Titre : Si, vous avez quelque chose à cacher.
Intervenant : Numendil
Lieu : Pas Sage en Seine 2013, à La Cantine, Paris
Date : 21 juin 2013
Durée : 1h14min
Média : Lien vers la vidéo
Licence : CC0
Résumé
Des lois censées vous protéger aux entreprises qui rêvent de tout savoir sur vous, il devient de plus en plus compliqué de garder sa vie privée « privée ». Ça l'est encore plus lorsque les principaux concernés vous répondent « Je n'ai rien à cacher. ». Cette affirmation est-elle vraie ? À quels risques nous expose-t-elle ?
:Pourquoi et comment en sommes-nous arrivés à tout ceci et, plus important encore, comment faire pour prendre pleinement conscience que si... nous avons tous quelque chose à cacher.
Transcription
Notes de transcription
La présentation est volontairement en langage familier, un effet de style intéressant qui véhicule les messages "pas de langue de bois" ou "c'est comme une discussion entre potes", et cible une audience relativement jeune. La transcription va donc faire son possible pour garder ce registre. Je propose même de garder mot-à-mot les nombreux passages de dialogues imaginaires (entre "guillemets" ci-dessous), et de fluidifier de manière minimale le reste du texte.
Licence: les vidéos de la cantine sont sous CC-BY-NC-SA mais j'ai pour habitude de tout publier en CC0, j'avais vu avant la mise en ligne, tout est en CC0, donc c'est du CC0 :), je reste disponible si tu/vous avez besoin de plus d'informations - Numendil
Une solution pour récupérer la vidéo en fichier local, la commande en ligne suivante :
youtube-dl http://www.youtube.com/watch?v=BbkbdYoffX4
Texte
Bonjour
Alors bonjour, bonjour à tous, bonjour à toutes. Bien mangé, ça va ?
On est ensemble pour à peu près une heure, quelque chose comme ça, sur la tentative de réponse à l'argument bateau "Non, non, j'ai rien à cacher", qui arrive de plus en plus souvent, dans différentes lois, à gauche à droite, etc.
Qui suis-je ? (bien qu'on s'en moque)
Avant toute chose, petite présentation rapide (bien qu'on s'en tape un peu en fait). Si vous ne me connaissez pas, moi je me présente : donc "Numendil", je bidouille un peu sur le Net, à gauche à droite, je gueule sur tout en fait, c'est surtout ça le truc. Je tiens un blog, sur lequel je raconte un peu tout et n'importe quoi. Des fois ça marche, des fois ça marche pas. Des fois ça plaît, des fois ça plaît pas, bref... Et puis, dispo un peu sur quelques plate-formes, Twitter entre autres. Et puis sur le blog, il y a un mail, si vous avez besoin...
Dafuk.
Le reste, ma foi, ça ne regarde que moi, puisque moi j'ai des choses à cacher. Et la problématique c'est que, quand j'aborde ça, quand je commence à dire "J'ai des choses à cacher", on se retrouve souvent sur deux réponses, deux arguments.
Le premier c'est : "Ben ouais, mais si t'as quelque chose à cacher, en fait, c'est que t'es un terroriste" - je résume, mais l'idée est un peu là. En gros c'est : "C'est mal", partant du principe que si on a quelque chose à cacher, c'est forcément mal. Il y a peut-être un problème dans ces cas-là.
Et puis le deuxième, surtout quand on vient à parler de lois un poil liberticides, ou de PRISM, on se retrouve sur "Moi je m'en fous, j'ai rien à cacher." OK, c'est cool … mais sinon ?
On peut se poser deux questions.
La première des deux, c'est se demander si c'est vraiment vrai, si on n'a vraiment rien à cacher. Dans ce cas là, ma foi, hé bien tous à poil, c'est parti. C'est vrai, en même temps, on est d'accord ? Il y a bien quelque chose qui fait que des gens viennent à penser cette chose-là. Il n'y a pas une personne sur terre qui pense qu'on n'a rien à cacher. Ça n'existe pas partout, fort heureusement, mais ça existe énormément. Il y a bien des éléments qui doivent faire penser aux gens ce genre de choses. On va essayer de les comprendre dans un premier temps, puis essayer d'y répondre dans un deuxième temps.
Et puis on va aussi se demander si ce n'est pas dangereux de déclarer ce genre de truc. Est-ce que le fait de n'avoir vraiment rien à cacher ne sous-entend pas un certain nombre de risques auxquels on est probablement exposés. Peut-être, peut-être pas, on va aussi essayer de se poser sur ce point-là.
La vie privée... (1)
Pour se poser sur ce point-là, dans un premier temps, il faudrait définir la vie privée. Le truc est bateau, j'ai pris une définition du dico, du Larousse, comme ça on n'ira pas troller sur Wikipédia tous ensemble.
Qui concerne quelqu'un dans sa personne même, dans sa vie personnelle. On parle des appartements privés de la reine.
Ça vient du Larousse.
Ce que je vois, dites-moi si c'est votre avis ou pas, c'est que cette définition-là est imprécise et incomplète. Elle parle d'une chose. Avec l'exemple, on a l'impression qu'elle parle de la vie physique. Comme si la vie privée sur l'espace numérique n'existait pas. C'est bizarre. Et j'ai cherché, je me suis dit : "Bon, j'ai peut-être pris une vieille version, c'est vrai que les Internets, c'est pas forcément à jour tout le temps...". Non, non, sur tous les dicos, "vie privée" ça parle de choses physiques, du monde des objets. Sauf qu'il n'y a pas que celui-là.
La vie privée... (2)
Donc si on devait essayer de la redéfinir, dans un premier temps, moi je vous propose quelque chose comme ça :
Un ensemble d'éléments, physiques ou non, matériels ou non, qui possède un certain degré de confidentialité.
Ce degré-là va être différent selon quasiment tout le monde. C'est à dire, je peux demander à chaque personne ici ce qu'est la vie privée, il y a de fortes chances que j'ai beaucoup, beaucoup, beaucoup de réponses différentes, avec beaucoup d'arguments différents, beaucoup de variables, prises en compte pour certains, pas prises en compte pour d'autres. L'exemple tout bête : les gens avec qui je peux parler sur un IRC. Certains vont considérer que c'est public, d'autres que c'est privé, pourtant c'est la même chose. On appelle ça le cadre de référence - histoire de poser les bons mots. Le cadre de référence, pour celles ou ceux qui ne connaissent pas, c'est lié à plein de choses. Pour résumer, c'est la façon de concevoir les choses différemment. Exemple : le mot "Internet" pour madame Michu, c'est Google (ce n'est pas une blague). Le mot "Internet" pour moi, c'est tout sauf quelque chose de précis ; c'est du web, c'est un certain nombre de ports... C'est n'importe quoi en fait, on ne sait pas. Pourtant c'est le même mot. Voilà, le cadre de référence, c'est ça. C'est lié à l'éducation, c'est lié au niveau social dans certains cas, c'est lié à l'appréhension, à la perception des choses, et la vie fait partie de ce genre de variable.
C'est entre autre pour ça que, en soi, on a tous une définition différente. La conclusion de ce premier point-là, comme j'ai expliqué, c'est que en soi, il y a quasi-autant de définitions de la vie privée que de personnes sur Terre. Plus ou moins, il y a des définitions qui se recoupent, mais dans l'ensemble on est sur quelque chose comme ça.
La vie privée... (3)
Si on fait un rapport avec "Je n'ai rien à cacher", ça sous-entend qu'en fait on n'a pas de vie privée. Sachant que dans la socio, on considère que la vie privée différencie les individus, on peut se dire que si on n'a pas de vie privée, on n'a pas de vie. Bon ça ne plaît pas souvent aux gens quand vous leur dites ça :
"Ouais, j'ai rien à cacher !"
"Ouais, OK, t'as pas de vie, bon ben va t'acheter une vie, quoi."
Ça ne marche pas trop comme argument. C'est assez extrémiste d'ailleurs, on a tendance souvent à aller clasher les gens quand on essaie de répondre au "je n'ai rien à cacher". La problématique c'est qu'on tombe dans des extrêmes assez rapides, aussi extrêmes que "je n'ai rien à cacher", et le débat n'avance pas. Et on bloque. Il y a pas mal de gens qui bloquent sur ce point-là. J'ai bloqué pendant pas mal de temps sur ce point-là aussi, en fait.
Il faut aussi comprendre un autre point, ça c'est une des réponses au "ouais, de toute façon si t'as quelque chose à cacher, c'est quelque chose de mal, t'es un terroriste pédophile". En France c'est la pédophilie qui sert à ce genre d'arguments. La vie privée, elle n'est pas mauvaise, elle n'est pas bonne, elle est privée, voilà. Et c'est juste le principe. Ce que je fais chez moi ça ne regarde personne. Ce que je suis en train de lire : ça ne regarde personne. J'ai le droit de lire un livre sans qu'il y ait un mec derrière en train de me dire : « Hmm, dis-donc, t'es en train de lire un truc cheulou quand même ». Sur Internet, ce truc-là n'existe pas. Quand vous lisez quelque chose sur un site, vous laissez des traces, on laisse tous des traces quelque part, il y a des logs qui sont conservées à gauche à droite par vos différents FAIs [Fournisseurs d'Accès à Internet] parce que de toute façon ils ont l'obligation légale de le faire. C'est comme si vous étiez en train de lire un livre, sauf que là il y a quelqu'un qui regarde derrière vous.
Et puis, le dernier point sur cette première partie, c'est que la protection de la vie privée numérique n'est pas tant différente que ça de la vie privée physique. On a un ensemble de réflexes depuis qu'on est gamin, de « Attention, il ne faut pas parler à des inconnus, ça peut être dangereux », « Il ne faut pas monter dans le camion si on te propose d'acheter des bonbons », ou de... - voilà, je ne vous fait pas le rapport... « Monte dans ma camionnette, vas-y, j'ai des bonbons »... On sait tous et toutes que c'est dangereux, qu'il y a un problème dans ces cas-là. Ces réflexes-là, qu'on a acquis, qui sont vraiment naturels dans la vie physique, on ne les a pas forcément tous et toutes dans la vie numérique. On ne pense pas forcément à chiffrer ses communications. C'est comme si vous étiez en train d'envoyer une lettre avec une carte postale et des trucs qui clignotent : « Regarde, c'est ici que tu peux lire tout ce que je suis en train de dire ». Votre navigation c'est pareil, vos SMS c'est pareil, vos appels c'est pareil... Tout ce qui est numérique au final, c'est pareil. Rajoutons à ça quelques récents événements d'espions, tout ça, partout, « PRISM c'est le mal », et vous avez un Big Brother en puissance.
Quand on ramène cet argument-là en disant : « Ben voilà, la vie physique n'est pas tant différente de la vie numérique, en fait, l'une et l'autre ont besoin d'être protégées à différents niveaux », de plus en plus on a : « ouais, mais en fait … non », par une entité particulière qu'on va aborder juste après, et pour des raisons particulières qu'on va aussi aborder juste après.
... versus "la loi"
En fait, l'entité en question, c'est la loi, c'est à dire que la loi vous explique qu'au final, votre vie privée, on s'en tamponne, pour de vrai, qu'il y a des choses plus importantes que votre vie privée, des choses qui méritent que votre vie privée ne soit plus si privée que ça. En France, vraiment, le marronnier de la vie privée, c'est la lutte contre la pédophilie. Aux États-Unis, c'est le terrorisme. D'ailleurs on vous dit :
«Dafuk.Oui mais regarde, il y a des pédophilesDafuk ! »
« Oui...»
« Donc il faut les arrêter ! »
« Oui...»
« Donc on va te mettre sous surveillance avec des caméras partout et un mec chez toi en permanence, et ta connexion on va la fliquer en permanence aussi ! »
« Ah... Ah d'accord...»
C'est à dire que l'objectif est bon, en soi... Sauf les trolls : qui dans cette salle est pour la pédophilie ? (On a dit « pas les trolls », non les deux là-haut non, pas les trolls !) On ne peut pas en soi, être fondamentalement pour, comme on ne peut pas être pour le terrorisme, comme on ne peut pas être pour la vente de médicaments contrefaits, qui sont dangereux, potentiellement mortels - ACTA, c'était un peu ça. Donc on vous explique que la cause est bonne, et que du coup votre vie privée, on la remet un peu au second plan. C'est vraiment ce qui remonte de plus en plus. C'est volontairement remonté comme ça, tout du moins je pense que c'est volontairement remonté comme ça par l'ensemble des gouvernements, parce que ce serait beaucoup trop compliqué de gérer votre vie privée dans toutes les lois. On l'a expliqué juste avant : votre vie privée, il y a un énorme nombre de variables à prendre en compte, incalculable en soi. Demandez à un gouvernement de prendre en compte toutes les variables qui protègent votre vie privée, qui composent votre vie privée … déjà que les lois sont longues à arriver, c'est un coup à ce qu'elles n'arrivent juste jamais. Donc, on ne s'embête pas en fait, « non, ces trucs-là, non, on s'en fout, la vie privée c'est simple, c'est binaire, c'est ce qu'est chez toi, et ce qui est sur Internet, c'est pas privé, c'est public ». Bon, OK... Mais moi je ne suis pas d'accord.
... versus "la loi" (2)
Quand vous commencez à vous inquiéter, justement quand vous n'êtes pas d'accord et que vous allez chopper vos députés sur le Net, sur un PiPhone (merci la Quadrature), que vous les alertez pour leur dire : « Bon, je suis OK, je suis d'accord, la pédophilie c'est mal, mais est-ce que c'est normal qu'on me mette sous surveillance, je veux dire, bon c'est peut-être un peu disproportionné, quoi. Non ? ». Les gouvernements viennent vous répondre - exemple du gouvernement anglais - « Mais en même temps, si tu n'as rien à cacher tu n'as rien à craindre ». Très binaire, hein, comme réponse. « Si tu n'as rien à cacher tu n'as rien à craindre », ça veut dire que si t'as quelque chose à cacher, genre ta vie privée, t'as quelque chose à craindre. Si on continue un peu, et qu'on arrive à la réflexion la plus poussée, et potentiellement la plus absurde : « si t'as quelque chose à cacher t'as quelque chose à craindre, donc si t'as quelque chose à cacher c'est que t'es un terroriste, donc on va t'arrêter ». Si vous avez des choses à cacher dans cette salle, vous allez tous vous faire arrêter par la <="a hrefhttps://fr.wikipedia.org/wiki/Direction_centrale_de_la_s%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information>DCSSI dans pas longtemps. L'idée est là. Et il n'y a pas que le gouvernement anglais ; je prends l'exemple de ce gouvernement-là parce qu'en ce moment, il y a pas mal de choses qui se passent en Angleterre, il y a des programmes de renforcement de la sécurité du territoire, il y a des programmes d'installation de caméras de surveillance un peu partout, le MI-5 a eu aussi l'autorisation l'année dernière, par le gouvernement anglais, de s'introduire dans quasiment n'importe quelle communication numérique, ce qui sous-entend mail, SMS, discussions, etc., et tout ce qui est beaucoup trop chiffré, en fait ils ne prennent pas la peine de demander aux gens leur clef, ils les arrêtent, ça va plus vite. Je trouve ça plutôt sympa, ça ressemble presque à un régime totalitaire, mais faut pas dire ça, c'est mal.
... versus les entreprises
Le deuxième point, il n'y a pas que la loi, il n'y a pas que les gouvernements, dans la notion de vie privée. Les entreprises aussi sont concernées par votre vie privée. Entre autres Facebook, mais on va y revenir. Elles ne jouent pas sur le même terrain, c'est-à-dire elles ne jouent pas sur la lutte contre le terrorisme, elles ne jouent pas sur la lutte contre la pédophilie - encore que, Facebook, mine de rien, est bien réputé pour lutter contre ce genre de choses sur leur site, sur leur Internet dans les Internets. Les entreprises ont en soi compris que votre privée, il y a beaucoup, beaucoup, beaucoup, beaucoup, beaucoup d'argent à faire avec. Parce que vous laissez des données, parce que vous aimez des groupes, parce que vous rejoignez différents cercles d'amis - enfin appelez-le comme vous voulez, cercle, groupe, liste, ça reste le même principe. Des gens qui ont un centre d'intérêt commun, ça veut dire qu'on peut cibler ces intérêts-là, ça veut dire qu'on peut proposer des choses qui vont répondre à ces intérêts-là. À nouveau, si on représente ça dans la vie physique cette fois-ci, je reprends l'exemple du livre, c'est comme si vous étiez en train de lire, et que du coup il y avait un mec derrière qui vous disait : « Hmmm, tu lis ce livre-là ? Achète celui-là, tu vas kiffer ». C'est exactement la même chose. Sauf que ça dans la vie physique, personne ne l'accepte, vous avez (à nouveau, sauf les trolls) qui serait capable d'accepter un mec en permanence H24, en train de filmer tout, chez lui ?
Public : On peut le tabasser ou pas ?
Numendil : Hmmm, ça dépend. Non, on a pas le droit de le tabasser. Non ? Voilà. Ça pourrait être une expérience vachement drôle. Ou pas. Ça existe déjà, je suis con, ça s'appelle Secret Story, Loft Story, je suis bête en fait, pfff ! Oubli.
Juste pour l’anecdote, même dans ces séries-là en fait, les gens ont des choses à cacher. Il y a des passages sans caméra, ou officiellement sans caméra, qui sont publiés derrière dans des sites cheulous. Mais bon, passons.
Ça pourrait être le slogan de Facebook, ça pourrait être vachement bien, ce serait au moins plus honnête : « Si c'est gratuit, c'est que c'est vous le produit ». On l'entend souvent, enfin je suis souvent à le croiser cet argument-là. Il faut m'expliquer comment Facebook est capable de faire de l'argent. OK, on dégage la pub, encore que non puisque la pub cible ce que vous faites et les sites sur lesquels vous naviguez. Donc en soi la pub est concernée. On dégage allez, les partenaires, les prestataires, encore que - on pourrait se dire qu'ils récupèrent vos données. Donc, faut m'expliquer comment Facebook est capable de se faire de l'argent, de rentrer en bourse - OK ils sont en train de se viander, ils sont en train de perdre des gens, ils sont en train de descendre en bourse, etc., mais il faut m'expliquer comment ils ont fait pour rentrer avec un business model de génie - faut pas se leurrer, Zuckerberg, c'est une bête de génie : le mec il arrive, il pose un site, il dit : « OK, moi il y a le site, mettez vos données dessus, c'est tranquille c'est cool, pis ben moi après je les vends ». En fait le mec il fait rien : il prend vos données, il les récupère, il les vend ; en fait vous bossez pour Facebook - si vous avez un compte Facebook. J'ai un compte Facebook, donc je bosse pour Facebook. Comme Google avec des Google Glasses, etc., ce sera pareil.
Quelques exemples...
Dans les autres exemples qu'on peut citer :
Facebook on l'a déjà vu.
Yahoo, si vous avez suivi l'actu, vous avez vu il y a quelques semaines que Yahoo a déclaré comme ça : | Oui alors on va installer un petit truc qui nous autorise à lire tous vos mails ». Bon ils ont pas mis ça en plein page de Yahoo, histoire de pas faire peur aux gens quand même, mais ils ont fait passé une note, en expliquant que : « Ben voilà, pour lutter contre le spam...»... Le spam c'est pareil : c'est chiant, ça pollue nos boîtes - « luttons contre le spam, mettons tout le monde en DPI [Deep Packet Inspection] » avec un beau flicage de vos données en fait. Donc voilà, Yahoo a déclaré ça il n'y a pas longtemps : « Ouais ben on va aller lire vos mails ».
Pour info, je crois qu'OVH veut faire pareil dans pas longtemps, il me semble. Et je vois des « oui » à gauche à droite, donc merci.
Microsoft c'est pareil : ils ont sorti un XBox One - alors, en tant que joueur, j'ai regardé le truc, je me suis dit : «Ouais putain, c'est pas mal quand même, c'est bien foutu, bon ça a son esthétique, pourquoi pas... Non franchement c'est cool ». Après j'ai un peu lu les spécificités, je remercie d'ailleurs @skhaen puisqu'il en a parlé longuement sur les Internets, puis on se dit : « Tiens, il y a un Kinect, tiens il est obligatoire. Tiens c'est cheulou quand même. Tiens il y a un détecteur de mouvement. Tiens il y a un micro, pour qu'on puisse lui causer. Hé c'est super cool, on peut lui causer directement ! Le truc il est activé en permanence!"Cf. http://www.01net.com/editorial/595881/donnees-personnelles-avec-xbox-one-big-brother-s-installe-dans-votre-salon/. Je vous laisse comprendre, imaginez, je sais pas, vous passez - je vous donne un exemple gentil, mais on peut partir dans des exemples qui respectent la règle du porn - vous êtes avec des amis en train de causer, hé ben votre XBox, qu'est-ce qui vous prouve qu'elle n'est pas capable de capter tout ce que vous êtes en train de dire ? Microsoft le dit à un moment, dans une explication : « Voilà, on met de la VOD en place, vous allez voir c'est super bien, euh, par contre, euh, si vous la louez pour deux personnes, s'il y a une troisième personne qui débarque, ben le truc il s'arrête »." Ça veut bien dire quelque part que leur système de détection de mouvement, il est activé H24. Alors ils ont fait marche arrière, hier il me semble, ils ont changé deux-trois trucs, la Xbox ne devra pas obligatoirement être connectée à Internet une fois par jour, et deux-trois améliorations comme ça mais globalement ça ne change pas grand chose. Il y a un capteur quelque part, ces données-là on ne sait pas où elles vont. On sait qu'elles vont chez Microsoft, mais on sait que Microsoft va plus ou moins chez la NSA et d'autres, quelque part part là. Ouais, c'est vrai, sur le principe... Ouais ?
Public : Ils ont annoncé qu'ils prendraient des bandes-vidéos pour analyse.
Numendil : Ah je n'ai pas vu ce point-là.
Public : C'est pour « améliorer l'expérience des joueurs ». Ça a été annoncé par Microsoft.
Numendil : D'accord. Donc ils allaient prendre des morceaux, des samples à... comme ça, random ? Bon alors voilà, Microsoft annonce qu'ils vont prendre des morceaux de vidéos pour améliorer l'expérience du joueur, peut-être la reconnaissance de mouvements ou de trucs comme à ça. Alors ils n'ont pas précisé comment à première vue, ni quand. Ça pourrait être funky quand même, je vous laisse imaginer sur le coup, règle 34 oblige, je vous laisse imaginer certains moments où on pourrait vraiment s'amuser avec la détection de mouvement. Si vous ne savez pas ce que c'est que la règle 34, Google peut vous répondre là-dessus. Avec des poneys. "poney règle 34", vous verrez. Désactivez le filtre parental, sinon ça marche pas.
Gmail fait pareil, Google l'a annoncé - enfin, quand on lit les petites lignes de chez Google - on se rend compte rapidement que vos mails ne sont pas si protégés que ça. Alors il n'y a pas longtemps, ils ont vendu un truc génial aux utilisateurs Google, ils ont dit : « Ouais, vous pouvez chiffrer vos mails, directement, à la volée, en rentrant une clef ». Ouais, enfin, la clef vous la rentrez sur Gmail, chez Google, je veux juste dire ça comme ça : qu'est-ce qui vous prouve par A + B que Google ne récupère pas cette clef à la volée ? Rien ! Ce n'est pas écrit ! On ne le sait pas. Et puis si on allait taper dans les trucs de Google, il y a un moment où on se ferait taper dessus parce qu'on est terroristes, on a pas le droit d'aller voir le code. Encore que Google est plus libre que d'autres - Microsoft, tout ça... Enfin bref.
Les pubs passives, c'est pareil. Vous allez sur un site A, vous allez sur le site B juste derrière : « Ah attends c'est trop bien, il y a des pubs du site A, c'est cool ! ». On se dit tous ici : « Mais c'est quand même vachement cheulou puisque … comment le site il fait pour récupérer ça quoi ? ». Il y a des gens que ça ne dérange pas, mais il faut réfléchir plus loin que « ça ne dérange pas ». C'est le principe : comment ces données font pour être récupérées ? Pourquoi ces données sont récupérées ? Si vous lisez un livre dans votre vie, dans votre bibliothèque, il n'y a pas un mec quelque part qui quand vous sortez va vous dire : « Hmmm, tu as lu ce livre-là, je te conseille celui-là ». On revient au même exemple. C'est pareil. Ça reste des données de la vie privée. Le pseudo par exemple sur Internet, c'est pareil. Il y a un pseudo, il y a un nom derrière, on est pas obligé de le mettre, en fait on a le choix, c'est ça l'idée. On nous dirait, sur Gmail ou dans les pubs passives : « Est-ce que vous acceptez que les sites sur lesquels vous naviguez soient observés pour vous proposer du contenu personnalisé ? » (C'est comme ça que c'est vendu.) Sous-entendu: pour regarder tout ce que vous êtes en train de faire au passage. On aurait le choix, limite ça ne dérangerait presque pas, puisque c'est l'utilisateur qui a le choix final. Sauf qu'on ne l'a pas. Ou alors il faut vraiment se mettre à bloquer tout : et les contrôles, et les Java, et le Flash, et machin, et les cookies, et bidule - en gros il faut avoir un Internet qui ne marche plus très bien, puisque la moitié des sites fonctionne avec au moins un de ces trucs-là. Donc on n'a pas la version complète du site.
Dans les derniers exemples, si vous avez suivi l'actu aussi, la RATP s'est fait prendre la main dans le sac avec un projetCf. http://seteici.ondule.fr/2013/05/reconnaissance-faciale-a-la-ratp/ - alors, entre temps le projet il a été abandonné, il y a eu des confirmationsCf. http://www.numerama.com/magazine/26016-la-ratp-abandonne-definitivement-la-reconnaissance-faciale.html, « Non, non, c'est pas bon », etc., mais - la RATP s'est fait prendre la main dans le sac avec un projet de reconnaissance faciale dans le métro, pour détecter les individus ayant des comportements suspects, dangereux, en infraction, etc. Ça sous-entend au passage que tous les usagers du métro sont surveillés. Ils le sont déjà par leur trajet, si vous avez une carte Navigo c'est pareil, vous avez un petit espion dans la poche, mais [là] on passe à l'étape d'après. Ils ont abandonné le truc en disant : « Non, non, c'était une erreur, ce n'était pas prévu, on s'est gourés, ça n'a pas été validé par la hiérarchie », beaucoup de monde, y compris moi, sommes convaincus que c'est : « Oui on l'abandonne, parce qu'en fait on s'est fait griller. La prochaine fois on le fera sans se faire griller, comme ça ce sera plus pratique, les gens ne viendront pas nous taper dessus ».
Et puis, toutes les lois en "-A" : ACTA, SOPA, PIPA... Bon LOPPSI il n'y a pas de "A" mais c'est un peu pareil. La lutte contre le terrorisme, la lutte contre les infractions, la lutte contre la contrefaçon, la lutte contre les infractions au droit d'auteur, c'est super cool, c'est sans doute très louable ; sauf pour le droit d'auteur, j'ai tendance à vomir dessus. Mais à nouveau, on est sur quelque chose de complètement démesuré : on met sous surveillance l'ensemble de la population au motif que « Peut-être qu'un jour vous allez faire quelque chose. Peut-être. On est pas sûrs mais vu qu'on a un doute... De toute façon un de ces quatre vous ferez un truc. Vous êtes tous suspects là-dedans en fait ».
Cas particulier : PRISM
Un petit cas particulier, un gros cas particulier sur lequel je ne vais pas m'éterniser parce qu'il y a eu un débat hier soir dessus il me semble, il y a eu une introduction là-dessus, il y a eu un passage hier matin, très paradoxal, d'une personne qui vous expliquait que PRISM c'était dangereux … sous Microsoft, avec un Gmail et un BlogspotCf. http://lacantine.ubicast.eu/videos/20-06-2013-130708/, enfin bref - PRISM, ce programme de surveillance américain qui surveille surtout beaucoup de personnes de l'étranger puisque la constitution protège mieux les citoyens américains que les citoyens étrangers, PRISM en soi c'est une belle démonstration, c'est : « On ne sait jamais, vous êtes tous potentiellement coupables de quelque chose, donc dans le doute on va fliquer tout le monde ». Le 11 septembre a eu quand même pas mal de conséquences, logiques, qui sont le renforcement de la lutte contre le terrorisme ; ça peut se comprendre en même temps, vous avez des centaines de morts, deux bâtiments qui tombent, un drame, on peut comprendre que... Par contre, il aurait peut-être été bien d'annoncer quelque chose, je ne sais pas quelque part : « Bon ben voilà, on va mettre tout le monde sous surveillance », histoire de ne pas l'apprendre de cette façon, parce qu'un whistleblower [NdT : lanceur d'alerte] a décidé de balancer l'info. Et de perdre toute sa vie au passage, mais bon c'est encore un autre débat.
Cet exemple-là, vraiment, c'est peut-être juste la partie visible de tout le reste en fait. Sur le Guardian, en Angleterre du coup, il y a pas mal de journalistes qui s'accordent à dire que cette partie-là, OK on a eu du bol, on la connaît, par contre le reste on ne le connaît pas encore. Et puis c'est pareil, il y a déjà des choses qui existent comme ça en France. Vous avez récemment deux journalistes, Pierre Alonso et Andréa [Fradin]Cf. http://www.rue89.com/2013/04/24/ecoutes-telephoniques-deux-journalistes-downi-convoques-a-dcri-241743 qui ont fini dans les locaux des renseignements pour avoir balancé des infos sur les futurs grandes oreilles du gouvernement. On se dit : « Tiens, c'est quand même vachement bizarre... Je ne sais pas, ils ont fait leur boulot de journalistes, peut-être qu'ils ont révélé des informations ultra-sensibles et méchamment confidentielles...». Mais bon, dans tous les cas, ce truc-là est là pour vous surveiller, pour surveiller vos données, ce serait peut-être bien que la population le sache. Mais on vous répondra que « Ben oui mais si la population le sait, les terroristes ils vont le savoir ». Bon les terroristes et les pédophiles, sérieusement ils ne nous ont pas attendu pour chiffrer leurs communications. Ça fait longtemps qu'ils le font, donc ça ne changera pas grand chose à la donne. Sauf qu'on mettra tout sous surveillance.
Das its ein problem !
En prenant cet exemple-là, de l'apprendre comme ça, il y a quand même quelque part un problème, qui est soulevé en permanence, mais qui n'est jamais résolu … n'a jamais de réponse, ou alors la réponse : « Ouais enfin en même temps si t'es contre c'est que tu as [des choses] à cacher » - encore et toujours.
On n'est pas forcément conscients de tout ça, même encore si dans cette salle tout le monde ou presque tout le monde a appris ce que c'était PRISM, dans la rue je ne suis pas certain que ce soit le cas. Si tout le monde ou presque tout le monde a appris qu'il y avait des grandes oreilles qui démarraient au niveau du gouvernement français, des services de renseignements français, c'est pareil : qui le sait, dans le grand public ? (Pardon.) Qui le sait dans le grand public, qui le sait dans la masse ? Un pour cent, deux pour cent ? Aller, peut-être cinq, si vraiment je suis un Bisounours et que je crois aux miracles ?
Le deuxième point dans ce gros problème à souligner, c'est que souvent les gouvernements vont quand même vous dire : « Oui mais, on récupère que des données statistiques, etc., etc. » L'exemple de la NSA et de PRISM est assez représentatif, c'est à dire que les gouvernements bossent main dans la main avec les grosses sociétés. Faut pas croire que les grosses sociétés soient contentes de le faire, elles n'ont juste pas le choix. La NSA par exemple, pour revenir sur ce truc-là, et tout ce qui est Google, Apple, Facebook, etc., elles n'ont juste pas le choix de bosser avec les gouvernements. C'est :
« Bonjour, on veut vos données «
« Bah, non »
« OK, on va faire autrement : Bonjour - avec le fusil à pompe et la barre à mine - maintenant on veut vos données »
et puis si ça ne marche pas, on ramène la loi. Ça se fait. Ça pose problème quelque part.
Le vrai risque, dans tout ça, c'est quelque chose dont le « je n'ai rien à cacher » n'est absolument conscient, c'est l'évolution de l'État policier au fur et à mesure des années.
On commence par un tout petit truc, on dit « Ben voilà, il y a des problèmes, il y a des infractions dans Paris tiens, on va mettre des caméras ». Ou « Il y a des infractions sur Internet, on va surveiller toute la population ». Imaginons, projetons-nous un peu dans un scénar qui n'arrivera peut-être, même si je n'espère franchement pas. Donc on va surveiller toute la population, on ne sait jamais, il y a peut-être des terroristes. Bon, OK, c'est cool, ouais génial, comme ça on va repérer les terroristes, et la France sera un pays de Bisounours, ce sera cool.
Puis après on va vous dire : « Bon, on va repérer les gens qui naviguent sur des sites X ou Y ». D'accord, OK, c'est cool, c'est des sites dangereux.
Et puis après, le gouvernement change un peu de point de vue : « Ben tiens, on va aller arrêter les gens qui naviguent sur d'autres sites que ceux de l'UMP ». (Hé, on est vendredi hein, j'ai le droit de troller). OK … ça commence à être un peu bizarre quand même. Bon, moi ça va, je suis de l'UMP, donc j'ai rien à me reprocher quoi, tranquille, les autres on s'en fout.
Et puis on va en continu comme ça.
Je ne vous fait pas l'approche du point Godwin, mais quand ils sont venus arrêter machin, j'étais pas inquiété parce que j'étais pas ceci ; quand ils sont venus arrêter machin, j'étais pas inquiété parce que j'étais pas cela. Et puis à un moment ils sont venus m'arrêter puis il n'y avait plus personne, en fait. C'est un peu ce point-là que je veux expliquer là. Le véritable risque, c'est qu'on se retrouve vraiment dans un gouvernement, ou encore pire un administration privée, une société privée qui a un ensemble de données sur vous, dont vous n'avez pas connaissance, et qui les recoupent à gauche à droite. Et qui au final fait que vous devenez dangereux, suspect, potentiellement coupable de quelque chose alors que vous ne le savez même pas.
On peut se poser la question suivante : est-ce que si on explique ces points-là à des gens qui vont vous répondre « Ben non, moi je n'ai rien à cacher », est-ce que si on leur explique l'ensemble de ces choses-là, ils vont continuer vraiment à se dire : « OK, je n'ai rien à cacher » ? Bon, mon avis c'est que : peut-être. J'ai un collègue qui colle vraiment à ce schéma-là et je pense qu'il est pas le seul sur la planète à coller à ce schéma-là, bien qu'il soit pro-Apple et tout le reste. On peut vraiment, vraiment, vraiment, vraiment se demander s'ils vont changer de point de vue.
L'agrégation
Il y a un autre problème qui n'est pas pris en compte par ce « Je n'ai rien à cacher »-là, qui peut aussi peut-être faire prendre conscience aux gens qu'en fait, si, au final, il y a peut-être quelque chose à cacher : c'est l'agrégation, l'agrégation de données. C'est-à-dire qu'on part du principe, les gouvernements partent du principe, que votre historique de navigation, ma foi, c'est une donnée, enfin c'est un ensemble de données mais c'est une variable, c'est votre historique de navigation, cette donnée-là n'est pas sensible, donc au final on peut la prendre. Et puis une autre donnée, tiens on va vous la prendre aussi. Et puis une autre donnée. Et au final, si une donnée n'est pas sensible, peut-être que plus de données le deviennent, peut-être qu'un groupe de données peut devenir sensible, peut faire comprendre quelque chose à quelqu'un, ou peut-être quelque chose d'erroné à quelqu'un.
C'est ce que j'essaie d'expliquer juste après : l'agrégation est réductrice, généralement elle déforme la réalité. Alors il y a certains cas, rares, avec beaucoup de temps, beaucoup de travail, où on arrive à avoir quelque chose de concret, d'assez représentatif de la personne, mais dans tous les cas, l'agrégation est systématiquement réductrice. Je vous cite l'exemple de consultation de certains sites dangereux. Sous le gouvernement de Nicolas Sarkozy, lorsque les attentats à Toulouse sont arrivés, Nicolas Sarkozy avait pondu une loi, puisque la loi c'était une loi par acte dramatique, qui était : « On va punir les gens qui vont sur des sites terroristes ». Bon, ça sous-entend qu'on va fliquer soit le site, soit tout le monde. Vous prenez cette donnée-là, vous vous dites : « Ouais, c'est cool, on va repérer les terroristes ». Ouais, sauf que, les journalistes, par exemple, font quoi dans l'histoire. Les journalistes qui bossent sur ce genre de sites-là ? « Ben y sont terroristes ! Ben oui ils vont sur ces sites-là ». C'est de l'agrégation, t'es une personne qui va sur un site, t'as fait ceci t'as fait cela, t'es allé sur tel site et tel site et tel site, en fait, à la base vous avez une courbe de probabilité qui dit : « Bon voilà, il est possible que ceci, il est possible que cela, il est possible que cela », puis ben 2, 3, 4, 5 sites, en fait vous êtes un terroriste, vous allez sur ces sites-là. Vraiment.
On peut prendre un autre exemple, vraiment d'agrégation plus puissante encore. Vous écrivez, vous êtes bloggeur - au hasard, un peu une partie de ma vie privée - puis vous écrivez sur un sujet en particulier, qui nécessite que vous alliez chercher des informations très particulières. Genre, sur des groupuscules d'extrême-droite. Et puis, vous commencez à traîner avec ces gens-là - enfin, traîner, vous commencez à vous renseigner sur ces gens-là, ce serait plus exact - et puis ces gens-là ont quand même des idées qui sont classées comme terroristes par exemple. Bon, on pousse vraiment dans l'absurde, mais vous allez comprendre le principe. Donc, vous traînez, quelque part, avec des gens bizarres, vous avez peut-être acheté un livre avec des paroles bizarres dedans. Je ne sais pas, tiens, un truc encore plus … vous achetez un livre tel que : Qu'est ce que la méthamphétamine, tiens, voilà, on prend ce truc-là, Qu'est-ce que la méthamphétamine ?. Bon, de base, cette donnée-là, on s'en fout un peu. On se dit : « Bon, OK, c'est cool, il a acheté un livre pour apprendre à faire de la méthamphétamine, bon, pourquoi pas ». Et puis derrière, vous achetez plein, plein, plein de produits pour retaper une maison par exemple, au hasard, puis vous publiez la petite photo qui va bien sur Twitter, avec plein de trucs dans une remorque, avec plein de produits cheulous, puis ben, c'est votre compte, c'est vos données, on sait que vous avez acheté ce livre-là, on sait que vous avez ces produits-là, et on sait que ces produits-là rentrent dans la composition de la méthamphétamine. Bon ben voilà, vous devenez officiellement fabriquant et dealer de méthamphétamine. Vous n'avez rien demandé - ça peut paraître poussé, mais l'agrégation, c'est ça en soi - vous n'avez rien demandé, vous n'êtes pas dangereux, vous n'avez pas envie de l'être, vous ne feriez pas de mal à qui que ce soit, mais quand on agrège ces données-là, la seule conclusion possible c'est que vous êtes dangereux, donc vous êtes potentiellement mis sous surveillance. Faites-ça en France, il y a des lois qui protègent votre vie privée en partie. Faites-ça aux États-Unis, il y a de fortes chances que vous soyez fichés quelque part. Vraiment.
Cette chose-là n'est pas prise en compte par l'exemple qu'on cite le plus souvent, aka Big Brother. Big Brother, c'est là société de surveillance, la surveillance généralisée de tout. En fait, c'est l'auto-censure. On ne fait rien, puisque de toute façon on est surveillés en permanence, on ne fait rien. L'agrégation est présentée dans un livre qui s'appelle Le Procès<:a>, de Kafka. Si vous ne l'avez pas lu, je vous invite à le lire.
Public : Le film est sympa aussi.
Numendil : Alors je n'ai pas vu le film. On se retrouve alors, pour résumer juste le point intéressant de cet exemple-là, on se retrouve avec une personne, qui se fait arrêter, qui ne comprend pas pourquoi, il n'a rien fait, et puis au fur et à mesure de gratter des infos, on se retrouve avec un énorme dossier sur la personne, il arrive à voir ce qui se passe, et il y a un ensemble de données monstrueuses qui ont été agrégées sur lui. C'est un peu la même chose ; vous prenez votre historique de navigation, vous prenez vos SMS s'ils ne sont pas chiffrés, vous prenez vos mails, puisque vous avez peut-être un compte GMail quelque part, vous prenez le tout, vous mélangez le tout, il y a un dirigeant ou une des personnes dirigeantes du FBI qui a déclaré il n'y a pas longtemps : « Donnez-moi n'importe quelle donnée, et en 6 minutes, je fais de n'importe qui un suspect ». Bon sur le coup il disait une blague, il rigolait derrière. Moi perso, je me suis dit : « Ah ouais. Ah le mec quand même il en a pour déclarer ça quoi, parce que, le pire, c'est qu'il doit vraiment le penser, et que ce doit vraiment être possible ». Prenez n'importe quelle personne, mélangez un peu le tout, puis vous ressortez forcément quelque chose qui dérange, quelque chose qui n'est pas normal. C'est comme ça que c'est tourné.
L'agrégation : exemple avec maltégo
Alors, côté agrégation, je prends un petit exemple. On peut se dire - on m'a déjà répondu en fait : « Ouais, mais l'agrégation, attends, c'est bon, ne t'en fais pas, tout le monde n'est pas capable de le faire ». Ouais, OK, c'est cool - euh, il y a un outil qui existe, sous Windows, sous MacOS il doit exister aussi il me semble, et puis sous GNU/Linux qui existe aussi, qui s'appelle [Maltego.
Je vous résume le truc très rapidement, vous prenez un nom, vous prenez une adresse, vous prenez une adresse IP, vous prenez un mail, peu importe, vous prenez une donnée basique, et puis cet outil-là va aller scanner un peu partout pour essayer de retrouver quelque chose. Il vous ressort potentiellement un numéro de téléphone s'il est quelque part ; potentiellement un compte LinkedIn, Twitter, Facebook, j'en passe et des meilleurs; une adresse si elle est déclarée quelque part.
Moi à mon niveau je suis capable de faire ça. Ce n'est rien, mais dites-vous qu'à des niveaux supérieurs, dans des services de renseignements, on est peut-être capable de faire pire, enfin, au moins plus, sauf qu'on l'interprète toujours de la mauvaise façon. Je vous redonne mon exemple de tout à l'heure, j'ai même un compte Facebook, c'est un truc de fou, moi mon compte ne peut pas remonter dans ce système de données-là, parce que mon compte est juste invisible partout sur Facebook. Il n'y a que moi qui … enfin, c'est … voilà, on ne peut pas me retrouver. Par contre quand je m'amuse à me chercher dans Maltego, il me retrouve effectivement des noms, mais ce ne sont pas les miens. Et il me retrouve entre autres une personne qui tient des propos vachement bizarres et vachement extrême-droite sur son compte Facebook. Donc je me dis que si les services de renseignements utilisent ce truc-là, bon ben je dois être un extrémiste de droite. Bon c'est cool hein, c'est plutôt sympa … ou pas. Mais bon, voilà. Vous avez compris le principe. Même des outils comme ça, au final, ça reste que de la statistique, on prend la plus forte probabilité, il n'y a pas forcément d'humain au premier abord là-dedans, du coup ben on fait des erreurs. Point.
L'agrégation (2)
J'ai reproduit l'exemple l'année dernière avec deux amis, on était à un bar, là, après PSES tiens justement, on était à un bar, on s'est posés, on voulait échanger une donnée avec un téléphone Bluetooth. Et puis on s'est posés, on a dit : « Tiens c'est bizarre, il y a un nom, il y a un prénom, vachement cheulou, c'est qui ce truc-là ? ». Il y avait une femme un peu plus loin, Brigitte QuelqueChose - on cachera son nom pour la présentation. Donc avec son iPhone on a récupéré son nom et son prénom, c'était écrit en gros : « iPhone de Brigitte Machin ». Je n'ai même pas envie de troller Apple, ils se tuent tous seuls.
Donc on a cherché un peu, on est tombé sur son adresse postale, parce qu'il y a avait ses coordonnées à gauche à droite, et puis parce qu'il y avait plein de photos, et dans les photos il y avait plein de méta-données avec des coordonnées GPS. On s'est dit : « Ben tiens, c'est cool ! ». Et puis on a remonté sa profession ; elle est prof d'informatique et de sécu info, pour info (rires) dans une des grandes universités de Paris. J'ai trouvé ça juste épique, je me suis dit : « Non, on a dû se gourer, ce n'est pas possible, ce n'est pas elle, non mais t'as vu le profil et tout ? ». Tu regardes la photo et tu fais : « Ah merde, ça colle en fait, c'est elle, ah-ahhh » [il se tape sur le front]. Elle a un Facebook, et puis elle n'a pas modifié ses critères de protection des données Facebook, donc on a remonté son âge, ses contacts, ses groupes - d'ailleurs elle a des groupes vachement cheulous quand même - ses amis, les amis de ses amis, les amis de ses amis de ses amis, etc., etc. On a remonté ses numéros de téléphone ; on ne les a pas testés parce qu'en soi, on s'est juste dit : « Tiens, c'est quand même inquiétant ce truc-là ». Moi citoyen classique, avec un téléphone - on a fait ça avec un téléphone, à un bar, ce n'est pas une blague, deux personnes dans cette salle peuvent confirmer que ce n'est pas une blague, on a remonté donc : CV, quasi-toute sa vie professionnelle en gros, les différents comptes-rendus de conf qu'elle a pu tenir, les différents propos qu'elle a pu tenir, les pseudos qu'elle a pu [avoir] parce qu'on les a associés à des adresses mail en balayant l'adresse dans LinkedIn, dans machin, dans truc, dans bidule, dans chouette... C'est génial hein, franchement Google, quand vous savez bien vous en servir, c'est vraiment génial, et ça vous ressort plein de données. Trop cool.
Donc moi, simple citoyen... On a pu ressortir ces données-là... Ça nous a pris quoi, 15-20 minutes ? Ouais, 15-20 minutes. Dites-vous qu'on n'a pas fait ça dans un but malsain, ou dans un but de montrer que. Mais on s'est quand même dit : « Il y a un problème quelque part ». Et cette personne-là, je reviens là-dessus sans troller, elle est prof d'info. Ça sous-entend qu'elle a une certaine connaissance, un certain niveau ; qu'elle est sensée savoir au moins ce qu'elle fait un petit peu, normalement. Sur papier en tout cas, c'est sensé être comme ça. Madame Michu, ou Jean-Kevin, il n'est pas capable de faire ce genre de truc-là. Il n'est pas capable de se protéger, ou du moins il n'a pas ce niveau de connaissance-là, ou au moins il n'est peut-être pas conscient qu'il doit se protéger. Au final sa vie … en fait c'est comme s'il était à poil sur Internet. Si c'était dans le monde des objets, dans ce monde-là, il serait en train de se balader à poil. Bon ça peut être funky hein, mais ce serait un peu bizarre. Il y a des lois qui interdisent ça... Pas sur Internet.
J'ai encore refait cette expérience-là, une dernière fois, avec un des mes collègues cette fois-ci : le fameux pro-Apple qui dit que de toute façon, il n'y a rien à cacher. Je me suis dit : « Bon, c'est bon, peut-être que cette fois-ci il va tilter que j'ai toute sa vie depuis qu'il a 5 ans » - je ne le connais pas hors contexte professionnel, et puis du coup il m'a répondu...
« Je n'ai rien à cacher »
« Ben non, j'ai rien à cacher ». Ah d'accord...
Je l'ai quand même reproduit 2-3 fois sur des gens que je connais et qui me répondent souvent ce genre de choses-là, et bien en fait l'argument revient souvent : « Non, mais ouais OK c'est cool, mais de toute façon tu les as trouvées sur le Net, c'est public, ouais, bon ben voilà, je n'ai rien à cacher ». OK...
L'argument du « je n'ai rien à cacher » en soi ne cible pas l'agrégation. C'est un peu le constat que j'ai pu tirer, que d'autres ont pu tirer dans des analyses beaucoup plus sérieuses et poussées, dans des thèses, etc., etc., etc. Donc l'argument du « je n'ai rien à cacher » ne cible pas l'agrégation, en fait il cible le côté surveillance à la Big Brother. C'est-à-dire : « ben je vois pas de problème à ce que quelqu'un soit chez moi en permanence à surveiller tout ce que je fais et tout ce que je dis ». En fait c'est ça l'idée.
Public : On met une caméra dans les toilettes, il le sait !
Numendil : Ouais ! Mais, hé, bizarrement quand vous avez ces propos-là, quand vous dites aux gens :
« OK, ben on met quelqu'un chez toi ! »
« Euh, ouais mais non, j'ai piscine... »
« Ben si tu n'as rien à cacher, on met quelqu'un chez toi. Dans tes toilettes, dans ton lit, dans ton canap... »
« Ouais mais non... »
« Ben pourquoi »
« Ben parce que... parce que c'est chez moi ! »
« Oui donc c'est ta... vie... privée ? »
« Oui ! »
« Ben voilà »
Public : Ça on pourra le faire quand la XBox One sortira parce que...
Numendil : Oui voilà, avec la XBox One, ce sera génial.
Public : Ce sera exactement la même chose. « Ça ne te dérange pas ? Ben je peux venir alors ! »
Numendil :
« T'as une XBox One, ben je peux venir chez toi quand tu dors ? »
« Ben non ! »
« Mais euh... Ta XBox One, elle est dans ta chambre ? »
« Ouais »
« Ben donc Microsoft te regarde quand tu dors. »
« Ouais... ah merde... Ah ouais... Ah ouais c'est bizarre »
On ne prend vraiment pas en compte la dimension de l'agrégation. Le « je n'ai rien à cacher » ne prend, à nouveau, pas en compte le côté « évolution de la surveillance ». Souvenez-vous de ce que je vous ai dit tout à l'heure : on commence toujours par un petit truc de rien du tout dans un but très noble de - prenez une société par exemple, « voilà, on protège les locaux contre les vols » ; puis après on protège les locaux contre les intrusions, puis après on protège les locaux contre le livreur de pizzas qui vient, puis après on protège les locaux contre vous Parce que peut-être qu'un jour vous allez voler un truc. Et puis tiens, il y a un téléphone, ou un machin ou un chouette qui a cramé quelque part, et puis vous étiez près d'un téléphone à un endroit donc c'est forcément vous. Vous êtes coupable, alors que vous n'avez rien fait.
Il est trop tard, hein à ce moment-là, il est juste trop tard pour hurler. Quand vous vous faites arrêter pour quelque chose, quand vous vous faites fliquer pour quelque chose et que vous commencez à hurler, c'est juste trop tard. Si on est arrivé à ce niveau-là de « De toute façon, toutes vos données sont observées », c'est peut-être qu'il y avait déjà un problème avant. Et ce problème il ne date pas du début des Internets, il date de 1800 et des poussières, date à laquelle ces arguments-là [il pointe le transparent] sont arrivés.
D'ailleurs, pour la petite anecdote, la phrase « Si vous n'avez rien à craindre, vous n'avez rien à cacher », le premier politique qui l'ait dit, c'était en 1933... Point Godwin atteint ! J'avais promis de faire un point Godwin. C'était en 1933 et c'était Goebbels qui a dit au gouvernement allemand : « Non non non, mais ne vous en faites pas, vous n'avez rien à cacher, c'est cool ! On vous met tous sur surveillance, mais c'est pour votre bien ». Les Allemands on dit : « Bon, OK. C'est cool ». Et puis après il s'est passé ce qu'il s'est passé. J'ai trouvé assez ironique que les gouvernements s'en servent comme argument phare maintenant. Mais bon, ça n'engage que moi.
L'altération
Il y a un dernier point, qui est complètement - pareil - ignoré, et là ça reste mon interprétation personnelle, vous avez le droit de ne pas être d'accord avec la suite, c'est l'altération de données.
L'altération, pour ceux et celles qui ne connaissent pas : je présente un truc rapide.
Vous avez un point A, vous avez un point B, normalement c'est votre connexion. Vous allez vers un site, par exemple. Et puis entre les deux, il y a une personne soit qui écoute, soit qui va changer le contenu de la donnée. Je ne vais pas cibler spécifiquement le contenu changé, mais plutôt l'écoute passive des données. Vous allez comprendre le truc.
Je vais prendre le cas de SFR par exemple. Il n'y a pas longtemps, c'est d'ailleurs Bluetouff, qui s'est baladé sur un site, il est allé dans le code source du site : « Tiens, c'est vachement cheulou, sur les accès mobiles SFR, j'ai des trucs en plus dans le code source de la page, des trucs qui sont pas là quand je prends une autre connexion. Tiens c'est bizarre, on va regarder ce que c'est...»Cf. http://reflets.info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/. Alors SFR a communiqué là-dessus, à force de se faire taper ils ont quand même répondu, la réponse a été : « Ouais mais vous comprenez, en fait, on optimise les images pour que ça charge plus vite ! »Cf. http://www.zdnet.fr/actualites/optimisation-3g-sfr-nie-toute-atteinte-a-la-neutralite-du-net-39788330.htm. Bon c'est vrai que sur du edge ça pouvait sans doute servir, sur de la 3G, du HSDPA et de la 4G, c'est vachement utile...
Ces gens-là, au final, pour altérer cette donnée-là, ça veut dire qu'ils sont quand même à un moment où ils mettent les mains dans votre code, dans le code source. Ça veut bien dire que s'ils regardent ce truc-là, ils sont bien capables de l'observer complètement, et de voir ce que vous faites, où vous êtes, ce que vous êtes en train de lire. Ça va bien au-delà de : « On récupère l'adresse que vous êtes en train de visiter », qui est l'obligation légale. Ça va juste beaucoup plus loin.
Free c'est pareil. On a eu un énorme clash avec Free il y a quelques mois pour le bloqueur de pubs de FreeCf. http://www.webrankinfo.com/dossiers/webmastering/blocage-publicite-free. Idée géniale : la pub c'est chiant, la pub c'est lourd, donc « pouf ! » bloquons-là. Bon, surtout bloquons celles de Google parce qu'on n'est pas d'accord avec eux. Il y avait les anti - j'allais dire les anti-mariage pour tous - les anti-pubs et les pro-pubs - allez, c'est la fin. Les anti-pubs et les pro-pubs. Les anti- qui disaient : « Ouais c'est génial, c'est cool y a plus de pubs, machin, il y a plus de contenu ». Et le pro- qui disaient : « Ouais mais c'est pas à mon opérateur de décider de ce qui est à retirer ou pas. C'est moi qui décide. C'est moi qui installe l'application qui va bien sur mon navigateur », genre, je ne sais pas, AdBlock Plus par exemple, au passage qui a été viré par Google parce que ça les embête. « C'est moi qui gère ». Free l'a fait à votre place, à notre place, au moins pour ceux qui ont une FreeBox v6, je crois que la v5, ce n'est pas encore prévu. L'idée est là, c'est une terminaison de votre réseau qui le fait, c'est quand même une extension du réseau de chez Free, puisque Free dit que ça fait partie de son réseau à lui, qui altère du contenu. Si on altère du contenu, ça veut dire que ... surtout de la manière dont Free le faisait, c'est quand même vachement précis, on bloquait juste les régies Google. C'est vachement précis. Ça sous-entend qu'on lit tout le reste. Est-ce que ça regarde votre opérateur ce que vous êtes en train de faire sur Internet. Si l'obligation légale dit : « OK, tu références l'URL, parce qu'on doit savoir qui était là à quel endroit et avec quelle adresse IP », on ne lui demande pas d'en faire plus. Et au-delà de ça, ça sous-entend de potentiels faux-positifs, de la censure, etc.
Nokia fait pareil. Alors MITM c'est exactement ce que vous avez là en fait [il pointe le transparent], c'est de l'altération de données. Vous avez un attaquant qui vient reposer au milieu puis qui altère la donnée entre le point A et le point B, ou entre le point B et le point A. Généralement appelés Alice et Bob dans ces représentations-là. C'est à dire que Nokia, sur les périphériques, sur les téléphones Nokia, cassait la navigation en HTTPS, donc navigation sécuriséeCf. http://korben.info/risque-dinterception-de-type-man-in-the-middle-pour-tous-les-possesseurs-de-telephones-nokia.html. Alors je ne sais plus quel argument ils ont vendu, je ne l'ai plus en tête, si vous vous en souvenez je prends, mais ils ont expliqué que, voilà, ils cassaient la navigation HTTPS. Donc en fait vous pensiez naviguer de façon sécurisée et lire des choses de façon sécurisée, hé ben en fait non. Merci Nokia !
Et puis Skype. On pourrait troller énormément sur Skype, qui récupère des liens que vous envoyez - je ne sais pas si vous avez lu l'articleCf. http://www.zdnet.fr/actualites/une-nouvelle-preuve-que-microsoft-lit-les-conversations-sur-skype-39790421.htm ou pas, je vois deux-trois oui à gauche à droite - qui récupère les liens que vous envoyez d'un contact Skype à un autre contact Skype. Il est sensé transmettre de la donnée, hein, c'est tout. Mais il récupère. Qui les visites ? Pff, Microsoft sans doute... Pourquoi ? On ne sait pas. Dans quel but ? On ne sait pas. Est-ce que ça peut être utilisé contre vous ? On ne sait pas. En fait on ne sait rien. On sait juste que Microsoft le fait.
Cette altération-là, qu'on le veuille ou non, selon moi, elle représente un risque pour notre vie privée à tous. Parce que si quelqu'un altère, si quelqu'un peut récupérer et changer la donnée - ou au moins l'observer, l'écoute passive c'est pareil - il faudrait dans la mesure du possible que vos FAIs soient neutres. On ne va pas revenir sur les lois de Net neutre, la neutralité du Net, ça fait débat encore, je crois qu'il y a Benjamin Bayart qui passe ce soir sur FTTH je pense qu'il va au moins en parler une fois, peut-être.
Public : Il y a Domi, il y a Bayart, il y a Jérémie juste après.Programme : http://www.passageenseine.org/Passage/pses-2013
Numendil : Oui ben il y a au moins un des trois qui en parlera obligatoirement. Et voilà, il faudrait dans la mesure du possible que nos FAIs soient vraiment neutres, c'est-à-dire qu'ils fournissent un accès Internet, qu'ils transfèrent, qu'ils fassent transiter les paquets, point.
Idem sur les périphériques, il faudrait que nos Box ne s'amusent pas à bloquer des pubs, il faudrait que nos smartphones ne s'amusent pas à envoyer des points à gauche à droite et notre localisation à gauche à droite. Même si officiellement dans les réseaux mobiles c'est vrai que c'est vachement utile.
Kwakonfé
Alors on peut se demander : « Ben OK, c'est cool tout ça, mais on fait QUOI, du coup ? », pour essayer de répondre à l'argument « Je n'ai rien à cacher » sans péter les deux rotules de la personne que vous avez en face vous. C'est très tentant des fois mais vraiment, ça ne fait pas avancer les choses.
Le premier c'est d'essayer le plus possible de démystifier cet argument-là du « Je n'ai rien à cacher ». Faire comprendre à la personne les implications que cette affirmation-là peut avoir. Elle peut être lourde de sens, elle peut vraiment être dangereuse.
Le deuxième point, c'est la sensibilisation dès le plus jeunes âge à une sorte d'éducation numérique. On vous apprend, quand vous êtes gamins (ce que je disais tout à l'heure) à avoir un certain nombre de réflexes. Ces réflexes-là on ne vous les apprend pas dans la vie numérique. Vraiment. Il n'y a pas de cours d'éducation numérique. Pour l'instant. Ou très peu, dans des écoles spécialisées, dans des projets qui se lancent. Mais l'Éducation nationale n'a pas dit : « OK, on va expliquer aux djeunes, aux jeunes enfants, comment on fait pour protéger sa vie privée et qu'est-ce qui se passe quand on va sur tel site ».
Il nous faudrait aussi plus de transparence. Il faudrait qu'on soit vraiment conscients que voilà, quand vous allez sur ce site-là, il y a cette donnée-là, elle est récupérée de cette façon-là, et transmise à cette personne-là. Bon évidemment ce serait un miracle, hein. Ce serait génial, imaginez Facebook qui vous dit tout ça, c'est à dire que vous êtes capables de contourner, ça veut dire que potentiellement vous leur faites perdre de l'argent, et il ne faut pas se leurrer, une entreprise reste une entreprise, son but c'est de se faire un maximum d'argent, qu'on le veuille ou non, ce n'est pas Mère Teresa.
Ensuite on a le fameux RTFM, « Read The Fucking Manual ». Plein de gens s'inscrivent sur plein de sites. Je reprends mon Facebook, souvent celui-là parle, quand on regarde les CGU, les Conditions Générales d'Utilisation de Facebook, officiellement, jusqu'à la dernière modif il fallait votre vrai nom, votre vrai prénom, vous y connecter une fois par jour, mettre vos vraies données, mettre de vraies photos, les tag-er, et oui, c'est aussi marqué quand elles sont sur Facebook, vos photos et vos paroles ne sont plus votre propriété. Elles sont la propriété à vie de Facebook. Et quand vous dites ça aux gens qui viennent de s'inscrire sur le truc, ils vous regardent avec de gros yeux, genre « What the fuck ? Non, c'est pas possible ce que tu dis ». Si, si c'est possible, Google Plus avait fait la même au début, vous n'aviez pas le droit d'avoir des pseudos. Ils ont un peu lâché du lest, parce qu'ils n'avaient pas assez d'utilisateurs, puis ils ont fait pire, maintenant si vous voulez faire un commentaire sur Youtube ou sur un truc Android, il vous faut un compte Google