Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Forum Gouvernance de l’Internet 2015
Atelier « Surveillance dans le cyberespace »
Article mis en ligne le 29 juin 2015
dernière modification le 11 juillet 2015

par Laurent Bloch

Notre atelier a bénéficié pendant la plus grande partie de sa durée de la présence de Madame la sénatrice Catherine Morin-Desailly, qui a pris note des interventions et répondu aux questions de l’assistance.

Intervenants : Dominique Lacroix (Société européenne de l’Internet), Frédérick Douzet (Professeur à l’Université Paris 8, titulaire de la Chaire Castex de Cyberstratégie à l’Institut des Hautes Études de Défense nationale, IHEDN), Ary Kokos (Ossir/Solucom), Kavé Salamatian (Professeur à l’Université de Savoie), Laurent Bloch.

La sécurité peut-elle être le résultat d’un algorithme ?

Depuis vingt ans nous vivons une révolution culturelle engendrée par l’irruption dans toutes les activités humaines de l’Internet et par conséquent de l’informatique. Cette extension du monde informatisé crée un nouvel espace, le cyberespace. Face à ce défi, la gouvernance de l’Internet est un enjeu de souveraineté.

Les révélations d’Edward Snowden et la prise de conscience de l’immense récolte de données personnelles effectuées par les géants de l’Internet, publics ou privés, civils ou militaires, appellent des réponses : faut-il aller dans cette voie en instaurant une société de surveillance, de toutes les façons vouée à l’échec ?

Il y a une autre issue à ce dilemme : que la France (avec l’Europe) devienne un acteur majeur du cyberespace. Éducation, formation, recherche et développement, investissement sont les clés de la puissance à l’âge de la révolution cyberindustrielle.

Vers l’État de surveillance ?

Les événements récents montrent que ce sujet ne manque pas d’échos dans l’actualité : Wikileaks, révélations d’Edward Snowden, projet de loi sur le renseignement, remise en cause par la justice et le congrès américains des opérations de surveillance de la NSA, contestation épisodique de certaines pratiques d’entreprises comme Google et Facebook.

Néanmoins le grand public, et plus spécialement la jeunesse, disposent de peu d’information sur ces phénomènes et sur leurs conséquences possibles pour la vie pratique des individus comme des institutions. Un des objectifs du Forum de la Gouvernance Internet, et plus particulièrement de notre atelier, est de les aider à en prendre conscience par la diffusion d’informations appropriées sur les risques encourus et les moyens de s’en prémunir.

Il est possible de distinguer trois types d’acteurs enclins à des activités de surveillance légitimes ou illégitimes :

 acteurs étatiques ;
 entreprises ;
 particuliers.

A priori seules les autorités publiques ont quelque légitimité à surveiller des personnes ou des institutions privées. Encore de telles actions de surveillance doivent-elles être encadrées par des instances démocratiques de protection des libertés civiles, sous le contrôle notamment du pouvoir judiciaire.

C’est l’enjeu du débat actuel autour du projet de loi français sur le renseignement, soumis à un ultime vote le 24 juin 2015 mais qui devra encore recevoir l’aval du Conseil constitutionnel (cf. le texte de saisine établi par quelques parlementaires courageux).

Mais au-delà de ces activités de surveillance explicite commence la zone grise de la collecte, du croisement et de l’analyse de données personnelles de toutes sortes par des entreprises, au premier rang desquelles les plates-formes d’intermédiation.

Frédérick Douzet : protection des libertés civiles par des instances démocratiques

Il revient à Frédérick Douzet d’ouvrir le débat par un parallèle entre les parcours législatifs américain et français à propos de la cybersurveillance d’État. Sur la base de sa connaissance approfondie de la politique intérieure américaine elle retrace les débats qui ont parcouru les corps législatif et juridique américains après le coup de tonnerre des révélations d’Edward Snowden, et qui ont abouti à l’interdiction de certains programmes de la National Security Agency (NSA).

Pour les Américains comme pour les Français la liberté est une valeur suprême, et si la sécurité est la première des libertés, elle ne saurait justifier la collecte massive de données (notamment de données personnelles) effectuée pendant des années par la NSA. Ainsi les parlementaires américains ont-ils éteint certains programmes de surveillance et imposé le contrôle du juge pour toute investigation susceptible de porter atteinte aux libertés individuelles et collectives des citoyens américains.

Alors que les pouvoirs publics américains, quatorze ans après l’adoption du Patriot Act, sont amenés à constater d’une part la relative inefficacité des mesures qu’il avait permis d’instaurer, d’autre part les atteintes insupportables à l’état de droit qu’il avait autorisées, il est paradoxal que les pouvoirs publics français choisissent ce moment pour s’engager, avec le projet de loi Renseignement, dans une voie qui va à rebours de cette démarche, en rendant légales toutes les exactions commises illégalement par la NSA.

Dominique Lacroix : transhumanisme, surveillance et conquête

Vous pouvez consulter en ligne le texte intégral et illustré de cette intervention.

Dominique Lacroix est photographe et chercheure indépendante, associée au réseau européen Internet Science et à la Chaire Castex de cyberstratégie, ancienne éditrice et consultante informatique puis Web. Elle co-anime l’association Société européenne de l’Internet.

Elle propose un regard culturel sur les débats en cours. En rappelant la similitude des questions posées par le bouddhisme et par le transhumanisme, vaincre la vieillesse, la maladie, la souffrance et la mort, elle invite à placer nos réflexions dans une perspective de construction de l’humanité et de nos sociétés.

Elle invoque des artistes, Chris Marker et Alain Damasio, qui ont tous deux exprimé des alertes sur nos dérives technologiques. Elle craint que la mouvance transhumaniste et son forcing technologique, portée par des acteurs industriels et gouvernementaux, dont Google est l’un des leaders visibles, puisse servir d’idéologie de soutien à un projet de conquête politique où l’hypersurveillance est une arme.

Examinant le contexte plus large des problèmes planétaires et enjeux de civilisation à la lumière des analyses du biologiste Jared Diamond, elle s’interroge sur la pertinence voire la nocivité du transhumanisme.

Elle attire notre attention sur le fait que, malgré toutes les métaphores de l’intelligence artificielle, nous ne savons pas encore si l’information biologique est de même nature que l’information informatique. Les scientifiques en sont encore aux premiers pas de la recherche interdiscliplinaire sur le vivant, comme le montre un prochain colloque qui se tiendra en France en 2016. Elle conclut par une invitation à la prudence.

Kavé Salamatian : la cybersurveillance, facteur de risque

À la lumière de sa connaissance approfondie du fonctionnement réel de l’Internet, Kavé Salamatian attire notre attention sur les apories de la cybersurveillance généralisée. En effet, dans ce domaine comme dans les autres, le commercial (terme entendu au sens large, par exemple pour désigner le général Keith Alexander en train de défendre le budget de la NSA devant le Congrès) vend des choses que la technique ne peut pas réaliser, comme par exemple la détection immédiate et garantie d’un projet terroriste en cours de réalisation.

Serait-ce d’ailleurs possible qu’il en résulterait pour l’instance de surveillance un aléa moral insupportable, puisqu’aussi bien l’agent de surveillance défaillant devrait alors partager avec le terroriste la responsabilité de l’attentat réussi. À quoi s’ajoute un véritable risque systémique dès lors que le terroriste sait quelles sont les méthodes utilisées pour le détecter. Bref, on retombe sur les problèmes classiques de désinformation et d’intoxication, et Kavé Salamatian nous renvoie aux haruspices, qui donnaient finalement d’aussi bons résultats. Il termine par une assertion à méditer : la donnée de surveillance est une drogue pour l’agent de surveillance.

Ary Kokos : la cybersurveillance vue du terrain

Vous pouvez lire sur ce site le texte intégral de l’intervention d’Ary Kokos.

Ary Kokos est consultant senior en sécurité informatique, il effectue des missions d’audit et de conseil en entreprise, ce qui lui donne une vision pratique des questions de surveillance et de sécurité sur le terrain.

Il nous a d’abord encouragés à distinguer la surveillance passive (écoute des canaux de communications) de la surveillance active (introduction dans le système surveillé de dispositifs de recherche et de vol de données). Celle-ci est plus efficace que celle-là, mais plus exposée au risque de détection par la cible.

La généralisation des systèmes informatiques mobiles dotés de dispositifs de géolocalisation (tels que tablettes et smartphones) ouvrent à la surveillance des perspectives extraordinaires : pourquoi tel individu éteint-il son portable à l’approche de telle ou telle zone ? Pourquoi au contraire active-t-il son antenne WiFi ou Bluetooth ? Repérer des comportements « anormaux » récurrents peut être riche d’enseignements.

L’usage de solutions de chiffrement peut compliquer la surveillance, ce en particulier dans le cas d’une écoute passive ; si le chiffrement du trafic réseau sur l’infrastructure de l’opérateur peut être contourné assez facilement, le chiffrement de bout en bout constitue un obstacle plus sérieux. Cependant les mécanismes cryptographiques ne sont pas une parade absolue et restent vulnérables à une attaque ciblée (attaque du système d’information, portes dérobées, etc) et induisent avant tout un facteur coût, qui cependant peut être non négligeable dans le cas d’une surveillance de masse. D’où l’intérêt pour les autorités en charge des interceptions de saboter ou d’affaiblir ces systèmes (par exemple le programme BULLRUN de la NSA et EDDGEHILL du GCHQ) ou d’attaquer directement les entreprises (Belgacom, Gemalto, etc.).

Les « boîtes noires » annoncées dans le projet de loi Renseignement pourront-elles constituer une mesure efficace ? Compte tenu de l’absence d’information au sujet de leur fonctionnement, le point reste difficile à évaluer et l’on est réduit à se poser des questions et à faire des suppositions en attendant de plus amples détails. Si dans le cas d’une cible facile, l’usage d’un algorithme pour détecter un comportement ou des liens dangereux peut sembler efficace, qu’en est-il dans le cas de cibles particulièrement entraînées aux mesures de sécurité opérationnelles et à la contre surveillance ?

D’autre part la collecte de données se heurte à un certain nombre de défis techniques.

Le premier est l’accès aux données : comment accéder à des données hébergées hors du territoire national ? Et que faire dans le cas de flux chiffrés ?

Le second concerne le stockage : dans la mesure où il est techniquement impossible de conserver indéfiniment toutes les données, il est nécessaire de n’en retenir qu’une partie, de filtrer. Outre le défi du stockage en soi, se pose la question de la mise en place de ce filtrage et de la pertinence des informations ainsi identifiées ?

Le troisième défi concerne l’analyse : comment inspecter autant de données ? Les documents révélés par Edward Snowden indiquaient en 2011 des volumes d’entrée de l’ordre du To/s (mille milliards de caractères par seconde). En particulier dans la mesure où le modèle actuel est de loin plus compliqué que celui de la téléphonie historique : comment traiter la multitude de technologies et de protocoles utilisés, tout en prenant en compte l’évolution très rapide de ces derniers ?