Il ya beaucoup de gens aux États-Unis qui apprécieront et vous admireront.

Pour le reste d’entre nous, nous pouvons vous aider en protestant contre cette guerre contre les dénonciateurs. Nous devons forcer nos politiciens à ne pas les punir – enquêter sur les violations et non sur les messagers – et veiller à ce que des personnes injustement persécutées puissent obtenir réparation.

 

Notre gouvernement met son propre intérêt avant les intérêts du pays. Cela doit changer.”

Face à la montée de la surveillance, la dénonciation est la seule arme des citoyens. Cela signifie donc que nous devons l’armer légalement.

Le juriste américain Daniel Solove, spécialiste de la vie privée (voir La valeur sociale de la vie privée), auteur de Rien à cacher : le faux compromis entre vie privée et sécurité est allé dans le même sens que Bruce Schneier en réagissant à ces affaires dans un article pour Linked-in. Dans cet article, il répond à la défense que le président Obama a fait de ces programmes.

“Certes, le président a déclaré qu’on ne pouvait pas avoir 100% de sécurité et 100% de vie privée et aucun inconvénient et que le gouvernement devait faire des choix. C’est certainement vrai, mais, s’il y a des compromis à faire, le débat reste toujours jeté comme un choix entre tout ou rien. En fait, le problème de ces programmes n’est pas qu’ils réduisent la vie privée, mais de savoir si ces programmes sont soumis à une surveillance appropriée, à une responsabilisation et une transparence suffisante.”

Solove répond ensuite aux arguments d’Obama qui a rappelé que le Congrès et les juges avaient voté des lois autorisant ces programmes. “Le fait que le Congrès et le pouvoir judiciaire aient été impliqués ne signifie pas automatiquement qu’il y ait une surveillance adéquate”, répond Solove. Dans les années 70, le Congrès américain avait mené une enquête sur la surveillance faite par le gouvernement et avait publié un rapport qui faisait la chronique des violations du droit par les agences du gouvernement, pointant du doigt notamment la surveillance injustifiée du FBI sur Martin Luther King. Mais depuis, le Congrès n’a pas réitéré pareille enquête. Or, pour s’engager dans une surveillance adaptée, il devrait mener une enquête de ce type au moins tous les 10 ans, estime le juriste.

Ensuite, rappelle Solove, “le contrôle judiciaire de ces programmes de surveillance est souvent minime et fait en secret. Il n’existe aucun moyen pour le public d’évaluer les programmes si tout est clandestin. Enfin, nous ne devrions pas faire confiance au gouvernement. Ce devrait être l’inverse : le gouvernement devrait nous faire confiance. Dans une démocratie, le gouvernement sert la volonté du peuple, et le gouvernement doit toujours avoir à justifier ce qu’il fait. Les gens sont le patron ultime, or nous ne pouvons pas évaluer ce que le gouvernement fait sans transparence.

Bien sûr, parfois le secret est nécessaire pour une période de temps, mais il devrait être utilisé avec plus de parcimonie. Comme je le décris dans mon livre, d’innombrables gouvernements ont eu recours au secret par le passé, mais la plupart du temps pour des raisons inutiles ou pour couvrir des erreurs ou des abus.”

Selon la loi, les numéros de téléphone et les durées d’appels reçoivent beaucoup moins de protection que leurs contenus. Mais c’est là une grave lacune de la loi estime le juriste. Les numéros que l’on appelle révèlent beaucoup sur nos activités privées, il permet de connaître l’identité de vos relations et de supposer certaines choses en se basant sur la fréquence des appels, rappelle encore Solove.

Enfin, Barack Obama a justifié le fait que certaines informations soient classées secret défense, afin que les terroristes ne soient pas au courant et n’adaptent pas leurs mesures en fonction. Pour Solove, ce sempiternel argument selon lequel la transparence aide les terroristes n’est pas clair. “Révéler les paramètres de base, les méthodes, les principes des diverses formes de surveillance ne rendrait pas la surveillance inefficace”, avance le juriste. Ce n’est pas parce qu’on dispose de la liste des techniques de sécurité utilisées par une banque qu’on va trouver la solution pour la cambrioler. Si on en possède les plans détaillés et toutes les informations relatives, peut-être. Mais peut-être y a-t-il une différence entre la transparence totale et l’information exacte et nécessaire ?

“Au minimum, les affirmations selon lesquelles les programmes de surveillance doivent être gardés secrets doivent être remis en cause”, conclut Solove. “Et même plus, le public a besoin de savoir ce que fait le gouvernement. Sans cette transparence, il n’existe aucun moyen pour le public d’évaluer le gouvernement. La démocratie ne fonctionne pas sur la confiance aveugle.”

Ce que nous disent en tout cas ces deux éditorialistes, c’est que la surveillance des gouvernants est primordiale et que celle-ci doit être organisée, encadrée et régulièrement revisitée. Et ce d’autant plus que les moyens de surveillance se démultiplient et sont plus accessibles. Les citoyens doivent avoir accès aux méthodes, aux techniques, aux bilans… Pas aux actions peut-être, mais celles-ci doivent être mesurées et évaluées. La technologie donne au renseignement une puissance sans précédent. En retour nous devons exiger que le bilan qui nous en est livré soit lui aussi plus puissant, afin que nous puissions mieux armer la régulation et nos contre-pouvoirs.

 

 

Si on vidéosurveillait les chambres à coucher ?

On entend souvent dire que "seuls ceux qui ont quelque chose à se reprocher ont quelque chose à cacher", remarque "de bon sens" allègrement utilisée par ceux qui défendent la vidéosurveillance.

Ainsi, mon article sur le groupe scolaire Saint-Denis (voir Quand Big Brother s’invite à l’école) a heurté la susceptibilité de nombreux (anciens) élèves, qui ne voient pas où est le problème. De fait, et suite à mon enquête, l'école n'en a pas moins retiré les caméras de vidéosurveillance qu'elle avait installé dans les toilettes : elles étaient illégales.

Pour aider tous ceux qui se voient ainsi rétorquer que "seuls ceux qui ont quelque chose à se reprocher ont quelque chose à cacher", j'ai tenté, dans une "Lettre ouverte à ceux qui n'ont rien à cacher", de compiler un certain nombre d'arguments à renvoyer à ceux que la vidéosurveillance, et plus largement l'extension des mesures, contrôles et lois sécuritaires, ne dérangent pas.


In fine, ou en résumé : le problème, c'est le voyeur, pas celui dont l'intimité ou la vie privée est ainsi violée. Les paranoïaques ne sont pas ceux qui s'étonnent d'être surveillés, mais ceux qui veulent surveiller tout le monde à tout prix. La question n'est pas de savoir si nous avons quelque chose à cacher, mais de renvoyer la question à ceux qui veulent nous protéger "à l'insu de notre plein gré".

Dans une démocratie, c'est à l'accusation d'apporter les preuves de la culpabilité des suspects, pas à ces derniers d'apporter les preuves de leur innocence. Le problème des atteintes à la vie privée est éminemment politique, voire idéologique, comme je l'ai déjà longuement expliqué dans la série d'articles que j'ai consacré, depuis un an, aux questions d'informatique, libertés et vie privée, et en prévision de la publication d'un livre à ce sujet.

 

Le problème, ce n'est pas Orwell, mais Kafka
"Si vous n’avez rien à vous reprocher, vous n’avez pas à avoir peur d’être filmés !"
-- Brice Hortefeux. Le lendemain, une équipe de télévision filmait son dérapage sur les arabes...

Dans la société de surveillance, de contrôle et de suspicion, le problème, ce n'est pas Orwell, c'est Kafka, ce qu'a très opportunément souligné Daniel Solove, professeur de droit à l’université George Washington, auteur de plusieurs livres sur les notions d'identité et de vie privée, dans un remarquable article intitulé "Je n'ai rien à cacher", et autres malentendus au sujet de la vie privée, qui a largement inspiré le journaliste Hubert Guillaud dans son article sur la valeur sociale de la vie privée.

Car si l'on se réfère généralement à la métaphore de 1984 de Georges Orwell pour décrire les problèmes d'atteintes à la vie privée, de détournement ou d'abus de données personnelles, Daniel Solove souligne a quel point, et a contrario, ces données (comme le genre, la date de naissance, l’adresse, le statut marital…) ne sont bien souvent pas considérés comme particulièrement sensibles par la plupart des gens, qui se moquent de cacher l’hôtel où ils ont séjourné, les voitures qu’ils possèdent ou ont louées, ou encore le type de boissons qu’ils ont bues : "les gens ne font pas d’effort pour garder ces informations secrètes. La plupart du temps, l’activité des gens ne sera pas inhibée par le fait que les autres connaissent ces informations".

Ce pour quoi Daniel Solove propose d'utiliser une autre métaphore, "celle du "Procès" de Kafka, qui décrit une bureaucratie aux objectifs confus qui utilise l’information sur les gens pour prendre des décisions à leur égard en niant leur capacité à comprendre comment leur information est utilisée" :

"Le problème ne réside pas tant dans la surveillance même des données, mais dans l’impuissance et la vulnérabilité créée par une utilisation de données qui exclut la personne concernée de la connaissance ou de la participation dans les processus qui le concernent. Le résultat est ce que produisent les bureaucraties : indifférences, erreurs, abus, frustrations, manque de transparence et déresponsabilisation.

Un tel traitement affecte les relations entre les gens et les institutions d’un Etat moderne. Il ne se limite pas à frustrer l’individu en créant un sentiment d’impuissance, mais il affecte toute la structure sociale en altérant les relations que les gens ont avec les institutions qui prennent des décisions importantes sur leur existence."

Comme le résume Hubert Guillaud, "le danger n’est pas la surveillance généralisée, mais l’absurde d’une société oppressive", et le problème, dès lors, n'est plus tant celui de la perte de certaines libertés, que de "la destruction de la confiance sociale et de ce fait, une inhibition généralisée : on n’ose plus inventer, plaisanter, transgresser, essayer, critiquer… de peur que quelqu’un qu’on ne connaît pas puisse un jour en venir à nous le reprocher, pour des raisons mystérieuses."

Ce pour quoi, estime Daniel Solove, la société dans son ensemble a tout à gagner à respecter la vie privée de ceux qui la composent : les citoyens seront d'autant plus garants de leurs démocraties si celles-ci préservent leurs libertés, les employés d'autant plus zélés que leurs employeurs les féliciteront de leurs esprits d'initiative, les élèves d'autant plus studieux que leurs professeurs les inciteront à s'exprimer, et les époux et enfants d'autant plus respecteux des valeurs familiales qu'elles se basent sur la confiance, et non la suspicion.

La vie privée n’est pas tant une façon de s'extraire du contrôle social ou du regard des autres qu'une forme de contrôle social découlant des normes de la société : "la vie privée a une valeur sociale, écrit Solove. Même quand elle protège l’individu, elle le fait pour le bien de la société."

L'enjeu de la vie privée, résume Hubert Guilland, se joue ainsi dans la tension entre le fort et le faible, entre celui qui contrôle, surveille, suspecte, et celui qui se trouve dès lors à devoir se justifier, démontrer son innocence, ou bien encore à se cacher, ou s'auto-censurer, de peur d'être suspecté, ou accusé : "d’un côté, il y a le faible, de l’autre le fort. Des gens qui prennent des décisions pour nous, qui peuvent changer les règles unilatéralement, qui peuvent nous considérer comme de bons ou de mauvais clients, de bons ou de mauvais “risques”, qui gèrent des conflits d’intérêts pour nous et à notre place – sur la base des informations dont ils disposent, d’informations qui peuvent être erronées, voire d’informations que nous ne savons pas qu’ils ont. La relation proposée dans l’argument du “je n’ai rien à cacher puisque je ne transgresse pas la règle” est toujours inégale, inéquitable".

 

A contrario, la "protection de la vie privée" est en enjeu de société qui incombe à tout un chacun, et tout autant à l'Etat et ses administrations qu'à sa propre famille, ses voisins, amis, employeurs et employés, banquiers, commerçants, concurrents, et même à ses opposants : si le Canard Enchaîné n'évoque jamais la vie privée de ceux qui nous gouvernent et qu'il se plaît pourtant à brocarder, c'est parce qu'elle est une condition sine qua non de la démocratie, et de nos libertés. Qui aime bien châtie bien, dit le proverbe. Or, attenter à la vie privée de quelqu'un, c'est l'attaquer sous la ceinture, en position, sinon de traître, tout du moins de façon fourbe, déloyale, injuste.

Pour Daniel Solove, ceux qui avancent qu'ils n'ont "rien à cacher" sont persuadés, puisqu'ils n'ont "rien à se reprocher", que les contrôles ou la surveillance dont ils font l'objet ne les identifiera jamais comme suspects, et qu'ils se moquent donc de ce qui pourraient arriver à ceux qui le seront... puisque cela ne peut arriver qu'à d'autres, et jamais à eux. Sauf que la suspicion, et ses erreurs d'interprétation, c'est un peu comme le Loto, ça n'arrive pas qu'aux autres. D'autant que ce que l'on entend par "vie privée" est en fait bien plus complexe que cela. Daniel Solove a ainsi voulu dresser une taxonomie de la vie privée, regroupant sous quatre catégories génériques les multiples problèmes que l'on peut y associer, et qui ont trait à :

■la collecte des données (lorsque l'on est surveillé, interrogé, suspecté, ou que l'on doit s'auto-censurer)
■aux processus d'exploitation, de manipulation et d'analyse de ces données (et les risques associés en terme d'agrégation, d'identification, d'utilisation secondaire, notamment lorsque l'on n'a aucun moyen de contrôler ce qui est fait de nos données)
■la dissémination des informations (perte de confidentialité, divulgation, exposition, accès élargi, chantage, appropriation, altération...)
■l'invasion, l'intrusion et l'interférence dans sa "vie privée".
Au final, la "vie privée" va donc bien au-delà de ce que l'on fait chez soi, de ce que l'on dit à ses amis, et touche à de nombreux pans de notre vie en société. Or, l'argument du "rien à cacher", souligne Daniel Solove, "force le débat à se concentrer sur une conception étroite de la vie privée. Mais face à la pluralité des problèmes de vie privée que cause la collecte de données et leur utilisation au-delà de la surveillance et la divulgation, l’argument du rien à cacher, à la fin, n’a rien à dire".

En attendant, l'argument, "de bon sens", n'a de cesse d'être clamé par ceux qui défendent ou promeuvent les technologies de surveillance, à commencer par la vidéosurveillance.

Il fut un temps où, de même, la peine de mort relevait elle aussi du "bon sens", tout comme auparavant l'interdiction faite aux femmes d'aller voter, ou encore le fait que les "nègres" et "bougnoules" ne pouvaient pas avoir les mêmes droits que ceux qui les avaient colonisés.

L'abolition de la peine de mort, tout comme le droit des femmes à aller voter, sans parler du droit des peuples à l'auto-détermination, ont été adoptés alors même que le "peuple" y était pourtant majoritairement opposé, par des hommes politiques ayant compris qu'il en allait des droits et libertés inhérents à ce que l'on appelle une démocratie.

Je ne sais si notre monde va vers une prolifération de "Big Brothers", ou si nous parviendrons à enrayer cette mécanique infernale, mais je me plais à penser que ceux qui vivent en démocratie trouveront les parades, et les arguments, pour mettre un terme à la paranoïa sécuritaire de ceux qui nous gouvernent.

Vidéosurveiller les chambres à coucher ?
Permettez-moi une remarque "de bon sens". En suivant la logique de ceux qui estiment que "seuls ceux qui ont quelque chose à se reprocher ont quelque chose à cacher", et qu'il faudrait donc tout mettre en oeuvre pour que la peur "change de camp", le meilleur moyen serait d'installer des caméras... à l'intérieur de nos maisons, appartements, mais également dans les voitures, voire sur nos vêtements, comme l'expliquait brillamment Anastassia Tsoukala, juriste, criminologue, et maître de conférences à Paris XI lors d'une table ronde organisée lors du colloque "Identification et surveillance des individus : quels enjeux pour nos démocraties" au Centre Pompidou, en janvier 2009 :


Le premier argument qui est avancé pour justifier les politiques et les moyens de la vidéosurveillance, c’est l’argument de la sécurité. Par extension, c’est pour notre bien que nous devons accepter le sacrifice de notre vie privée. Un corollaire est que ceux qui s'opposent à ce type de technique ont quelque chose à cacher. Soit. On peut donc s’attendre à ce qu’on applique la même logique à tous les contextes.

Or il s’avère que toutes les enquêtes de criminologie démontrent clairement que l’espace le plus criminogène, c’est-à-dire où se commet le plus d’infractions dans nos villes contemporaines, ce n’est pas la rue, mais c’est notre domicile et surtout nos chambres à coucher. C’est là où sont commis les violences conjugales, les cas d’inceste, de viol, de maltraitance d’enfants, etc.

Nous avons là des milliers de victimes réelles, et pas hypothétiques. Devrions-nous alors au nom de la violation de toute une série de valeurs sociales incontestables (le droit à la vie, à la famille, à la protection de l'enfance, etc.) accepter l’installation de caméras de surveillance dans nos chambres à coucher ?

Si on est cohérent, il faudrait dire que oui ! Et ceux qui s'y opposeraient auraient forcément quelque chose à cacher. Parce qu'on ne peut pas dire que la protection de la pudeur serait un contre-argument efficace pour contre-carrer la protection de toutes ces valeurs sociales.

Tout ça pour dire que les logiques qui lient protection de la sécurité et hausse de la surveillance sont loin d'être évidentes. Ces questions nous ramènent à notre notion de la vie privée. La question n'est pas évidente. Nous avons de multiples perceptions de la vie privée, une surveillance consentie, choisie, et une surveillance imposée, par la police.

Et comme nous n'avons rien à cacher, nous acceptons les Facebook, les blogs, les émissions de télé-réalité, etc., nous acceptons sans trop de problèmes les pass Navigo, les GPS, les portables, les cartes bleues, mais nous réagissons lorsque nous perdons le contrôle.

Mais là aussi il y a une illusion parce que la majeure partie des informations diffusées sur l'internet ou ailleurs peuvent être récupérées à notre insu, par des acteurs aussi bien publics que privés.

La question est de savoir si nous sommes vraiment sûrs de prendre des décisions en connaissance de cause. J'en doute fort : dans la plupart des cas, nous ignorons la plupart des enjeux, et nous pensons, de manière illusoire, que tant que nous contrôlons la diffusion première des informations, nous ne sommes pas en danger.

Allons-y franco : être dotés de caméras filmant, en permanence, l’intégralité de ce que l’on vit rendrait bien plus facile l’identification des voleurs, violeurs, criminels et délinquants. Et dans la mesure où la majeure partie des actes de pédophilie ont lieu au sein même du cercle familial, et sont souvent le fait du père, d’un oncle, grand-père, d’un entraîneur, prêtre, enseignant (voire de la mère, aussi), le meilleur moyen de combattre la pédophilie serait donc d’équiper tous les enfants (ou leurs chambres, les gymnases ou les presbytères) de caméras de vidéosurveillance.

Aucun pays n’a, pour autant, décidé de généraliser à ce point l’installation de caméras de vidéosurveillance, pour la simple et bonne raison que, d’une part cela coûterait trop cher, que d’autre part cela constituerait une atteinte à la vie privée de tous ceux qui (la majorité des gens) ne sont pas victimes de crimes ou de viols, et qu'il faut savoir raison garder

http://bugbrother.blog.lemonde.fr/2010/05/21/et-si-on-videosurveillait-les-chambres-a-coucher/

 

 

Comment (ne pas) être (cyber)espionné ?
Le New York Times vient de révéler que l’ensemble des mots de passe de ses employés du journal avaient été dérobés par des pirates informatiques particulièrement chevronnés : si leur intrusion a semble-t-il été rapidement identifiée, il aurait fallu quatre mois pour les professionnels de la sécurité informatique recrutés par le NYT pour parvenir à les « expulser » (sic).

Entre-temps, les ordinateurs de 53 d’entre-eux auraient été compromis, et contrôlés à distance, permettant aux assaillants de voler leurs mots de passe, e-mails, et de farfouiller dans leurs données. L’attaque aurait débuté juste après le lancement d’une grande enquête sur la fortune du premier ministre chinois, et aurait été initiée, selon le NYT, par des pirates installés en Chine. (MaJ : le Wall Street Journal vient d'annoncer avoir lui aussi été victime de hackers chinois).

Cette annonce fracassante révèle au moins deux choses. D’une part, que les journalistes sont, à l’instar des centrifugeuses & centrales nucléaires iraniennes, ou des hauts fonctionnaires de Bercy, des cibles susceptibles de menacer suffisamment les intérêts de certains gouvernements que ces derniers peuvent décider de mobiliser leurs pirates informatiques et services de renseignement afin de pouvoir espionner, et contrôler, leurs ordinateurs. D’autre part, que les rédactions ne semblent pas encore avoir pris la mesure du phénomène, de sorte de pouvoir s’en protéger plus efficacement.

En octobre 2010, j’écrivais un billet, Journalistes : protégez vos sources !, afin de rappeler quelques rudiments de sécurité informatique, après qu’on eut appris, successivement, le vol des ordinateurs de journalistes du Monde, du Point et de Mediapart.

A l’époque, la menace, c’était les barbouzes, des pirates informatiques employés à la petite semaine par des entreprises d’intelligence économique, ou instrumentalisés par des officines de renseignement. Depuis, la situation a un peu changé, les moyens déployés, tant humains que financiers, ont considérablement augmenté : on est grosso modo passé des petits artisans à la grosse industrie, du détective privé au service (cyber)action d'un service de renseignement militaire.

De nombreux logiciels d'espionnage, conçus par ou pour des services de renseignement, notamment militaires, ont ainsi fait leur apparition. Leurs cibles : des centrales nucléaires iraniennes, des marchands d'armes américains, des fonctionnaires de Bercy, mais également des journalistes et défenseurs des droits de l’homme (voir notamment L’espion était dans le .doc & Des chevaux de Troie dans nos démocraties).

Le Club de la Sécurité de l’Information Français (Clusif), dont le rapport, « particulièrement alarmant », a été rendu public mi-janvier, déplorait à ce titre la « militarisation » du cyberespace :

« La militarisation du cyberespace est enclenchée. Elle passe par un renforcement des capacités défensives, voire offensives des Etats qui recrutent des spécialistes, publient des documents stratégiques, affinent leur communication et mènent des cyber-exercices »

Chercheur en sécurité informatique à EADS, et (excellent) blogueur à ses heures, Nicolas Ruff est l’un de ceux qui expliquent le mieux les mythes et réalités de ces nouvelles menaces, connues, dans le milieu de la sécurité, sous l’acronyme APT, pour « Advanced Persistent Threat », buzzword inventé autour de 2008 par la société MANDIANT, celle-là même que le NYT a recruté pour faire face à l’attaque dont elle faisait l’objet.

Entre autres particularités, ces « attaques complexes et récurrentes » ont pour point commun de ne pas être bloquées par les firewall, antivirus, politiques de gestion des mots de passe et autres mesures de sécurité informatique mises en place, ou achetées, par les responsables sécurité des entreprises ou administration ciblées.

Pour autant, déplore Nicolas Ruff en conclusion de son passionnant article (.pdf) sur les Mythes et légendes des APT (voir aussi les slides de sa présentation), on ne peut ni ne doit conclure que « la sécurité informatique à 100% n’existe pas », ce qui constitue pour lui « un des mythes les plus destructeurs qu'on puisse entendre », d’autant qu’il « sert bien souvent de prétexte pour faire une sécurité à 10% » :

L'information est comme un fluide: si votre plomberie est à 99% étanche … alors vous avez déjà un sérieux problème de fuite !

S’il est « impossible d'empêcher les attaques d'arriver (…) il est possible de faire beaucoup mieux qu'actuellement », en instaurant de bons process, en ayant une bonne hygiène du mot de passe et des règles de bases de la sécurité informatique, de sorte d’avoir les bons réflexes. Nicolas Ruff, à ce titre, rappelle qu’ « une attaque détectée et éradiquée en 1 heure n'a aucun impact sérieux », alors qu’ « une attaque détectée et éradiquée en 1 semaine laissera le temps à l'attaquant de collecter suffisamment de mots de passe et de poser suffisamment de backdoors pour pouvoir revenir à volonté …  », ce qu’illustre l’affaire du NYT, qui a mis 4 mois à « expulser » les espions qui avaient pris le contrôle des ordinateurs de ses salariés :

P.S. Les attaques les plus longues documentées dans la nature ont officiellement duré … 3 ans.

Cela fait plus de 10 ans maintenant que j’écris sur ces questions d’espionnage et de sécurité informatique, mais également que je traduis ou écris des manuels, modes d’emploi et guides à l’intention de ceux qui veulent apprendre à protéger leurs données, leurs télécommunications, et garder le contrôle de leurs informations, plutôt que d’être contrôlés par leurs ordinateurs. Et je n’ai jamais été contacté par une seule rédaction, pour l’aider à sécuriser ses process de travail, et outils de télécommunication.

Les journalistes mettent leurs sources en danger s’ils ne sécurisent pas leurs données, et télécommunications. La protection des sources ne peut pas se résumer au fait d’affirmer que jamais l’on ne donnera le nom de ses informateurs, même devant la Justice. Encore faut-il que leurs noms ne figurent pas, en clair, dans leurs ordinateurs, ou téléphones portables…

On peut tout à fait décider de ne pas utiliser d’ordinateurs, et de téléphones portables, et faire du journalisme façon XXe siècle. Et c’est le choix fait par de nombreux journalistes d’investigation. Je vis et travaille sur le Net, on est au XXIe siècle, et je ne vois pas pourquoi, ni comment, je devrais me priver d’utiliser l’Internet.

L’INA m’avait demandé, l’été dernier, de lui écrire un manuel expliquant aux journalistes pourquoi, et comment protéger ses sources. J’y expose entre autres ma théorie du quart d'heure d'anonymat, à savoir le fait que, dans un monde de plus en plus transparent, la question n’est plus d’avoir une vie publique (ce qui était auparavant réservé à l’élite mais qui, avec le Net, devient le lot commun de tout un chacun - voir Les « petits cons » parlent aux « vieux cons »), mais de pouvoir protéger sa vie privée, ce qui devient l’exception, mais ce qu’il est néanmoins tout à fait possible de faire, parce qu’il existe tout plein de façon d’y parvenir. Extrait de mon petit guide, Comment protéger ses sources ? :


--------------------------------------------------------------------------------

Communiquer = être "écouté"
La surveillance et l'espionnage sont les mamelles de l'informatique, et des télécommunications. Autant vous y faire. Bruce Schneier, l'un des experts les plus réputés sur les questions de sécurité informatique -et l'un des plus pédagogues aussi- avait expliqué que "la sécurité n'est pas un produit; c'est un processus". Dit autrement : rien ne sert d'installer une porte blindée si on laisse la fenêtre ouverte. Or, et si la sécurité informatique est un métier... même les professionnels de la profession peuvent être piratés, question de volonté, et de moyens, comme Schneier, il y a quelques années, se plaisaient à le résumer :

"Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore."

Des hackers ont ainsi réussi à injecter une charge virale dans un fichier .pdf échangé par des hauts fonctionnaires de la direction du Trésor de Bercy, entraînant le piratage de 150 ordinateurs qui, bien que particulièrement sensibles, n'avaient donc pas été suffisamment sécurisés. Le mode opératoire, ayant semble-t-il nécessité plusieurs mois de préparation, a été considéré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI, rattachée au Secrétaire général de la défense nationale) comme relevant très probablement d'une tentative d'espionnage émanant d'un service de renseignement étranger.

De même, le contre-espionnage iranien n'a pas non plus réussi à empêcher le ver Stuxnet, créé par les services américains et israéliens, de contaminer (via une clef USB) des ordinateurs qui, pourtant, n'étaient pas connectés à Internet, afin de faire exploser les centrifugeuses utilisées par le programme d'enrichissement nucléaire iranien. Une opération qui, elle, semble avoir été élaborée sur plusieurs années.

Autant dire que s'il est possible de pirater la direction du Trésor de Bercy, ou encore les centrifugeuses iraniennes (et l'on pourrait aussi parler de Google, de marchands d'armes américains, de multinationales ou PME françaises, etc.), dont les ordinateurs sont pourtant protégés par des professionnels de la sécurité informatique -voire par des services de contre-espionnage-, les ordinateurs de journalistes, membres d'ONG ou de partis politiques, universitaires ou chercheurs, dirigeants d'entreprise, avocats, notaires, médecins, prêtres, ou tout autre professionnel ou particulier soumis au secret professionnel ou disposant d'informations sensibles, sans pour autant bénéficier de protection particulière, sont a priori poreux, sinon troués...

A tout le moins, et faute de disposer d'un "service" dédié à ce sujet, on partira donc du principe que le ou les ordinateurs ainsi que les canaux de communications que vous utilisez sont non sécurisés, et prompts à être espionnés, ou piratés.

Privilégiez... le courrier papier
En écrivant "Il était une fois un clicodrôme", Julie Gommes a très bien résumé ce pour quoi ces questions devaient être, non seulement prises en compte par les journalistes soucieux de protéger leurs sources, mais également par les rédactions qui les emploient : demander à un journaliste/pigiste d'envoyer, en clair et de façon non sécurisée -qui plus est depuis des cybercafés (qui sont notoirement surveillés), comme ça lui est arrivé- ses articles via Internet est à peu près aussi dangereux que d'envoyer une carte postale -les e-mails & données qui ne sont pas "chiffrés" circulent "en clair" sur Internet, sans enveloppe fermée, et encore moins scellée-, ou que de passer un coup de fil... ce qui aurait, selon certains, permis de géolocaliser la journaliste Marie Colvin, et donc de bombarder la maison transformée en centre de presse dans le quartier rebelle de Baba Amr à Homs, en Syrie, d'où elle avait accordée une interview par téléphone, entraînant sa mort, ainsi que celle du photographe Rémi Ochlik.

Les journalistes se targuent de "protéger leurs sources", mais sont généralement peu au fait des problèmes de sécurité informatique, non plus que des façons de sécuriser leurs télécommunications, ce que l'affaire des fadettes du journaliste du Monde -qui ont permis d'identifier l'auteur présumé des "fuites"- illustre à l'envi. La "protection des sources" ne se résume pas -comme c'est hélas trop souvent le cas- au seul fait de refuser de révéler leur identité devant la justice ou la police, mais relève du secret professionnel, et implique donc des mesures proactives. Il faudrait en effet être bien naïf pour croire que le fait qu'il soit a priori interdit d'accéder aux fadettes ou aux courriels des journalistes (entre autres) permettent de protéger efficacement ses sources... Les écoles de journalisme enseignent des rudiments de droit à leurs étudiants. Elles feraient bien, également, de leur inculquer les bases de la sécurité informatique... et pas seulement aux journalistes Internet.

Le "boom" du business des marchands d'armes et de technologies de surveillance en ce début de XXIe siècle est tel que de nombreux policiers ou membres des services de renseignement passent dans le privé, avec leurs connaissances techniques, mais également leurs accointances dans l'administration, auprès de leurs anciens collègues ou prestataires barbouzards... ce qui permet à certains d'entre eux, non seulement d'accéder (illégalement) aux traces et données conservées (légalement) par les opérateurs téléphoniques ou fournisseurs d'accès à Internet (FAI), mais également de savoir qui contacter pour pouvoir (tout aussi illégalement) pirater l'ordinateur ou les communications de n'importe quel quidam, journaliste ou non.

La sécurité informatique est un métier. Si ce n'est pas le vôtre, partez du principe que vous êtes, non seulement surveillables -voire surveillés (les FAI gardent la trace de toutes les fois où vous vous connectez, voire de ce que vous faites sur Internet, les opérateurs téléphoniques stockant de leur côté, dans leurs fadettes, tous les numéros de ceux que vous appelez, ou qui vous appellent)-, mais également que vous pouvez plus ou moins facilement être espionnés. Dit autrement : privilégiez les rendez-vous "IRL" (In Real Life, "dans la vraie vie", et donc physiques, dans des lieux publics ou des arrières-salles de café, à la manière des espions du XXe siècle)... sachant que s'ils ont été fixés par téléphone ou bien par mail, ils peuvent donc être compromis. Ironie de l'histoire, en ce XXIe siècle hyper-technologiquement-connecté : on n'a rien inventé de mieux, en terme de protection des sources et de secret professionnel que... le courrier papier qui -a priori- est bien moins surveillé, et espionné, que les communications téléphoniques ou Internet.

Si une minorité de hackers sont payés pour "pirater" ou espionner des ordinateurs et télécommunications, la majorité d'entre eux sont bienveillants, et veulent aider les internautes à protéger leur vie privée, et sécuriser leurs données : il n'y aurait pas d'Internet, ni d'informatique, et encore moins de sécurité informatique, sans les hackers. A mesure que les technologies se complexifient, il devient de plus en plus difficile de parvenir à sécuriser son ordinateur et ses communications. Mais il existe aussi, et dans le même temps, de plus en plus de process, mais aussi de "trucs & actuces", pour parvenir à se protéger, se camoufler ou se cacher.

Le Tome 1 du "guide d'autodéfense numérique", le plus précis et complet de tous les manuels de protection de la vie privée qu'il m'ait été donné de consulter, consacre ainsi pas moins de 208 pages aux différentes techniques, trucs et processus visant à sécuriser son ordinateur... "hors connexions", et donc avant même qu'il ne soit connecté au Net. On pourrait dès lors estimer qu'il est parfaitement illusoire d'espérer pouvoir sécuriser son ordinateur, et ses télécommunications, dès lors que l'on se connecte à Internet sans être féru de sécurité informatique. Voire...

J'ai traduit et rédigé plusieurs modes d'emploi pour expliquer aux internautes comment sécuriser leurs communications sur le Net, depuis que, en 1999, j'ai commencé à chercher comment, en tant que journaliste, je pouvais protéger mes sources. Et si je suis parvenu au constat qu'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, et à échanger des fichiers sans se faire repérer.

Le KGB n'a pas empêché les espions de la CIA (et et vice versa) de communiquer avec leurs sources, pas plus que le FBI n'a empêché Daniel Ellsberg de rendre public les Pentagon papers, ou la NSA d'empêcher WikiLeaks d'oeuvrer pour plus de transparence dans la diplomatie américaine, et mondiale. Pour paraphraser Andy Warhol, la question, aujourd'hui, est de se donner la possibilité d'avoir son quart d'heure d'anonymat. Ce qui est, non seulement possible, mais également vital pour notre métier, et nos démocraties, et pas forcément très compliqué.

 

"Libre", vraiment ?
En résumé : pour sécuriser ses données, et communications, utilisez un ordinateur vierge (de toute donnée personnelle ou sensible), dont le système d'exploitation a été mis à jour (afin d'éviter qu'une faille de sécurité non "patchée" ne puisse être exploitée pour le pirater) ET sécurisé (afin de vous permettre de communiquer, et/ou travailler en toute confidentialité). Les données à protéger ne devront quant à elles n'être accessibles qu'à distance via un "tunnel sécurisé" (VPN et/ou SSH, ou grâce à NoMachine.com, qui permet de se connecter à distance et de façon sécurisée à un autre ordinateur) ou, à défaut, être chiffrées via un logiciel libre (de préférence : les logiciels "propriétaires" interdisent que l'on vérifient l'intégrité de leur code source) de cryptographie (tels que GPG ou TrueCrypt), et stockées sur un support externe (clef USB ou carte SD, facile à cacher et que vous aurez pris soin de dupliquer et de cacher dans deux bagages distincts, au cas où).

Le mieux, pour ceux qui sont amenés à se connecter en territoire hostile, et qui voudraient pouvoir se conformer à ces règles-là, est encore d'utiliser Tails ("The Amnesic Incognito Live System"), un système d'exploitation GNU/Linux basé sur la distribution Debian, qui ne comporte que des logiciels libres. La précision est importante dans la mesure où, en terme de sécurité informatique -et sauf à disposer de professionnels expressément dédié à ces questions-, il est impossible de faire confiance aux logiciels propriétaires, qui -contrairement aux logiciels libres ou open source- interdisent de vérifier l'intégrité de leurs codes sources, et donc la présence de failles de sécurité, ou de portes dérobées. De plus, la majeure partie des chevaux de Troie et autres logiciels malveillants sont conçus pour les systèmes d'exploitation Windows, voire Mac OS -il en existe cela dit aussi pour les systèmes GNU/Linux.

Développé, et mis à jour, par des hackers et hacktivistes (anonymes) dont l'objectif est de "préserver votre vie privée et votre anonymat", Tails a été conçu pour ne laisser aucune trace sur l'ordinateur utilisé... sauf si vous le demandez explicitement (afin, par exemple, de garder en mémoire les documents sur lesquels vous travaillez, ou d'enregistrer vos favoris, préférences logicielles), ou si vous ne suivez pas les conseils donnés sur cette page d'avertissement :

"Il vous permet d'utiliser Internet de manière anonyme quasiment partout sur la toile et sur n'importe quel ordinateur, mais ne laisse aucune trace de ce que vous avez fait, sauf si vous le voulez vraiment."

Tails peut être installé sur un ordinateur, en complément ou à la place du système Windows existant, mais peut également être lancé depuis un DVD ou une clef USB sur lesquels il aura préalablement été installé. Il est donc tout à fait possible d'utiliser un ordinateur lambda (ou "vierge") pour se connecter, en toute sécurité et confidentialité, à Internet, ainsi qu'à ses données, en démarrant sur Tails plutôt que sur Windows. Afin d'éviter d'attirer l'attention, Tails propose même une option camouflage afin de simuler un environnement type Windows XP...


Ceci n'est pas un Windows XP, mais un système GNU/Linux libre ET sécurisé
Tails réunit l'essentiel des outils et logiciels (libres) permettant de communiquer en toute sécurité. Le mieux est bien évidemment d'utiliser Tails comme système d'exploitation. Vous pouvez cela dit décider d'installer sur votre ordinateur de travail tout ou partie des logiciels qui y sont pré-installés (et qui sont, pour la plupart, disponibles sur Windows ou Apple, et bien évidemment sur GNU/Linux), en fonction de vos besoins, afin de profiter de telles ou telles de leurs fonctionnalités, sans avoir à installer ou utiliser Tails... à ceci près que vous risquerez donc d'utiliser ces portes blindées en laissant une voire plusieurs fenêtre ouvertes...

http://bugbrother.blog.lemonde.fr/2013/01/31/comment-ne-pas-etre-espionne/

 

 

Comment-echapper-aux-geants-du-net ?

Microsoft, Yahoo!, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple... La liste des entreprises compromises dans le scandale Prism, du nom de ce vaste programme d'espionnage élaboré depuis 2007 par la NSA, l'agence de sécurité nationale américaine, a de quoi faire frémir. A travers elles, c'est toute votre vie numérique, et parfois davantage, qui se retrouve dans la ligne de mire de Big Brother. Heureusement, il y a encore une vie en ligne en dehors des services de ces neuf géants du web. Vous saviez déjà comment plaquer Google. Voici comment sortir (presque) entièrement du prisme, quitte à sacrifier votre confort et vos habitudes.

Votre téléphone
Si vous utilisez un smartphone, c'est le moment d'en faire votre deuil. Google (Android), Apple (iPhone) et Microsoft (Windows Phone), les trois fers de lance de Prism, fournissent le système d'exploitation d'une écrasante majorité de smartphones. Considérez donc qu'ils sont bons pour la poubelle, ou assumez votre penchant exhibitionniste. Notez qu'il en va de même pour les tablettes et les ordinateurs personnels... A ceci près que pour ces derniers, le système Linux, qui est open source, offre une solution de rechange assez crédible.

Votre navigateur internet
Inutile de noyer plus longtemps le poisson, votre navigateur internet vous mène en bateau depuis un moment déjà. A commencer par Chrome (Google), Internet Explorer (Microsoft) et Safari (Apple), qui représentent environ 80% du marché.

Vous ne comprenez rien à l'informatique. La solution la plus simple consiste à se passer de leurs services pour leur préférer les navigateurs Opera ou Firefox. Ensuite, vous pourrez utiliser un serveur proxy pour masquer votre adresse IP. Cela n'arrêtera probablement pas la NSA, mais si l'agence en avait après vous, cela pourrait la ralentir. Pour utiliser un tel système, vous n'avez rien à installer et presque rien à faire. Il vous suffit de vous rendre sur une plate-forme dédiée, par exemple ici, et de choisir une adresse de serveur dans la liste qui vous est proposée. Vous êtes ensuite redirigé vers la page du serveur choisi, à partir de laquelle vous pourrez aller consulter n'importe quel site (par exemple nsa.gov) de façon anonyme, c'est-à-dire sans trahir votre véritable adresse IP.

 
 

Vous êtes un peu geek sur les bords. Le réseau Tor et son navigateur ont déjà fait leurs preuves, notamment lors du "printemps arabe". Après avoir téléchargé le programme, vous n'avez qu'à décompresser l'archive pour commencer à l'utiliser.

 

 

Vous êtes geek et complètement paranoïaque. Dans ce cas, vous avez certainement déjà installé et configuré un réseau privé virtuel (VPN, en anglais). Il permet de vous connecter anonymement à internet, et virtuellement depuis n'importe quel point du globe, au moyen d'un tunnel sécurisé. VyprVPN (payant) est l'un des systèmes les plus populaires dans ce registre et de nombreux tutoriels sont disponibles en ligne pour apprendre à bien l'utiliser.

 
 

Vos e-mails
En matière de messagerie, c'est officiel, les géants du web vous mettent en boîte. Et subitement, le monde vous paraît nettement plus petit : oubliez Gmail, Hotmail (Outlook), Yahoo! Mail, AOL et les services de messagerie d'Apple. Tous sont compromis.

Vous préférez vous en tenir au gratuit. Les solutions se nomment Voila.fr (France Télécom), LaPoste.net ou encore Zoho Mail. Vous ne bénéficierez sans doute pas des mêmes intégrations de services que chez votre fournisseur précédent (Google Drive, SkyDrive...), mais vous aurez accès à l'essentiel : plusieurs gigas de stockage, une taille de pièces jointes acceptable et un antispam efficace.

 
 

Quitte à payer, vous voulez tout maîtriser. Ceux qui possèdent un nom de domaine, par exemple pour héberger leur blog, le savent bien : on est libre d'héberger sa propre messagerie. La bonne nouvelle, c'est que si vous n'avez pas déjà un site et n'en voyez pas l'utilité, vous n'aurez pas à en créer un. Vous pouvez parfaitement vous contenter de déposer un nom de domaine, souscrire à une solution d'hébergement, par exemple chez OVH, et configurer une ou plusieurs adresses e-mail du type votrenom@votrenomdedomaine.fr. C'est beaucoup plus simple à faire qu'il n'y paraît et il ne vous en coûtera pas plus d'une poignée d'euros par an.

 
 

Vous préférez vous faire servir en y mettant le prix. Vous avez retenu la leçon, "si c'est gratuit, c'est que vous êtes le produit". Pour un service cinq étoiles et, on l'espère, une politique de confidentialité irréprochable, tournez-vous vers une messagerie payante comme FastMail.

Si vous n'aimez pas utiliser un webmail, vous pouvez également télécharger le logiciel de messagerie open source Thunderbird (gratuit), qui vous aidera à vous passer d'Outlook ou de Windows Live Mail (Microsoft).

 
 

Enfin, si les services tout de même bien pratiques que sont Google ou Windows Agenda vous manquent et que votre dernier agenda papier remonte aux années 1990, tournez-vous vers Zoho Calendar, qui remplit très bien cette fonction.

 
 

Vos recherches en ligne
Google Search, Yahoo!, Bing (Microsoft) l'auront bien cherché. Ce n'est pas parce qu'ils représentent 98% du marché qu'ils sont indispensables. Vous aurez même un choix assez large pour les remplacer.

Si vous préférez le made in France. Foncez découvrir LeMoteur.fr, un outil 100% français développé par des ingénieurs d'Orange, ou tournez-vous vers Qwant, le dernier-né des moteurs de recherche qu'on avait oublié un peu vite depuis son lancement.

 
 

Si vous êtes geek, snob ou les deux à la fois. Optez pour Wolfram Alpha, le moteur scientifique qui a réponse à presque tout, ou osez le retour vers le futur avec Alta Vista, un outil presque aussi vieux que le web, fondé en 1995.

 
 

Si votre vie privée passe avant toute autre considération. DuckDuckGo, sous ses airs de vilain petit canard de la recherche en ligne, est l'un des rares services qui vous propose d'effectuer des requêtes anonymes, n'hésitant pas à moquer au passage les pratiques de Google. Le moteur IxQuick affiche le même positionnement.

 

Une liste exhaustive des moteurs en activité, ainsi que leurs liens avec les géants du web, est consultable sur Wikipédia.

Les réseaux sociaux
Les réseaux sociaux sont sans doute le domaine où le caractère antisocial de Prism transparaît le mieux.

Vous êtes accro. Exit Facebook ou Google+, seul Twitter échappe miraculeusement au scandale à ce stade de l'affaire. Il faut dire que presque tout y est déjà public, à l'exception des rares Direct Messages que les utilisateurs s'y échangent. Les tweets sont même soigneusement archivés depuis 2010 à la bibliothèque du Congrès américain, comme le rapportait Libération à l'époque.

Vous êtes résigné. A moins de revenir d'un long voyage sur Mars, vous savez de toute façon depuis longtemps à quoi vous en tenir avec ce type de sites et avez appris à ne pas trop vous dévoiler sur Facebook.

Vous êtes curieux. Il existe tout de même quelques solutions de rechange éthiques. On peut citer Reddit, qui ne conserve vos données (notamment votre adresse IP) que 90 jours, mais dont l'interface austère fera fuir plus d'un geek. Ou encore Diaspora, un réseau social open source encore très loin d'avoir atteint la masse critique qui suffirait pourtant à le rendre attrayant.

 

Les services annexes
La liste des services sur lesquels les révélations d'Edward Snowden ont jeté l’opprobre est encore longue, et touche à vos usages les plus quotidiens et les plus anodins. Dans certains cas, elle nous renverrait presque à la préhistoire du web.

Vos itinéraires et vos plans. Faites une croix sur Google Maps et retournez à vos premières amours, Mappy ou Via Michelin.

Vos messages instantanés. Dites au revoir à Skype et consorts, ce sera l'occasion de découvrir ou de redécouvrir ICQ, une vieille gloire d'internet passée sous pavillon russe depuis longtemps déjà.

 
 

Le partage vidéo. On risque de moins entendre ces jours-ci ceux qui dénonçaient avec force le refus du gouvernement de céder Dailymotion à Yahoo!. Cela tombe bien, ce sera votre meilleur substitut à YouTube, avec Vimeo.

L'hébergement de vos photos. Bye-bye Instagram (Facebook), Picasa (Google) ou Flickr (Yahoo!) et bonjour au vide presque absolu laissé derrière eux. En désespoir de cause, essayez donc PhotoBucket, mais ce sera nettement moins beau.

Vos outils collaboratifs. Adieu Google Drive et Microsoft Office 365. Profitez-en pour tester Ulteo, qui offre un accès en ligne à la suite Open Office, ou tournez-vous une nouvelle fois vers Zoho et ses outils maison.

Vos partages de fichiers. Il semblerait que DropBox était le prochain sur la liste à rejoindre Prism au moment où le scandale a éclaté. On peut sans doute faire confiance à Kim Dotcom et son site Mega pour rester le plus longtemps possible à l'écart du FBI et de la CIA.

http://www.francetvinfo.fr/espionnage-d-internet/espionnes-par-google-facebook-microsoft-comment-echapper-aux-geants-du-net_344672.html

 

Le scandale FBI-NSA pourrait rebattre les cartes dans le marché du "cloud"

Le site du fournisseur d'infrastructures informatiques et de services à distance Cloudwatt, qui pourrait bénéficier du scandale lié à ses concurrents américains.La révélation de l'accès du FBI et de l'Agence nationale de sécurité américaine (NSA) aux infrastructures de neuf géants américains d'Internet jette le discrédit sur ces multinationales. Le programme Prism, révélé par le Washington Post, serait un outil permettant aux services de renseignement américains d'accéder aux données des personnes situées à l'étranger, qui ne sont pas protégées par la loi américaine contre les consultations sans ordonnance.
Potentiellement, ce sont les données de l'ensemble des utilisateurs mondiaux d'AOL, Apple, Facebook, Google (et Youtube), Microsoft (et Skype), Paltank et Yahoo qui sont concernées. Deux d'entre eux – Facebook et Google – ont démenti avoir des "portes dérobées" dans leurs services, qu'ils ont aussi refusé d'installer au Royaume-Uni à la fin d'avril. Apple affirme ne pas connaître ce programme.

 

LA PROTECTION DU SAFE HARBOR
Pour le site spécialisé Gigaom, cette nouvelle arrive "au mauvais moment" pour ces entreprises, dont la cote de confiance sur les données privées se fragilise. Google et Microsoft, notamment, visent de plus en plus les entreprises dans leur transition vers le "cloud" (l'hébergement à distance et à la carte des applications et des données, parfois sensibles) et critiquent ouvertement les méthodes du concurrent. Dans ce contexte, les révélations du Guardian et du Washington Post placent ces entreprises dans un même panier.

Ces entreprises sont tenues au respect du "Safe Harbor", qui leur permet de certifier elles-mêmes qu'elles respectent la législation européenne en matière de vie privée, pour être en mesure de transférer les données des internautes européens vers des serveurs situés aux Etats-Unis. Mais elle restent aussi tenues aux obligations de communication des données imposées par les Etats-Unis. Ce principe, négocié entre les Etats-Unis et la Commission européenne en 2001, repose donc finalement sur la confiance des Etats, entreprises et particuliers européens. Pour rassurer ses éventuels clients, Microsoft a ainsi choisi fin 2012 de s'associer à Bouygues Télécom pour le lancement d'une offre "cloud", surtout destinée aux entreprises. Si Microsoft fournit les technologies, Bouygues est l'entité juridique responsable, soumise au droit français.

"En utilisant les centres de données de Bouygues en France, le droit français s'applique. Microsoft est aussi présent sous sa marque en Europe à Dublin et à Amsterdam. En tant que prestataire de cloud, nous avons des clauses contractuelles européennes et nous sommes soumis au Safe Harbor, qui s'applique à toute entreprise qui a une présence aux Etats-Unis. La protection des données est importante pour Microsoft, et le Safe Harbor n'a pas vocation à outrepasser les règles de confidentialité nationales", garantissait en novembre Marc Mossé, directeur des affaires publiques et juridiques de Microsoft France, qui n'a pas répondu à nos sollicitations, vendredi 7 juin.

Le programme secret Prism peut être interprété comme une violation de ces principes, n'étant pas notifié à la Commission européenne. "C'est un problème interne aux Etats-Unis", a toutefois répondu le département des affaires intérieures de la Commission européenne, contacté par Gigaom.

LE "CLOUD À LA FRANÇAISE" ET LA SOUVERAINETÉ

Cette affaire pourrait être bénéfique à deux nouveaux acteurs français, créés par l'Etat et les opérateurs : Cloudwatt d'Orange et Thales et Numergy de SFR et Bull. Les deux projets, financés par l'Etat à hauteur de 150 millions d'euros, ont fait de la souveraineté des données leur premier argument commercial, bien avant l'efficacité technique ou les conditions commerciales. Le but affiché est d'imposer deux acteurs de dimension européenne dans ce marché mondialisé, en misant sur la sécurité légale offerte par un hébergement français. Les deux projets, annoncés en septembre et octobre 2012, sont encore en phase de lancement.

Lire : Le cloud 'à la française' sous le feu des critiques

Les deux entreprises attaquent publiquement les géants américains actuels sur le thème du Patriot Act, à défaut de critiquer directement les aspect techniques ou commerciaux de ces offres mondiales. Pour Marc Mossé de Microsoft, il s'agissait en novembre d'une méthode marketing sans fondement, visant à jeter le discrédit sur un système fonctionnel. L'affaire Prism pourrait donc bien rebattre les cartes.

UNE AMÉLIORATION DE LA PROTECTION RETOQUÉE

Cette affaire intervient surtout au moment où la législation européenne est en plein bouleversement. Depuis plusieurs mois, le projet de nouveau règlement – qui doit renforcer l'information et la protection des internautes européens – est le sujet d'un "lobbyisme intense" de l'Etat et des entreprises américaines qui évoquent une menace pour l'innovation. La CNIL s'était d'ailleurs officiellement alarmée de cette situation, en demandant aux pouvoirs publics français de l'appuyer dans son combat. Le texte a été retoqué, jeudi 6 juin, par les Etats membres européens.

Lire : Très chères données personnelles

En France, la protection des communications est également le sujet de plusieurs polémiques. Début mai, L'Expansion a ainsi révélé les nombreux problèmes techniques et financiers de la prochaine Plateforme nationale des interceptions judiciaires, censée regrouper en septembre les moyens d'interception légale des communications téléphoniques et Internet, sous l'égide de Thales. A la mi-mai, c'était un rapport parlementaire qui accablait les méthodes des renseignements français, qui agiraient souvent dans l'illégalité. Le rapport recommande notamment de se doter d'une autorité de surveillance de ces pratiques tout en améliorant les capacités d'écoute des services

 

 

From : le Monde , BugBrother,...

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Publicité
Tag(s) : #Stratégie - Défense - Relations Internationales
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :