1

Mon courrier sécurisé ? — C’est dans la boîte !

Ne plus dépendre de Gmail, Yahoo ou Outlook.com, ne plus avoir toutes ses conversations stockées et centralisées sur les serveurs des géants du web étasunien… C’est un peu le Graal des Dupuis-Morizeau.

Mais comment faire, lorsqu’on a peu de connaissances en informatique, pour avoir une boite email vraiment indépendante et pouvoir chiffrer ses échanges ?

Les barbu-e-s du logiciel libre le savent, la solution la plus sensée réside dans l’auto-hébergement, et c’est souvent complexe à mettre en place.

Mais des solutions innovantes, à base de logiciel et de matériel libre, naissent pour aider notre famille témoin à reprendre le contrôle de leurs emails sans se fouler le clavier.

Aujourd’hui, nous interrogeons Pierre Parent, co fondateur de Own-Mailbox : un petit boîtier qui pourrait bien être une solution simple, respectueuse et efficace pour tous les Dupuis-Morizeau qui nous entourent.

Découvrez la Own-Mailbox en cliquant sur l'image
Découvrez la Own-Mailbox en cliquant sur l’image

Salut, tu peux expliquer d’où vient le projet, tout ça ? Les membres sont, cocorico, français ?

Salut,

Donc tout d’abord, je me présente : Pierre Parent, cofondateur de Own-Mailbox.

Le projet a pour origine tout d’abord mon engagement et mon attachement au logiciel libre et à la vie privée sur Internet.
J’ai découvert les logiciels libres en 2007 grâce à un professeur de l’Insa de Rouen où j’ai fait mes études.

Le projet a aussi pour origine ma volonté de me libérer du travail subordonné et donc salarié. J’ai cette pulsion de liberté qui me pousse à rêver de pouvoir travailler librement sur des choses que je juge moi-même bonnes pour le monde et pour les autres ; ou à défaut, a minima obéir à des décisions collectives et démocratiques auxquelles j’aurai moi-même pris part.

Dès lors, de nombreuses idées de produit pouvant permettre le lancement d’une création d’entreprise me sont venues.
Own-Mailbox a été la plus consistante. J’ai donc continué dans cette cette voie pour améliorer l’idée et aller plus loin.

Romain Kornig, un ami de l’Insa de Rouen, a tout de suite été très enthousiaste quand je lui ai parlé de l’idée de Own-Mailbox,

Un peu plus tard quand le projet a commencé à prendre forme et que j’ai senti que cela pouvait déboucher sur quelque chose de sérieux, je me suis rendu compte que je ne pouvais faire ce projet tout seul. J’ai proposé à Romain de me rejoindre, et il a tout de suite dit oui !

Nous avons fondé tous les deux la boite (sans jeux de mots !) à Rennes.

Own-Mailbox, c’est un boîtier qu’on met entre Internet et sa machine ?

Non. Own-Mailbox, c’est un tout petit serveur mail que l’on branche chez soi, qui se configure automatiquement, et qui devient alors accessible depuis partout dans le monde. On peut alors y accéder via un webmail (HTTPS) ou en IMAPS, depuis chez soi, mais aussi depuis partout dans le monde. Le serveur permet de chiffrer les emails de manière très simple, afin d’éviter d’être espionné.

Own-Mailbox remplace un peu les serveurs de Gmail, mais en tout petit, chez soi, et hors de portée de la NSA.

Et comment ça se branche, ce boîtier, il faut une prise spéciale ? Et une fois le truc branché, mon ordinateur va le reconnaître tout de suite ou bien il y a un logiciel à installer, des paramètres à régler, une authentification à opérer, etc. ?

C’est très simple. On branche un câble Ethernet entre la Own-Mailbox et sa box internet, et on la relie au secteur via le transformateur fourni. Voilà.

Aucun logiciel supplémentaire n’est nécessaire, on accède à la Own-Mailbox via un navigateur web (comme Firefox) ou un client mail (comme Thunderbird)

Ça veut dire qu’il faut se promener partout avec ?

Non, la Own-Mailbox doit rester chez vous.

Je te préviens, s’il faut que je me mette à Linux et à la ligne de commande, compte pas sur moi.

Pas du tout, c’est très simple, comme tu peux le voir notre vidéo de démonstration (en anglais) :


Vidéo « Own-Mailbox »

Par les temps qui courent, on comprend bien l’intérêt de protéger sa correspondance, mais ça ne rend pas les choses un peu compliquées ? Notre famille-test, les Dupuis-Morizeau, ils vont s’en sortir ?

Own-Mailbox est précisément conçue pour rendre le chiffrement et l’auto-hébergement accessibles à tous. Nous nous assurons qu’à aucun moment l’utilisation d’une Own-Mailbox ne demande une quelconque compétence technique.

En revanche la question serait plutôt : est-ce que notre famille-test va accorder assez d »importance à la vie privée pour investir le minimum (temps et argent) nécessaire à sa défense ? Je ne connais pas encore la réponse…

Pourquoi les gens qui s’y connaissent me cassent les pieds avec la différence entre « chiffrer » et « crypter ». Ça ne veut pas dire « rendre illisible » dans les deux cas ?

Ha ha! Il y a quelques années je disais tous le temps « encrypter » jusqu’à ce que l’on me reproche tellement, et que l’on me dise que ça n’est pas français, que j’ai commencer à dire « chiffrer ».

Explique plus doucement, je n’y comprends rien. Ces histoires de clé privée / clé publique. Je ne sais jamais si je publie la bonne… Et si je l’efface par mégarde, ma clé, je ne pourrai plus lire mes vieux mails ?

Bon à mon avis il faut publier la clef… publique ! Après je ne suis pas sûr sûr… 😉

Plus sérieusement Own-Mailbox publiera pour toi la clef publique donc pas besoin de t’embêter avec ça !

Avec Own-Mailbox tu ne pourras pas effacer ta clef par erreur, à moins d’avoir les compétences techniques nécessaires (console linux, ssh, etc.)

Si ça n’est pas le cas, ou si tu ne bidouilles pas ta Own-Mailbox, tu n’as rien a craindre ! 😉

C’est vraiment sûr et garanti, le chiffrage ? Nan, passque quitte à se faire suer, autant que ça marche, hein… La NSA, elle peut peut-être lire quand même ? On peut le pirater, ce boîtier ?

Le chiffrement de Own-Mailbox se base sur des logiciels libres reconnus, testés et éprouvés depuis des années (la technologie GPG).

Eux-mêmes reposent sur des algorithmes mathématiques qui rendent le déchiffrement par des tiers tellement coûteux en temps de calcul qu’il paraît impossible.

Edward Snowden a fait confiance à ces logiciels à des moments où sa vie était en jeu.

Après, un bug est toujours possible, mais le code des logiciels de chiffrement étant ouvert il est constamment relu par de nombreuses personnes ce qui réduit le risque de bug, et le cas échéant réduit le délai avant qu’il ne soit corrigé.

Soutenez Own-Mailbox et précommandez la vôtre en cliquant sur l'image
Soutenez Own-Mailbox et précommandez la vôtre en cliquant sur l’image

Il va falloir que je retienne un mot de passe de vingt caractères, avec des chiffres et des caractères spéciaux ? Pfou !

Non, avec la Own-Mailbox un mot de passe de 10 caractères est sûr.

Des mesures sont prises de manière à ce que l’interface de connexion ne puisse être piratée avec un mot de passe de 10 caractères

(Empêcher le brute force, voir notre FAQ).

Comment dialoguer avec un-e correspondant-e qui ne chiffre pas ses mails ? Comment ille fait pour lire ce que je lui écris ?

Alors soit ce que tu veux lui envoyer n’est pas confidentiel, et tu as toujours la possibilité de le lui envoyer en clair.
Soit tu veux lui envoyer un message confidentiel, eh bien nous avons conçu un système basé sur un lien HTTPS, en le cliquant la personne destinataire du message pourra le visualiser ton message sans risque d’être espionnée.

Une dernière solution est aussi de la convaincre de commencer à chiffrer ses emails et/ou utiliser une Own-Mailbox !

Et si j’écris à quelqu’un-e qui utilise une boite mail fournie par Google ou Microsoft, ça sert à quelque chose de chiffrer ?

Oui, le principe du chiffrement est justement que les intermédiaires (Google ou Microsoft), ne peuvent pas déchiffrer le contenu, seul le destinataire le peut.

Je vois dans la partie « Fonctionnalités » du site web l’annonce suivante : « Integrated Framasoft services, to provide you with private large file sharing, event scheduling, shared spreadsheet and documents. », ça veut dire quoi ?

Cela veut dire que l’on planifie d’ajouter de manière pré-installé sur notre boîtier, une partie des services proposées par Framasoft pour « dégoogliser » Internet( http://degooglisons-internet.org/liste/ ) afin de fournir des services connexes aux mails tel que le partage de gros fichier, les tableurs partagés, l’organisation de réunions, le tout de manière totalement confidentielle.

Vous aussi, vous vous lancez dans le crowdfunding ? Forcément, on vous imagine mal demander des subventions au Ministère de l’Intérieur. 🙂

Pour que Own-Mailbox puisse être utilisable par tous il faut qu’elle soit « All-In-The-Box » et « Plug-And-Play ». Cela implique que nous
produisions des boîtiers physiques pré-configurées.

Nous ne pouvons évidement pas financer de notre poche les premières séries de production, et les banques et autres investisseurs traditionnels ont du mal à se projeter dans ce type de projet un peu hors-système.

Le crowdfunding paraît donc la solution optimale pour ce type de projet, et vous retrouverez notre campagne ici, sur kickstarter.

N’hésitez pas à participer, la campagne ne dure que jusqu’au 5 Octobre 2015.

L’étape d’après, c’est quoi ?

Alors tout d’abord l’étape la plus importante, c’est de livrer les Own-Mailbox aux contributeurs sur Kickstarter, puis aux clients qui suivront !

Lorsque la Own-Mailbox sera bien lancée nous allons sortir une version PME de Own-Mailbox. Car l’espionnage industriel implique de grosses pertes pour les entreprises française comme l’a révélé Wikileaks il y a quelques mois (à hauteur de 200 millions par an).

Par la suite nous avons beaucoup d’autres projets de produits dans les cartons, mais pour l’instant nous gardons cela pour nous !

Pour soutenir ce projet et avoir votre Own-Mailbox avant tout le monde, allez sur leur page Kickstarter.




Quand on touche à la vie privée, c’est la démocratie qui est menacée (3/3)

Dans cette dernière partie, Eben Moglen nous donne quelques pistes pour protéger nos données personnelles.

Source : The Guardian, Privacy under attack: the NSA files revealed new threats to democracy

Traduction : Thérèse, fatalerrors (Geoffray Levasseur), goofy, audionuma, Diab, Paul, Omegax, lumi

 

L’incessante poursuite du profit qu’engendre l’extraction de données par tous les moyens légaux imaginables a causé une dévastation environnementale. Personne n’a jamais imposé les contraintes qui auraient dû exister dans l’intérêt de la protection contre la dégradation de l’environnement.

moglen3On a tendance à condamner le partage à outrance. On entend souvent dire que le véritable problème de la vie privée est que les enfants vont bien trop loin dans le partage. Quand vous démocratisez un média, ce que nous sommes en train de faire avec le Net, les personnes ordinaires auront naturellement tendance à en dire plus qu’elles ne l’ont jamais fait. Ce n’est pas un problème. Dans une société libre, les gens devraient être protégés dans l’exercice de leurs droits à en dire autant ou aussi peu qu’ils le souhaitent.

Le véritable problème est que nous sommes en train de perdre l’anonymat de la lecture, ce pour quoi personne n’a signé.

Nous avons perdu la capacité de lire anonymement, mais cette perte nous est dissimulée à cause de la manière dont nous avons construit le web. Nous avons donné au public des programmes appelés « navigateurs » que tout le monde peut utiliser, mais nous avons fait des « serveurs web » dont seuls les geeks peuvent faire usage — très peu de gens ont eu un jour l’occasion de consulter le journal d’un serveur web. C’est un immense échec de l’éducation à la technologie pour notre société, comme si l’on dissimulait aux enfants ce qui se passe quand des voitures entrent en collision et que les passagers ne portent pas de ceinture de sécurité.

Nous n’expliquons pas aux gens comment le journal d’un serveur web enregistre en détail l’activité des lecteurs, ni même combien on peut en apprendre sur eux simplement en sachant ce qu’ils lisent, et comment. À partir de ces journaux, vous pouvez savoir combien de temps chaque lecteur passe sur une page, comment il la lit, où il se rend ensuite, ce qu’il fait ou recherche à partir de ce qu’il vient de lire. Si vous pouvez rassembler toutes les informations qu’il y a dans ces journaux, alors vous commencez à posséder ce que vous ne devriez pas avoir.

Sans anonymat de la lecture il n’y a pas de liberté de l’esprit. C’est en effet littéralement l’esclavage. L’abolitionniste Frederick Douglass a écrit que la lecture était le chemin menant de l’esclavage à la liberté. Lorsqu’il décrit son propre cheminement dans ses mémoires, Douglass se souvient que lorsque l’un de ses propriétaires l’empêche de lire, « j’ai alors compris ce qui avait été pour moi une grande source de perplexité — à savoir, le pouvoir de l’homme blanc à asservir l’homme noir. » Et si chaque livre ou journal qu’il avait touché l’avait signalé ?

Si vous avez un compte Facebook, Facebook surveille chaque instant que vous y passez. Mais plus important encore, chaque page visitée contenant un bouton « J’aime » informera Facebook que vous avez lu cette page, que vous cliquiez sur ce bouton ou non. Si le journal que vous lisez chaque jour contient un bouton « J’aime » de Facebook ou les boutons de services similaires, alors Facebook ou les autres services vous regardent lire le journal : ils savent quels articles vous avez lus et combien de temps vous avez passé dessus.

Chaque fois que vous twittez une URL, Twitter la raccourcit pour vous. Mais il s’arrange aussi pour que toute personne cliquant dessus soit surveillée par Twitter pendant qu’elle lit. Vous n’aidez pas seulement des gens à savoir ce qu’on trouve sur le Web, vous aidez aussi Twitter à lire par-dessus l’épaule de toutes les personnes qui lisent tout ce que vous recommandez. Ce n’est pas transactionnel, c’est écologique. C’est une destruction environnementale de la liberté de lire des autres personnes. Votre activité est conçue pour les aider à trouver les choses qu’elles veulent lire. L’activité de Twitter est de travestir aux yeux de tous la surveillance de la lecture qui en résulte.

Nous avons permis à ce système de grandir si rapidement autour de nous que nous n’avons pas eu le temps d’en comprendre les implications. Une fois que ces implications ont été bien pesées, les gens qui comprennent n’ont pas envie de parler, parce qu’ils ont un avantage et que cet avantage est dirigé contre vous. Puis la surveillance commerciale attire l’attention des gouvernements, avec deux résultats dont Snowden nous a apporté la preuve : la complicité et le vol qualifié.

Aussi pratiques, voire nécessaires, que leurs services puissent nous paraître, faute d’arriver à regagner la confiance de leurs clients, ils sont fichus.

Les entreprises spécialisées dans l’extraction de données croyaient, disaient-elles, qu’elles étaient simplement dans une situation de complicité avec le gouvernement. Après avoir créé des structures technologiques dangereuses qui fouillaient vos données personnelles, elles pensaient qu’elles étaient simplement engagées dans des négociations secrètes sur la quantité qu’elles devaient en livrer. C’était, bien sûr, un jeu où s’entremêlaient avidité et peur.

En gros, ce que les entreprises américaines d’extraction de données croyaient, ou voulaient nous faire croire qu’elles croyaient jusqu’à ce que Snowden les réveille, était qu’à travers leur complicité elles avaient obtenu l’immunité pour leurs vols qualifiés. Mais nous avons maintenant appris que leur complicité ne leur a rien rapporté. Elles nous ont vendu pour moitié, et le gouvernement a volé le reste. Elles ont découvert que ce qu’elles attendaient de l’honnêteté des grandes oreilles américaines, NSA et autres agences, elles étaient très loin de l’avoir obtenu. À l’évidence, l’attitude des grandes oreilles se résumait à : « Ce qui est à nous est à nous et ce qui est à vous est négociable… à moins que nous ne l’ayons d’abord volé. »

De même que l’industrie mondiale de la finance, les grandes entreprises d’extraction de données ont pris les promesses des grandes oreilles américaines trop au sérieux. C’est en tout cas l’interprétation charitable qu’on peut donner de leur conduite. Elles pensaient qu’il y avait des limites à ce que ferait le pouvoir.

Grâce à Snowden, que ce soit pour les extracteurs de données ou pour les grandes oreilles américaines, la situation n’est plus contrôlable politiquement. Ils ont perdu leur crédit, leur crédibilité, aux yeux du monde. Aussi pratiques, voire nécessaires, que leurs services puissent nous paraître, faute d’arriver à regagner la confiance de leurs clients, ils sont fichus.

Les problèmes environnementaux — tels le changement climatique, la pollution de l’eau, l’esclavage ou la destruction de la vie privée — ne se résolvent pas par des transactions entre individus. Il faut une union pour détruire l’esclavage. De même, l’essence de notre difficulté est l’union [1].

Cependant, une des caractéristiques des grands extracteurs de données est qu’il n’y a pas d’union des travailleurs, de syndicat, en leur sein ni autour d’eux. Ce sont maintenant des entreprises publiques, mais l’union des actionnaires ne contrôle pas efficacement les méfaits environnementaux qu’elles commettent. Ces entreprises sont d’une opacité remarquable en ce qui concerne leurs activités réelles et elles sont si profitables que les actionnaires ne tueront jamais la poule aux œufs d’or en remettant en cause l’éthique de leurs méthodes commerciales. Dans ces entreprises, un petit nombre d’individus puissants contrôle tous les votes ayant un effet concret ; la main d’œuvre n’a pas de voix collective.

Snowden a toujours été clair sur le fait que le remède à cette destruction environnementale est la démocratie. Mais il a aussi fait remarquer à plusieurs reprises que partout où les travailleurs ne peuvent pas s’exprimer et n’ont pas de voix collective, le droit du public à l’information n’est pas protégé. Quand il n’y a pas de voix collective pour ceux qui sont au sein de structures qui trompent et oppriment le public, alors quelqu’un doit agir courageusement de son propre chef.

Avant Auguste, les Romains de la république finissante savaient que le secret du scrutin était essentiel aux droits du peuple. Mais dans tous les pays du monde où se déroulent des élections dignes de ce nom, Google sait comment vous allez voter. Il est déjà en train de façonner votre paysage politique, dans vos fils d’actualité personnalisés, en fonction de ce que vous voulez lire, de qui vous êtes et de ce que vous aimez. Non seulement il sait comment vous allez voter, mais il vous aide en outre à vous conforter dans votre décision de voter ainsi — à moins qu’un autre message n’ait été acheté par un sponsor.

Sans anonymat de la lecture, il n’y a pas de démocratie. Je veux dire, bien sûr qu’il n’existe pas d’élection juste et libre, mais de manière plus fondamentale, je veux dire qu’il n’existe même plus d’autogouvernance libre.

Et nous sommes toujours très mal informés parce qu’il n’y a pas de syndicat cherchant à mettre en lumière les problèmes éthiques chez les extracteurs de données et que nous avons trop peu de Snowden.

L’avenir des extracteurs de données n’est pas le même pour tous. Google en tant qu’organisation s’est interrogé dès le début sur les implications éthiques de ses activités. Larry Page et Sergey Brin, les fondateurs de Google, ne sont pas tombés par hasard sur l’idée qu’ils avaient une obligation particulière à ne pas faire le mal. Ils comprenaient les dangers potentiels inhérents à la situation qu’ils créaient.

privacyErased

Il est techniquement possible pour Google de faire de Gmail un système véritablement sûr et respectueux du secret de la correspondance, quoique non anonyme. Les messages pourraient être chiffrés — en utilisant des clés publiques dans un réseau de confiance — au sein même des ordinateurs des utilisateurs, dans les navigateurs. Les messages stockés chez Google pourraient être chiffrés à l’aide d’algorithmes dont seul l’utilisateur et non Google posséderait les clés.

Google aurait à renoncer aux maigres profits de Gmail, mais ses actions seraient cohérentes avec l’idée qu’Internet appartient à ses utilisateurs à travers le monde. À long terme, il est bon pour Google de montrer, non seulement qu’il croit en cette idée, mais aussi qu’il agit en conséquence, car c’est la seule manière de regagner la confiance des utilisateurs. Il y a beaucoup de personnes réfléchies et dévouées chez Google qui doivent choisir entre faire ce qui est bon et sonner l’alarme sur ce qui ne l’est pas.

La situation chez Facebook est différente. Facebook opère une mine à ciel ouvert de la société humaine. Scruter tout ce que chacun partage dans sa vie sociale en ligne et instrumentaliser le web pour surveiller tout ce que chacun lit en dehors du système est intrinsèquement immoral.

Mais de Facebook, nous n’avons besoin de rien d’autre que de vérité dans sa communication. Nul besoin de règles, de sanctions ni de lignes directrices. Nous avons seulement besoin de vérité. Facebook devrait s’incliner et dire à ses utilisateurs ce qu’il fait. Il devrait dire : « Nous vous observons à chaque instant que vous passez ici. Nous regardons chacun des détails de ce que vous faites. Nous avons mis le Web sur écoute avec des boutons “J’aime” qui nous informent automatiquement de ce que vous lisez. » À chaque parent, Facebook devrait dire : « Vos enfants passent des heures chaque jour avec nous. Nous les espionnons bien plus efficacement que vous ne serez jamais capables de faire. Et nous ne vous dirons jamais ce que nous savons d’eux. »

Rien que cela, juste la vérité. Ce serait suffisant. Mais la bande qui fait tourner Facebook, cette petite poignée de personnes riches et puissantes ne s’abaissera jamais au point de vous dire la vérité.

Mark Zuckerberg a récemment dépensé 30 millions de dollars pour acheter toutes les maisons autour de la sienne à Palo Alto en Californie — parce qu’il a besoin de davantage de vie privée. Cela vaut pour nous aussi. Nous devons manifester des exigences semblables en faveur de notre vie privée, aussi bien auprès des gouvernements que des entreprises.

facebookGator

Les gouvernements, comme je l’ai dit, doivent nous protéger de l’espionnage des gouvernements étrangers et doivent assujettir leurs propres écoutes domestiques aux règles établies par la loi. Les entreprises, pour regagner notre confiance, doivent être honnêtes sur leurs pratiques et leurs relations avec le pouvoir. Nous devons savoir ce qu’elle font réellement afin de décider si nous acceptons ou non de leur confier nos données.

Une grande confusion a été créée par la distinction entre données et métadonnées, comme s’il y avait une différence et que l’espionnage des métadonnées était moins grave. L’interception illégale du contenu d’un message viole le secret de son contenu. L’interception illégale des métadonnées du message viole votre anonymat. Ce n’est pas moins grave, c’est différent et la plupart du temps, c’est plus grave. En particulier, la collecte des métadonnées viole l’anonymat de la lecture. Ce n’est pas le contenu du journal que Douglass lisait qui posait problème ; c’était que lui, un esclave, ait eu l’audace de le lire.

Le président peut s’excuser auprès des citoyens pour l’annulation de leur police d’assurance maladie, mais il ne peut se contenter d’excuses au peuple pour l’annulation de la Constitution. Quand vous êtes président des États-Unis, vous ne pouvez pas vous excuser de ne pas être du côté de Frederick Douglass.

Neuf votes à la Cour suprême des États-Unis peuvent remettre nos lois d’aplomb, mais le président des États-Unis possède l’unique vote qui importe en ce qui concerne la fin de la guerre. Car toute cette destruction de la vie privée par le gouvernement, organisée par-dessus un désastre écologique encore plus étendu causé par l’industrie, tout cet espionnage, c’est un truc de temps de guerre. Le président doit arrêter la guerre qui fait rage au sein du Net et nous dépossède de nos libertés civiles sous prétexte de vouloir priver d’asile les étrangers mal intentionnés.

Un homme qui apporte à la démocratie les preuves de crimes contre la liberté est un héros. Un homme qui vole la vie privée des sociétés humaines à son profit est un malfaiteur. Nous avons suffisamment d’infamie et pas assez d’héroïsme. Nous devons dénoncer cette différence de manière assez vigoureuse pour encourager d’autres personnes à faire ce qui est juste.

Nous avons vu qu’avec un acharnement digne des opérations militaires les grandes oreilles américaines sont engagées dans une campagne contre la vie privée du genre humain. Elles compromettent le secret, détruisent l’anonymat et nuisent à l’autonomie de milliards de personnes.

Elles font tout ceci parce qu’une administration américaine extraordinairement imprudente leur a attribué une mission – après avoir échoué à prévenir une attaque très grave de civils sur le territoire national, en grande partie à cause de sa négligence des mises en garde – en décrétant qu’elle ne serait plus jamais placée dans une situation où « elle aurait dû savoir ».

Le problème fondamental était le manque de discernement des politiques, pas celui des militaires. Quand des chefs militaires se voient assigner des objectifs, ils les atteignent au prix de tout dommage collatéral qu’on ne leur a pas explicitement demandé de ne pas dépasser. C’est pourquoi nous considérons le contrôle civil sur les forces armées comme une condition sine qua non de la démocratie. La démocratie exige également que les citoyens soient informés.

Le peuple des États-Unis ne veut pas devenir la police secrète du monde

Sur ce sujet, Snowden est d’accord avec Thomas Jefferson [auteur principal de la Déclaration d’indépendance américaine], ainsi qu’avec presque toutes les autres personnes qui ont un jour sérieusement réfléchi au problème. Snowden nous a montré l’extraordinaire complicité entre tous les gouvernements. Ils nous a montré, en d’autres termes, que les politiques souhaitées par les peuples sont partout délibérément contrariées par leurs gouvernements. Ce que veulent les peuples, c’est être protégés contre l’espionnage d’origine étrangère ; ils veulent aussi que les activités de surveillance menées par leur propre gouvernement pour assurer la sécurité nationale soient conduites sous l’examen minutieux et indépendant qui caractérise l’État de droit.

Par ailleurs, le peuple des États-Unis n’est pas prêt à abandonner son rôle de porte-drapeau de la liberté dans le monde. Il n’est pas prêt à se lancer à la place dans la dissémination des procédures du totalitarisme. Nous n’avons jamais voté pour cela. Le peuple des États-Unis ne veut pas devenir la police secrète du monde. Si nous avons dérivé dans cette direction parce qu’une administration imprudente a donné le pouvoir aux militaires, il est temps pour le peuple américain d’exprimer son opinion démocratique et sans appel [2].

Nous ne sommes pas les seuls au monde à avoir des responsabilités politiques exigeantes. Le gouvernement britannique doit cesser d’affaiblir les libertés civiles de son peuple et doit cesser d’utiliser son territoire et ses infrastructures de transport comme auxiliaires du mauvais comportement des forces armées américaines. Et il doit cesser de priver la presse de sa liberté. Il doit cesser de mettre sous pression les rédactions qui cherchent à informer le monde des menaces sur la démocratie, alors qu’il se montre assez compréhensif pour les éditeurs qui espionnent les familles de petites filles assassinées.

La chancelière allemande doit arrêter de parler de son téléphone mobile et commencer à s’exprimer sur la question de savoir s’il est bon de livrer tous les appels téléphoniques et tous les SMS d’Allemagne aux États-Unis. Les gouvernements qui sont régis par des constitutions protégeant la liberté d’expression doivent se demander, de toute urgence, si cette liberté continue à exister quand tout est espionné, surveillé, écouté.

Outre faire de la politique, nous devons absolument légiférer. Défendre l’État de droit est toujours un travail de juriste. En certains lieux, ces juristes auront besoin d’être extrêmement courageux ; partout ils devront être bien entraînés ; partout ils auront besoin de notre soutien et de notre implication. Mais il est également clair que soumettre les écoutes gouvernementales à l’autorité de la loi n’est pas le seul travail qui attend les juristes.

Comme nous l’avons vu, les relations entre les grandes oreilles militaires aux États-Unis, les grandes oreilles ailleurs dans le monde et les grandes entreprises d’extraction de données sont trop complexes pour être sans danger pour nous. Les révélations de Snowden ont montré que les géants américains de l’extraction de données ont été intimidés, séduits mais aussi trahis par les oreilles. Cela n’aurait pas dû les surprendre, mais ils l’ont apparemment été. Beaucoup d’entreprises gèrent nos données ; la plupart n’ont pas de responsabilité juridique envers nous qu’on puisse faire respecter. Il y a du travail pour les avocats là aussi.

Aux États-Unis, par exemple, nous devrions en finir avec l’immunité accordée aux opérateurs de télécommunication pour leur assistance dans les écoutes illégales. Cette immunité a été prorogée par la loi en 2008. Pendant la course à la présidence, Barack Obama avait dit qu’il ferait obstruction à cette législation. Or, en août 2008, quand il est apparu clairement qu’il serait le prochain président, il a changé d’avis. Non seulement il a jeté aux orties sa menace d’obstruction, mais en outre il a interrompu sa campagne pour voter en faveur de l’immunité.

Il n’est pas utile de polémiquer sur le bien-fondé de l’extension d’immunité. Nous devons fixer une date – éventuellement le 21 janvier 2017 [3] – après laquelle tout opérateur de télécommunications faisant affaire aux États-Unis et facilitant les écoutes illégales devrait être soumis aux règles du régime ordinaire de la responsabilité civile. Une coalition intéressante entre les juristes spécialisés dans les droits de l’homme et les avocats spécialisés en recours collectifs d’ordre commercial émergerait immédiatement, avec des conséquences très positives.

Si cette non-immunité était étendue aux opérateurs de réseau non américains qui font affaire aux États-Unis, par exemple Deutsche Telekom, cela aurait également d’immenses conséquences positives pour les citoyens des autres pays. Dans tout pays ou l’immunité existe aujourd’hui de facto et peut être levée, elle doit l’être.

Tous les systèmes juridiques connaissent bien les problèmes posés par l’énorme tas de données nous concernant qui sont entre les mains d’autres personnes. Les principes nécessaires sont invoqués chaque fois que vous portez vos vêtements chez le teinturier. Les juristes anglo-saxons appellent ces principes « droit du dépôt » (law of bailment). Ce qu’ils entendent par là, c’est que si vous confiez vos affaires à d’autres, ces derniers doivent en prendre soin au moins autant qu’ils le feraient avec les leurs. À défaut, ils sont responsables de leur négligence.

Nous devons appliquer ce principe de la mise en dépôt, qu’il soit désigné sous ce nom ou un autre dans les vocabulaires juridiques locaux, à toutes les données que nous avons confiées à d’autres personnes. Cela rend ces dernières juridiquement responsables envers nous de la manière dont elles s’en occupent. Il y aurait un énorme avantage à appliquer aux données personnelles le droit du dépôt ou un droit équivalent.

Ces règles sont soumises au droit du lieu où le dépôt est effectué. Si le teinturier choisit de déplacer vos vêtements dans un autre lieu et qu’un incendie y survient, le lieu où le feu s’est déclaré est sans importance : la loi en vigueur est celle du lieu où il a pris en charge vos vêtements. Au contraire, les grandes entreprises d’extraction de données exploitent en permanence la ficelle de la règle du lieu (lex loci) pour leurs serveurs : « Oh, nous ne sommes pas vraiment dans le pays X, nous sommes en Californie, c’est là que nos ordinateurs se trouvent. » C’est une mauvaise habitude juridique. Cela ne les desservirait pas trop si on les aidait à en sortir.

Ensuite, il y a du travail à faire au niveau du droit public international. Nous devons tenir les gouvernements responsables les uns envers les autres afin de remédier à la dévastation environnementale actuelle. Le deux gouvernements les plus puissants du monde, les États-Unis et la Chine, sont maintenant fondamentalement d’accord sur leurs politiques vis-à-vis des menaces sur Internet. Le principe de base est le suivant : « Quel que soit l’endroit du net où existe une menace pour notre sécurité nationale, nous allons l’attaquer. »

Dans les années 50, les États-Unis et l’Union soviétique ont mis le monde en péril d’empoisonnement pour cause d’essais atmosphériques d’armes nucléaires. À leur crédit, ils furent capables de conclure des accords bilatéraux pour les interdire. Les États-Unis et le gouvernement chinois pourraient se mettre d’accord pour ne pas transformer l’humanité en zone de tir à volonté pour l’espionnage. Mais ils ne le feront pas.

Nous devons chercher à obtenir réparation, par les voies politique et judiciaire, pour ce qui nous a été fait. Mais la politique et le droit sont trop lents et trop incertains. Sans solution technique, nous n’y arriverons pas, de même qu’on ne peut décontaminer l’air et l’eau ni agir positivement sur le climat à l’échelle mondiale sans changement technologique.

Partout, les entreprises utilisent des logiciels qui sécurisent leurs communications et une bonne part de ces logiciels sont écrits par nous. Par « nous », j’entends ici les communautés qui partagent du logiciel libre ou open source, communautés avec lesquelles je travaille depuis des décennies.

Les protocoles qui implémentent des communications sécurisées et que les entreprises utilisent entre elles et avec leurs clients (HTTPS, SSL, SSH, TLS, OpenVPN, etc.) ont tous été la cible de l’interférence des grandes oreilles. Snowden a apporté la preuve des efforts qu’ont fait ces dernières pour casser nos chiffrements.

Les oreilles américaines jouent avec le feu d’un désastre financier mondial. Si elles devaient réussir à compromettre les procédés techniques fondamentaux grâce auxquelles les entreprises communiquent de manière sécurisée, il suffirait d’une panne catastrophique pour qu’on bascule dans le chaos financier mondial. Leur conduite apparaîtra rétrospectivement comme aussi irresponsable du point de vue économique que la dévaluation de la monnaie romaine. Ce n’est ni plus ni moins qu’une menace pour la sécurité économique du monde.

La mauvaise nouvelle est qu’elles ont fait quelques pas en direction de la catastrophe irrémédiable. D’abord, elles ont corrompu la science. Elles ont secrètement influencé l’élaboration des standards techniques, affaiblissant ainsi la sécurité de tous, partout, afin de faciliter le vol de données à leur profit.

Ensuite, elles ont volé des clés, comme seuls les voleurs les mieux financés du monde peuvent le faire. Elles ont investi tous les endroits où est fabriqué du matériel intégrant des clés de chiffrement.

Début septembre [4], quand les documents de Snowden sur ce sujet ont été rendus publics, les ondes de choc se sont propagées dans toute l’industrie. Mais les documents divulgués ont également montré que les grandes oreilles sont encore obligées de voler les clés plutôt que de casser nos verrous. Elles ne disposent pas encore de l’expertise technique suffisante pour casser les bases du chiffrement qui forme le socle de l’économie mondiale.

La publication des types de chiffrement que la NSA ne peut casser est la plus incendiaire des révélations de Snowden du point de vue des grandes oreilles. Aussi longtemps que personne ne sait ce qu’elles ne sont pas en capacité de lire, elles jouissent d’une aura d’omniscience. Lorsqu’on saura ce qu’elles ne peuvent pas lire, tout le monde va utiliser ce type de chiffrement et elles seront alors rapidement dans l’incapacité de lire quoi que ce soit.

Nous devons banaliser l’usage par les particuliers de technologies déjà adoptées par les entreprises, visant à sécuriser les communications et protéger la vie privée. Utiliser ces technologies doit être aussi simple qu’installer un détecteur de fumée

Snowden a dévoilé que leurs avancées sur les bases de notre cryptographie étaient bonnes mais pas excellentes. Il nous a aussi montré que nous avons très peu de temps pour l’améliorer. Nous devons nous dépêcher de remédier au tort qui nous a été fait par la corruption des standards techniques. À partir de maintenant, les communautés qui font les logiciels libres de chiffrement pour les autres doivent partir du principe qu’elles se heurtent aux « services nationaux du renseignement ». Dans ce domaine, c’est une mauvaise nouvelle pour les développeurs car il s’agit de jouer dans la cour des grands. Quand vous jouez contre eux, la plus minuscule des erreurs est fatale.

De plus, nous devons modifier l’environnement technique afin qu’il soit plus sûr pour les personnes ordinaires et les petites entreprises. Ceci consiste pour une grande part dans la diffusion de technologies que les grandes entreprises utilisent depuis une décennie et demie. Beaucoup trop peu a été accompli dans ce domaine jusqu’à présent. C’est comme si chaque usine de nos sociétés était équipée d’un système de protection perfectionné contre l’incendie – détecteurs de fumée, détecteurs de monoxyde de carbone, arroseurs, lances à haute pression, extincteurs de haute qualité – alors que les maisons du commun des mortels n’avaient rien de tout ça.

Nous devons banaliser l’usage par les particuliers de technologies déjà adoptées par les entreprises, visant à sécuriser les communications et protéger la vie privée. Utiliser ces technologies doit être aussi simple qu’installer un détecteur de fumée, fixer un extincteur au mur, dire à vos enfants quelle porte prendre si l’escalier brûle ou même attacher une échelle de corde à la fenêtre du premier étage. Rien de tout cela ne règle le problème de l’incendie, mais s’il éclate, ces mesures simples sauveront la vie de vos enfants.

Il existe beaucoup de projets logiciels et de jeunes pousses qui travaillent sur des mesures de ce type. Ma FreedomBox, par exemple, est un de ces projets logiciels bénévoles. Et je suis enchanté de voir s’installer le début d’une concurrence commerciale. Les entreprises sont maintenant averties : les peuples du monde n’ont pas consenti à ce que les technologies du totalitarisme soient ancrées dans chaque foyer. Si le marché leur propose de bons produits, qui rendent l’espionnage plus difficile, ils les achèteront et les utiliseront.

Le courage de Snowden est exemplaire. Mais il a mis fin à ses efforts parce que c’est maintenant qu’il nous faut savoir. Nous devons accepter en héritage sa compréhension de cette situation d’urgence extrême. Nos hommes politiques ne peuvent pas se permettre d’attendre. Ni aux États-Unis, où la guerre doit s’arrêter. Ni dans le monde, où chaque peuple doit exiger de son gouvernement qu’il remplisse son obligation minimale de protection de sa sécurité.

C’est à nous de terminer le travail qu’ils ont commencé.

Nous avons besoin de décentraliser les données. Si nous conservons tout dans un seul grand tas – s’il y a un type qui conserve tous les messages électroniques et un autre qui gère tous les partages sociaux, alors il n’y a aucun moyen véritable d’être plus en sécurité que le maillon le plus faible de la clôture qui entoure ce tas.

En revanche, si chacun de nous conserve ce qui lui est propre, les maillons faibles de la clôture ne livreront à l’attaquant que les affaires d’une et une seule personne. Ce qui, dans un monde gouverné par le principe de l’État de droit, serait optimal : cette seule personne est la personne qu’on peut espionner car on a pour cela des éléments tangibles [5].

La messagerie électronique s’adapte admirablement bien à un système où personne n’est au centre et ne conserve tout. Nous devons créer un serveur de messagerie pour monsieur tout-le-monde, qui coûte moins de cinq euros et puisse être posé à l’endroit où l’on plaçait ordinairement le répondeur téléphonique. Et quand il casse, on le jette.

La décentralisation des partages sociaux est plus difficile, mais reste à notre portée. Pour les personnes engagées et douées pour la technologie partout dans le monde, c’est le moment crucial, car si nous faisons notre travail correctement, la liberté survivra ; et quand nos petits-enfants diront « Alors, qu’avez-vous fait à cette époque ? », la réponse pourrait être « J’ai amélioré SSL. »

Snowden a fait avancer avec noblesse nos efforts pour sauver la démocratie. Ce faisant, il s’est hissé sur les épaules d’autres personnes. L’honneur lui en revient et à eux aussi, mais la responsabilité est nôtre. C’est à nous de terminer le travail qu’ils ont commencé. Nous devons veiller à ce que leur sacrifice ait un sens, veiller à ce que cette nation, toutes les nations, connaissent une renaissance de la liberté, et à ce que le gouvernement du peuple, par le peuple et pour le peuple, ne disparaisse pas de la surface de la Terre.

 

Cet article est dérivé de la série de conférences « Snowden and the Future », donnée à la Columbia Law School fin 2013 et disponible à l’adresse snowdenandthefuture.info. Une première traduction en français de ces conférences a été effectuée par Geoffray Levasseur et publiée à l’adresse www.geoffray-levasseur.org.

 

Notes

[1] En anglais, union signifie à la fois « union » et « syndicat ». Dans la suite du texte, ce mot est employé dans l’un ou l’autre sens.

[2] Register their conclusive democratic opinion : cela fait probablement allusion aux sites web où les habitants d’un État américain peuvent donner leur avis sur les politiques publiques de cet État. Par exemple : http://www.governor.iowa.gov/constituent-services/register-opinion/

[3] Date probable d’investiture du prochain Président des États-Unis.

[4] Septembre 2013.

[5] Probable cause : concept de droit aux États-Unis qui désigne l’existence d’éléments tangibles justifiant des poursuites pénales.

Crédits images

  • Privacy erased par opensource.com (CC-BY-SA)
  • Faceboogator par Dimitris Kalogeropoylos ((CC BY-SA 2.0)



La surveillance, vigile de la paix sociale au service des plus riches ?

Cory Doctorow, auteur de science-fiction canadien et américain, cofondateur du site boing-boing, est l’un de ces monstres sacrés du monde du logiciel libre, du partage de la connaissance, bref, de l’époque qu’Internet profile à l’horizon des historiens du futur. Dans le dernier numéro de LocusMag, journal de science-fiction en langue anglaise, il évoque avec son habituelle précision deux sujets qui me sont chers : la stabilité de nos sociétés et la surveillance des populations. Sur l’instabilité de nos sociétés, j’évoque souvent la complexité croissante du droit, Cory va ici beaucoup plus loin. Sur la surveillance de masse, on compare souvent à tort la NSA et la Stasi d’ex-RDA, à nouveau Doctorow enfonce le clou et nous pousse dans nos derniers retranchements, invitant à mots couverts à une révolution du partage et de l’égalité.
Espérant que vous aurez autant de plaisir à le lire que nous avons eu à le traduire, et remerciant Cory d’avoir accepté la traduction en français de cet article, nous vous invitons au débat…

Benjamin Sonntag

Co-fondateur de la Quadrature du Net

Stabilité et surveillance

doctorowAtDeskpar Cory Doctorow

article original publié initialement dans le numéro de mars 2015 du magazine Locus

Traduction collaborative : Benjamin, catalaburro, bruno, Monsieur Tino, goofy, TeSla, Jerry + anonymes

 

Dans le best-seller économique de Thomas Piketty, paru en 2014, Le capital au XXIe siècle, l’économiste documente avec soin l’augmentation des inégalités dans le monde, phénomène qui a inspiré le printemps arabe, le mouvement Occupy, le Pape François, et de nombreux militants politiques sur toute la planète. Certains critiques de Piketty ont commencé par remettre ses calculs en question, mais sur ce point Piketty semble crédible. L’ensemble de données sur lesquelles il s’est fondé représente un travail de titan, et les données brutes sont en ligne, chacun peut les télécharger, ainsi que les nombreuses notes sur les suppositions et normalisations de données disparates que Piketty a effectuées afin d’obtenir une histoire cohérente. Piketty est l’analyste des analystes, un homme aux chiffres totalement crédibles.

Ensuite vient l’autre critique adressée à Piketty : le « et alors ? ». Les riches deviennent plus riches et les pauvres plus pauvres ? Et alors ? Comme le raille Boris Johnson, le maire de Londres issu d’Eton : « Plus vous secouez le paquet, plus il sera facile à certains cornflakes de remonter à la surface. » En d’autres termes, si le capitalisme rend les riches plus riches, c’est parce qu’ils le méritent, un fait démontré par l’ampleur de leur richesse. Si vous êtes une miette au fond de la boite, vous devez sûrement être nul quelque part.

Piketty ne répond pas à cette critique de manière directe, mais par des références à « l’instabilité sociale ». Il compare fréquemment les inégalités contemporaines avec celles de la veille de la première guerre mondiale (présentée comme une sorte de guerre commerciale entre les super-riches pour savoir qui empochera les richesse des colonies, dès lors qu’il n’y avait plus de nouveau territoire à conquérir) ; il les compare également à celles qui ont précédé la Révolution Française, une comparaison qui va faire hurler les citoyens français, mais paraîtra plus lointaine au lectorat anglais de ce livre.

Voici ce qu’il dit, lorsqu’on lit entre les lignes : quand le fossé entre riches et pauvres devient trop important, les pauvres se mettent à construire des guillotines. Il revient probablement moins cher de redistribuer une partie de votre fortune, méritée ou non, que de payer tous les gardes qui pourraient s’avérer nécessaires pour éviter de vous faire couper la tête.

En d’autres mots, un grand fossé entre riches et pauvres déstabilise les sociétés, et il est compliqué d’être vraiment riche dans une société en proie au chaos. À moins que la population n’adhère au système qui vous a rendu riche, le peuple ne sera pas gêné par le spectacle du pillage de vos biens, et pourrait même y contribuer.

Historiquement ont existé deux modèles de société très stables : celles qui sont fortement redistributives, tels les pays scandinaves (où l’écart entre les plus riches et les plus pauvres est comblé par les impôts, les lois protectrices des employés et des locataires et des politiques sociales étendues) ; et d’autre part les sociétés totalitaires, comme l’Irak de Saddam Hussein ou la Lybie de Muhammar Kadhafi où, au lieu de redistribuer leurs richesses au reste de la population, les élites dirigeantes dépensent au fond moins d’argent pour s’offrir un vaste dispositif répressif composé de soldats, d’espions, d’officiers de police, de mouchards, de propagande et de surveillance. Tout cela est utilisé pour identifier les protestataires qui réclament des changements politiques, puis pour les neutraliser : emprisonnement, diffamation, mise à l’écart du marché du travail, exil, chantage, torture et enfin assassinat.

Samuel Bowles, un économiste du Santa Fe Institute, utilise le terme « travail de protection » [NDT : proposition de traduction pour guard labor, voir cet article] pour décrire toutes les activités destinées à contraindre à la paix sociale les personnes émettant des réserves sur la légitimité d’une société. Faute d’un cadre éthique proclamant que la pauvreté et les souffrances qu’elle provoque doivent être combattues, une élite éclairée devrait chercher à utiliser une combinaison de la redistribution des richesses et du travail de protection pour assurer la stabilité sociale. Si une infime minorité de la société est assez riche, et que tout le reste est assez pauvre, il sera plus coûteux pour la riche minorité d’engager des gardes pour maintenir les masses affamées à l’écart de leurs palais que de nourrir et d’éduquer une partie de la masse, ce qui crée une classe moyenne, une certaine mobilité sociale, ainsi que le sentiment que les riches sont riches parce qu’ils l’ont mérité. Et si vous jouez le jeu, vous pourriez bien en être.

Il en existe des quantités d’exemples, mais mon préféré reste Joseph Williamson, qui a payé pour le creusement de tunnels sous Liverpool après la Première Guerre Mondiale. Williamson était un magnat local qui avait compris que le retour des Tommies traumatisés par l’enfer des tranchées, dans une ville où aucun travail ne les attendait, était probablement une mauvaise nouvelle pour la stabilité de la cité. Williamson utilisa donc une part de sa colossale fortune pour engager les vétérans pour trouer le sol sous Liverpool tel un gruyère, avec des kilomètres et des kilomètres de tunnels ne débouchant sur rien. Le raisonnement — probablement sensé — de Williamson était qu’il était moins coûteux de donner à ces vétérans un salaire et la dignité de travailler plutôt que d’engager des gardes pour se défendre de ces soldats démobilisés qui se sentaient abandonnés par leur patrie.

Tous les emplois de protection ne sont pas forcément coercitifs. Certains jouent sur la persuasion. L’accroissement soudain de la disparité des richesses de l’ère post-Reagan a aussi coïncidé avec la dérégulation des médias de masse, à la fois en termes de renforcement de la propriété et pour l’étendue et la nature des obligations qui incombent aux services publics de programmes, associées à leur licence de diffusion. Il en a résulté une gigantesque révolution économique et technologique dans le monde des médias, qui s’est achevée par la création de cinq énormes empires médiatiques qui détiennent virtuellement à l’échelle du globe toutes les musiques, les films, la diffusion des nouvelles, la presse écrite, l’édition, les câbles et les satellites, et même, dans de nombreux cas, ces entreprises possèdent aussi les tuyaux – ceux du téléphone et du câble.

Cette révolution a rendu plus facile que jamais la diffusion de messages socialement apaisants. De très nombreuses études, l’une après l’autre, ont montré que la presse était favorable au mythe des riches méritants, assimilait les impôts à du vol et se montrait hostile au travail et à la règlementation. L’ascension de Fox News et de son équivalent planétaire Sky News, comme l’effondrement de l’industrie de la presse écrite tombée aux mains de quelques entreprises largement sous la coupe de fonds de pension et de milliardaires, nous a poussés dans une situation où les thèses qui remettent en question la légitimité des grandes fortunes ont une bien faible visibilité.

À la fin du XXe siècle, la révolution des télécoms et des médias a abaissé le coût du travail de protection, modifiant l’équilibre entre la redistribution et le maintien de la stabilité sociale. Quand il devient moins coûteux de protéger votre fortune, vous pouvez vous permettre d’envoyer paître davantage de gens en devenant de plus en plus riche au lieu de partager avec eux.

Le XXIe siècle a été très bienveillant pour le travail de protection. En plus d’avoir permis aux polices locales l’obtention d’armes militaires, le XXIe siècle a vu l’émergence d’Internet et, grâce au manque de régulation, l’émergence d’un petit nombre de géants d’Internet qui savent presque tout ce que fait chacune des 7 milliards de personnes sur terre.

La surveillance massive d’Internet révélée par le lanceur d’alerte Edward Snowden montre que les gouvernements — et les riches qui dominent les cercles politiques en proportion directe du volume de richesse nationale dont ils disposent — ont remarqué que la seule chose dont ils aient besoin pour mettre la terre entière sous surveillance est de corrompre ces géants de l’Internet, que ce soit ouvertement (comme quand l’agence d’espionnage britannique GCHQ paye British Telecom pour pouvoir mettre sur écoute les fibres optiques qui sont sur le territoire britannique) ou secrètement (comme quand la NSA a secrètement mis sur écoute les fibres optiques entre les centres de données informatique utilisés par Google, Yahoo et Facebook).

Il est difficile d’exagérer l’efficacité de la surveillance au XXIe siècle. Les opposants à la surveillance de masse d’Internet aiment comparer la NSA et ses alliés à la Stasi, la police secrète de l’ex-RDA, connue pour son omniprésence dans le quotidien des gens et la surveillance totale dont elle étouffait le pays. Mais la Stasi opérait dans une surveillance pré-Internet, et selon les critères d’aujourd’hui, leur travail de surveillance était extrêmement coûteux.
En 1989, qui fut la dernière année d’activité de la Stasi, il y avait 16 111 000 habitants en Allemagne de l’Est, et 264 096 opérateurs qui d’une manière ou d’une autre étaient rémunérés par la Stasi, dont 173 000 « informateurs officieux » (des mouchards). Ce qui faisait une proportion d’un espion pour 60 personnes.

Il est difficile de savoir avec précision combien de personnes travaillent pour la NSA — une majeure partie de son budget est inconnue, et de nombreuses opérations sont menées par des partenaires privés comme Booz Allen, l’ancien employeur d’Edward Snowden. Mais nous savons combien d’Américains ont une habilitation de sécurité (4,9 millions), et combien sont habilités « Top Secret » (1,4 millions), ce qui fait que nous pouvons être sûrs que moins de 1,4 millions de personnes travaillent sur ces sujets (parce que ces personnes, avec des habilitations « Top Secret », se trouvent réparties entre la CIA, le FBI, la défense fédérale, etc.). De plus, la surveillance menée par la NSA est épaulée par des espions étrangers, en particulier ceux des pays dits des «five eyes » (Canada, Royaume-Uni, Australie et Nouvelle-Zélande [NdT, en plus des États-Unis]), mais ils ne sont qu’une goutte d’eau dans l’océan comparée au dispositif de surveillance américain — les États-Unis représentent à eux seuls un tiers des dépenses mondiales dans le domaine militaire, quand seulement deux autres pays des five eyes (le Royaume-Uni et l’Australie) apparaissent dans les 15 pays aux plus fortes dépenses militaires.

En prenant une estimation large, nous pouvons dire qu’il y a 1,4 millon d’espions travaillant pour la NSA et ses associés, five eyes compris. 1,4 millions de personnes pour surveiller sept milliards d’humains.
Ceci nous donne un ratio espion/sujet d’environ 1/5000, deux ordres de grandeurs de plus qu’à l’époque de l’activité de la Stasi. Celle-ci utilisait une armée pour surveiller un pays ; la NSA utilise un bataillon pour surveiller la planète. Par rapport à la NSA, la Stasi fait figure de bricoleurs du dimanche.
Bien qu’il soit admis que l’arsenal de surveillance américain s’est beaucoup étoffé depuis la présidence Reagan — certaines agences ont vu leurs budgets multipliés par quatre depuis la chute du Mur de Berlin — il n’a certainement pas été centuplé. Même en ne disposant que de budgets obscurs et mensongers, il est évident que l’augmentation géométrique du volume d’espionnage ne s’est accompagné que d’une augmentation linéaire des coûts associés.

En d’autres termes, le coût des éléments clés du travail de protection est en chute libre depuis l’avènement d’Internet.
Nous voici revenus à Piketty et à la stabilité sociale. Les riches ont besoin de stabilité, du moins suffisamment pour que leurs banques et leur business continuent de tourner rond.

Les écarts de richesse déstabilisent la société ; pour retrouver retrouver la stabilité il faut faire un choix : ou bien on paie le prix pour faire sortir les gens de la pauvreté, ou bien on s’assure qu’on a une longueur d’avance sur eux avant qu’ils ne ressortent les guillotines (ou qu’ils abattent le Mur de Berlin). Lorsque le coût du travail de protection diminue, le fossé acceptable entre les riches et les pauvres s’élargit. Une baisse de deux ordres de grandeur du coût nécessaire pour maintenir séparés les loups et les moutons chez les pauvres est un puissant argument contre les programmes sociaux, ou les lois sur le travail, ou les droits des locataires. Bien entendu, la privation rend les populations agitées, mais il est possible, avec une fiabilité incroyable et pour seulement quelques sous, d’identifier les personnes à arrêter, discréditer, faire chanter, ou neutraliser : « Qu’ils consomment des réseaux sociaux ! »

Ce sont de mauvaises nouvelles, car la grande disparité des richesses ne déstabilise pas la société uniquement à cause de la pauvreté, cela la déstabilise aussi à cause de la corruption. Dans une société où les juristes doivent lever des dizaines de millions de dollars pour s’installer et exercer, l’influence des riches grandit. Les régimes autocratiques en sont un bon exemple : vous pouvez aller en prison en Thaïlande pour avoir critiqué le Roi, et dénoncer les conditions de travail esclavagistes au Qatar est un délit.

Mais c’est aussi vrai aux États-Unis. En avril 2014, des universitaires de Princeton et Northwerstern ont publié Test des théories des politiques américains : élites, groupes d’intérêts, et citoyens de base (1), dans la revue Perspectives and Politics. Il s’agissait d’une étude massive de plus de 20 années de combats politiques au sein du Congrès américain et de l’administration, et sa conclusion était que l’issue de ces combats politiques était immanquablement favorable aux 10% des Américains les plus riches. Les décisions politiques favorables aux classes moyennes étaient si rares qu’elle ne dépassaient même pas le niveau de bruit statistique.

L’augmentation de la surveillance implique que les mécanismes de combat contre les inégalités, déjà insuffisants, ont été détournés au profit d’une oligarchie.

Dans une société extrêmement inégalitaire, les seuls projets qui peuvent se développer doivent avoir un vrai modèle économique. Ils doivent rendre riche une personne extérieure au Parlement, pour qu’elle utilise cet argent à influencer les hommes politiques qui vont maintenir et propager ce projet politique.

Il est possible que certaines mesures prises par les États génèrent un surplus de capital pour un nombre restreint de personnes mais demeurent bénéfiques à la société, cependant il y a d’autres domaines où ce n’est sûrement pas le cas. L’éducation, par exemple : vous pouvez tout à fait diriger une école comme une entreprise, ne jurer que par sa « rentabilité », avec des tests standardisés et une surveillance des taux d’absentéisme, plutôt que par le jugement des enseignants, ou les résultats effectifs des apprentissages.

En utilisant cette méthodologie, vous pouvez assurer de confortables profits aux entreprises qui ont compris comment améliorer artificiellement les résultats des tests standardisés, et comment réduire l’absentéisme. Par exemple, en bourrant le crâne des étudiants avec des tests, au lieu de leur enseigner les arts ou le sport, et en mettant à la porte les étudiants qui ont des problèmes avec ces méthodes, ou ceux dont des problèmes personnels leur font manquer de nombreux cours. Cela augmentera encore vos résultats trimestriels d’une façon qui réchaufferait le cœur d’un analyste de Wall Street, mais bonne chance pour trouver quelqu’un avec une certaine crédibilité pédagogique qui pourra prétendre que ces enfants « apprennent ».

socialControl

Je réagis comme vous : ça me fait flipper. L’augmentation de la surveillance implique que les mécanismes de combat contre les inégalités, déjà insuffisants, ont été détournés au profit d’une oligarchie. C’est une bonne raison pour inciter vos amis à utiliser des outils de chiffrement, particulièrement ceux qui sont disponibles en logiciel libre et open source. À l’heure où j’écris ces lignes, en janvier 2015, Obama, l’Avocat général de New York et le patron du FBI ont appelé à l’interdiction de la cryptographie pour le grand public, avec le soutien du Premier Ministre britannique David Cameron. Interdire la cryptographie est un projet ambitieux qui ne risque pas de se concrétiser (il combine les aspects les plus idiots de la guerre contre certaines drogues et ceux de la guerre contre le partage de fichiers), mais cela ne veut pas dire que cette volonté de nous rendre tous vulnérables à la surveillance ne fera pas de mal.

Le temps passe. Il est bientôt minuit. Avez-vous chiffré votre disque dur ?

 

Note

(1) Lien direct vers le PDF en anglais : Testing Theories of American Politics: Elites, Interest Groups, and Average Citizens

 

Crédit photo

* Cory Doctorow par Joi Ito (CC BY 2.0)




Sécurité de nos données : sur qui compter ?

Un des meilleurs experts indépendants en sécurité informatique résume ici parfaitement ce qui selon lui constitue un véritable problème : notre dépendance aux commodités que nous offrent les entreprises hégémoniques de l’Internet. Nous bradons bien facilement nos données personnelles en échange d’un confort d’utilisation dont on ne peut nier sans hypocrisie qu’il nous rend la vie quotidienne plus facile.

Dès lors que nous ne pouvons renoncer aux facilités que nous procurent Google, Facebook et tous les autres, pouvons-nous espérer que les technologies de sécurité nous épargnent un pillage de nos données personnelles ? Rien n’est moins sûr, selon Bruce Schneier, qui en appelle plutôt à la loi qu’à la technique.

 

Goofy.

 

Traduction Framalang : Simon, Docendo, KoS, goofy, audionuma, seb, panini, lamessen, Obny, r0u

Article original : Everyone Wants You To Have Security, But Not from Them

Ils veulent tous notre sécurité, mais pas grâce à d’autres

Bruce Schneier, exepert en sécurité informatiquepar Bruce Schneier

En décembre dernier, le PDG de Google Eric Schmidt a été interviewé lors d’une conférence sur la surveillance de l’Institut CATO. Voici une des choses qu’il a dites, après avoir parlé de certaines des mesures de sécurité que son entreprise a mises en place après les révélations de Snowden : « si vous avez des informations importantes, l’endroit le plus sûr pour les garder, c’est chez Google. Et je peux vous assurer que l’endroit le plus sûr pour ne pas les conserver en sécurité, c’est partout ailleurs ».

J’ai été surpris, parce que Google collecte toutes vos informations pour vous présenter la publicité la plus ciblée possible. La surveillance est le modèle économique d’Internet, et Google est l’une des entreprises les plus performantes en la matière. Prétendre que Google protège vos données mieux que quiconque, c’est méconnaître profondément ce pourquoi Google conserve vos données gratuitement.

Je m’en suis souvenu la semaine dernière lorsque je participais à l’émission de Glenn Back avec le pionnier de la cryptographie Whitfield Diffie. Diffie a déclaré :


Vous ne pouvez pas avoir de vie privée sans sécurité, et je pense que nous avons des défaillances flagrantes en sécurité informatique, pour des problèmes sur lesquels nous travaillons depuis 40 ans. Vous ne devriez pas vivre avec la peur d’ouvrir une pièce jointe dans un message. Elle devrait être confinée ; votre ordinateur devrait être en mesure de la traiter. Et si nous avons continué depuis des dizaines d’années sans résoudre ces problèmes, c’est en partie parce que c’est très difficile, mais aussi parce que beaucoup de gens veulent que vous soyez protégés contre tout le monde… sauf eux-mêmes. Et cela inclut tous les principaux fabricants d’ordinateurs qui, grosso modo, veulent contrôler votre ordinateur pour vous. Le problème, c’est que je ne suis pas sûr qu’il existe une alternative viable.

Cela résume parfaitement Google. Eric Schmidt veut que vos données soient sécurisées. Il veut que Google soit le lieu le plus sûr pour vos données tant que vous ne vous préoccupez pas du fait que Google accède à vos données. Facebook veut la même chose : protéger vos données de tout le monde sauf de Facebook. Les fabricants de matériels ne sont pas différents. La semaine dernière, on a appris que Lenovo avait vendu des ordinateurs avec un logiciel publicitaire préinstallé, appelé Superfish, qui casse la sécurité des utilisateurs pour les espionner à des fins publicitaires.

C’est la même chose pour les gouvernements. Le FBI veut que les gens utilisent un chiffrement fort, mais veut des portes dérobées pour pouvoir accéder à vos données. Le Premier ministre britannique David Cameron veut que vous ayez une sécurité efficace, tant qu’elle n’est pas trop forte pour vous protéger de son gouvernement. Et bien sûr, la NSA dépense beaucoup d’argent pour s’assurer qu’il n’y a pas de sécurité qu’elle ne puisse casser.

Les grandes entreprises veulent avoir accès à vos données pour leurs profits ; les gouvernements les veulent pour des raisons de sécurité, que ces raisons soient bonnes ou moins bonnes. Mais Diffie a soulevé un point encore plus important : nous laissons beaucoup d’entreprises accéder à nos informations parce que cela nous facilite la vie.

J’ai abordé ce point dans mon dernier livre, Data and Goliath :


Le confort est l’autre raison pour laquelle nous cédons volontairement des données hautement personnelles à des intérêts privés, en acceptant de devenir l’objet de leur surveillance. Comme je ne cesse de le dire, les services basés sur la surveillance sont utiles et précieux. Nous aimons pouvoir accéder à notre carnet d’adresses, notre agenda, nos photos, nos documents et tout le reste sur n’importe quel appareil que nous avons à portée de la main. Nous aimons des services comme Siri et Google Now, qui fonctionnent d’autant mieux quand ils savent des tonnes de choses sur nous. Les applications de réseaux sociaux facilitent les sorties entre amis. Les applications mobiles comme Google Maps, Yelp, Weather et Uber marchent bien mieux et plus rapidement lorsqu’elles connaissent notre localisation. Permettre à des applications comme Pocket ou Instapaper de connaître nos lectures semble un prix modique à payer pour obtenir tout ce que l’on veut lire à l’endroit qui nous convient. Nous aimons même quand la publicité cible précisément ce qui nous intéresse. Les bénéfices de la surveillance dans ces applications, et d’autres, sont réels et non négligeables.

trap

Comme Diffie, je doute qu’il existe une alternative viable. Si Internet est un exemple de marché de masse à l’échelle de la planète, c’est parce que toute l’infrastructure technique en est invisible. Quelqu’un d’autre s’en occupe pour vous. On veut une sécurité forte, mais on veut aussi que les entreprises aient accès à nos ordinateurs, appareils intelligents et données. On veut que quelqu’un d’autre gère nos ordinateurs et smartphones, organise nos courriels et photos, et nous aide à déplacer nos données entre nos divers appareils.
Tous ces « quelqu’un d’autre » vont nécessairement avoir la capacité de violer notre vie privée, soit en jetant carrément un coup d’œil à nos données soit en affaiblissant leur sécurité de façon à ce qu’elles soient accessibles aux agences nationales de renseignements, aux cybercriminels, voire les deux. La semaine dernière, on apprenait que la NSA s’était introduite dans l’infrastructure de la société néerlandaise Gemalto pour voler les clés de chiffrement de milliards, oui, des milliards de téléphones portables à travers le monde. Cela a été possible parce que nous, consommateurs, ne voulons pas faire l’effort de générer ces clés et configurer notre propre sécurité lorsque nous allumons pour la première fois nos téléphones ; nous voulons que ce soit fait automatiquement par les fabricants. Nous voulons que nos données soient sécurisées, mais nous voulons que quelqu’un puisse les récupérer intégralement lorsque nous oublions notre mot de passe.

Nous ne résoudrons jamais ces problèmes de sécurité tant que nous serons notre pire ennemi. C’est pourquoi je crois que toute solution de sécurité à long terme ne sera pas seulement technologique, mais aussi politique. Nous avons besoin de lois pour protéger notre vie privée de ceux qui respectent les lois, et pour punir ceux qui les transgressent. Nous avons besoin de lois qui exigent de ceux à qui nous confions nos données qu’ils protègent nos données. Certes, nous avons besoin de meilleures technologies de sécurité, mais nous avons également besoin de lois qui imposent l’usage de ces technologies.

Crédit photo : Nicubunu (CC BY-SA 2.0)




Le guide « Autodéfense courriel » de la FSF traduit en français par l’April et Framasoft

Reset The Net

L’April et Framasoft ont le plaisir d’annoncer la mise en ligne de la version française du guide « Autodéfense courriel » de la Fondation pour le Logiciel Libre. Cette dernière vient en effet d’annoncer la mise en ligne de traductions de son guide « Email Self-Defense » dont la version française a été assurée par l’April et Framasoft[1]. Le guide est désormais disponible en 7 langues en attendant d’autres traductions.

L’objectif du guide est de montrer à tout le monde que dans un monde de surveillance généralisée le chiffrement des courriels est nécessaire et accessible. Comme le disait récemment Edward Snowden « adopter le chiffrement est la première mesure efficace que tout le monde peut prendre pour mettre fin à la surveillance de masse ».

Le guide de la Fondation pour le Logiciel Libre est disponible en :

Outre le guide, une infographie est également disponible.

« Les traductions de ce guide le rendent accessible aux lecteurs non-anglophones. Cet effort a été possible par la mobilisation de bénévoles de l’April et de Framasoft pour la version française, nous les remercions chaleureusement » a déclaré Frédéric Couchet, délégué général de l’April.

-> Le guide « Autodéfense courriel »

L’image en illustration est sous licence CC-By et nous vient de Journalism++.

Notes

[1] Les personnes qui ont participé à la traduction sont Diab, Asta, rigelk, marc, simon, Guillaume/gyom, Régis Desroziers (r0u), Christian, Seb, Pierrick, goofy, Thérèse.




Geektionnerd : TrueCrypt

geektionnerd_196-1_simon-gee-giraudot_cc-by-sa.jpg

geektionnerd_196-2_simon-gee-giraudot_cc-by-sa.jpg

Sources sur Numerama :

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)




GnuPG a 16 ans et est en campagne

GnuPG, célèbre logiciel libre de chiffrement des messages fête ses 16 ans aujourd’hui. Et dieu sait si on en a besoin aujourd’hui pour préserver sa vie privée.

Raison de plus pour relayer et soutenir leur campagne de crowdfunding sur Goteo.

GnuPG Logo

16 Ans de protection de la vie privée

16 Years of protecting privacy

Sam Tuke – 20 décembre 2013 – GnuPG Blog
(Traduction : axl, z1tor, crendipt, FF255)

Aujourd’hui marque les 16 ans depuis la première version de GNU Privacy Guard (GnuPG). Pendant ce temps le projet est passé d’un simple hobby de hackers à un des outils les plus importants de l’anti-surveillance dans le monde. Aujourd’hui GnuPG reste un acteur important de la bataille entre surveillance intrusive et libertés citoyennes.

« Avec le temps, le logiciel libre a su se montrer un rempart efficace contre les entreprises et les gouvernements qui cherchent à nuire à la vie privée des citoyens » déclare Werner Koch, fondateur et développeur principal de GnuPG. « Bien que trouver des mécènes pour notre travail n’ait jamais été facile, avoir des outils pour la vie privée, accessibles à tous, se montre de plus en plus nécessaire. »

Certains des spécialistes mondiaux en sécurité, comme Bruce Schneier, Jacob Appelbaum et Phil Zimmerman – inventeur de PGP, utilisent maintenant GnuPG. Cet été, grâce à des lanceurs d’alerte, le monde a appris à quel point les gouvernements espionnaient les gens, et des journalistes utilisent désormais GnuPG pour chiffrer leurs courriels. Des références sur le marché des serveurs, tels que Red Hat et Debian, ont bâti leur réputation de sécurité sur des logiciels vérifiés par GnuPG.

« Le succès de la première campagne de crowdfunding de GnuPG, lors de laquelle 90% des objectifs ont été remplis en 24 heures, montre à quel point les utilisateurs sont prêts à soutenir GnuPG et ouvre de nouvelles opportunités pour le développement du projet » déclare Sam Tuke, qui gère la campagne de GnuPG. « La prochaine sortie de la version 2.1 de GnuPG et le lancement d’un nouveau site plus ergonomique vont accroître l’audience du programme et de ses versions pour Windows, Mac, Gnu/Linux et Android. »

Au fil des années GnuPG a évolué avec de nouveaux algorithmes, telle que la cryptographie à courbe elliptique, et s’est montré réactif face à de nouvelles menaces comme la récupération de clé via la surveillance acoustique. Les membres de GnuPG restent confiants sur le futur de l’application et sont prêts, avec l’aide de la communauté, à faire face à de nouvelles futures menaces sur la vie privée.




Le chiffrement, maintenant (la récap’)

Voici la dernière livraison de notre traduction par épisodes de Encryption Works. Vous trouverez ci-dessous les quelques lignes qui concluent l’ouvrage original ainsi que des liens vers le miniguide de 30 pages en français qui réunit les épisodes en un seul document.

Une chance de s’en sortir

Protéger sa vie privée à l’ère de la surveillance omniprésente de la NSA est incroyablement complexe. L’effort d’acquisition des concepts à maîtriser, représente une sacrée courbe d’apprentissage, plus ou moins facilitée par l’utilisation des logiciels déjà disponibles. Mais même avec un accès direct à toutes les données transitant à la vitesse de la lumière par les fibres optiques, formant l’épine dorsale d’Internet, même avec la coopération des principales entreprises des États-Unis (qu’il est extrêmement difficile pour les gens de boycotter), le plus grand, le plus puissant et le meilleur système de surveillance que l’humanité ait jamais connu ne pourra pas battre les mathématiques. Le défi pour le nouveau mouvement cypherpunk est de rendre la sécurité et le chiffrement vérifiés de bout à bout accessibles à tout le monde et activés par défaut.

L’ensemble du guide en une seule fois

Cliquez sur le lien avec le bouton droit, puis « Enregistrer la cible du lien sous… »

Pour aller plus loin, appel à contributions

Ce guide n’a pas la prétention de proposer une couverture exhaustive d’une question aussi épineuse. C’est pourquoi, si vous souhaitez contribuer à proposer un guide plus complet, nous vous invitons à apporter votre pierre à ce projet : Votre sécurité sur Internet, notions de base (un gros ouvrage de plus de 400 pages). Le travail est actuellement en cours sur la plateforme Flossmanuals francophone sur laquelle il faut donc s’inscrire pour pouvoir modifier/traduire le texte. Quelques points importants :

  • Le premier jet de traduction a déjà été réalisé (notamment pour plusieurs chapitres par des étudiants de l’INRIA de Rouen encadrés par leur enseignant).
  • Nous avons besoin :
  • — de contributeurs capables de proposer des images d’illustration (captures d’écran) avec des textes inclus en français

    — de relecteurs spécialisés et compétents sur les problèmes techniques de sécurité, car outre la bonne conformité des termes employés, ils devront réviser voire refondre certains chapitres qui ne seraient plus tout à fait à jour, particulièrement en fonction des dernières révélations sur les capacités de nuisance de la NSA.

  • Ceux qui estimeront qu’il manque des informations voire un chapitre etc. pourront tout à fait ajouter ce qu’ils estiment nécessaire sur la plateforme.

— à bientôt !