Internet sous haute surveillance, comment se protéger ?

Le lanceur d'alerte Edward Snowden a prouvé avec la révélation d'un système secret d'espionnage d'internet aux États-Unis que des partenariats existent entre des géants du web comme Google ou Facebook et les services secrets gouvernementaux. A quelles données personnelles des internautes ont-ils accès ? Comment lutter ? Réponses avec Jérémie Zimmermann, porte-parole de l'association La Quadrature du net de défense des droits et des libertés des citoyens sur internet.

dans
Jérémie Zimmermann
Jérémie Zimmermann
Jusqu’où les services secrets peuvent-ils aller dans l’intrusion des données personnelles ?

L’utilisateur de son compte Gmail ou son compte Facebook a l’impression que quand il communique avec ses correspondants le contenu de la communication est secret, privé, et donc n’est partagé qu’entre son correspondant et lui alors qu’en réalité il est également partagé avec Google ou Facebook.  A partir du moment où le contenu des communications est stocké chez Google et Facebook, cela leur donne de nombreuses occasions de traiter ces données pour en tirer profit éventuellement à l’occasion de marketing ciblé ou de profilage … ou d’autres formes de business basées sur les données personnelles.
Par définition, lorsque vous communiquez par internet, sans activement utiliser des technologies dites de chiffrement c’est comme si vous envoyez des cartes postales où chaque intermédiaire en chemin est capable d’accéder au contenu de vos communications.

Comment peut-on lutter contre ces intrusions ?

La seule façon de se protéger est de reprendre le contrôle de ses données personnelles, de son infrastructure de communication. Cela veut dire d’une part utiliser des services décentralisés plutôt que les  services massivement centralisés comme les services de Google, Facebook, etc. On peut déployer soi-même ou avec des copains ou même à l’échelle d’une entreprise ou d’une institution des services décentralisés.

C’est donc se poser la question avant tout de cette centralisation disproportionnée et du pouvoir que l’on confie aux mains d’acteurs comme Google et Facebook.

C’est, par exemple, l’utilisation des logiciels libres qui vous permettent à  tout moment de garder le contrôle de l’ordinateur et de s’assurer que ce ne soit pas l’ordinateur qui vous contrôle. Comme c’est le cas des logiciels fermés des firmes comme Apple ou Microsoft ou autre que l’on ne peut pas modifier et dont on ne peut pas comprendre le fonctionnement parce qu’il ne vient pas avec la recette de cuisine qu’est le code source.

Enfin utiliser le chiffrement point à point. Ces technologies qui permettent de mathématiquement embrouiller le contenu d’une communication pour être sûre qu’elle ne puisse être désembrouillée que par votre correspondant. Des exemples de tels chiffrements sont GPG (Gnu Privacy Guard) qui peut s’utiliser au-dessus de tous services de messagerie. C’est OTR (Off The Record) qui peut s’utiliser pour le chat notamment  avec le protocole Jabber ou le protocole IRC qui eux-mêmes peuvent s’utiliser de manière tout à fait décentralisée.

Outre les citoyens, à qui peuvent être utiles ces pratiques ?

C’est très utile pour les activistes qui sont menacés dans les pays plus ou moins autoritaires. C’est très utile pour les journalistes qui souhaitent protéger leurs sources et s’assurer quand ils communiquent avec elles qu’il n’y a pas un Google ou un Facebook,  et donc un gouvernement américain, et donc potentiellement d’autres gouvernements et d’autres intermédiaires en chemin qui ont accès au contenu de leur conversation.

On peut espérer que des outils comme cela continueront d’être développés par les gentils hackers du logiciel libre pour contrer cette hégémonie des géants et pour contrer cette tendance à la centralisation qui en soi, est contraire à l’esprit initial d’internet dans lequel chacun n’est pas un simple consommateur passif  mais également un participant  potentiel au réseau.

Le fait que les gens semblent découvrir ces espionnages n’est-il pas révélateur d’un manque d’éducation du public, des internautes sur ce sujet ?

C'est une forme d'éducation décentralisée, « peer to peer », dans laquelle chacun participe, et dans laquelle des communautés actives sont disponibles pour aider chacun à progresser.
J’ai l’impression que dans un monde de machines connectées, où de plus en plus nos faits et gestes passent au travers de ces machines, comprendre la technologie sera peut-être aussi indispensable que savoir lire, écrire ou compter. 

Pourquoi les gens devraient s’inquiéter de ces intrusions dans leur vie privée sur internet ?

Une étude récente  a démontré qu’un jeune sur 10 s’était déjà vu refuser un job à cause de son profil Facebook. C’est un exemple parmi tant d’autres du pari sur l’avenir que l’on fait à laisser traîner ses données personnelles.  Personne ne peut savoir ce qui sera fait de nos données dans un an, cinq ans ou dix ans. Et le fait est que l’on construit plus ou moins consciemment ces espèces de gigantesques piles de données d’une précision croissante avec le temps, des chercheurs ont aussi démontré que juste avec vos « like » Facebook, on arrive à démontrer à 90% votre orientation sexuelle, si vous êtes fumeur ou non fumeur, marié ou divorcé.

En réalité, on révèle beaucoup plus que ce que l’on a l’impression de révéler. Si on  peut penser aujourd’hui que l’on n’a rien à cacher, on ne peut pas savoir ce qui se passera demain. Peut-être que demain on sera considéré comme un dissident parce qu’on est blond, parce qu’on écoute du rock, parce qu’on a fait un don à telle ou telle organisation ou parce qu’on a critiqué tel homme politique il y a un certain nombre d’années. On ne peut pas savoir aujourd’hui qu’on va faire le choix peut-être dans quelques années d’entrer en politique ou de chercher tel ou tel  emploi sensible ou d’être recruté dans telle ou telle entreprise. Et quand  ce sera le cas, il sera trop tard, pour aller tenter d’effacer des données déjà publiées ou déjà lâchées en pâture au Google ou au Facebook. 

Et bien sûr tout cela sans parler de la protection des sources des journalistes, sachant qu’une information libre est une composante essentielle d’une démocratie.

Ça se sont les scénarios les plus proches de nous. Aussi on sait que la surveillance totale des individus est une des composantes essentielles d’un régime autoritaire. Donc le jour où un gouvernement se livrera à une gouvernance totale et bascule dans la dictature, il sera beaucoup plus difficile d’entrer en résistance si on a déjà constitué un profil parfait entre les mains de ce gouvernement. Mais là on est dans les scénarios les plus catastrophiques. On n’a pas besoin d’aller jusque-là.

Si l’opinion a l’impression de découvrir ces scandales d’espionnages sur internet, est ce finalement nouveau ?

Déjà depuis environ 2003, on avait un lanceur d’alerte de AT&T (compagnie de téléphonique) aux États-Unis,  qui avait expliqué que la NSA dédoublait tout le trafic international entrant. Et donc d’un côté le trafic [des communications] poursuivait son bonhomme de chemin et de l’autre il entrait dans un local de la NSA qui en faisait absolument ce qu’ils voulaient.

Donc l’interception massive ce n’est pas quelque chose de nouveau mais depuis cette époque, l’Electronic Frontier Foundation (EFF) avait attaqué l’administration  Bush à l’époque et a continué son procès avec l’administration Obama qui lui a envoyé une fin de non recevoir et qui a utilisé le motif du secret pour éviter de répondre à ces questions.

Aujourd’hui ce que l’on a qui est véritablement nouveau [avec les révélations d’Edward Snowden] , c’est une preuve irréfutable. C’est un flagrant délit. Jusqu’à présent on nous disait, c’est le secret, le public ne doit pas savoir. Ou on nous disait tout simplement "c’est la théorie du complot", "ce sont des paranoïaques". Là on a des preuves irréfutables, ce qui permet d’engager un véritable débat public.

Ce qui est nouveau aussi c’est d’avoir la preuve irréfutable de la coopération active de ces entreprises dans la surveillance. Ce n’est pas comme si elles avaient véritablement le choix. Et de toute façon la loi américaine autorise déjà les services de renseignements à accéder à toutes les données de renseignements des citoyens non-américains à partir du moment où elles sont stockées sur les serveurs d’entreprises américaines. Grâce aux amendements de la loi FISA qui datent de 2008. 

Ce que cela montre c’est que dans le contexte américain, de dérives ultra sécuritaires, plus ou  moins paranoïaques - autour de cette guerre permanente contre le terrorisme qui est un bon prétexte pour les vendeurs de surveillance et de canons - les pouvoirs de ces agences sont tellement étendus en dehors de tout contrôle démocratique et citoyen qu’il est en pratique sans doute impossible pour ces entreprises, au-delà d’une certaines importances- de refuser de coopérer.

Le système PRISM pourrait-il être suivi de la création d’autres de même type ?

PRISM démontre que les pouvoirs de ces agences ont été étendus dans des proportions alarmantes et sans aucun contrôle démocratique. Et que donc,  il est urgent d’avoir un débat public sur ces questions pour tenter de reprendre le contrôle par les citoyens sur ces agences. On entend Barack Obama dire : « Il faut sacrifier des libertés pour plus de sécurité. » Benjamin Franklin disait qu’ «  Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’un ni l’autre et finit par perdre les deux. »

Donc ce n’est pas quelque chose qui se marchande. Il est urgent que les citoyens puissent reprendre le contrôle sur les agissements de ces agences. Revenir sur un certain nombre d’éléments de loi qui ont été ôtés à la suite du 11 septembre 2001 par l’administration Bush comme l’administration Obama. En Europe, il serait urgent que l’on ait aussi ce débat là. C’est la seule façon d’endiguer la progression morbide de cette surveillance  généralisée qui ne peut se faire qu’au détriment de la démocratie.

Il y a aussi des outils juridiques que les pouvoirs publics pourraient mettre aux mains des citoyens pour reprendre le contrôle de leurs données. C’est ce qui est en train de se jouer à Bruxelles avec l’élaboration du règlement modifiant le régime applicable à la protection des données personnelles. C’est un bazar tentaculaire avec 4 000 amendements déposés dans la commission "liberté publique", ce qui est le record absolu du  parlement européen avec la campagne lobbying la plus intense jamais vécue et  menée par les Facebook, Google, Yahoo mais aussi par le gouvernement américain afin d’empêcher l’Europe de donner aux citoyens des moyens de reprendre le contrôle de leurs données et par extension d’empêcher ces entreprise de se livrer à toutes les collectes, traitements, et éventuellement reventes de nos données personnelles.

On doit aussi collectivement se poser ces questions  du pouvoir que l’on donne à ces entreprises, du pouvoir qu’elles s’arrogent au travers notamment de leur influence sur les politiques publiques et, au delà, du rapport de notre société toute entière à la technologie...

“Menace sur nos libertés : comment internet nous espionne, comment résister ?“

De Julian Assange, Jacob Appelbaum, Andy Müller-Maguhn et Jérémie Zimmermann.