Suite à mon billet précédent, Projet de loi Renseignement : peut-être du mieux, indéniablement du terrifiant, j’ai été gentiment invité à Matignon avec des collègues du CNNum cité dans le communiqué de presse Renseignement et des membres du SG. D’autres personnalités et associations étaient invitées, mais n’ont pas pu ou pas voulu participer.

Ça n’est pas anodin que d’être invité par les services du premier ministre suite à un billet de blog et une citation dans un communiqué de presse. Vérification d’identités par des policiers en gilet pare-balles et mitraillette en bandoulière. Nous sommes 4 du CNNum, trois permanents du Secrétariat Général et moi, seul membre ayant pu me libérer. En face, 8 représentants du gouvernement, du premier ministre, de l’intérieur et de l’économie numérique. Du lourd. On sent une certaine tension… Mais aussi une envie de séduire, de créer des liens, comme si on entendait “nous sommes des gentils, aidez-nous à faire un bon projet de loi, c’est pour lutter contre le terrorisme (mais pas que)”.

Si j’essaye d’être honnête, c’est un langage que j’ai envie d’entendre : si je me suis engagé bénévolement (faut-il le rappeler) au Conseil National du Numérique, c’est parce que j’ai envie d’aider mon pays à comprendre, mieux gérer et affronter les changements majeurs apportés par la déferlante numérique.

Essayons de faire le tri. Comme souvent, je vais commencer par le positif.

Un besoin de faire évoluer la loi encadrant le renseignement

Il y a une évidence : ces dernières années, les techniques de renseignement ont considérablement évolué, avec l’arrivée d’Internet et des téléphones portables. Là où on surveillait des allées et venues de suspects et des rencontres dans le monde réel ou sur des lignes téléphoniques fixes, on voit plutôt des gens qui se connectent à Internet depuis chez eux ou s’appellent sur des téléphones portables jetables (c’était le cas pour les terroristes de janvier). Evidemment, la loi n’était pas prévue pour cela et les les terroristes ont suivi les progrès technologiques. Les services ont souvent semble-t-il, profité de zones grises comme par exemple l’utilisation d‘IMSI-catchers (fausses antennes GSM permettant de localiser des téléphones et/ou des cartes SIM). L’utilisation d‘IMSI-catchers sans l’autorisation est en théorie interdite, mais si l’on en croit le Canard Enchaîné, c’est monnaie courante.

Il était temps de faire évoluer la loi encadrant le renseignement, et c’est la volonté de Manuel Valls, qui a toujours eu une fibre sécuritaire.

Nos interlocuteurs agitent le risque terroriste, justifiant l’urgence d’une nouvelle loi permettant aux services de renseignements d’opérer plus facilement, plus rapidement, plus efficacement et surtout plus dans la légalité. On retrouve l’argumentaire de Manuel Valls :

La menace terroriste est à un niveau sans précédent. Elle est protéiforme, émanant aussi bien de groupes évoluant à l’étranger que d’individus présents sur notre territoire. (…) Comme le disent souvent les services, le problème n’est pas de savoir s’il y aura un attentat à nouveau, en France, en Europe, mais de savoir quand et où.

Nous voilà prévenus. Vouloir limiter l’action des agents de renseignement, c’est devenir complice du terrorisme. Voilà qui ne pousse pas à une réflexion sereine. C’est dommage, les enjeux sont colossaux, et la loi concerne le renseignement, dont le champ est bien plus large que simple terrorisme.

Une envie affirmée de bien faire les choses

Dans la foulée des attentats Charlie Hebdo et de l’épicerie cacher, on pouvait redouter un Patriot Act à la française, déjà surnommé « Frenchiot Act », qui a bien le goût que son surnom laisse supposer. Il faut reconnaitre la volonté des auteurs de la loi d’avoir fait l’effort d’inventer un dispositif plus compliqué que ne l’ont fait les Américains en vue, du moins l’espèrent-ils, de protéger les libertés individuelles.

Mais on peut légitimement se demander si cette envie de bien faire les choses est bien sincère. Comme le remarque la Quadrature (l’emphase est de mon fait) :

Les concertations après coup sont un simulacre de prise en compte de la société civile, et ne servent qu’à entretenir l’illusion du dialogue. Si le gouvernement se souciait réellement de notre avis, il avait tout le loisir de nous le demander avant, en amont et pendant la rédaction du projet de loi.

Mais mettons de coté les intentions et concentrons-nous sur ce qui ne va pas dans cette loi…

Le vrai problème : les boites noires

C’est là le cœur du problème, ce qui est pour moi ce qui ne peut être admis dans la loi Renseignement : le plan qui consiste à obliger les services Internet et fournisseurs d’accès à mettre des boites noires dans le coeur du réseau pour observer le trafic et signaler tout comportement suspect, qui sera transmis aux services de renseignements.

Je vous le répète, tellement c’est énorme : un algorithme, forcément secret car classé défense, va surveiller Internet. Pour désigner ensuite les suspects. C’est dérangeant à plusieurs niveaux.

D’abord, il y a un problème sémantique : d’après le gouvernement, ça n’est pas de la surveillance de masse, vu que c’est un logiciel qui surveille, et compte tenu des limites techniques, il ne peut pas tout surveiller. Il ne peut surveiller qu’un échantillon de l’Internet français. (D’après moi, avec la loi de Moore et l’augmentation des budgets de lutte contre le terrorisme, le pourcentage ne va cesser d’augmenter, mais on me répond que le trafic augmente aussi. Soit.) Ensuite, il ne doit pas trouver “trop de suspects, sinon c’est rejeté par la commission CNCTR” (commission nationale de contrôle des techniques du renseignement) qui approuve la levée de l’anonymat des suspects avant de les passer aux services qui vont ensuite espionner de façon traditionnelle (filature, mais aussi éventuellement, et c’est une nouveauté, mettre un keylogger sur leur PC).

C’est un peu comme si on me disait que Google ne fait pas de surveillance de masse en lisant tout le courrier transitant par Gmail, parce que “ce ne sont pas des humains qui lisent le courrier, ce sont des ordinateurs”. (On me l’a vraiment faite, celle-là, promis !). Sauf que les courriers sont analysés, y compris les pièces jointes. Et c’est ainsi que Google a dénoncé un pédophile en Août dernier. C’est très bien que ce pédophile ait été arrêté, mais ça reste de la surveillance de masse.

La surveillance de masse, c’est la fin de la vie privée, par définition, et c’est une catastrophe, comme je l’explique ici : En faisant croire aux gens qu’ils sont observés en permanence, on arrive à leur imposer une façon de se comporter. Ce soir encore, George Moreas, commissaire de la police nationale, l’explique fort bien.

l’histoire de la toute petite brèche

Ensuite, c’est le problème de la brèche. Vous ne connaissez pas l’histoire de la brèche ? c’est normal, je l’ai inventée tout à l’heure.

Ça se passe dans une vallée en montagne où se trouve un barrage hydraulique. L’imposant barrage fournit de l’énergie à toute la région, mais voilà, un résident du coin aimerait avoir l’eau courante pour arroser son potager. Il propose de faire un trou dans le barrage tout proche pour y brancher un robinet et un tout petit tuyau. Donc il va faire un petit trou dans le barrage. Affolement de certains voisins qui comprennent bien qu’un trou, même tout petit, pourrait être dramatique pour la survie de toute la vallée qui est en aval du barrage. Le ton monte, le propriétaire du potager s’énerve, après tout, il s’agit juste d’un trou minuscule, et « à quoi bon avoir toute cette eau à proximité si on ne peut pas s’en servir ? ».

On imagine bien qu’un trou, sous la pression de l’eau, va s’agrandir avant de se transformer en brèche avant d’éventrer le barrage sur toute sa hauteur.

Quel rapport avec la loi Renseignement ? La boite noire. La ou plutôt les boites noires au cœur du réseau vont surveiller le réseau et les comportement des utilisateurs avant de les dénoncer. C’est de la surveillance de masse qui ne dit pas son nom. Mais attendez, c’est juste fait par un ordinateur, et pas un humain (forcément, pour traiter autant de données). Et c’est pour lutter contre le terrorisme ! Et puis c’est anonyme (jusqu’à ce que ça ne le soit plus).

Je pense que dans ce domaine, sous la pression de l’opinion publique qui veut lutter contre le terrorisme, le petit trou va s’agrandir.

Vous voulez un exemple ? Il y en a plein. Le filtrage d’Internet est d’ores et déjà un grand classique.

On part d’un problème sur lequel tout le monde est d’accord. Par exemple, le terrorisme. On met le mécanisme pour lutter contre en place. Et puis on l’étend, d’abord pour des causes aussi justes que la pédopornographie. Et puis on l’étend encore. Par exemple pour éviter que les mineurs ne tombent « par erreur » sur de la pornographie « normale » entre adultes consentants. Et puis derrière, ça se bouscule au portillon, on cherche à l’étendre encore plus, par exemple pour préserver les artistes qui meurent de faim à cause de ces salauds de pirates (si vous vous souvenez de ce que l’industrie de la culture a réussi à faire avec Hadopi, vous savez de quoi je parle). Dernièrement, on a même vu un élu demander à ce que les sites insultant les élus soient filtrés. C’est à peine croyable, une histoire pareille ? Et pourtant c’est ce qui se passe en Angleterre, où 20 % des sites les plus visités sont bloqués (le porno, c’est seulement 4 %)[1]. Le coup de l’élu qui veut censurer les sites injurieux, c’est français, par contre, et ça démontre que l’envie d’étendre le champ d’action des outils n’a pas de frontières.

Commencer à surveiller le net depuis des boites noires, juste pour le terrorisme, c’est ce début de brèche. Un début de brèche n’est pas innocent, parce qu’il va s’étendre à toute vitesse.

C’est exactement ce processus qui a fait dire à Benjamin Franklin :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.

Quelle efficacité ?

Il est un autre problème qui vient s’ajouter à celui de la surveillance de masse des boites noires, c’est celui de l’efficacité des mesures. Communiquer sur Internet de façon sécurisée est finalement facile. Rapide tour d’horizon :

  • Pour échanger des messages instantanées : XMPP avec OTR
  • Pour naviguer sur le Web : TorBrowser en HTTPS
  • Pour envoyer des emails : GPG / Enigmail ou ProtonMail
  • Pour passer inaperçu : VPN (en cherchant « VPN gratuit » dans Google, je viens d’obtenir « Environ 1 230 000 résultats »)

Donc toute personne voulant se cacher sur Internet peut le faire facilement. Tous les logiciels listés ci-dessus sont gratuits. Un VPN correct payant peut se trouver à 5€ par mois environ.

J’ai posé la question à mes interlocuteurs sur le problème de l’efficacité de cette surveillance. La réponse, laconique, fut « même si les terroristes peuvent se planquer derrière du chiffrement, faut-il pour autant ne pas essayer de les surveiller ? »

Le rapport prix / efficacité

La surveillance de masse a un coût énorme. Pas seulement un coût financier, mais avant tout un impact négatif sur la société, en ce sens que c’est la négation de la démocratie, de la liberté des individus. C’est ce qui fait qu’on passe d’une société où le peuple élit ses représentants à un modèle où des gouvernants surveillent des gouvernés. Je ne veux pas de ce modèle, surtout si c’est pour une efficacité proche du néant. Bien sûr, avec la surveillance de masse, on va attraper des apprentis-terroristes, mais ça ne sera que du menu fretin, le pauvre type pas très malin qui rêve du grand soir djihadiste, mais qui a un QI proche de sa température rectale, un peu comme le crétin qui a voulu mettre le feu à ses semelles pour faire sauter un avion.

Conclusion

Ces sujets, qui mêlent des aspects juridiques (libertés individuelles) et technologiques (surveillance informatique) sont difficiles à aborder en temps normal, tant ils demandent une expertise étendue : les juristes informaticiens ne sont pas légion. Le contexte, deux mois après Charlie Hebdo, tout juste trois ans après Mohamed Merah, fait que l’émotion l’emporte sur la raison.

Ça n’est pas une raison pour baisser les bras et laisser s’écrouler une des pierres angulaires de la démocratie, celle du respect de la vie privée, tellement importante qu’on la retrouve dans les textes de loi fondateurs. Saurons-nous, citoyens français, sortir de cette torpeur, de cette résignation, pour essayer de comprendre les enjeux de la loi Renseignement et s’opposer à elle dans ce qu’elle a de dangereux, tout en la modernisant là où c’est nécessaire ?

Note

[1] Voir aussi Blocked.org.uk.