Aller au contenu

Cryptoparty, le jour d’après. Toujours rien à cacher ? Bin, pas grand’chose ….

crypto party

fly-crypto (2)Il y a quelques jours s’est tenue la deuxième Cryptoparty organisée par le Gsara : des temps de rencontres consacrés à la vie privée sur Internet. C’était également, le 06 décembre dernier, le premier événement de ce genre à Charleroi.

Perte de la vie privée :

Revenons rapidement sur la situation actuelle, fin de l’année 2013, six mois après les coming-out de l’agent Richard Snowden : le grand public apprend que l’agence de renseignement américaine – la NSA – a accès à un nombre élargi de données et que pour se les procurer, elle a patiemment et avec des moyens jusque-là insoupçonnés, corrompu et/ ou menacé des entreprises, des organismes de régulation. Par exemple, le programme PRISM qui permet à la NSA de disposer d’un accès direct aux données hébergées par les géants américains des nouvelles technologies, parmi lesquels Google, Facebook, YouTube, Microsoft, Yahoo!, Skype, AOL et Apple. Barack Obama le présente comme un outil de guerre contre le terrorisme. Les enterprises ne se pliant pas à leur volonté pourront être accusées de haute trahison dans le cadre du Patriot Act, établi au lendemain du 11 septembre 2001.

L’agence américaine a également longtemps travaillé afin d’abaisser les niveaux de sécurité des options de cryptage les plus utilisées. C’est ainsi qu’en septembre 2013, les quotidiens The Guardian et The New York Times révèlent que, depuis 2010, la NSA a développé de multiples méthodes de contournement des cryptages des communications sur Internet (comme le HTTPS et le SSL) afin d’avoir accès aux contenus des messages.

Jusqu’à abaisser le niveau de sécurité de l’Internet tout entier !  La NSA est donc capable d’écouter les communications cryptées, c’est-à-dire y compris les transactions économiques et financières ! Un cauchemar pour les entreprises. (Faites une recherche sur NSA – bullrun, par exemple http://pro.clubic.com/legislation-loi-internet/donnees-personnelles/actualite-582284-bullrun-arme-anti-chiffrement-donnees-nsa.html).

Les enjeux. Mal compris ?

À la différence du scandale violent mais ponctuel provoqué par Wikileaks il y a deux ans, les implications des révélations de Richard Snowden sont rendues publiques, semaine après semaines. Ce storytelling révèle durablement les brèches béantes que l’utilisation d’Internet et la surveillance de nos communications ont ouvertes dans les champs législatifs, politiques, commerciaux,… Quand des droits fondamentaux sont de la sorte malmenés et que les réactions, tant politiques que civiles sont si faibles, on est en passé de s’interroger sur la compréhension des enjeux par ces parties. C’est entre autres pour cela que le Gsara a organisé ces Cryptoparties : afin d’éclairer le public sur ce qui se trame, souvent à son insu, derrière les pages consultées et les messages envoyés sur les réseaux. Afin de remettre un peu de privé (au sens de personnel) dans ces cyber-espaces publics (au sens de: ouvert à tous).

L’actualité belge de ces dernières semaines avait pourtant fourni matière à penser notre rapport à la vie privée : les déboires du parlementaire L. Michel (lien), le piratage des routeurs Belgacom (lien), les enregistrements de l’activité des internautes par les fournisseurs d’accès Internet (lien) , l’espionnage par les CPAS des bénéficiaires d’allocations sur les réseaux sociaux (lien), la « loi big-brother » passée en catimini cet été (lien),  l’instauration de la censure sur Facebook par la commune de Verviers (lien),…

Par le passé, différentes affaires touchant à la surveillance généralisée des citoyens et des entreprises ont régulièrement défrayé la chronique sans engendrer de véritable sursaut citoyen ni même un soupçon d’indignation publique au niveau des gouvernements. (Affaire échelon en 1988, stellarwind en 2005, wikileaks en 2011,…).

Aujourd’hui, en 2013, nous sommes dans une situation que nous analysons comme radicalement différente : avec des milliards de smartphones en circulation et, demain, des centaines de milliards d’objets connectés entre eux et surtout à nos données personnelles, à notre profil, à notre empreinte sur la toile. Les conséquences des pratiques de la NSA américaine éclaboussent non seulement les services secrets, mais aussi les États (complices forcés ou pas tant que ça) et les entreprises (notamment les grosses qui ont à souffrir d’une confiance altérée dans les communications : le secteur bancaire, financier, informatique, social ont tout à perdre d’un effondrement de la confiance dans les usages numériques) !!!

On n’irait pas jusqu’à dire – au vu du public qui s’est senti concerné par la Cryptoparty – qu’il y a une prise de conscience du grand public, mais néanmoins, le potentiel disruptif de toutes ces questions qui touchent à la sécurité informatique (un domaine très indigeste), à l’architecture du réseau, à l’utilisation massive de ce dernier par chacun (les citoyens, les entreprises et les États) ne peut plus être nié ou même ignoré.

Les entreprises :

Comment les géants de l’industrie (notamment les acteurs de l’économie numérique comme Apple ou Amazon) vont-ils réagir face à l’espionnage incontestable révélé récemment. Car, si la NSA peut s’introduire sur les réseaux d’entreprises et récupérer des données sensibles, d’autres pirates pourraient le faire : c’est le cauchemar. Il y a aussi la réputation : si l’iPhone de Apple est durablement catalogué comme un mouchard de la vie privée, quel va être le prochain mouvement de la firme à la pomme envers l’administration américaine et quelle sera sa communication envers les consommateurs ? Il est étonnant, au vu du risque que cela représente, que les compagnies n’aient pas encore marqué leur défiance par rapport aux systèmes d’espionnage. En tous les cas, il ne s’agit pas dans ce cas du syndrome du « je n’ai rien à cacher »… Au contraire.

Les États :

Difficile de comprendre également la reaction plus que timide des États face à l’énormité du scandale. Alors que les portables d’Angela Merkel est à ranger dans la liste des victimes VIP de la malveillante agence américaine et qu’il y a de fortes présomptions que d’autres chefs d’Etats ou de gouvernement sont aussi concernés.

Aux dernières nouvelles, aucun pays n’a  vraiment pris de mesures pour contrer cela. Pour preuve, l’Europe entérine ces semaines-ci son accord sur la protection des données (27 novembre 2013 : EU Data Protection Regulation directive). L’intention est de protéger l’exploitation de nos données personnelles et commerciales et de planifier les échanges possibles de celles-ci avec les entreprises et administrations US. Dans cette directive, nos données doivent bénéficier du dispositif « Safe Harbor » (port sécurisé, havre de paix). Ce dernier est une passoire juridique et l’Europe, au lieu de  donner un signal clair sur les pratiques d’exploitation des données personnelles, laisse planer le doute. Pour toute protection, l’Europe recommande mollement que « les politiques de confidentialité doivent inclure des informations sur la mesure dans laquelle la loi américaine permet aux autorités publiques de recueillir et traiter les données (European Commission calls on the U.S. to restore trust in EU-U.S. data flows (27.11.2013) –
http://europa.eu/rapid/press-release_IP-13-1166_en.htm).

Elle se prépare également à signer les accords bilatéraux de libre-échange (accords TPP :  https://wikileaks.org/tpp/) qui – entre autres atrocités – permettra aux entreprises investissant sur un territoire d’attaquer les États en justice pour entrave à leurs investissements. À partir de là, on voit mal comment un État pourrait garantir la vie privée de ses citoyens. (Voir par exemple : http://www.lalibre.be/debats/opinions/entre-le-ttip-et-l-europe-il-faut-choisir-5296c9043570b69ffde364b0).

Les citoyens :

Le traumatisme provoqué par les révélations 2013 n’est-il pas plus profond chez les utilisateurs eux-mêmes ? L’architecture ouverte et démocratique d’Internet appartient résolument au passé ! C’est évident lorsque l’on voit que des organismes tels que l’IEFT* sont devenus complices à leur corps défendant d’un tel système !?   (*IETF : Internet Electronic Task Force : groupe informel, international, démocratique ouvert à tout individu, qui participe à l’élaboration de Standards Internet. L’IETF produit la plupart des nouveaux standards d’Internet).

Du côté des associations et organismes publics, que peuvent faire la commission sur la vie privée ou l’IBPT face au viol flagrant de nos droits fondamentaux sur le réseau ? Rien, nous semble-t-il. Il n’y a pas de levier pour contraindre nos partenaires à jouer le jeu du respect de la vie privée.

Des actions comme la Cryptoparty pourraient-elles soulever une indignation suffisante des citoyens, des entreprises ou des politiques pour que cela change ? Rien n’est moins sûr…

Que faire ?

Face au constat que la majorité des citoyens considèrent qu’ils n’ont rien à cacher, que la surveillance de masse est un dommage collatéral naturel de l’évolution des télécommunications et qu’elle serait en quelque sorte inéluctable, que faire ?

Face au constat que les États dits démocratiques espionnent leurs concitoyens ouvertement en foulant au pied leur droit à la vie privée, que faire ?

Face au constat que l’Europe elle-même consent au viol des données de sa population et en redemande, que faire ?

Face au constat que les solutions techniques existent mais ne sont pas mises en œuvre que faire ?

Les missions et les moyens du Gsara se limitent à des actions d’éducation permanente. Nous pouvons et nous allons vraisemblablement persister à organiser des actions de sensibilisation à destination du grand public et des responsables politiques. Mais cela semble dérisoire face à l’impunité bienveillante dont semblent jouir agences et entreprises américaines dès qu’il s’agit du cyberespace…

Citoyens, internautes, élus : réveillons-nous ! Un monde sans vie privée, ce n’est plus une démocratie ! Et on y court à grandes enjambées …..

 

Toutes les illustrations sont utilisées sous une licence CC-SA-NC by Gwendal_