Si quelqu'un vous dit qu'il n'a rien à cacher, c'est qu'il n'y a tout bonnement pas assez réfléchi

J'ai le plaisir de te présenter aujourd'hui l'intervention de Mikko Hypponen, expert en sécurité informatique finlandais, au cours d'une conférence TEDx à Bruxelles durant laquelle il revient sur les récents scandales de la surveillance généralisée de la NSA.

Il explique parfaitement l'ensemble des problèmes qui se posent suite à ses révélations, et entrevoit une solution qui porte à réfléchir.

N'hésite pas à le retrouver également sur son site et sur Twitter.

Comme d'habitude, je t'invite vivement à prendre le temps de visionner la vidéo (les sous-titres en français sont activés), mais si tu manques de temps j'ai reproduis un résumé avec mes commentaires en dessous.

Internet et les mobiles ont changé le monde

Mikko Hypponen commence par un constat qu'il serait difficile de ne pas partager :

"Les deux plus grandes inventions de notre génération sont sans doute l'Internet et le téléphone portable. Elles ont changé le monde. Cependant, à notre grande surprise, elles sont également devenues les outils parfaits de la surveillance d’État. Il s'est avéré que la capacité à recueillir des données, des informations et des connections sur, en gros, n'importe qui et nous tous est exactement ce que nous avons entendu tout l'été (NDLR : 2013) grâce aux révélations et aux fuites sur les agences de renseignement occidentales, en particulier les agences de renseignement étasuniennes, qui scrutent le monde entier."

"Edward Snowden a commencé à divulguer des informations, des informations classées top secret, des agences de renseignement étasuniennes, et on a appris certaines choses comme PRISM et XKeyscore entre autres. Ce sont des exemples de types de programmes que les agences de renseignement étasuniennes utilisent actuellement contre le reste de la planète."

A ce sujet je t'invite à revoir l'intervention d'Edward Snowden au cours de la conférence TED 2014.

George Orwell était optimiste...

"Rappelons-nous des prédictions de George Orwell sur la surveillance. Il s'avère que George Orwell était optimiste. Nous voyons désormais une échelle bien plus grande de pistage des citoyens qu'il n'aurait pu imaginer."

Il présente alors le gigantesque centre de données de la NSA dans l'Utah :

"Ce type de surveillance de masse signifie qu'ils pourront recueillir nos données et les garder grosso modo pour toujours (...) Cela ouvre la porte à des types de risques radicalement nouveaux nous concernant tous. Il s'agit en fait de la surveillance généralisée de masse de tous les citoyens. Enfin, pas vraiment tout le monde car les renseignements américains n'ont que le droit de surveiller les étrangers. Ils peuvent surveiller les étrangers lorsque les échanges de données des étrangers finissent aux États-Unis ou y transitent. La surveillance des étrangers n'a pas l'air si mal sauf si on prend conscience que je suis un étranger et que vous êtes des étrangers. En fait, 96 % de la planète sont des étrangers."

Il admet cependant que la surveillance se justifie lorsqu'elle permet d'éviter des meurtres, des trafics de drogues, des fusillades : lorsque c'est un suspect qui est mis sur écoute.

"Mais ce n'est pas le principe de programmes comme PRISM. Ils ne surveillent pas les personnes qu'ils ont des raisons de suspecter de méfaits. Ils surveillent des personnes qu'ils savent innocentes."

Il explique que certains tentent de minimiser l'impact de ces révélations, d'abord en expliquant que tout le monde le savait. J'en avais moi-même l'impression au début des révélations. Or nous ne savions pas que la surveillance allait aussi loin, jusqu'à saboter volontairement des algorithmes de chiffrement.

"On prend quelque chose d'extrêmement efficace, et on le fragilise volontairement, ce qui a pour résultat de nous mettre tous moins à l'abri. Un équivalent concret serait que les agences de renseignement feraient entrer de force un code pin secret dans les alarmes de chaque maison pour qu'elles puissent y entrer car des personnes néfastes pourraient avoir des alarmes domestiques, mais cela aurait pour résultat de nous mettre tous en danger. Fragiliser des algorithmes de chiffrement est tout simplement stupéfiant."

"Les agences de renseignement étasuniennes peuvent faire ce qu'elles veulent. Elles sont totalement hors de contrôle et elles devaient être remises sous contrôle."

Concernant la collecte des informations directement chez les plus grandes entreprises du monde de l'Internet, difficile de savoir qui dit vrai : soit les entreprises ont coopéré avec les autorités et mentent donc à leurs millions d'utilisateurs, soit elles ont été piratées par leur propre gouvernement.

Même si tous les pays font de l'espionnage, il y a un également un déséquilibre dans le fait que l'immense majorité des grandes sociétés de l'Internet sont de nationalités américaines.

"Quand il arrive de temps en temps une jolie réussite européenne, celle-ci finit généralement par être vendue aux États-Unis. Auparavant, Skype était sûr. Il était chiffré de bout en bout. Mais il a été vendu par la suite aux États-Unis. Aujourd'hui, Skype n'est plus fiable. Encore une fois, nous prenons quelque chose qui est fiable et le rendons moins sûr délibérément, nous mettant ainsi tous moins en sécurité."

Et il y a évidemment l'argument de la lutte contre le terrorisme. Je crois que les mots de Mikko Hypponen se passent de commentaires à ce sujet :

"Mais nous savons grâce à ces fuites que ces mêmes techniques sont utilisées pour écouter les conversations téléphoniques de leaders européens, pour surveiller les emails d'habitants du Mexique et du Brésil, pour lire les emails au sein du Siège des Nations Unies et du Parlement Européen, je ne pense pas qu'on essaie d'attraper des terroristes à l'intérieur du Parlement Européen, pas vrai ? Ce n'est pas la guerre contre le terrorisme. En partie peut-être, il y a des terroristes, mais considère-t-on réellement les terroristes comme une si grande menace pour notre existence que pour les combattre, l'on veuille bien accepter de ne pas réagir du tout ? Les Américains sont-ils prêts à prendre leur Constitution et à la jeter à la poubelle seulement parce qu'il existe des terroristes ? Idem avec la Déclaration des Droits et tous les amendements, avec la Déclaration Universelle des Droits de l'Homme, avec la Convention européenne de sauvegarde des Droits de l'Homme et des Libertés Fondamentales, et avec la liberté de la presse ? Considère-t-on vraiment le terrorisme comme une si grande menace que nous sommes prêts à ne rien faire du tout ?"

Voilà qui amène sérieusement à y réfléchir en tout cas...

Si quelqu'un vous dit qu'il n'a rien à cacher, c'est qu'il n'y a tout bonnement pas assez réfléchi

"Les gens ont peur des terroristes, et ils pensent que peut-être que la surveillance est normale car ils n'ont rien à cacher. Ne vous gênez pas pour me surveiller si ça peut vous aider. Si quelqu'un vous dit qu'il n'a rien à cacher, c'est qu'il n'y a tout bonnement pas assez réfléchi. Car il existe cette chose appelée la vie privée, et si vous pensez réellement que vous n'avez rien à cacher, par pitié, faites en sorte de me le dire tout de suite car je saurais alors que je ne devrais pas vous confier de secrets car apparemment vous ne savez pas les garder. Les gens sont extrêmement honnêtes avec Internet et au début de ces fuites, beaucoup me posaient des questions à ce sujet. Je n'ai rien à cacher. Je ne fais rien de mal ou d'illégal. Pourtant, il n'y a rien que je ne souhaite particulièrement partager avec une agence de renseignement, en particulier une agence de renseignement étrangère. (...)

La vie privée est non négociable. Elle devrait être intégrée dans tous les systèmes que l'on utilise."

"Il y a une chose que nous devons comprendre, c'est qu'on est franchement honnête avec les moteurs de recherche. Montrez-moi votre historique de recherche, et j'y trouverai quelque chose de compromettant ou d’embarrassant en cinq minutes. Nous sommes plus francs avec les moteurs de recherche qu'avec nos familles. Les moteurs de recherche en savent plus sur vous que des membres de votre famille. Et c'est ce genre d'informations que l'on donne aux États-Unis."

Là encore, ce point de vue a de quoi remettre en perspective notre utilisation d'Internet...

"La surveillance change l'histoire. (...) Voici une citation du Président du Brésil, Mme Dilma Rousseff. Elle a été l'une des cibles de la surveillance de la NSA. Ses emails ont été lus, elle a pris la parole au Siège des Nations Unies, elle a dit : « S'il n'y a pas de droit à la vie privée, il ne peut y avoir de réelle liberté d'expression et d'opinion, et par conséquent, il ne peut y avoir de vraie démocratie. »

Voilà où je veux en venir. La vie privée est un élément constitutif de nos démocraties. Je cite un collègue chercheur en sécurité, Marcus Ranum, il a dit qu'aujourd'hui, les États-Unis traitent Internet comme ils traiteraient une de leurs colonies. Nous voici revenus à l'époque de la colonisation, et nous, utilisateurs étrangers d'Internet, devrions considérer les Américains comme nos maîtres."

Et Edward Snowden dans tout ça ?

"M. Snowden a été tenu pour responsable de pas mal de choses. Certains l'accusent de causer des problèmes au secteur américain des cloud et des sociétés de logiciels, à cause de ces révélations -- accuser Snowden de causer des problèmes au secteur américain du cloud est la même chose que tenir Al Gore pour responsable du réchauffement planétaire."

"Alors, que pouvons-nous faire ? Devrions-nous nous inquiéter ? Non, il ne faut pas. Nous devrions être en colère, parce que ce n'est pas bien, impoli, et ça ne devrait pas avoir lieu. Mais ça ne va pas vraiment changer la situation. Ce qui va faire changer la situation pour le reste de la planète, c'est d'essayer de s'écarter des systèmes construits aux États-Unis. C'est plus facile à dire qu'à faire. Comment est-ce possible ? Un seul pays, n'importe quel pays en Europe ne peut remplacer ni construire des substituts aux systèmes d'exploitation et aux services de cloud fabriqués aux États-Unis."

"Mais il ne faut peut-être pas le faire tout seul. Peut-être faut-il le faire avec d'autres pays. La solution, c'est l'open source. En créant ensemble des systèmes ouverts, libres et fiables, nous pouvons contourner cette surveillance, et un simple pays n'aura pas à résoudre ce problème tout seul. Il n'y a qu'un seul petit problème à résoudre. Je cite un collègue chercheur en sécurité, Haroon Meer, un pays n'a qu'à faire une petite vague, mais ces vagues ensemble forment une marée, et la marée portera tous ces bateaux simultanément, et la marée que nous allons construire avec des systèmes fiables, libres et ouverts deviendra la marée qui nous soulèvera tous au-dessus de la surveillance d’État.

Voilà qui met une nouvelle fois en avant un des intérêts fondamentaux des systèmes libres et ouverts. Je sais que pour mon propre usage, j'utilise autant d'outils de ce type que de solutions propriétaires, simplement en allant de façon pragmatique vers ce qui me semble le plus simple et pratique, ce qui correspond le mieux à mes besoins. Et je parle indifféremment ici de tout ces produits.

J'avoue ne pas me voir basculer du jour au lendemain tous mes services vers des solutions libres, simplement du fait de la masse de travail que cela représente. Mais cela se fera progressivement, par étape, un outil après l'autre.

Je pense qu'il vaut vraiment la peine de se poser les bonnes questions à ce sujet.