? Rien à cacher (archive)

Source originale du contenu

Quand on est, comme moi, un vieil activiste désabusé, il y a des lieux et des moments où on s’attend à déposer les armes.

Se reposer l’esprit en assistant à un débat réunissant des gens qui partagent nos idées. Écouter tranquillement sans avoir à repérer les pièges et les non-dits. Lâcher prise.

Et puis, paf le chien.

La question – l’éternelle question quand on parle de défense de la vie privée – était « mais que dire à ceux qui n’ont rien à cacher ? ».

La réponse m’a laissé sur ma faim.

 

La grande question

Non qu’elle fut mauvaise: il s’agissait d’expliquer qu’on a toujours besoin d’un espace privé pour s’interroger, pour plonger en soi-même, pour se forger une intime conviction hors de la pression du regard de l’autre. Il est toujours utile de le rappeler.

Il s’agissait, aussi, de rappeler qu’on ne vivra pas dans la même société quand, par exemple, nos assurances et nos banques sauront tout de nos questions en ligne sur le cancer. Nous y sommes presque.

En tout état de cause, c’était une bonne réponse. Elle aurait même été excellente jusqu’aux révélations d’Edward Snowden.

Mais aujourd’hui ?

Si les révélations d’Edward Snowden nous ont appris une chose, ce n’est pas que les états nous espionnent.

Ils l’ont toujours fait.

Ce n’est pas non plus que nos communications électroniques sont écoutées: cela nous le savions au moins depuis 1999 et la description par Duncan Campbell du programme Echelon dans un rapport au Parlement Européen.

Tout au plus avons nous eu confirmation de ce que beaucoup supposaient, et pris conscience de l’ampleur des écoutes et de la complicité des grands opérateurs américains dans la surveillance massive organisée par la NSA.

Mais ce qui constitue la vraie nouveauté, l’information principale du programme PRISM et de ses suites, c’est que l’information recherchée n’est pas ce que nous disons, mais à qui nous le disons. Le contenu de nos conversations reste intéressant bien sûr (surtout pour les entreprises qui ont intérêt à tout savoir de nos vies), mais pas tellement pour les états. Ce que veulent les états, c’est tout savoir de nos réseaux.

Ce sont nos « metadatas » qu’ils stockent, pour ensuite pouvoir, quand bon leur semble, décider qui surveiller plus spécifiquement.

 

Les contenants, pas les contenus

Le 18 décembre dernier, j’entendais un auditeur dire à Jean-Jacques Urvoas, sur France Inter, qu’il « doutait que les américains s’intéressent au contenu de son smartphone ». Et il a bien raison: le contenu de son smartphone, les américains s’en cognent.

Par contre, savoir où se trouve ce smartphone, avec qui il communique, et quand, ça c’est quelque chose qui, même pour un américain, a pas mal de valeur.

Parce que, qui sait, il est utilisé pour publier un « selfie » sur Facebook, pris devant une « personne d’intérêt » qui ne se doute de rien et qu’on pourra ensuite localiser précisément, à tel lieu et à tel instant, via la reconnaissance faciale (ou même – plus moderne – la reconnaissance par réflexion cornéenne). C’est devenu automatisable.

Parce que, allez savoir, le vieux pote devenu haut fonctionnaire, qui reprend contact après des années, est sous surveillance active, et que le simple fait que notre auditeur en ait été proche un jour pourra permettre de déterrer des informations compromettantes.

Ou bien encore, si notre auditeur est journaliste, parce que la source qu’il croit si bien protéger n’avait pas non plus désactivé son téléphone lors de leur rencontre et qu’il suffira de croiser les informations des deux appareils pour savoir qui était présent lors de l’interview secrète.

Ou même tout simplement pour comprommettre notre auditeur innocent, le jour où il sera lui-même devenu, par les aléas de la vie et de l’évolution normale de sa carrière, une personne d’intérêt: ce jour là, il aura sans doute des choses de son passé à cacher, qu’il pensait innofensives sur le moment mais qui pourront toujours servir un jour. Du genre « vous étiez à ce moment à cet endroit en compagnie de telle et telle autres personnes, qui depuis ont commis un attentat ».

Qui sait ?

 

La bonne question

C’est pour cette raison que j’ai beaucoup de mal à supporter les réponses habituelles à La Grande Question du Je N’ai Rien À Cacher. Parce que la question n’est plus « pourquoi doit-on se protéger », mais bien « pourquoi doit-on protéger ceux avec qui on échange ».

Parce que, le jour où notre auditeur sera devenu « intéressant », il sera bien content de savoir que ceux avec qui il échangeait en toute innocence des années plus tôt avaient sécurisé leurs communications, désactivé la géolocalisation de leurs smartphones et évité de le prendre en photo bourré pour se foutre de sa gueule sur Facebook.

Ou pas.

Si je me bats – depuis bientôt 18 mois – pour faire exister un projet comme Caliopen, ce n’est pas (contrairement à ce que beaucoup croient, hélas et par manque d’explications assez claires de ma part) pour permettre à chacun de mieux se protéger.

Eh non.

C’est pour mieux protéger les autres.

 

Don’t shoot the rhino

y6ej1qcwlcgtowjwz3ukUne image, peut-être plus parlante que mes histoires de selfies piégés et d’attentats futurs, est celle qui demande aux visiteurs de cette réserve – où vivent des rhinocéros – de ne pas diffuser les photos qu’ils prennent sur les réseaux sociaux, ou sinon de désactiver la géolocalisation de leurs appareils.

Parce que celles-ci pourront, sinon, servir à indiquer aux braconiers où et quand vont les animaux qu’ils vont abattre pour leurs cornes.

C’est pour cette raison que, quelles que soient leurs qualités, je ne prête que peu d’intérêt à la majorité des initiatives de messageries sécurisées « post-snowden ». Non qu’elles soient inutiles, loin de là, mais simplement parce qu’elles répondent à un problème du siècle dernier.

Oui, se protéger soi-même est utile. Mais quand l’énorme majorité de nos correspondants ne le sont pas, alors nous sommes autant à l’abri de la surveillance que nos amis rhinocéros. Or – et même si c’est triste il faut se rendre à l’évidence – l’énorme majorité de nos contemporains ne va pas quitter Gmail, ne va pas cesser de publier des photos sur Facebook, ne va pas désactiver la géolocalisation de ses smartphones, ni rien de tout ça.

Parce que l’énorme majorité de nos contemporains n’a « rien à cacher » et qu’à ce jour personne ne lui explique que ce qu’elle a à cacher, c’est nous.

Vous avez un compte sur Fastmail ou Protonmail ? Grand bien vous fasse: vous faites partie de la minuscule minorité qui, quand elle s’envoie des emails à elle-même, protège sa vie privée (mais qui la dévoile dès lors qu’elle échange avec ses proches restés chez Google, ou via Facebook ou Twitter). Votre réseau de connaissance est tout aussi public que celui du reste du monde surveillé. Et le pire, peut-être, c’est que vous vous croyez à l’abri.

Protéger son email alors qu’on continue de dialoguer par SMS, IRC, Jabber, Facebook et Twitter ? Sérieusement, qui peut croire que ça va géner les NSA de ce monde ?

Si Caliopen est utile un jour, ce ne sera pas parce qu’il protègera ses utilisateurs, mais parce qu’il leur fera prendre conscience de la portée de leurs actes quand ils échangent avec des proches peu ou pas protégés. Mais ce ne doit pas être une fin en soi.

 

Vie privée SGDG

Dans son dernier article sur Rue89, Amaelle Guiton rappelle superbement que la sécurité informatique n’a pas besoin d’être parfaite pour être utile. Un point manque, cependant, dans son texte, et que je voudrais rappeler à mon tour: la surveillance de masse n’est pas qu’une question technique. C’est aussi une question économique.

Quelles que soient les capacités de déchiffrement de la NSA, il lui en coûtera toujours plus pour réunir des informations sur chacun d’entre nous si nous augmentons notre niveau de protection que si nous ne le faisons pas.

Si – un jour – suffisamment de monde utilise des outils de cryptographie. Si – rêvons un peu – un projet comme Caliopen permet un jour de faire prendre conscience à un nombre assez important d’utilisateurs que leur protection passe par la protection de leurs proches, alors peut-être peut-on espérer que ce coût augmentera assez pour que les bailleurs de fonds des grandes oreilles jettent l’éponge et qu’elles retournent à des pratiques d’espionnage plus ciblées (parce que – et là cessons de rêver – nul ne sera jamais à l’abri d’une surveillance ciblée).

Et si, au passage, nous réapprenons, tous, la valeur de notre vie privée et les risques que sa perte fait peser sur nos sociétés, alors, qui sait, peut-être que notre futur n’est pas si sombre.

 
Et un [edit] pour ajouter ceci à la demande générale (OWI !).