La France dispose également d’un programme de surveillance massif proche de celui mis en place par l’Agence américaine de sécurité nationale (NSA). La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal.
Ce service, placé institutionnellement sous la coupe du ministère de la défense, est doté de moyens techniques très puissants qui sont, notamment, hébergés dans les sous-sols du siège de la DGSE, boulevard Mortier à Paris. « C’est une pêche au chalut », explique un ancien de la DGSE pour décrire la nature du contrôle. L’immense quantité d’information doit être compressée puis décompressée avant d’être enfin décryptée par les agents de la DGSE.
La justification de ces interceptions est avant tout liée à la lutte antiterroriste sur le sol français. De facto, au regard de l’absence d’encadrement légal strict de ces pratiques, l’espionnage des échanges Internet peut porter sur tous les sujets. Interrogée par Le Monde, la DGSE s’est refusée à tout commentaire sur ces éléments couverts par le secret-défense. De plus, les autorités françaises arguent que les centres d’hébergement des sites sont, pour la plupart, basés à l’étranger, ce qui exonère la DGSE de répondre à la loi française.
Le ministre canadien de la Défense, Peter MacKay, a signé en novembre 2011 un décret renouvelant ce programme de surveillance des télécommunications, qui avait initialement été mis en place dès 2005 par le précédent gouvernement libéral, a indiqué le quotidien. Le programme, qui a pour objectif de traquer les activités suspectes, a été suspendu pendant plus d’un an en 2008 après l’intervention d’un juge de la Cour suprême. Le magistrat avait exprimé ses craintes qu’il ne mène à une surveillance indue des Canadiens, ajoute le journal, qui a obtenu des
registres de données censurées en grande partie au nom de la sécurité nationale.
Dans un compte rendu adressé en 2011 au ministre de la Défense, les responsables du programme ont défendu son utilité en précisant qu’il ne vise pas l’écoute des communications en soi mais plutôt la récolte d’« une information associée à une télécommunication ».
Comment est-il possible que des programmes aussi sensibles que Prism puissent être approuvés par le Congrès américain, et que personne (le public) n’en sache rien ? Est-ce que l’objectif du programme est masqué ? Un acte du Congrès est public, me semble-t-il.Vaste question, qui a trait en grande partie à l’attitude des Etats-Unis à la suite des attentats du 11 septembre 2001. Une
politique publique basée sur la peur a donné les pleins pouvoirs à l’antiterrorisme, dans une sorte de guerre permanente (un peu comme dans
1984, de
George Orwell ?).Un ensemble de projets législatifs ont depuis sans cesse augmenté, de façon disproportionnée, les pouvoirs de la NSA et du FBI. On a l’impression aujourd’hui qu’ils ont les pleins pouvoirs, sans aucune forme de contrôle démocratique.
Depuis 2003, des lanceurs d’alerte chez AT&T (un des plus gros opérateurs télécom américains) ont indiqué que la NSA dupliquait, pour en faire ce qu’elle voulait, les communications internationales. Depuis 2008, la loi amendant le Foreign Intelligence & Surveillance Act (FISA) donnait les pleins pouvoirs auxservices de renseignements pour collecter les données de citoyens non américains lorsque celles-ci sont stockées aux Etats-Unis.
On le savait. Le Congrès savait pour Prism, mais n’a rien dit. Désormais on a des preuves irréfutables, c’est ce qui manquait pour que puisse éclater un vrai débat public, condition indispensable à ce que l’on puisse revenir en arrière sur ces délires ultra-sécuritaires et à ce que les citoyens puissent reprendre le contrôle de ces institutions.
La culture du secret de ces institutions est une grande partie du problème. Dans une société démocratique, il est admis que des services puissent être secrets, mais ils doivent rendre des comptes aux citoyens, après que les actions ont été menées. Ici, il s’agit de pans entiers de politiques publiques qui sont tenus secrets, complètement hors d’atteinte des citoyens. C’est un problème grave, surtout lorsque les citoyens du monde entier sont concernés.Comment se fait-il que le gouvernement américain veuille absolument tenir un programme comme Prism secret ? Après tout, c’est bien eux qui disent « Si vous n’avez rien à vous reprocher, vous n’avez rien à cacher », non ?
Par ailleurs, notons cette différence essentielle : les citoyens ont le droit à la protection de leur vie privée, c’est une liberté fondamentale. Les « vies » des Etats doivent, par nature et par défaut, être publiques. Le secret n’est justifié qu’au cas par cas. On a l’impression d’assister aux Etats-Unis à une inflation de cette culture du secret, très dangereuse pour la démocratie (qui a dit « Wikileaks » ?).
On nous annonce (officiellement) que la France n’est pas concernée, mais comment savoir (en particulier au regard des accords, entre autre militaires, transatlantiques) dans quelle mesure c’est vrai ? Quand Amesys fournit des outils à la Libye, comment peut-on imaginerqu’ils n’ont pas déjà servi en France ?
Bien sûr que la France est concernée ! La loi d’amendement au FISA dit explicitement que « tous les citoyens non Américains » peuvent être écoutés « sans conditions » par les services américains, « lorsque les données sont stockées aux USA ». Les citoyens français sont très nombreux à utiliser les services desentreprises collaborant activement avec la NSA : Google, Facebook, Yahoo!,Microsoft, Apple, etc. Chacun utilisant ces services est concerné, quel que soit son pays de résidence et c’est bien l’un des nœuds du problème…
Après, savoir si la France a un tel mécanisme de surveillance généralisé des communications et des données de ses citoyens… C’est peu probable. Déja parce que les budgets de nos agences sont très différents de ceux de la NSA. Ensuite parce qu’il leur suffit peut-être de nouer des accords de coopération avec la NSA et le FBI… pour pouvoir accéder aux données concernant leurs citoyens ? De tels accords ont apparemment été signés entre GCHQ (les services britanniques) et la NSA. Si la France disposait d’un tel système de surveillance généralisée, j’ose espérer que des informations à son sujet finiraient par fuiter…
J’ai toutefois l’impression que Prism n’est pas si nouveau. Le programme Echelon fait exactement la même chose avec les conversations téléphoniques depuis de nombreuses années.
Ce qui est véritablement nouveau ici est de deux ordres : tout d’abord d’avoir un « smoking gun » comme on dit en anglais, une preuve « fumante », flagrante. Les services américains sont pris la main dans le sac, de manière irréfutable. Cela permet une fois pour toutes de couper court aux arguments du type « vous voyez le mal partout », « vous êtes paranoïaques » et autres « théories du complot ». Et peut-être que ces éléments probants permettront de susciter un réel débat public.
Ensuite, ce que Prism montre, c’est la « collaboration active » de ces entreprises géantes (Google, Facebook, Apple, Microsoft, etc.) à la surveillance généralisée. Certes, le droit américain ne leur laisse peut-être pas vraiment le choix et c’est bien là une partie importante du problème… Mais le fait que ces entreprises coopèrent ainsi avec la NSA et le FBI montre qu’il n’est en aucun cas possible de leur faire confiance pour protéger nos libertés fondamentales, au premier rang desquelles notre liberté d’expression et la protection de notre vie privée… surtout si on a le mauvais goût de ne pas être citoyen américain !
Le problème sous-jacent est bien la centralisation de nos données. Pourquoistocker toutes nos vies, tous nos contacts, toutes nos affinités, toute notre intimité, sur les serveurs de ces entreprises, situés aux Etats-Unis ? Nous sommes en train, plus ou moins consciemment, de bâtir ces gigantesques agrégats de données, de nous fliquer volontairement… Pourquoi ? Cette centralisation est par nature contraire à l’esprit même d’Internet, dans lequel chacun peut lire et accéder à l’information, mais également publier, participer, pour être un acteur du réseau à part entière.
Prism, en montrant à quel point la limite entre surveillance des Etats et surveillance privée est ténue, sinon inexistante, pose cette question cruciale de l’architecture que nous choisissons pour nos communications et pour stocker nos données. Et cette architecture est forcément politique.
Peut-on encore parler de vie privée sur Internet ? Je pars du principe que puisque que nous tweetons, bloguons ou commentons des choses sur Internet, notre vie privée n’existe plus, elle est devenue une vie publique.
Il y a une différence fondamentale entre vie publique et vie privée. La vie privée c’est l’intimité, c’est ce que l’on ne partage qu’avec les personnes de son choix. La vie publique c’est quelque chose qui jusqu’à il n’y a pas si longtemps de cela était principalement l’apanage de quelques personnes : politiques, journalistes, stars, etc.
Avec Internet, nous avons tous la possibilité de participer, de publier, d’écrire et donc d’avoir une vie publique. Nous commençons tout juste à apprendre l’impact que cela peut avoir sur notre société tout entière… Pour autant, cela ne veut pasdire qu’il faut renoncer à la protection de notre vie privée, qui est une liberté fondamentale.
Pourquoi vouloir protéger sa vie privée lorsque l’on n’a rien àcacher ?
Cet argument revient très souvent lorsque l’on évoque la question de la protection de la vie privée. Déjà, si vous n’avez véritablement « rien à cacher », vous opposeriez-vous à ce que l’on mette une caméra dans votre salle de bain ? Dans votre chambre à coucher ? Que l’on expose vos mots doux, fussent-ils envoyés via SMS, courriel ou Facebook, sur la place publique ? Vous comprenez ici qu’il existe une sphère d’intimité dont chacun doit pouvoir rester maître, et choisir ce qu’il révèle ou non au monde.
Ensuite, avec les données personnelles, nous faisons un pari sur l’avenir, un peu comme une hypothèque. Nous ne pouvons pas savoir ce qui sera faisable et ce qui sera fait avec nos données personnelles, nos profils, dans un an, cinq ans ou dix ans. Une chose est sûre : avec le temps, ces profils deviennent de plus en plus précis. Des chercheurs ont récemment démontré que juste par vos « J’aime » cliqués sur Facebook, et aucune autre information que celle-là, il était à 90 % possible de prédire votre orientation sexuelle, si vous êtes fumeur, marié ou divorcé, etc. Donc on diffuse beaucoup plus d’informations sur nous-mêmes qu’on ne le croit, parfois des informations ayant trait à notre intimité. Nous devonspouvoir rester maîtres de ce que nous laissons comme traces ou non.
Ensuite, et toujours parce que l’on ne sait pas de quoi demain sera fait, parce que l’on ne peut pas prédire si dans le futur on souhaitera se lancer en politique, ou décrocher un job dans telle entreprise ou telle institution. Ce jour-là, il sera trop tard pour effacer des informations gênantes qui auront été publiées des années auparavant.
Ensuite, parce que la surveillance généralisée est une des composantes des régimes autoritaires, et parce que l’on a vu dans l’histoire des régimes basculertrès rapidement… Si cela arrivait, il serait temps de se demander si l’on souhaitepasser du côté de la résistance et là encore il sera peut-être trop tard si les autorités disposent de toutes les informations sur vous.
Enfin, et parce que je me trouve dans cette noble maison qu’est Le Monde, parce que la protection des sources des journalistes est une composante essentielle d’une information libre, elle-même pilier de nos démocraties. Il faut donc que les journalistes et leurs sources puissent avoir un espace ou échanger de façon protégée… Peut-être souhaiterez-vous un jour devenir journaliste, ou le deviendrez-vous par la force des choses ?
Sachant que nos données (Facebook, Google, Amazon, etc.) sont déjà stockées sur des serveurs (et donc exploitables), dans quelle mesure peut-on réellement se protéger puisqu’un retour arrière est impossible (me semble-t-il) ?
Un jeune étudiant autrichien, Max Schrems, s’est livré à une expérience intéressante : il a voulu accéder aux données que Facebook stockait sur lui, comme le droit européen l’y autorise. Il lui a fallu deux ans et, je crois, plus de vingt procédures dans de nombreuses juridictions pour finalement y parvenir et recevoirde Facebook 900 mégaoctets (Mo) de données parmi lesquelles… toutes les informations qu’il avait « effacé » de Facebook ! Photos, messages, etc., tout y était en réalité encore !
Lire : Max Schrems : ‘L’important, c’est que Facebook respecte la loi’
Donc retourner en arrière semble difficile en effet… Mais on peut se focaliser sur ici et maintenant, afin de mieux envisager l’avenir. N’est-il pas temps de fermervotre compte Facebook ? D’utiliser une messagerie qui n’est pas stockée aux USA ? De commencer à apprendre à utiliser le chiffrement de vos communications ?
Quelle solution avons-nous donc ? Tout crypter ? Quitter ces géants du Net ? Faire son propre serveur de messagerie électronique ?
Nous sommes à un moment charnière de notre histoire, et nous devonsquestionner notre rapport, en tant que société tout entière, à la technologie. D’un côté, nous avons des technologies qui sont faites pour rendre les individus plus libres, par l’ouverture et le partage des connaissances : ce sont les logiciels libres (comme GNU/Linux, Firefox ou Bittorrent), les services décentralisés (que chacun fait tourner sur son serveur ou sur des serveurs mutualisés entre amis ou à l’échelle d’une entreprise, institution, etc.) et le chiffrement point à point (qui permet aux individus de protéger par les mathématiques leurs communications contre les interceptions).
De l’autre, nous constatons la montée en puissance de technologies qui sont conçues pour contrôler les individus, voire restreindre leurs libertés en les empêchant d’en faire ce qu’ils souhaitent. Je pense à ces pseudo « téléphones intelligents » qui ne sont ni des téléphones (ils sont avant tout des ordinateurs qui savent également téléphoner), ni intelligents, car en réalité ils permettent de fairemoins de choses que des ordinateurs traditionnels et sont conçus en réalité pour empêcher à l’utilisateur de choisir d’où seront installés les programmes, d’installerles programmes de son choix, ou même d’avoir accès pour le comprendre au fonctionnement des puces cruciales qui permettent d’émettre ou recevoir des données… Si l’on devait appeler cela de « l’intelligence », cela serait peut-être au sens anglais du mot, pour parler de renseignement, d’espionnage… car de tels appareils semblent être conçus pour espionner leurs utilisateurs.
De la même façon, ces services massivement centralisés sont par essence, par leur architecture, faits pour aspirer toutes les données personnelles possibles et imaginables. Ce sont les modèles économiques de ces entreprises qui sont basés sur le fait d’entretenir un flou entre vie privée et vie publique… Toutes ces technologies ont en commun de maintenir l’utilisateur dans l’ignorance… Dans l’ignorance du fonctionnement même de la technologie (parfois en habillant cela de « cool », comme Apple qui vous vend l’ignorance, comme du confort, de la facilité, etc., au travers de produits il est vrai assez bien conçus, quoique fragiles…).
En réalité, signer un contrat avec une de ces entreprises sans comprendre les réalités sous-jacentes qu’implique l’architecture de nos outils de communication et le fonctionnement de nos appareils revient un peu à signer un contrat sans savoirlire. Je suis convaincu que la connaissance de la technologie (ou à l’inverse son ignorance) est la clé qui nous permet de basculer d’un environnement où l’on est sous contrôle à un environnement ou l’on est plus libre car l’on retrouve le contrôle de la technologie.
C’est l’humain qui doit contrôler la machine, et jamais l’inverse. Cette promesse, c’est celle du logiciel libre, c’est celle des services décentralisés, c’est celle du chiffrement. Mais toutes ces technologies ont en commun de nécessiter un effort actif de participation de la part de l’utilisateur… Eh oui, la liberté a un prix !
Je pense qu’il est urgent de repenser la façon dont nous apprenons la technologie. Allez voir le site « Codecademy » qui permet d’apprendre de façon ludique àprogrammer… Ou encore allez voir sur les forums des communautés de logiciels libres (comme ubuntu-fr) où vous trouverez des centaines de passionnés prêts àpartager leurs connaissances pour vous aider à sortir des prisons dorées de Microsoft, d’Apple, de Google et de Facebook !
En gros : indignez-vous contre ces technologies de contrôle et rejoignez les hackers (au sens étymologique d’enthousiastes de la technologie qui aiment la maîtriser et construire, pas au sens déformé de criminels qui cassent) pourparticiper à la technologie qui libère !
Lire aussi : Comment passer entre les mailles de la surveillance d’Internet ?
Il y a actuellement des discussions au niveau européen sur une réforme de la législation sur la protection des données personnelles. Pensez-vous que ces révélations sur Prism vont avoir un impact sur la future législation européenne ?
Très bonne question ! La réponse à Prism est en partie, comme nous venons de l’évoquer, technique… mais elle est également évidemment politique. La réforme en cours de la législation européenne sur la protection des données personnelles est un enjeu crucial. C’est un dossier ultra-complexe (4 000 amendements en commission « libertés publiques », record absolu au Parlement européen) et le fruit d’une campagne de lobbying sans précédent (décrite par Yves Eudes dans un article du Monde, « Très chères données personnelles »), mené par ces mêmes géants de la Silicon Valley (Facebook, Yahoo!, Google, etc.) qui ont ouvertement participé à la surveillance par la NSA des citoyens du monde entier ! Ils seraient sur le point d’obtenir gain de cause et de ratiboiser la moindre protection de nos données personnelles, le moindre outil que la Commission européenne prévoyait de mettre entre nos mains pour reprendre le contrôle de nos données.
Devant l’ampleur de la tâche, le dossier est en train de s’enliser au Parlement européen. On aura donc plus de temps que prévu durant lesquels les citoyens devront s’impliquer pour entrer en contact avec les élus et leur expliquer combien cette question est cruciale et combien ils doivent voter en faveur de mesures nous protégeant, plutôt qu’en obéissant aux intérêts de ces entreprises. La France aura aussi à se positionner, au niveau du Conseil de l’UE, et on attend le gouvernement au tournant.
Si le texte final n’était pas dans sa version « Facebook & Co » où nous aurions perdu tout moyen de nous défendre (et une législation bien pire que ce qu’il y a actuellement), nous pourrions faire pression sur ces entreprises : par exemple en résiliant le « safe harbour » qui les exonère (en gros) de respecter trop strictement le droit européen. Par exemple en encadrant l’export de données dans les pays tiers. Enfin, en créant les conditions de l’émergence en Europe d’un marché des services Internet non pas basés sur l’utilisation abusive, sans restrictions, de nos données personnelles, mais sur de nouvelles architectures décentralisées qui redonneraient la confiance aux citoyens en leur redonnant le contrôle sur leurs données.
De plus, il convient de noter que cet espionnage par la NSA et le FBI concerne évidemment au premier plan les libertés publiques et les citoyens, mais qu’il concerne également les entreprises, par une dimension dite « d’intelligence économique »… Combien d’entreprises stockent leurs données sensibles, non chiffrées, sur les serveurs de Google ? Quelles conséquences en matière de marchés perdus, de conséquence faussée, etc. ?
Le « cloud » qui, aux yeux de nombreuses entreprises et de particuliers, représente une solution de flexibilité et de simplicité extrême ne représente-t-il pas paradoxalement la plus grande menace sur un Internet par définition décentralisé ?
Le « cloud » est un concept plus ou moins fumeux (arf arf)… Au point que je parle de temps en temps de « clown computing », tant le terme à la mode et le marketing prennent parfois le pas sur la raison. En réalité, le cloud rejoint deux concepts pas franchement nouveaux. D’abord, le concept technique dit de la « virtualisation », par lequel on décorrèle le matériel informatique des logiciels qui s’y exécutent (pourpouvoir changer un disque dur ou un ordinateur grillé sans tout arrêter par exemple). Ensuite, le concept juridique, économique (et politique) de l’externalisation : confier à d’autres le soin de gérer une partie de ses ressources informatiques, de ses communications, de son stockage, etc.
C’est là qu’il y a potentiellement un risque, qu’il convient d’analyser sereinement, loin du marketing. Peut-on faire confiance à des entreprises tierces (surtout américaines, au vu de Prism) pour stocker ses données personnelles ? Ses informations sensibles ? Son fichier client ? J’ai tendance à penser qu’on n’est jamais mieux servi que par soi-même et qu’il faut à tout moment pouvoir maîtriser son infrastructure et ses ressources…
Lire aussi : Le scandale FBI-NSA pourrait rebattre les cartes dans le marché du ‘cloud’
Le livre 1984 serait-il une espèce de prémonition de ce qui se passe maintenant ?
On pourrait regarder Google, Facebook, la NSA et l’Etat policier… pardon, l’Etat « national security » américain et se dire que Big Brother, à côté, c’est de la gnognote. De l’autre, 1984 est l’histoire d’un individu qui se révolte contre cette surveillance et ce contrôle absolu, totalitaire, des populations. Et, pour cela, nous renvoie à nos responsabilités individuelles.
Nous avons tous, entre les mains, les moyens de participer à changer les choses, à peser sur le débat et les politiques publiques. Pour certains d’entre nous, nous avons même accès à des informations, tenues secrètes, qui prouvent que les gouvernements et les entreprises agissent parfois de façon contraires aux principes démocratiques et à l’intérêt général. Comme Winston dans 1984, nous avons le devoir d’user de notre sens de la justice pour aider à faire éclater la vérité. C’est pour cela que Julian Assange, Bradley Manning et Edward Snowden doivent être reconnus et protégés et servir d’inspiration aux citoyens aux quatre coins du monde.
Sam Révolte 