La face cachée du web, de la vie, de l’univers, du reste

Nous sommes bombardés presque chaque semaine d’alertes à la catastrophe numérique ou de pseudo-enquêtes au cœur du Dark Web, censé receler des dangers et des malfaisants, quand il ne s’agit pas d’une conspiration pour diriger le monde.

Une fois retombé le coup de trouille, on se remet à regarder des photos de chatons sur le ouèbe. Mais un éclair de lucidité, parfois, troue le brouillard : comment je sais ce qu’il y a de vrai là-dedans ? Entre la fantasque théorie du complot et les authentiques agissements de personnages obscurs, comment trier ?
Il n’est pas facile d’accéder à une information fiable : les spécialistes sont peu nombreux, plutôt discrets (nous avons par exemple vainement essayé pendant deux ans d’obtenir une interview d’une « pointure »), voire peu enclins à communiquer au-delà des anathèmes volcaniques qu’ils déversent de loin en loin sur les mauvaises pratiques, ce qui n’aide pas trop le commun des mortels.

C’est pourquoi la parution récente du livre de Rayna Stamboliyska « La face cachée d’Internet » nous apparaît comme une excellente nouvelle : son livre est celui d’une spécialiste qui s’efforce de mettre à notre portée des éléments parfois épineux à comprendre. Quand on a comme elle fait une thèse en génétique et bio-informatique et un master spécialisé en « défense, sécurité et gestion de crise », on n’a pas forcément l’envie et le talent de s’adresser à tous comme elle fait fort bien.

Merci donc à Rayna pour cet effort d’éducation populaire et pour avoir accepté de répondre à quelques questions pour le Framablog, parce qu’elle ne mâche pas ses mots et franchement ça fait plaisir.

 

Salut Rayna, peux-tu te présenter ?

— Je trolle, donc je suis ?

Ce qui m’intéresse, c’est la gestion de l’incertitude et comment les organisations y font face. Du coup, j’ai tendance à saouler tout le monde quand je parle de sextoys connectés par exemple, parce que ça tourne notamment autour des modèles de menaces et des façons de les pwn (i.e., les compromettre techniquement).

Au cours de mes études, ma thématique a toujours été l’impact de la technique et des données (qu’elles soient ouvertes ou non) sur nous, avec un focus qui a graduellement évolué pour passer de la recherche vers les situations de conflits/post-conflits (armés, j’entends), vers l’évaluation de risques et la gouvernance de projets techniques en lien avec les données.

Avoir un nom d’espionne russe, c’est cool pour parler de surveillance de masse ?

Mmmm, je suis plus parapluie bulgare que tchaï au polonium russe, mais admettons. Quant à la surveillance de masse… faut-il une nationalité particulière pour s’en émouvoir et vouloir s’y opposer ?

Ce que mes origines apportent en réalité, c’est une compréhension intime d’enjeux plus globaux et de mécanismes de gouvernance et d’influence très différents auxquels les pays occidentaux dont la France n’ont pas été franchement confrontés. Ainsi, les oppositions que je peux formuler ne sont pas motivées par une position partisane en faveur de telle asso ou telle autre, mais par des observations de comment ça marche (#oupas) une fois implémenté.

C’est sûr, la Stasi et les régimes communistes totalitaires de l’Est n’appelaient pas ça big data ; mais l’idée était la même et l’implémentation tout aussi bancale, inutile et inefficace. La grosse différence est probablement que ces régimes disposaient de cerveaux humains pour analyser les informations recueillies, chose qui manque cruellement à l’approche actuelle uniquement centrée sur la collecte de données (oui, je sais, il y a des algorithmes, on a de la puissance de calcul, toussa. Certes, mais les algos, c’est la décision de quelqu’un d’autre).

Au risque de vous spoiler la fin de mon bouquin, il faut bien comprendre ce qui se joue et y agir avec finesse et pédagogie. La recherche du sentiment de sécurité nous est inhérente et, rappelons-le, est très souvent indépendante de la réalité. Autrement dit, on peut très bien se sentir protégé⋅e alors que les conditions matérielles ne sont pas réunies pour qu’on le soit. Mais parfois, le sentiment de sécurité, même s’il n’est pas fondé, suffit pour prévenir de vrais problèmes. Il y a donc un équilibre vraiment difficile à trouver : c’est le moment de sortir le cliché des 50 nuances de sécu et d’en rajouter une couche sur la finesse et la pédagogie des approches. Si nous sommes les sachant⋅e⋅s d’un domaine, alors comportons-nous en adultes responsables et faisons les choses correctement.

Dans le cas de la surveillance généralisée, ces efforts sont d’autant plus indispensables qu’on est face à une situation très complexe où des questions techniques, politiques et de sécurité des populations se mélangent. Il ne faut pas oublier qu’on n’est pas outillés pour comprendre comment fonctionne le renseignement uniquement parce qu’on est un⋅e adminsys qui tue des bébés phoques à coup de Konsole (oui, je suis une fière fan de KDE).

Et Malicia Rogue, elle va bien ? Pourquoi cette double identité en ligne ?

Nous allons bien, merci 🙂 La double identité date d’il y a très longtemps (2005, par là) et elle était à l’origine motivée par le fait que la science et la politique ne font pas bon ménage. En effet, dans une précédente vie, je faisais de la recherche (génétique évolutive, maladies infectieuses, bio-informatique) ; dans ce monde-là, la prise de position politique est souvent perçue comme une tare. Du coup, il était important de tenir les deux identités séparées, de la façon la plus étanche possible de préférence.

Est-ce que tu es une Anonymousse (au chocolat) ?

Oui, mais chocolat noir seulement, et merci de me passer la cuillère aussi.

Nous, on sait que tu es légitime pour parler de sécurité informatique, mais on a vu que dans un milieu souvent très masculin tu t’es heurtée à des personnes qui doutaient à priori de tes compétences. Et ne parlons pas des premiers à réagir qui n’ont rien lu mais tout compris  ! Pas de problème de ce côté avec ton éditeur ?

Alors, plusieurs choses ici. Je sais que ça va susciter l’ire de plein de gens, mais il faut dire les choses clairement : il y a un sexisme quotidien dans les milieux tech et science. Je suis sûre que ça existe ailleurs aussi, hein, mais disons que ce qui nous préoccupe ici, c’est le milieu tech.

C’est un grand mystère, d’ailleurs. Je viens de l’Est, où malgré toutes les mauvaises choses, les organes génitaux de naissance n’ont pas vraiment été un critère de compétence. On m’a éduquée à faire des choses réfléchies et à savoir argumenter et structurer mes opinions : ce sont les actions qui parlent. La pire discrimination à laquelle j’ai eue à faire face, a été de faire de la bio (une « sous-science » pour mes profs de maths à la fac et ma mère, prof de maths sup’ aussi).

Du coup, débarquer en Europe de l’Ouest et dans le pays des droits humains pour me heurter à la perception qu’avoir des ovaires fait de quelqu’un un sous-humain a été un choc. Et c’est encore pire quand on y pense : les stéréotypes sexistes, c’est bidirectionnel, ils font pareillement mal à toutes les personnes qui les subissent. J’ai décidé de continuer à faire comme d’habitude : construire des trucs. Si je commets des erreurs, je corrige, et si on m’embête inutilement, je mords poliment. 🙂

C’est harassant à la longue, hein. Je pense qu’il faut réguler ce genre de réactions, ensemble. C’est très simple : si l’on vous fait vous sentir que vous êtes malvenu⋅e, la plupart du temps la réaction est la fuite. Si on me fait me sentir malvenue, je pars, je serai bien accueillie ailleurs et les projets passionnants avec des gens adorables ne manquent pas. Alors, c’est dommage pour les projets, certes intéressants, mais portés par ceux et celles qui s’imaginent qu’être rustre à longueur de journée, c’est avoir un caractère fort et assumé.

Quant à mon éditeur… On a passé plus de 4 heures à discuter lors de notre première rencontre, il fallait cadrer le sujet et le calendrier. La question de genre ne s’est jamais posée. J’avais face à moi des gens intéressés et passionnés, j’ai fait de mon mieux pour répondre à la demande et … c’est tout. 🙂

Tu es proche des assos du libre ou farouchement indépendante ?

Les deux, mon capitaine. Même si j’apprécie mon statut d’électron libre.

Ton bouquin parle du darkweb. Mais alors ça existe vraiment ?

Beh oui. C’est l’ensemble des pages web dont la CSS contient :

body {
    background: #000 !important;
}

Ton ouvrage est particulièrement bienvenu parce qu’il vise à démystifier, justement, ce fameux darkweb qui est surtout une sorte de réservoir à fantasmes divers.

Une petite critique tout de même : la couverture fait un peu appel au sensationnalisme, non ?

C’est ton choix ou celui de l’éditeur ?

Alors… il y a eu plusieurs versions de couverture sur lesquelles j’ai eu un pouvoir limité. La v.1 était la pire : il y avait un masque Anonymous dessus et du code Visual Basic en arrière-plan. J’ai proposé de fournir des bouts de vrai code de vrais malwares en expliquant que ça nuirait sensiblement à la crédibilité du livre si le sujet était associé pour la postérité à une disquette. Par la suite, le masque Anonymous a été abandonné, j’aime à penser suite à mes suggestions de faire quelque chose de plus sobre. On est donc resté sur des bouts du botnet Mirai et du noir et rouge.

Outre le fait que ce sont mes couleurs préférées et qu’elles correspondent bien aux idées anarchistes qui se manifestent en filigrane ci et là, je l’aime bien, la couv’. Elle correspond bien à l’idée que j’ai tenté de développer brièvement dans l’intro : beaucoup de choses liées au numérique sont cachées et il est infiniment prétentieux de se croire expert ès tout, juste parce qu’on tape plus vite sur son bépo que le collègue sur son qwerty. Plus largement, il y a une vraie viralité de la peur à l’heure du numérique : c’est lorsque le moyen infecte le message que les histoires menaçantes opèrent le mieux, qu’elles aient ou non un fondement matériel. Dans notre cas, on est en plein dans la configuration où, si on pousse un peu, « Internet parle de lui-même ».

Enfin, les goûts et les couleurs… Ce qui me fait le plus halluciner, c’est de voir le conditionnement chez de nombreuses personnes qui se veulent éduquées et critiques et qui m’interpellent de façon désobligeante et misogyne sur les réseaux sociaux en m’expliquant qu’ils sont sûrs que ce que je raconte est totalement débile et naze parce que la couverture ne leur plaît pas. Je continue à maintenir que ce qui compte, c’est le contenu, et si d’aucuns s’arrêtent aux détails tels que le choix de couleurs, c’est dommage pour eux.

Élection de Trump, révélations de Snowden, DieselGate, Anonymous, wannaCry, tous ces mots à la mode, c’est pour vendre du papier ou il faut vraiment avoir peur ?

Da.

Plus sérieusement, ça ne sert à rien d’avoir peur. La peur tétanise. Or, nous, ce qu’on est et ce qu’on veut être, c’est des citoyens libres ET connectés. C’est comprendre et agir sur le monde qu’il faut, pas se recroqueviller et attendre que ça se passe. J’en profite d’ailleurs pour rappeler qu’on va nous hacher menu si on ne se bouge pas : revoyons nos priorités, les modèles de menaces législatifs (au hasard, le projet de loi anti-terrorisme), soutenons La Quadrature, des Exégètes, etc. et mobilisons-nous à leurs côtés.

Est-ce que tu regrettes qu’il n’y ait pas davantage d’implication militante-politique chez la plupart des gens qui bossent dans le numérique ?

Oui. Du coup, c’est digital partout, numérique nulle part. J’ai vraiment l’impression d’être projetée dans les années où je devais prévoir deux identités distinctes pour parler science et pour parler politique. Aujourd’hui, ce non-engagement des scientifiques leur vaut des politiques publiques de recherche totalement désastreuses, des gens qui nient le changement climatique à la tête du ministère de la recherche aux USA, etc. Le souci est là, désolée si je radote, mais : si on n’est pas acteur, on est spectateur et faut pas venir couiner après.

Quel est le lectorat que vise ton livre : le grand public, les journalistes, la communauté de la sécurité informatique… ? Est-ce que je vais tout comprendre ?

Il y a un bout pour chacun. Bon, le grand public est une illusion, au même titre que la sempiternelle Mme Michu ou que sais-je. Cette catégorie a autant d’existence que « la ménagère de moins de 50 ans » dans le ciblage publicitaire de TF1. J’ai aussi gardé mon style : je parle comme j’écris et j’écris comme je parle, je crois que ça rend la lecture moins pénible, enfin j’espère.

Les non-sachants de la technique ne sont pas des sous-humains. Si on veut travailler pour le bien de tous, il faut arrêter de vouloir que tout le monde voie et vive le monde comme on veut. Vous préférez que votre voisin utilise Ubuntu/Debian/Fedora en ayant la moitié de sa domotique braillant sur Internet et en risquant un choc anaphylactique face au premier script kiddie qui pwn son frigo connecté pour déconner, ou bien que les personnes utilisent des outils de façon plus sensible et en connaissance des risques ? Perso, à choisir, je préfère la 2e option, elle m’a l’air plus durable et contribue – je crois – à réduire la quantité globale d’âneries techniques qui nous guettent. Parce que la sécurité du réseau est celle de son maillon le plus faible. Et on est un réseau, en fait.

Je pense que chacun y trouvera des choses à se mettre sous la dent : une lecture moins anxiogène et plus détaillée de certains événements, une vision plus analytique, des contextualisations et une piqûre de rappel que les clicodromes et les certifs ne sont pas l’alpha et l’oméga de la sécurité, etc. Les retours que je commence à avoir, de la part de gens très techniques aussi, me confortent dans cette idée.

Tu rejoins la position d’Aeris qui a fait un peu de bruit en disant : « On brandit en permanence le logiciel libre à bout de bras comme étant THE solution(…). Alors que cette propriété n’apporte en réalité plus aucune protection. » ?

Je l’ai même référencé, c’est dire 🙂

Plus largement, j’ai été très vite très frustrée par le fait que les libertés fournies par le logiciel libre ignorent totalement … ben tout le reste. Il a fallu attendre des années pour que le discours autour du logiciel englobe aussi les données, les contenus éducatifs, les publications scientifiques, etc. Il n’y a pas de synthèse et les voix qui appellent à une vision plus systémique, donc à des approches moins techno-solutionnistes, sont très rares. La réflexion d’Aeris est une tentative appréciable et nécessaire de coup de pied dans la fourmilière, ne la laissons pas péricliter.

Qu’est-ce qui est le plus énervant pour toi : les journalistes qui débitent des approximations, voire des bêtises, ou bien les responsables de la sécu en entreprise qui sont parfois peu compétents ?

Les deux. Mais je pense que de nombreux journalistes prennent conscience d’ignorer des choses et viennent demander de l’aide. C’est encourageant 🙂 Quant aux RSSI… il y a de très gros problèmes dans les politiques de recrutement pour ces postes, mais gardons ce troll cette discussion pour une prochaine fois.

L’un de tes titres est un poil pessimiste : « on n’est pas sorti de l’auberge ». C’est foutu, « ils » ont gagné ?

« Ils » gagneront tant qu’on continue à s’acharner à perdre.

Je suis un utilisateur ordinaire d’Internet (chez Framasoft, on dit : un DuMo pour faire référence à la famille Dupuis-Morizeau), est-ce que j’ai un intérêt quelconque à aller sur le darkweb ? Et si j’y vais, qu’est-ce que je risque ?

Je ne sais pas. Je suis une utilisatrice ordinaire des transports en commun, est-ce que j’ai un intérêt quelconque à aller en banlieue ? L’analogie m’est soufflée par cet excellent article.

Mais bon, j’ai assez spoilé, alors je ne dirai qu’une chose : GOTO chapitre 3 de mon livre, il ne parle que de ça. 😉

On a noté un clin d’œil à Framasoft dans ton livre, merci. Tu nous kiffes ?

Grave. 🙂

Mais alors pourquoi tu n’as pas publié ton bouquin chez Framabook ?

Parce que ce n’est pas à « nous » que je m’adresse . La famille Michu, la famille DuMo, bref, « les gens » quoi, ont des canaux d’information parallèles, voire orthogonaux à ceux que nous avons. Je ne veux pas prêcher des convaincus, même si je sais très bien que les sachants de la technique apprendront beaucoup de choses en me lisant. Ce n’est pas de la vantardise, ce sont des retours de personnes qui m’ont lue avant la publication, qui ont fait la relecture ou qui ont déjà fini le bouquin. Pour parler à autrui, il faut le rencontrer. Donc, sortir de chez nous !

D’ailleurs, j’en profite pour râler sur ces appellations ignares auxquelles je cède parfois aussi : Mme/la famille Michu, la famille DuMo ou, pire, le déshumanisant et préféré de nombreux libristes qu’est « les gens ». Ce sont d’autres humains et on ne peut pas se plaindre qu’ils ne veulent pas s’intéresser à nos sujets super-méga-trop-bien en les traitant d’imbéciles. On est toujours les gens de quelqu’un (dixit Goofy que je cite en l’état parce qu’il a raison).

Tu déclares dans un Pouet(*) récent : « …à chaque fois que le sujet revient sur le tapis, je me pose la même question : devrait-on continuer à décentraliser (== multiplier de très nombreuses structures petites, agiles *et* potentiellement fragiles) ou clusteriser davantage pour faire contrepoids ? Je n’ai pas de réponse pour l’instant… » Est-ce que tu es sceptique sur une initiative comme celle des CHATONS, qui vise justement à décentraliser ?

Ce n’est pas une question de scepticisme à l’égard de [insérer nom de techno/asso/initiative chérie ici].

Prenons un exemple annexe : l’anarchisme comme mode d’organisation politique. Fondamentalement, c’est le système le plus sain, le plus participatif, le moins infantilisant et le plus porteur de libertés qui soit (attention, je parle en ayant en tête les écrits des théoriciens de l’anarchisme, pas les interprétations de pacotille de pseudo-philosophes de comptoir qu’on nous sert à longueur de journée et qui font qu’on a envie de se pendre tellement ça pue l’ignorance crasse).

Il y a cependant différents problèmes qui ont cristallisé depuis que ce type d’organisation a été théorisé. Et celui qui m’apparaît comme le plus significatif et le moins abordé est la démographie. Faire une organisation collégiale, avec des délégués tournants, ça va quand on est 100, 10 000 ou même 1 million. Quand on est 7 milliards, ça commence à être très délicat. Les inégalités n’ont pas disparu, bien au contraire, et continuent à se transmettre aux générations. Les faibles et vulnérables le demeurent, au mieux.

Résultat des courses : il y a une vision élitiste – et que je trouve extrêmement méprisante – qui consiste à dire qu’il faut d’abord éduquer « les gens » avant de les laisser s’impliquer. Le problème avec la morale, c’est que c’est toujours celle des autres. Alors, le coup de « je décide ce qui constitue une personne civiquement acceptable d’après mon propre système de valeurs qui est le plus mieux bien de l’univers du monde » est constitutif du problème, pas une solution. Passer outre ou, pire, occulter les questions de gouvernance collective est dangereux : c’est, sous prétexte que machin n’est pas assez bien pour nous, créer d’autres fossés.

Pour revenir à la question de départ donc, je suis une grande fan de la décentralisation en ce qu’elle permet des fonctionnements plus sains et responsabilisants. Ce qui me manque est une organisation rigoureuse, une stratégie. Ou probablement il y en a une, mais elle n’est pas clairement définie. Ou probablement, notre détestation du « management » et de la « communication » font qu’on s’imagine faire du bazaar durable ? Le souci est que, de ce que j’ai vu par ex. au CCC, pour que le bazaar marche, y a une p*tain de cathédrale derrière (rappel : « L’anarchie est la plus haute expression de l’ordre. »). La rigueur d’une organisation n’est pas un gros mot. Est-on prêt-es à s’y astreindre ? Je ne sais pas.

Après, j’ai une propension non-négligeable à me faire des nœuds au cerveau et à aimer ça. Ptet que je m’en fais inutilement ici… mais sans débat régulier et des échanges plus ouverts, comment savoir ?

Le dernier mot est pour toi, comme d’hab sur le Framablog…

Le tact dans l’audace, c’est savoir jusqu’où on peut aller trop loin. Beaucoup sont passionné⋅e⋅s par les questions et les enjeux du numérique, tellement passionné⋅e⋅s que leurs comportements peuvent devenir pénibles. Je pense aux micro-agressions quotidiennes, aux vacheries envoyées à la tronche de certain⋅e⋅s et au sexisme ordinaire. Beaucoup sont épuisés de ces attitudes-là. Il ne s’agit pas de se vivre en Bisounours, mais de faire preuve de tact et de respect. Celles et ceux qui s’échinent à porter une bonne et raisonnable parole publiquement ont déjà assez à faire avec toutes les incivilités et l’hostilité ambiantes, ils n’ont pas besoin de votre mauvaise humeur et manque de tact.

Pensez-y au prochain pouet/tweet/mail/commentaire IRC.

 

Pour en savoir plus : http://www.face-cachee-internet.fr/
Pour rencontrer Rayna à la librairie de Bookynette

(*)Pour retrouver les Pouets de Malicia Rogue sur le réseau social libre et fédéré Mastodon