Chroniques du Léviathan

La revue de presse de Jonas@framasoft, qui paraît quand il a le temps

 

« Un cerveau de substitution »

Dans une interview sur les chances qu’a Qwant de rivaliser avec le moteur de recherche de Google, Éric Léandri, co-fondateur de Qwant, déclare :

Vous devez penser à l’Internet non seulement comme un moyen de communication, mais de plus en plus comme à un cerveau de substitution. Les choses qui auraient été gardées dans les limites impénétrables de votre propre esprit, ou dans le sanctuaire de votre maison, sont maintenant envoyées sur des serveurs pour que le monde ou quelques entreprises les voient. Tout ce que nous faisons est de plus en plus stocké et peut être récupéré sur demande.

 

« Votre historique de navigation suffit à dévoiler votre identité »

D’après un article de The Atlantic, une équipe de chercheurs de Stanford et Princeton a développé un système qui peut connecter votre profil Twitter avec votre nom et votre identité, en examinant seulement votre historique de recherche.

Cela signifie que conserver la confidentialité tout en utilisant Twitter est impossible sans renoncer à ce qui constitue le marqueur du réseau social : sa nature publique et gratuite pour tous.

L’article explique comment l’expérience a été menée et mentionne au passage quelles parades on peut éventuellement utiliser : Privacy Badger et Ghostery
Mais voici la fin de l’article :

Le conseil de sagesse qu’on nous donne généralement est qu’il faut être prudent avec ce que l’on partage. Mais ici, nous montrons que vous pouvez être dés-anonymisé simplement en naviguant et en suivant des comptes, même si vous ne partagez rien.

 

 « Une fois vos informations stockées, on peut les modifier et en faire ce qu’on veut »

Dans l’hebdomadaire italien La Repubblica, la journaliste Stefania Maurizi interviewe le lanceur d’alerte William Binney. Celui-ci évoque entre autres un programme pour la NSA nommé ThinThread, qu’il avait développé avec son équipe et qui permettait de cibler avec précision la surveillance en visant les activités délictueuses, tout en laissant de côté les données privées.

Quelques extraits de la conversation :

Stefania Maurizi — Après le 11 septembre, la NSA a détourné votre système, supprimé les dispositifs protégeant la vie privée et a utilisé ThinThread pour espionner la population tout entière ?
William Binney — La première chose qu’ils ont faite a été le programme « Stellar Wind » qui visait l’espionnage domestique (…) ils ont supprimé trois fonctionnalités de ThinThread dont l’une était la protection de la vie privée. Au lieu de prendre seulement les données pertinentes ou celles qui étaient très probablement pertinentes, ils ont absolument tout pris et ils ont étendu la surveillance à l’échelle de la planète.
SM — Nous avons constaté dans les seize dernière années que la surveillance de la NSA avait échoué à prévenir des attaques terroristes. Pensez-vous que ce n’est qu’une question de temps avant que la NSA ne soit capable de le faire effectivement, ou bien qu’ils n’en auront jamais les capacités ?
WB — Je pense qu’ils sont condamnés à l’échec, parce qu’ils sont enfermés dans la conviction qu’ils doivent tout collecter (…) Ils sont très bons pour collecter des données, mais ils n’ont fait aucun progrès pour essayer de savoir ce qu’ils peuvent avoir dans les données qu’ils ont collectées.[…]
Ce genre de pouvoir ne devrait pas exister pour aucun gouvernement, parce qu’il crée vraiment un état totalitaire. C’est comme la Stasi dopée aux amphétamines ; au lieu de détenir des dossiers avec des documents sur tout le monde, ils archivent tout ce que vous faites de façon électronique, si bien que le jeu d’informations est beaucoup plus complet, à jour et exploitable, et ils peuvent le manipuler, et faire de vous tout ce qu’ils veulent […]
SM — Donc le problème n’est pas seulement la collecte, mais aussi la manipulation des données ?
WB — Oui. une fois qu’on a stocké les informations, on peut les modifier et en faire ce que l’on veut.

Léviathan dans la fresque « Le Jugement dernier » de Giacomo Rossignolo – CC-BY-SA




Quand on touche à la vie privée, c’est la démocratie qui est menacée (2/3)

Voici enfin la suite des conférences d’Eben Moglen sur les révélations d’Edward Snowden. Pour vous remettre dans le bain, reportez-vous à la première partie. Ce texte a été publié avant que le Congrès des États-Unis ne refuse de proroger tels quels les amendements à la loi dite FISA (Foreign Intelligence Surveillance Act) donnant une grande latitude à la NSA pour surveiller les citoyens et résidents des États-Unis (la surveillance du reste de la planète restant inchangée).

Mais l’Union européenne et en particulier la France semblent suivre le chemin inverse ; il semble qu’elles n’aient rien appris des révélations de Snowden. Faites lire ce texte à vos proches, pour qu’à leur tour ils voient les conséquences de ce qui se trame et puissent nous aider à faire pression pour essayer d’éviter le pire.

Source : The Guardian, Privacy under attack: the NSA files revealed new threats to democracy

Traduction : Thérèse, fatalerrors (Geoffray Levasseur), goofy, audionuma, Diab, Paul, Omegax, lumi

 

En d’autres termes, le respect de la vie privée est requis pour l’exercice de l’autogouvernance démocratique. Les efforts tendant à soumettre la société humaine à ces méthodes de surveillance généralisée sont l’antithèse de la liberté. C’est la conversation que n’ont pas tenue tous ces « N’écoute pas mon téléphone portable ! » trompeurs [1]. Si cela ne tenait qu’aux gouvernements nationaux, le débat en resterait à ce niveau de charlatanisme pour toujours.
EbenMoglenbyDocSearls(CC BY 2.0)
Le gouvernement des États-Unis et ses grandes oreilles n’ont pas avancé un seul argument pouvant nous convaincre que ce qu’il font est compatible avec l’éthique de la liberté, les lois constitutionnelles américaines ou les droits de l’homme internationaux. Au lieu de cela, ils essaient autant que possible de changer de sujet, et s’ils ne parviennent pas à en changer, à accuser le messager.

Personne n’a besoin d’accéder à des documents classés secrets pour voir comment les forces armées et les stratèges se sont adaptés à la fin de la Guerre froide en planifiant la surveillance invasive des sociétés du monde. Depuis le début des années 90, la documentation publique concernant la politique de défense américaine montre que les planificateurs et stratèges militaires avaient prévu un monde dans lequel les États-Unis n’auraient pas d’adversaire étatique significatif. Par conséquent, nous serions forcés de nous engager dans un ensemble de « conflits asymétriques », ce qui signifiait des « guérillas » impliquant des « acteurs non étatiques ».

Au cours de la redéfinition du comportement stratégique des États-Unis, les stratèges militaires et leurs collègues de la communauté du renseignement en sont venus à voir les droits américains à la vie privée dans les communications comme l’équivalent d’un asile pour les groupes terroristes. Ils étaient convaincus que les forces armées des États-Unis, les grandes oreilles, devraient nécessairement s’attaquer à ces asiles.

Puis, à l’avènement du 21e siècle, une administration américaine qui restera dans l’Histoire pour sa tendance à tirer d’abord et réfléchir ensuite a tout gobé – hameçon, ligne et plomb [2] – du plan comportant « refus d’asile », surveillance invasive et « totale connaissance de l’information ». Dans un intervalle de temps vraiment court, depuis janvier 2002, principalement en secret, ils ont mis tout ça sur pied.

Les conséquences partout dans le monde n’ont pas été controversées, c’est à noter. Dans une large mesure, les États ont approuvé ou accepté. Après septembre 2001, le gouvernement des États-Unis a fait une démonstration de force tout à fait extraordinaire aux yeux du monde : vous étiez soit avec nous, soit contre nous. Par ailleurs, beaucoup d’autres gouvernements en étaient venus à fonder de manière capitale leurs propres services de renseignement sur la coopération avec les oreilles des États-Unis.

Une fois l’actuelle administration américaine bien installée, des responsables politiques de haut niveau ont considéré qu’il y avait un consensus multilatéral concernant les écoutes ayant pour objet les autres sociétés : elles ne pouvaient être arrêtées et donc ne devaient pas être limitées. Les Chinois ont approuvé. Les États-Unis ont approuvé. Les Européens ont approuvé ; leur position était quelque peu réticente, mais ils étaient dépendants des écoutes effectuées par les États-Unis et n’avaient pas tellement le pouvoir d’objecter.

Personne ne l’a annoncé aux peuples du monde. Depuis la fin de la première décennie du 21ème siècle, un fossé s’est ouvert entre les droits que les peuples du monde pensent posséder et ceux qui ont été bradés par leurs gouvernements en contrepartie d’un renseignement qui n’est utile qu’aux gouvernements eux-même. Ce fossé est si profond, si fondamental pour la signification de la démocratie, que les opérateurs de ce système ont commencé à douter de sa légitimité – ce qu’ils auraient dû faire plus tôt.

Snowden a vu ce qui est arrivé aux autres lanceurs d’alerte et a agi en conséquence. Sa théorie politique est tout à fait exacte et totalement cohérente. Il dit que l’existence de ces programmes, non révélée au peuple américain, est une violation fondamentale des valeurs démocratiques des États-Unis. Assurément, il ne peut y avoir d’argument pour le contester.

La position de Snowden est qu’un effort si global, si massivement puissant et si propice aux abus ne devrait pas être entrepris sans consentement démocratique. Il a exprimé à maintes reprises sa croyance que le peuple des États-Unis a le droit de donner ou refuser ce consentement informé. Mais Snowden a également identifié le fait de soumettre la population mondiale à ces programmes comme une action problématique méritant une forme d’analyse morale et éthique qui va bien au-delà de la simple raison d’État [3].

Snowden veut dire, je pense, que nous devrions prendre ces décisions, non pas dans l’intérêt étroit et égoïste d’une nation, mais avec un sens moral particulièrement élevé de ce qui est approprié de la part d’une nation qui voudrait se faire passer pour le symbole de la liberté aux yeux de l’humanité.

Nous pouvons parler, naturellement, des lois constitutionnelles des États-Unis et de l’importance de l’appareil législatif américain – règles, protections, droits, devoirs – avec le respect qui leur est dû. Mais il doit être clair dans notre esprit que, lorsque nous parlons des traditions constitutionnelles des États-Unis en matière de liberté et d’esclavage, nous ne parlons pas seulement de ce qui est écrit dans les livres de droit.

Nous sommes confrontés à deux affirmations — on les entend partout — qui résument bien les orientations contre lesquelles nous travaillons. La première dit : « C’est sans espoir, la vie privée n’existe plus, à quoi bon lutter ? » ; la seconde : « Je ne fais rien de mal, pourquoi devrais-je m’en soucier ? » Ce sont là les objections les plus significatives qui nous sont opposées lorsque nous faisons ce que nous savons devoir faire.

Si nous ne faisons rien de mal,

alors nous avons le droit de résister

Tout d’abord, notre lutte pour la survie de la vie privée est loin d’être sans espoir. Snowden nous a décrit quelle protection était encore efficace. Son souci était de différencier les formes de communication en réseau définitivement corrompues et inutilisables, de celles qui sont mises en danger par les assauts continuels d’une agence dévoyée et de celles que, même avec son immense pouvoir, son poids financier, ses ambitions déplacées et ses efforts consciencieux, cette agence n’arrive pas à casser.

Le désespoir est seulement une maladie qu’ils veulent vous voir attraper, pas une maladie inéluctable.

Quant à la seconde affirmation, nous nous devons d’y répondre tout à fait clairement : « Si nous ne faisons rien de mal, alors nous avons le droit de résister. » Si nous ne faisons rien de mal, alors nous avons le droit de faire tout notre possible pour maintenir l’équilibre traditionnel entre nous et le pouvoir qui écoute. Nous avons le droit d’être invisibles. Nous avons le droit de parler de manière inaudible. Nous avons le droit de parler des langues qu’ils ne comprennent pas. Nous avons le droit de nous rencontrer aux endroits, aux moments et de la manière qui nous conviennent.

Nous avons une tradition constitutionnelle aux États-Unis contre les mandats de portée générale. Elle est née au 18e siècle pour de bonnes raisons. Nous limitons la capacité de l’État à perquisitionner des lieux et à saisir des objets à ce qu’un juge indépendant estime raisonnable d’autoriser.

Ce principe qui lui était cher, le Premier Congrès l’a placé dans notre Déclaration des droits parce qu’il était cher aux Nord-Américains britanniques ; parce qu’au cours du 18ème siècle, ceux-ci avaient appris de quelle manière le pouvoir exécutif pouvait se servir des mandats de portée générale pour tout fouiller, partout, à la recherche d’une chose qui lui déplaisait et en forçant les pouvoirs locaux à l’y aider. Ce fut un problème au Massachusetts en 1761 [4] et cela resta un problème jusqu’à la fin de l’autorité britannique en Amérique du Nord. Et même alors le problème demeura parce que les présidents, sénateurs et chancellors (juges) étaient eux aussi sans scrupules dans leurs comportements. Thomas Jefferson aussi, comme le président actuel, a annoncé un jeu bien meilleur qu’il n’avait en réalité.

Ce principe est assez clair. Mais il n’y a que neuf votes à la Cour suprême des États-Unis, et ce sont les seuls qui comptent pour le moment [5]. Nous devons attendre de voir combien d’entre eux sont prêts à reconnaître la simple inconstitutionnalité d’un système scélérat beaucoup trop gros pour faire faillite. Mais puisque ces neuf votes sont les seuls qui ont de l’importance, le reste d’entre nous devons mener nos activités d’une autre façon.

La tradition constitutionnelle des États-Unis que nous admirons a principalement été établie par des personnes qui ont fui l’Europe et sont venues en Amérique du Nord pour être libres. Ce sont leurs activités politiques et intellectuelles que nous retrouvons traduites dans les documents qui ont construit la République.

Mais il y a une seconde tradition constitutionnelle. Elle fut établie par des personnes qui ont été amenées ici contre leur gré ou qui sont nées dans l’esclavage et ont dû fuir pour pouvoir être libre, ici même. Cette seconde tradition constitutionnelle est légèrement différente par sa nature de la première, même si elle a conduit, en fin de compte, à des conclusions similaires.

Biard_Abolition_de_l'esclavage_1849

Fuir l’esclavage est une activité de groupe. Fuir l’esclavage requiert l’assistance de ceux qui pensent que l’esclavage est une mauvaise chose. Les gens, aux États-Unis, ont oublié ce que notre tradition constitutionnelle doit au contact entre des personnes qui avait besoin de fuir pour devenir libres et des personnes qui savaient qu’elles devaient les aider, parce que l’esclavage est mal.

Nous avons maintenant oublié que durant l’été 1854, quand Anthony Burns — qui avait fui l’esclavage depuis Richmond en Virginie — fut renvoyé en esclavage par un juge d’État agissant comme commissaire fédéral pour le Second Fugitive Slave Act [6], Boston dut être placée sous la loi martiale pendant trois jours entiers. Les troupes fédérales bordaient les rues alors que Burns était conduit sous escorte vers le port de Boston et placé à bord d’un bateau pour le renvoyer à l’esclavage. Si Boston n’avait pas été contenue par la force, il y aurait eu une émeute.

Quand Frederick Douglass a fui l’esclavage en 1838, il eut l’aide de sa chère Anna Murray, qui lui envoya une partie de ses économies et les vêtements de marin qu’il porta. Il eut l’aide d’un marin noir libre qui lui donna des papiers d’identité. De nombreuses personnes prirent beaucoup de risques pour l’aider à atteindre New York.

Notre tradition constitutionnelle ne repose pas seulement sur les droits négatifs qui se trouvent dans la Déclaration des droits. Elle repose également sur l’histoire d’une lutte de la communauté, souvent illégale d’un point de vue formel, pour la liberté et contre l’esclavage. Cette partie de notre tradition dit que la libération du contrôle oppressif doit être accordée à tous les peuples, partout, comme un droit. Elle dit que l’esclavage est tout simplement immoral, qu’il ne peut être toléré, ni justifié par la peur du maître ou un besoin de sécurité.

Par conséquent, la tradition constitutionnelle que les Américains devraient défendre actuellement est une tradition qui va bien au-delà de toute limitation spatiale ou temporelle pouvant s’appliquer au quatrième amendement [7]. Le peuple des États-Unis ne doit pas se contenter de défendre le droit d’être libre des intentions oppressives du gouvernement national, il ne doit pas simplement se battre pour une chose qui est incarnée par la clause de procédure régulière [8] du quatorzième amendement. Nous devrions plutôt nous battre contre les processus totalitaristes ; car l’esclavage est mal. Parce que soumettre l’ensemble du genre humain à la surveillance du maître est mal. Parce que fournir l’énergie, l’argent, la technologie, le système pour assujettir la vie privée de tous dans le monde — pour détruire l’asile de la liberté de parole américaine — est mal.

Snowden nous a donné la chose la plus précieuse qu’un peuple jouissant de l’autonomie démocratique puisse avoir, l’information sur ce qui se passe. Si nous voulons exercer nos droits en tant que peuple autogouverné en exploitant les informations qu’il nous a livrées, nous devons avoir clairement à l’esprit les fondements politiques de notre action. Elles ne se limitent pas seulement aux paroisses, ou aux nations, ou à ce que l’on trouve dans les archives des décisions de la Cour suprême.

Une nation conçue dans la liberté et dévouée à la proposition que tous les hommes sont nés égaux a réduit en esclavage des millions de personnes. Elle s’est lavée de ce péché dans une terrible guerre. Le peuple des États-Unis devrait en tirer la leçon et est appelé à le faire aujourd’hui.

chaque gouvernement doit subordonner ses écoutes domestiques

aux principes de l’État de droit

À la lumière de ce que nous savons grâce à Snowden, les citoyens, partout, doivent exiger deux choses de leur gouvernement. En premier lieu, nous devons dire à nos dirigeants « Vous avez la responsabilité, le devoir, de protéger nos droits en nous protégeant de l’espionnage venant de l’extérieur ». Tout gouvernement a cette responsabilité. Il doit protéger le droit de ses citoyens à être libres de la surveillance intrusive de masse d’autres États. Aucun gouvernement ne peut prétendre à la souveraineté et à la responsabilité à moins de tout mettre en œuvre, dans la mesure de son pouvoir et de ses moyens, pour garantir ce résultat.

En second lieu, chaque gouvernement doit subordonner ses écoutes domestiques aux principes de l’État de droit. L’arrogance monumentale des grandes oreilles et la stupidité de la dernière administration ont laissé le gouvernement des États-Unis dans un piège qui n’avait pas lieu d’être. Avant que la dernière administration n’affranchisse ses oreilles de la loi, le gouvernement américain aurait pu regarder le monde en face et proclamer que seules ses oreilles étaient soumises aux règles de l’État de droit. Cela aurait été une prétention exacte. Mais pour presque rien, l’histoire s’en souviendra, ils ont jeté cela aux orties.

Aux citoyens américains revient une plus grande responsabilité. Le gouvernement projette l’immensité de son pouvoir dans la destruction de la vie privée au sein des autres sociétés du monde. Il le fait sans aucun contrôle ni supervision démocratique et son peuple doit l’arrêter. Le rôle des Américains comme symbole de liberté dans le monde n’exige rien de moins.

La liberté a été pourchassée tout autour du globe. L’Asie et l’Afrique l’ont expulsée depuis longtemps. L’Europe a été harcelée pour que cette liberté soit traitée comme une étrangère et le Royaume-Uni l’arrêterait à Heathrow s’il la voyait arriver. Le président des États-Unis a exigé que personne n’accepte la fugitive et il n’est peut-être que la présidente brésilienne, Dilma Rousseff, pour souhaiter préparer le moment venu un asile pour l’humanité.

Les dirigeants politiques du monde entier ont eu beaucoup de choses à dire depuis que Snowden a commencé ses révélations, mais pas une fois on n’a entendu une déclaration du genre « Je regrette d’avoir soumis mon propre peuple à ces procédés ». La chancelière allemande, malgré une réélection triomphale sans un nuage dans son ciel politique, n’est pas en position de dire « J’ai été d’accord avec les Américains pour autoriser l’interception de 40 millions d’appels téléphoniques par jour ; je veux juste qu’ils arrêtent d’écouter mon téléphone ! »

Les grandes oreilles américaines ont affaire à une crise politique allant bien au delà de ce qu’ils avaient pu imaginer. Elles n’apprécient pas d’apparaître au grand jour, ni même d’être simplement visibles. Elles ont perdu leur crédibilité auprès de l’industrie de la cybersécurité, car cette dernière a pris conscience qu’elles ont trahi leurs promesses implicites sur ce qu’elles ne pirateraient pas. L’industrie de la finance mondiale est envahie de peur à la vue de ce qu’elles ont fait. Les autres agences du gouvernement des États-Unis, sur le soutien desquelles elles peuvent habituellement compter, les fuient.

ils sont en train de faire du net un espace de guerre perpétuelle

Nous n’aurons plus jamais un tel moment de désarroi politique dans le camp qui agit contre la liberté. Non seulement ils ont rendu ce problème évident pour tout le monde — non seulement ils ont fait des martyrs de nos camarades résidant à Fort Leavenworth [9], à l’ambassade d’Équateur à Londres [10] et dans un endroit secret de Moscou [11] — non seulement ils ont allumé un incendie qu’ils ne peuvent plus éteindre en pissant dessus, mais ils ont aussi perdu leur armure. Ils se tiennent devant nous dans la totalité de qui ils sont réellement. Il nous appartient de montrer que nous les reconnaissons pour ce qu’ils sont.

Ce qu’ils ont fait, c’est de créer un état de guerre permanent sur le net. Douze années d’une guerre qui semble sans fin ; ils sont en train de faire du net un espace de guerre perpétuelle. Nous devons imaginer à nouveau de quoi aurait l’air un Internet en paix — la cyberpaix. Les jeunes gens de par le monde qui travaillent en ce moment sur la théorie de la cyberpaix font le travail politique le plus important de notre temps. Il nous faudra désormais assurer ce que les démocraties assurent le mieux, la paix. Nous devons être disposés à déclarer la victoire et rentrer chez nous. Quand nous le ferons, nous laisserons derrière nous un Internet qui ne sera plus en état de guerre, un Internet qui n’utilisera plus la surveillance pour détruire la vie privée, fondement de la démocratie.

C’est une question de droit public international. Au final, c’est semblable à l’interdiction des armes chimiques ou des mines antipersonnel, une question de traités de désarmement, une question de maintien de la paix.

La difficulté, c’est que nous n’avons pas seulement affaire à nos concitoyens, bons et patriotes, pour qui des élections sont un remède suffisant, mais également à une immense structure de surveillance privée qui est devenue réalité. Cette structure a tout à fait le droit d’exister dans un marché libre, mais elle génère maintenant un désastre écologique dont seuls les gouvernements ont bénéficié. Par conséquent nous ne devons pas seulement réfléchir à ce que sont nos politiques vis-à-vis des États mais également vis-à-vis des entreprises.

En fait, nous en sommes encore à un spectacle de marionnettes où les objets légitimes de la surveillance internationale — nommément les politiciens, chefs d’état, cadres de l’armée et diplomates — sont en train de pleurer en nous disant qu’ils ne devraient pas être écoutés. Comme s’ils étaient nous et avaient le droit d’être laissés tranquilles.

Et ceci, bien sûr, c’est ce qu’ils veulent. Ils veulent nous induire en erreur. Ils veulent que nous pensions qu’ils sont nous — qu’ils ne sont pas les personnes qui ont permis à tout ceci d’arriver, qui l’ont applaudi, qui en ont fait commerce.

Nous devons faire face aux problèmes que leurs duperies ont créés. Les grandes oreilles ont détruit la politique de liberté d’Internet du gouvernement des États-Unis. Ils ont eu une bonne main tant qu’ils ont pu jouer des deux côtés à la fois. Et à présent, nous avons des collègues et camarades partout dans le monde qui travaillent pour la liberté du net dans les sociétés dangereuses ; ils dépendent du support matériel et de l’assistance du gouvernement des États-Unis et ils ont maintenant toutes les raisons d’être effrayés.

Que se serait-il passé si les chemins de fer clandestins [12] avaient été constamment soumis à un effort de pénétration de la part du gouvernement des États-Unis au nom de l’esclavage ? Que se serait-il passé si tous les livres des 500 dernières années avaient signalé leurs lecteurs à la maison mère ?

Lorsque nous décidons de donner des informations personnelles,

nous fragilisons également la vie privée d’autres personnes.

La mauvaise nouvelle pour les peuples de la planète, c’est que tout le monde nous a menti de manière éhontée pendant près de vingt ans. La bonne nouvelle, c’est que Snowden nous a dit la vérité.

Edward Snowden a révélé des problèmes auxquels nous devons trouver des solutions. La vaste organisation industrielle de surveillance qui s’est développée depuis 2001 n’aurait pas pu se construire sans les sous-traitants du gouvernement ni l’industrie de l’extraction de données. Tous deux sont impliqués dans une crise écologique causée par la surenchère industrielle. Nous avons échoué à saisir la nature de cette crise parce que nous avons mal compris la nature de la vie privée. Les entreprises ont cherché à profiter de notre confusion et les gouvernements en ont profité encore davantage, ce qui menace la survie même de la démocratie.

nsa_inside_bruce_sterling(CC BY-NC 2.0)

Dans ce contexte, nous devons nous souvenir que la vie privée concerne notre environnement social, pas les interactions isolées que nous avons individuellement avec d’autres. Lorsque nous décidons de donner des informations personnelles, nous fragilisons également la vie privée d’autres personnes. Par conséquent, la vie privée est toujours une relation entre de nombreuses personnes, plutôt qu’une transaction entre deux d’entre elles.

Beaucoup de gens vous prennent de l’argent en occultant cette distinction. Par exemple, ils vous proposent des services de messagerie gratuits. En retour, ils vous demandent de les laisser lire tous vos messages. Leur objectif affiché est de vous envoyer des publicités. Ce n’est qu’un échange entre deux parties. Ou alors, ils vous offrent un hébergement gratuit pour vos communications sociales, puis ils observent tout ce que regarde tout le monde.

C’est pratique pour eux, mais frauduleux. Si vous acceptez cette supposée offre bilatérale de service de messagerie qui vous est fourni gratuitement pour autant qu’ils puissent tout lire, alors chaque personne qui correspond avec vous est soumise à ce marché. Si dans votre famille il y a quelqu’un qui reçoit ses messages avec Gmail, alors Google obtient une copie de toutes les correspondances de votre famille. Si un autre membre de votre famille reçoit ses messages à l’aide de Yahoo, alors Yahoo reçoit également les correspondances de toute votre famille.

Peut-être que déjà ce niveau de surveillance des messages de votre famille par des grandes entreprises est trop pour vous. Mais comme les révélations de Snowden ont pu le montrer, à la déconfiture des gouvernements et de ces entreprises, elles ont aussi partagé tout ces courriers avec le pouvoir — qui les achète, obtient des tribunaux des injonctions à les produire ou les vole — que cela leur plaise ou non.

Ce sera la même chose si vous décidez de vivre votre vie sociale sur un site Internet géré par un abruti qui surveille toute interaction sociale en gardant une copie de tout ce qui est dit et en regardant tout le monde regarder tous les autres. Si vous amenez de nouveaux « amis » vers ce service, vous les attirez dans cette inspection dégueulasse, en les forçant à subir tout cela avec vous.

C’est un problème écologique parce que nos choix individuels aggravent l’état du groupe dans son ensemble. L’intérêt des entreprises de service, mais pas le nôtre, est de cacher cet aspect du problème et de se concentrer sur l’obtention de consentements individuels. D’un point de vue juridique, l’essence d’une transaction est le consentement. Si la vie privée est transactionnelle, votre consentement à l’espionnage est tout ce dont l’espion commercial a besoin. Mais si la vie privée est comprise correctement, le consentement est généralement hors sujet et se focaliser dessus est fondamentalement inapproprié.

En ce qui concerne la pureté de l’air et de l’eau, nous ne fixons pas les limites acceptables de pollution par consentement ; la société a établi des normes de propreté que tout le monde doit respecter. Les lois environnementales ne sont pas des lois de consentement. Mais pour ce qui est du respect de la vie privée, on nous a autorisés à nous faire des illusions ; ce qui est véritablement un sujet de réglementation environnementale nous a été vendu comme un simple problème de négociation bilatérale. Les faits montrent que ceci est totalement faux.

(à suivre…)

Notes

[1] Référence aux protestations de dirigeants politiques, notamment d’Angela Merkel.

[2] Il y a ici double référence ; swallow something hook, line and sinker pourrait se traduire en « gober n’importe quoi », mais aussi il y a référence au roman d’espionnage en trois parties, Spy Hook, Spy Line et Spy Sinker de Len Deighton.

[3] En français dans le texte.

[4] En 1761 eurent lieu les toutes premières révoltes d’une colonie britannique d’Amérique du Nord, suite au Navigation Act limitant le commerce colonial et à l’insistance du roi Charles II pour y établir l’église anglicane. Le roi réagira en ordonnant des perquisitions, saisies et exécutions massives. Ces révoltes seront considérés comme les prémisses de la Guerre d’Indépendance.

[5] Aux États-Unis, la Cour suprême n’est pas seulement la plus haute autorité judiciaire, elle statue également sur la constitutionnalité de la loi, comme le fait notre Conseil constitutionnel.

[6] « Deuxième loi sur les esclaves fugitifs » votée par le Congrès le 18 septembre 1850, annulée de facto par le vote du 13ème amendement en 1865 abolissant l’esclavage.

[7] Amendement fixant le cadre de la juridiction fédérale des États-Unis et les limites du droit de vote ou d’éligibilité, ainsi que l’invalidation de toutes dettes financières en rapport avec des activités de rébellion ou esclavagistes.

[8] Due process clause : cette clause interdit à l’État toute condamnation sans procédure judiciaire régulière.

[9] Lieu de détention de Chelsea Manning.

[10] Lieu de retranchement de Julian Assange.

[11] Résidence actuelle d’Edward Snowden.

[12] Underground railroad : réseaux de fuite des années 1850 pour les esclaves aux États-Unis.

 

Crédits images

    • Eben Moglen par Doc Searls (CC-BY-2.0)
    • François-Auguste Biard Abolition de l’esclavage (détail) – Domaine public
    • Logo NSA inside par Bruce Sterling (CC-BY-2.0)



Réveillons… la lutte pour nos libertés numériques avec l’EFF (notamment)

Avant d’entrer en résistance contre la surveillance, il nous faut lutter contre notre faculté à oublier, tant tout nous invite à passer à autre chose. La surveillance, elle, ne connaît pas la trêve des confiseurs.
C’est pourquoi le rapide bilan proposé par l’EFF (Electronic Frontier Foundation) est précieux et s’accompagne d’une perspective pour 2015, celle de poursuivre le combat au plan de l’information mais aussi à celui de l’action judiciaire et politique.
Faut-il vraiment rappeler au lecteur que de notre côté de l’Atlantique aussi, une action vigilante et continue sur ces deux plans est évidemment nécessaire, aux côtés en particulier de la Quadrature du Net, qui a besoin de notre soutien permanent à ses initiatives, et pas seulement de notre soutien financier.
Que 2015 soit pour tous une année heureuse qui nous fasse faire un petit pas de plus vers des libertés numériques précieuses mais fragiles.
C’est à nous d’y veiller.

Ce que nous avons appris sur l’espionnage de la NSA en 2014 — et les combats que nous mènerons en 2015

Article original sur le site de l’EFF
Traduction Framalang : KoS, Sky, AFS, Achille, r0u, goofy

Après 2013, une année record où une lumière crue a été projetée sur les programmes de surveillance secrets de la NSA, à la fois de la part des lanceurs d’alerte et par les actions en justice engagées grâce à la Loi pour la liberté d’information (Freedom of Information Act), le rythme des révélations en 2014 a significativement ralenti.

Mais ce n’est pas parce que tous les secrets de la NSA ont été révélés.

En fait, quelques-unes des informations les plus significatives sur les programmes de surveillance de la NSA restent encore secrètes. Malgré l’une des plus importantes fuites de l’histoire américaine et malgré la promesse de déclassifier autant que possible des informations sur ces programmes, près de deux ans plus tard, le gouvernement continue de refuser de fournir au public les informations dont il a besoin. Par exemple, les responsables du gouvernement continuent à ne pas répondre à une question simple mais d’importance vitale : quel type d’information la NSA collecte-t-elle sur des millions ou des centaines de millions d’Américains, et sur des citoyens de tous les autres pays par la même occasion ? Et le gouvernement refuse toujours de communiquer les décisions les plus importantes du tribunal de surveillance du renseignement extérieur (United States Foreign Intelligence Surveillance Court : la cour secrète chargée en principe de contrôler les programmes de surveillance gouvernementaux).

Malgré un ralentissement en 2014, nous avons appris encore davantage de choses sur les programmes de surveillance de la NSA que nous ne connaissions pas auparavant :

  • avec le programme Mystic, la NSA enregistre toutes les communications par téléphones mobiles des Bahamas et de l’Afghanistan et les conserve pendant 30 jours ;
  • la NSA vise spécifiquement les administrateurs système — les personnes qui sont souvent chargées de maintenir les réseaux sains et sécurisés ;
  • la NSA et ses partenaires exploitent les applications mobiles, comme le populaire jeu Angry Birds, pour accéder aux informations privées des utilisateurs comme la localisation, l’adresse du domicile, le sexe et davantage encore ;
  • la NSA cherche à développer sa capacité à infecter des millions d’ordinateurs en implantant des logiciels malveillants avec son programme TURBINE ;
  • l’opération Dishfire de la NSA collecte quotidiennement 200 millions de messages (SMS) d’utilisateurs du monde entier ;
  • la NSA intercepte « des millions d’images par jour — incluant environ 55 000 images dont la qualité permet la reconnaissance faciale » et les traite avec de puissants logiciels de reconnaissance faciale.
  • la NSA espionne les leaders d’opinion et défenseurs des droits civiques — The Intercept a mis des visages sur certaines cibles de l’espionnage par la NSA, publiant les profils de cinq leaders musulmans américains qui ont été l’objet de surveillance. On y trouve un avocat, deux professeurs, un ancien membre de l’administration Bush et le fondateur du Conseil pour les relations américano-islamiques (Council on American-Islamic Relations) .

Malgré l’émergence de toutes ces informations, beaucoup trop demeurent encore secrètes.

Mais 2015 est pleine d’espoirs. Déjà, suite à des poursuites judiciaires engagées par l’EFF grâce à la Loi pour la liberté d’information, une cour fédérale a ordonné au gouvernement de rendre publique au début de l’année 2015 une partie des avis encore secrets rendus par l‘United States Foreign Intelligence Surveillance Court.
Nous avons également lancé une campagne pour réformer l’ordre exécutif 12333, et dans cette campagne, nous pressons le gouvernement à être clair par rapport au type d’informations collectées sur des millions de personnes à travers le monde. Que ce soit devant une cour fédérale ou dans l’opinion publique, en 2015 nous continuerons à nous battre pour le droit de savoir. L’EFF se bat pour les droits numériques de chacun, n’hésitez pas à les soutenir

eff.png

lqdn.png

  • Pour lire d’autres articles (en anglais) qui récapitulent les actions de l’EFF pour 2014, suivez ce lien.



Quand on touche à la vie privée, c’est la démocratie qui est menacée (1/3)

Une conférence d’Eben Moglen

Nous proposons aujourd’hui la première partie d’une longue conférence d’Eben Moglen qui envisage les révélations de Snowden dans une perspective historique pour montrer comment ont été dévoyés les principes démocratiques au profit de la surveillance généralisée, et comment au-delà de la vie privée individuelle de chacun c’est le fragile équilibre démocratique qui est menacé.

Source : le Guardian Privacy under attack: the NSA files revealed new threats to democracy

Traduction : Thérèse et fatalerrors (Geoffray Levasseur), audionuma, Diab, Paul, Omegax, lumi, Paul, Goofy

Attaques contre la vie privée : les fichiers de la NSA ont révélé de nouvelles menaces pour la démocratie

Grâce à Edward Snowden, nous savons que l’appareil de répression a été secrètement intégré à l’État démocratique. Cependant, notre lutte pour préserver notre vie privée est loin d’être sans espoir.

Dans la troisième partie de son Histoire de la décadence et de la chute de l’Empire romain, Edward Gibbon expose deux raisons pour lesquelles l’esclavage dans lequel avaient sombré les Romains sous le règne de l’empereur Auguste et de ses successeurs les avait laissés plus misérables qu’aucun autre peuple esclave avant eux. En premier lieu, Gibbon déclare que les Romains avaient emporté avec eux, dans l’esclavage, la culture des peuples libres — leur langue et leur conception d’eux-mêmes en tant qu’êtres humains postulaient la liberté. Et en conséquence, selon Gibbon, malgré le poids de la corruption et de la violence militaire, les Romains ont longtemps gardé les sentiments, ou du moins les idées, d’un peuple né libre. En second lieu, l’Empire romain s’est étendu au monde entier et quand cet empire est tombé entre les mains d’une seule personne, le monde était devenu une prison sûre et morne pour ses ennemis. Comme l’écrit Gibbon, résister était fatal et il était impossible de s’échapper.

Le pouvoir de cet Empire romain résidait dans le contrôle des communications par ceux qui gouvernaient. La mer Méditerranée était leur lac. Et d’un bout à l’autre de leur empire, depuis l’Écosse jusqu’à la Syrie, ils ont tracé des voies qui quinze siècles plus tard étaient toujours les artères principales du transport européen. C’est par ces routes que l’empereur envoyait ses armées. Grâce à ces routes, les informations importantes remontaient jusqu’à lui. Les empereurs ont inventé les services de postes pour transporter messagers et dépêches à la plus grande vitesse possible.

En utilisant cette infrastructure pour tout ce qui impliquait l’administration du pouvoir, l’empereur avait fait en sorte de devenir l’être humain le mieux informé de toute l’histoire du monde.

Ce pouvoir avait éradiqué les libertés humaines. « Souviens-toi », dit Cicéron à Marcellus en exil, « où que tu sois, tu es à égale distance du pouvoir du conquérant. »

L’empire des États-Unis, après la Seconde Guerre mondiale, dépendait lui aussi du contrôle des communications. Ceci est devenu plus évident quand, à peine 20 ans plus tard, les États-Unis se sont enfermés dans un affrontement d’anéantissement nucléaire avec l’Union soviétique. Dans une guerre de sous-marins tapis dans l’ombre sous les continents, capables d’éradiquer toute civilisation humaine en moins d’une heure, la règle d’engagement était : « lancement sur alerte » [1]. En conséquence, les États-Unis ont donné au contrôle des communications une importance aussi grande que l’avait fait l’empereur Auguste. Leurs grandes oreilles avaient la même soif de tout savoir.

Nous savons tous que les États-Unis ont pendant des décennies dépensé autant pour leur puissance militaire que toutes les autres puissances mondiales réunies. Nous, les Américains, prenons maintenant conscience de ce qu’implique le fait d’avoir consacré à l’interception de signaux et au cassage de chiffrements une proportion de nos ressources équivalente à celle du reste du monde.

Le système d’écoute des États-Unis est constitué d’un commandement militaire qui contrôle une main-d’œuvre civile importante. Une telle structure suppose à priori que cette activité de renseignement a pour cible l’étranger. Le contrôle militaire était à la fois le symbole et la garantie de la nature de l’activité qui était engagée. Une surveillance à grande échelle du territoire national sous contrôle militaire aurait violé le principe fondamental du contrôle par les citoyens.

Il s’agissait donc au contraire d’un service de renseignement extérieur responsable devant le Président en tant que commandant en chef militaire. La chaîne de commandement militaire garantissait le respect absolu du principe fondamental qui était « pas d’écoute ici ». La frontière entre la patrie et l’étranger séparait ce qui est anticonstitutionnel de ce qui est autorisé.

La distinction entre patrie et étranger était au moins crédible techniquement, étant donné la réalité des médias de communication du 20e siècle, qui étaient organisés hiérarchiquement et très souvent contrôlés par les États. Quand les services gouvernementaux des États-Unis choisissaient d’écouter les autres gouvernements étrangers — leurs forces armées, leurs communications diplomatiques et leurs hommes politiques partout où c’était possible — ils écoutaient dans un monde de cibles définies. Les principes de bases étaient : pénètre, enregistre et vole. Nous avons écouté, nous nous sommes introduits partout, nous avons fait du troc, nous avons volé.

Au début nous écoutions les forces armées et leurs gouvernements. Plus tard nous avons surveillé les flux des marchés internationaux pour peu que les intérêts de la sécurité nationale des États-Unis aient été engagés.

Le régime que nous avions construit pour nous défendre de l’anéantissement nucléaire fut restructuré à la fin du 20e siècle. En premier lieu, la guerre froide a touché à sa fin et l’Union soviétique a été dissoute. Une structure toute entière de sécurité nationale s’est réorientée d’elle-même. Il n’était plus nécessaire de surveiller un empire pointant vingt-cinq mille armes nucléaires sur nous. Désormais nous devions surveiller la population du monde dans son ensemble afin de localiser quelque milliers de personnes fomentant diverses formes de massacres. Ainsi, nous dit-on, espionner des sociétés entières est devenu normal.

En second lieu, la nature des communications humaines a changé. Le système que nous avions construit s’attaquait à des cibles définies : un branchement, un numéro de téléphone, une plaque d’immatriculation, une localisation géographique. La question au 20e siècle était de savoir combien de cibles il était possible de suivre simultanément dans un monde où chacune nécessitait infiltration, écoute et interception. Mais ensuite on a commencé à mettre au point une nouvelle forme de communication humaine. À partir du moment où nous avons créé Internet, deux des hypothèses de base ont commencé à faire défaut : la simplicité du « une cible, un branchement » a disparu et la différence entre l’intérieur et l’extérieur du pays s’est, elle aussi, évanouie.

Cette distinction a disparu aux États-Unis parce que c’est là que réside, pour le meilleur et pour le pire, une grande partie du réseau et des services qui lui sont associés. Par conséquent, la question « Va-t-on écouter à l’intérieur de nos frontières ? » a été, semble-t-il, réduite à « Allons-nous écouter ou non ? ».

C’est alors que s’est manifestée une administration américaine d’une extrême imprudence. Elle avait pour caractéristique de ne pas réfléchir longtemps avant d’agir. Confrontée à une catastrophe nationale qui constituait également une opportunité politique [2], rien ne se dressait entre elle et toutes les erreurs que l’empressement peut engendrer, et dont les enfants de ses enfants se repentiront à loisir. Ce qu’elle a fait — secrètement, avec l’assistance de juges choisis par un seul homme opérant en secret et avec la connivence de beaucoup de personnes honnêtes qui croyaient agir pour sauver la société — a été d’affranchir de la loi ceux qui nous écoutent.

Non seulement les circonstances avaient fait voler en éclats la simplicité de la règle « pas d’écoute à l’intérieur », non seulement les magouilles autour de la FISA [3] avaient amené cette administration dans une situation où aucune loi ne lui fournissait de points de repères utiles, mais de plus elle avait la ferme intention de le faire. Sa vision de la nature du pouvoir humain était « augustienne » à défaut d’être auguste [4]. L’administration désirait ce dont les personnes censées n’ont pas le droit de prendre la responsabilité. Et ainsi elle a failli et nous avons failli avec elle.

Nos grandes oreilles militaires ont envahi le cœur d’un Internet en pleine évolution

Nos journalistes ont failli. Le New York Times a laissé les élections de 2004 se dérouler sans rien révéler de ce qu’il savait sur les écoutes. Cette décision d’autocensure fut, comme tout type de censure ou d’autocensure, une blessure mortelle infligée à la démocratie. Nous, le peuple, n’avons pas exigé que soit mis un terme à tout cela dès le début. Or, à présent, nous en sommes déjà bien loin.

Nos grandes oreilles militaires ont envahi le cœur d’un Internet en pleine évolution, où des supercerveaux numériques bons pour le service militaire recueillent du renseignement sur la race humaine pour des raisons triviales et au nom du capitalisme. Aux USA, les sociétés de télécommunication jouissent de l’immunité juridique pour leur complicité, leur permettant d’aller encore plus loin.

L’invasion de notre réseau a été secrète et nous n’avons pas compris que nous devions résister. Mais la résistance est apparue telle une cinquième colonne au sein des grandes oreilles elles-mêmes. À Hong Kong, Edward Snowden a déclaré quelque chose de simple et d’utile : les analystes, a-t-il dit, ne sont pas des gens malintentionnés et ils ne veulent pas se considérer comme tels. Mais ils en sont arrivés à conclure que si un programme produit quoi que ce soit d’utile, il est justifié. Ce n’était pas le boulot des analystes d’évaluer l’éthique fondamentale du système à notre place.

En démocratie, cette tâche est confiée par le peuple aux dirigeants qu’il élit. Ces dirigeants ont failli — tout comme nous — parce qu’ils ont refusé d’adhérer à l’éthique de la liberté. Le personnel civil des agences fédérales est le premier à avoir ressenti cette défaillance. Depuis le milieu de la dernière décennie, des gens ont commencé à tirer la sonnette d’alarme à tous les niveaux. Ces employés courageux ont sacrifié leur carrière, effrayé leur famille et parfois souffert personnellement de persécutions, pour avoir dévoilé qu’il existait quelque chose de profondément mauvais. La réponse a été le règne par la peur. Deux administrations successives des États-Unis ont cherché à régler la question des lanceurs d’alerte parmi les « grandes oreilles » en leur réservant le traitement le plus impitoyable possible.

Snowden a dit à Hong Kong qu’il se sacrifiait afin de sauver le monde d’un tel système, qui « n’est contraint que par la réglementation ». Les idées politiques de Snowden méritent notre respect et notre profonde considération. Mais pour l’instant il me suffira de dire qu’il n’exagérait pas sur la nature des difficultés. Grâce à Snowden, nous avons appris que ceux qui écoutent ont entrepris de faire ce qu’ils ont sans cesse répété à l’opinion respectable des experts qu’ils ne feraient jamais. Ils ont toujours prétendu qu’ils n’essaieraient pas de casser le chiffrement qui sécurise le système financier mondial. C’était faux. Quand Snowden a révélé l’existence du programme Bullrun de la NSA, nous avons appris que l’agence avait menti pendant des années à ces financiers qui croient avoir droit à la vérité de la part du gouvernement qui leur appartient. La NSA n’avait pas seulement subverti des standards techniques en tentant de casser le chiffrement qui est la clé de voûte de l’industrie mondiale de la finance, elle avait aussi volé les clés d’autant de « coffres-forts » que possible. Avec cette révélation, la NSA a perdu la respectabilité qu’elle avait dans le monde entier. Leur inconscience dans la mise en danger de ceux qui n’acceptent pas les dangers émanant du gouvernement des États-Unis était à couper le souffle.

…ces dix dernières années, après la mise au rencart de l’éthique de la liberté, l’État a commencé à ancrer des procédés totalitaires dans la substance même de la démocratie.

L’empire des États-Unis était l’empire de la liberté exportée. Ce qu’il avait à offrir au monde entier c’était la liberté et l’indépendance. Après la colonisation, après les vols commis par l’Europe, après les diverses incarnations de l’horreur d’origine étatique, il promettait un monde libéré de l’oppression de l’État. Au siècle dernier, nous étions prêts à sacrifier nombre des plus grandes villes du monde et à accepter le sacrifice de dizaines de millions de vies humaines. C’était le prix à payer pour écraser des régimes que nous appelions « totalitaires », dans lesquels l’État devenait si puissant et si invasif qu’il ne reconnaissait plus aucune des limites de la sphère privée. Nous avons combattu désespérément jusqu’à la mort des systèmes dans lesquels l’État écoutait chaque conversation téléphonique et conservait la liste de toutes les personnes en relation avec chaque fauteur de trouble. Mais ces dix dernières années, après la mise au rencart de l’éthique de la liberté, l’État a commencé à ancrer des procédés totalitaires dans la substance même de la démocratie.

Proclamer que les procédés du totalitarisme sont compatibles avec le système de l’autogouvernance éclairée, individuelle et démocratique est sans précédent dans l’histoire. Un tel raisonnement devrait être voué à l’échec. Il devrait suffire de lui objecter que l’omniprésence d’écoutes invasives engendre la peur, et que cette peur est l’ennemie de la liberté raisonnée et organisée. Tenter d’ancrer des procédés totalitaristes au sein de l’autogouvernance constitutionnelle des États-Unis est en totale contradiction avec l’idéal américain. Mais il y a une incohérence encore plus profonde entre ces idéaux et le fait de soumettre à une surveillance de masse chacune des autres sociétés de la planète. Certains des serviteurs du système ont finalement compris que tout ceci était mis en place, non pas avec, mais contre l’ordre démocratique. Ils savaient que les amarres de leurs vaisseaux avaient été larguées dans le noir et sans drapeau. Quand ils ont lancé l’alerte, le système a lancé ses alertes en retour. Finalement — du moins à ce jour, et jusqu’à nouvel ordre — il y a eu Snowden, qui a vu tout ce qui se passait et observé le sort de ceux qui se sont mis à parler.

Il a compris, comme Chelsea Manning l’a aussi toujours compris, que lorsque vous portez l’uniforme, vous consentez au pouvoir. Il connaissait très bien son affaire. Tout jeune qu’il était, il a déclaré à Hong Kong : « J’ai été un espion toute ma vie. » Et il a fait ce qui demande un grand courage, lorsqu’on est en présence de ce qu’on croit être une injustice radicale. Il n’était pas le premier, il ne sera pas le dernier, mais il a sacrifié l’existence qu’il connaissait pour nous dire les choses que nous avions besoin de savoir. Snowden s’est rendu coupable d’espionnage pour le compte de la race humaine. Il en connaissait le prix, il savait pourquoi. Mais comme il l’a dit, seul le peuple des États-Unis pourra décider, au travers de sa réponse, si le sacrifice de sa vie en valait la peine. Aussi est-il de la plus haute importance que nous fassions l’effort de comprendre ce message : comprendre son contexte, son propos et sa signification, et tirer les conséquences concrètes du fait d’en avoir eu communication. Et même une fois que nous aurons compris, il sera difficile de juger Snowden, parce qu’il y a toujours beaucoup à dire d’un côté comme de l’autre lorsque quelqu’un a entièrement raison trop tôt.

Aux États-Unis, ceux qui furent des « antifascistes précoces » [5] ont souffert. Il n’était bon d’avoir raison que lorsque tous les autres avaient raison. Il était malvenu d’avoir raison quand seuls ceux que nous désapprouvions avaient un point de vue que nous adopterions nous-mêmes plus tard.

nous devons commencer par écarter, pour nos besoins immédiats, à peu près tout ce qu’ont dit les présidents, premiers ministres, chanceliers et sénateurs. Les discours publics de ces « leaders » constituent un catalogue remarquable de manipulations, de tromperies et de complets mensonges.

Snowden a été parfaitement précis. Il connaît son affaire. Il a été pour nous l’espion des injustices et nous a dit ce qu’il fallait pour que nous fassions ce travail et que nous le fassions bien. Et s’il est une responsabilité que nous avons, c’est celle d’apprendre, maintenant, avant que quelqu’un ne conclue qu’apprendre doit être interdit. En réfléchissant à la signification politique du message de Snowden et à ses conséquences, nous devons commencer par écarter, pour nos besoins immédiats, à peu près tout ce qu’ont dit les présidents, premiers ministres, chanceliers et sénateurs. Les discours publics de ces « leaders » constituent un catalogue remarquable de manipulations, de tromperies et de complets mensonges. Nous devons plutôt nous concentrer sur la pensée qui sous-tend les actions menées par Snowden. Ce qui importe le plus maintenant, c’est de savoir dans quelle mesure l’ensemble de la race humaine a été piégée dans ce système de surveillance envahissant.

Nous commencerons là où les dirigeants sont déterminés à ne pas s’arrêter, en nous demandant si une forme quelconque de gouvernement autonome démocratique, où que ce soit, est compatible avec ce type de surveillance massive et envahissante dans laquelle le gouvernement des États-Unis a entraîné non seulement son peuple, mais aussi le monde entier. En fait, ce ne devrait pas être une enquête compliquée.

L’anonymat est nécessaire à la conduite d’une politique démocratique. Non seulement nous devons pouvoir choisir avec qui nous discutons de politique, mais nous devons aussi être capables de nous protéger des représailles contre l’expression de nos idées politiques.

Pour quiconque vivait au 20e siècle, du moins en son milieu, il était évident que la liberté ne pouvait pas être compatible avec des procédés totalitaires. Ainsi, quand on observe les réactions aux révélations de Snowden, on voit que l’invasion massive de la vie privée déclenche une anxiété justifiée sur le sort de la liberté parmi les survivants du totalitarisme. Pour comprendre pourquoi, nous devons comprendre plus précisément ce que notre conception de la « vie privée » implique vraiment. Notre conception de la vie privée combine trois éléments. Le premier est la confidentialité, la possibilité que le contenu de nos messages ne soit connu que de ceux auxquels ils sont destinés. Le deuxième est l’anonymat, c’est-à-dire le secret sur qui envoie ou reçoit les messages, quand bien même le contenu n’en serait absolument pas confidentiel. Il est très important que l’anonymat soit une préoccupation que nous puissions avoir, à la fois lorsque nous publions et lorsque nous lisons. Le troisième est l’autonomie, notre capacité à libérer nos décisions de vie personnelle de toute force ayant violé notre confidentialité ou notre anonymat. Ces trois éléments — confidentialité, anonymat et autonomie — sont les principaux composants d’un subtil cocktail qu’on appelle « vie privée ».

Sans confidentialité, l’autogouvernance démocratique est impossible. Sans confidentialité, les gens ne peuvent discuter des affaires publiques avec ceux qu’il choisissent en excluant ceux avec qui ils ne souhaitent pas dialoguer. L’anonymat est nécessaire à la conduite d’une politique démocratique. Non seulement nous devons pouvoir choisir avec qui nous discutons de politique, mais nous devons aussi être capables de nous protéger des représailles contre l’expression de nos idées politiques. L’autonomie est viciée par l’invasion généralisée de la confidentialité et de l’anonymat. La libre prise de décision est impossible dans une société où chaque déplacement est surveillé, comme nous le démontreraient un bref regard sur la Corée du Nord, toute conversation avec ceux qui ont vécu les totalitarismes du 20e siècle ou toute étude historique des réalités quotidiennes de l’esclavage aux États-Unis avant la guerre civile.

(à suivre…)

Notes

[1] Launch on warning est une option stratégique mise en œuvre par les États-Unis et l’URSS pendant la guerre froide. Elle consiste à lancer une attaque nucléaire en riposte à toute détection d’un lancement d’arme stratégique par l’adversaire, sans attendre l’explosion. Pour éviter les fausses alertes, la qualité du renseignement est évidemment primordiale.

[2] Moglen fait ici bien sûr allusion aux attentats du 11 septembre 2001.

[3] Foreign Intelligence Surveillance Act, Loi de surveillance du renseignement étranger, votée par le 50e congrès en 1978.

[4] Auguste (adj.) : digne de vénération, en référence à l’empereur Auguste de l’Empire Romain, considéré d’ailleurs comme l’inventeur du renseignement organisé.

[5] groupe d’antifascistes dénonçant l’amitié entre les États-Unis et l’Italie, l’Espagne et l’Allemagne juste avant le début de la Seconde Guerre mondiale, souvent accusés à tort d’être des agents communistes




La surveillance de la NSA révélée par Snowden : un an après, on récapitule ?

Faire le point sur un an de révélations que nous devons à Snowden permet de comprendre comment nous sommes passés peut-être définitivement dans l’ère de la défiance. Quand la machine ubiquiste de surveillance de masse nous considère tous comme des suspects potentiels, nous ne pouvons faire autrement que de soupçonner à priori le plus vertueux des opérateurs téléphoniques ou des fournisseurs d’accès à l’internet d’être bon gré mal gré un complice de la NSA et de lui remettre les clés de nos vies privées, de nos engagements politiques etc. sans même parler de l’espionnage des grands de ce monde .

Cette liste tire sa force accusatrice de sa sècheresse factuelle. Chaque élément y est toutefois documenté par un lien (en anglais en général) vers un article de presse en ligne.

65 choses sur la surveillance par la NSA que nous savons maintenant mais que nous ignorions il y a un an

Article original sur le site de l’Electronic Frontier Foundation

par Nadia Kayyali et Katitza Rodriguez

Traduction Framalang : hack, Diab, teromene, r0u, Thérèsegoofy, mrtino

Voilà un an que le journal The Guardian a publié pour la première fois le Foreign Intelligence Surveillance Court order, révélé par Edward Snowden, ex-sous-traitant de la NSA. Le document démontrait que la NSA avait mené des opération de surveillance généralisée sur des millions de personnes innocentes. Depuis lors, toute une vague de révélations choquantes, de divulgations, d’aveux partiels des autorités gouvernementales, d’appels aux lois qui garantissent la liberté de l’information, et de poursuites judiciaires, a déferlé sans interruption. Pour l’anniversaire de cette première révélation, voici 65 choses sur la surveillance par la NSA que nous savons maintenant mais que nous ignorions il y a un an.

1. Nous avons vu un exemple des décisions de justice qui autorisent la NSA à récolter potentiellement tout appel téléphonique aux USA – ce qui veut dire qui vous appelez, qui vous appelle, quand, pendant combien de temps et quelquefois même où.

2. Nous avons découvert les diaporamas en Powerpoint de la NSA qui détaillent comment est menée la récolte « en amont », par la collecte d’informations captées directement dans l’infrastructure des opérateurs de télécoms.

3. La NSA a conçu une vaste « drague du Web » en s’assurant qu’elle peut intercepter non seulement les communications d’une cible lorsqu’elle fait partie d’une communication mais aussi celles qui « concernent une cible, même si la personne ciblée ne participe pas à une communication ».

4. La NSA a confirmé qu’elle recherche des données collectées selon les clauses de la section 702 des amendements à la FISA (FISA Amendments Act) pour avoir accès sans mandat aux communications des citoyens des USA, grâce à ce que le sénateur Ron Wyden a appelé « le vide juridique de la recherche via porte dérobée ».

5. Même si la NSA a déclaré de façon répétée qu’elle ne ciblait pas les citoyens des États-Unis, ses propres documents montrent que les fouilles de données menées sous l’égide de la section 702 sont conçues pour déterminer avec un degré de confiance de 51% seulement si la cible est étrangère.

6. Si la NSA n’établit pas l’origine étrangère d’une cible, elle ne va pas arrêter d’espionner cette cible pour autant. Au lieu de ça, la NSA va présumer que la cible est étrangère tant qu’elle ne peut être « identifiée positivement comme une personne des États-Unis ».

7. Un audit interne de la NSA révélé par une fuite a donné les détails de 2776 violations de règles ou de décisions judiciaires en une seule année.

8. Les hackers de la NSA ciblent les administrateurs systèmes, indépendamment du fait que ces administrateurs systèmes peuvent eux-mêmes être totalement innocents de tout acte répréhensible…

9. La NSA et la CIA ont infiltré des communautés de jeu en ligne comme World of Warcraft et Second Life pour récolter des données et mener leur surveillance.

10. Le gouvernement a détruit des preuves dans des procès pour espionnage intentés par l’EFF contre la NSA. Comble de l’ironie, le gouvernement a également prétendu que les clients de l’EFF avaient besoin de ces preuves pour établir la recevabilité de leur plainte.

11. Le directeur du renseignement national, James Clapper, a menti au Congrès lorsqu’il a été interrogé directement par le sénateur Ron Wyden pour savoir si la NSA était en train de rassembler des données de quelque nature que ce soit sur des millions d’habitants des USA.

12. Microsoft, comme d’autres sociétés, a collaboré étroitement avec le FBI afin de permettre à la NSA de « contourner le chiffrement pour avoir accès aux données des utilisateurs ».

13. Pendant la seule année 2013, le budget du renseignement était de 52,6 milliards de dollars — ce chiffre a été révélé par la fuite d’un document, et non par le gouvernement. Sur ce budget, 10,8 milliards de dollars ont été attribués à la NSA. Cela équivaut approximativement à 167 dollars par personne résidant aux Etats-Unis.

14. La Cour fédérale de la surveillance et du renseignement (Foreign Intelligence Surveillance Court) a rendu des décisions qui autorisent la NSA à partager des données brutes — non expurgées des informations permettant d’identifier les personnes — avec le FBI, la CIA et le Centre national de lutte antiterroriste (National Counterterrorism Center).

15. Conformément à un protocole d’accord (memorandum of understanding), la NSA partage régulièrement des données brutes avec Israël sans en expurger les informations personnelles permettant d’identifier les citoyens des USA.

16. Les divulgations de Snowden ont montré clairement que l’administration Obama avait induit la Cour suprême en erreur à propos de questions clés dans le procès intenté par l’ACLU à la NSA pour espionnage, Clapper v. Amnesty International, ce qui a conduit à un renvoi de l’affaire pour manque de preuves.

17. La NSA « a pénétré le système de communication interne d’Al Jazeera ». Les documents de la NSA font état de ce que « les cibles sélectionnés avaient un “fort potentiel en tant que sources de renseignement” ».

18. La NSA a utilisé des cookies soi-disant anonymes de Google comme balises de surveillance, aidant ainsi à pister les utilisateurs individuels.

19. La NSA « intercepte “des millions d’images par jour” – dont environ 55 000 “images de qualité suffisante pour la reconnaissance faciale” » et les traite avec de puissants logiciels de reconnaissance faciale.

20. Le programme de reconnaissance faciale de la NSA « peut maintenant comparer les photos des satellites d’espionnage avec les photos personnelles interceptées prises en extérieur, pour déterminer leur localisation ».

21. Bien que la réforme de la NSA se soit essentiellement focalisée sur la Section 215 du PATRIOT Act, et que la plupart des magistrats aient également poussé à réformer la Section 702 du FISA Amendments Act, certains des pires espionnages de la NSA ont été effectués conformément au décret 12333, que le président Obama pourrait abroger ou modifier dès aujourd’hui.

22. La NSA a collecté les informations de localisation des téléphones mobiles des citoyens des USA durant deux ans sous couvert d’un projet pilote ayant pour but de voir comment pourraient être analysées de telles informations dans ses énormes bases de données.

23. Au cours du seul mois de mars 2013, la NSA a rassemblé 97 milliards de renseignements en provenance de réseaux informatiques du monde entier, dont 3 milliards de renseignements des réseaux propres aux USA.

24. La NSA a ciblé Tor, un ensemble d’outils qui permet aux internautes de naviguer sur le net de manière anonyme.

25. Le programme MUSCULAR de la NSA infiltre des liens entre les data centers mondiaux des sociétés technologiques comme Google et Yahoo. De nombreuses sociétés ont répondu à MUSCULAR en chiffrant le trafic sur leur réseau interne.

27. Le programme XKEYSCORE analyse les courriers électroniques, les conversations en ligne et l’historique de navigation de millions de personnes n’importe où dans le monde.

28. À travers BULLRUN, la NSA sabote les outils de chiffrement auxquels se fient les utilisateurs ordinaires, les entreprises et les institutions financières, cibles ou non, dans un effort sans précédent visant à affaiblir la sécurité des utilisateurs d’Internet, vous y compris.

28. L’opération Dishfire a collecté 200 millions de textos par jour à travers le globe, qui peuvent être utilisés pour extraire des informations intéressantes sur vous : localisation, contacts, données de carte de crédit, appels manqués, alertes d’itinérance (qui indiquent que vous franchissez une frontière), cartes de visite électroniques, informations sur vos paiements par carte, alertes aux voyageurs, et renseignements sur vos réunions.

29. À travers l’opération CO-TRAVELER, les États-Unis collectent des informations de localisation provenant de relais de téléphonie mobile GSM, d’émetteurs Wi-Fi et de concentrateurs GPS, qui sont ensuite analysées en fonction du temps pour déterminer entre autres avec qui une cible voyage.

30. Un mémo de 2004 intitulé DEA – The “Other” Warfighter (DEA – « l’autre » combattant) montre que la NSA et la DEA « profitent d’échanges réciproques d’information ».

31. Quand la DEA agit sur les renseignements que sa division « Opérations spéciales » reçoit de la NSA, ils cachent la source de l’information à travers une « construction parallèle », une mascarade recréant une enquête imaginaire destinée à cacher la source de l’indice, non seulement au défenseur, mais à la Cour. Il s’agit de faire en sorte qu’aucun tribunal ne rende de décision sur la légalité ou la finalité de l’usage qui sont faits des données de la NSA dans les enquêtes ordinaires.

32. Le produit de la surveillance de la NSA finit régulièrement entre les mains de l’IRS (NdT : le fisc des États-Unis). Tout comme la DEA, l’IRS utilise la « construction parallèle » pour dissimuler l’origine de l’indice.

33. Même le Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board), dont les membres sont triés sur le volet par le président des États-Unis, a recommandé que le gouvernement fasse cesser la collecte massive des enregistrements téléphoniques autorisée par la section 215 [NdT : du PATRIOT Act], cette collecte étant inefficace, illégale, et probablement anticonstitutionnelle.

34. La NSA a des projets pour infecter potentiellement des millions d’ordinateurs en y implantant des malwares dans le cadre du programme Tailored Access Operations (opérations d’accès personnalisé).

35. La NSA a eu un contrat secret de 10 millions de dollars avec la société de sécurité RSA pour créer une « porte dérobée » dans ses produits de chiffrement, largement utilisés par les entreprises.

36. « Dans le cadre d’une proposition visant à salir la réputation de ceux dont l’agence pense que les discours incendiaires radicalisent les autres », la NSA a surveillé leurs accès aux contenus pornographiques et rassemblé d’autres informations d’ordre explicitement sexuel.

37. La NSA et ses partenaires exploitent les applications mobiles, comme le jeu populaire Angry Birds, pour accéder à des informations privées sur les utilisateurs comme la localisation, l’adresse personnelle, le genre, et plus encore.

38. Le Washington Post a révélé que la NSA récolte « des centaines de millions de carnets d’adresses provenant de comptes personnels de courriel ou de messagerie instantanée du monde entier, dont beaucoup sont des citoyens des USA ».

Beaucoup de révélations de Snowden ont concerné les activités de la NSA à l’étranger, ainsi que les activités de certains des plus proches alliés de la NSA, comme son homologue britannique le GCHQ. Certaines de ces activités ont été des entreprises coopératives. En particulier, les « Cinq Yeux » – les États-Unis, la Nouvelle Zélande, l’Australie, le Royaume-Uni et le Canada – se communiquent mutuellement les données concernant leurs citoyens, constituant ainsi des failles susceptibles de saper la législation nationale.

39. La NSA a versé à son homologue britannique, le GCHQ, 155 millions de dollars ces trois dernières années « pour sécuriser l’accès aux programmes de collecte du renseignement britannique et les influencer ».

40. The Guardian a rapporté ceci : « Sur une période de six mois en 2008, [le GCHQ] a collecté les l’images de webcam – y compris une quantité importante de communications explicitement sexuelles – de plus d’1,8 millions de comptes utilisateurs Yahoo à l’échelle mondiale. »

41. Le GCHQ a utilisé des logiciels malveillants pour compromettre des réseaux appartenant à l’entreprise belge de télécommunications Belgacom.

42. Les principales entreprises de télécommunications, y compris BT, Vodafone, et Verizon business ont fourni au GCHQ un accès illimité à leurs câbles de fibre optique.

43. Le GCHQ a utilisé des attaques DDoS et autres méthodes pour interrompre les communications des Anonymous et de LulzSec, y compris les communications de personnes qui n’étaient accusées d’aucun délit.

44. La station Bude du GCHQ a surveillé des dirigeants de l’Union européenne, de l’Allemagne et d’Israël. Elle a également ciblé des organisations non gouvernementales comme Médecins du monde.

45. Partenaires de la NSA aux antipodes, les services de l’Australian Signals Directorate, ont été impliqués dans des violations de communications entre avocat et client couvertes par le secret professionnel, remettant en question un principe fondamental de notre système de justice pénal commun.

46. Les agents du renseignement australien ont espionné les téléphones mobiles du cabinet ministériel indonésien et du président Susilo Bambang.

47. En 2008, l’Australie a offert de partager les données brutes concernant ses citoyens avec ses partenaires du renseignement.

48. Le CSEC a aidé la NSA à espionner les dirigeants politiques durant le sommet du G20 au Canada.

49. Le CSEC et le CSIS ont été récemment réprimandés par le juge d’une cour fédérale pour l’avoir induit en erreur dans une demande de réquisition faite il y a 5 ans, à propos de l’utilisation des ressources des Cinq Yeux pour pister les Canadiens à l’étranger.

Ironie du sort, certaines opérations de la NSA ont ciblé des pays qui avaient collaboré directement avec l’agence en d’autres circonstances. Et certaines semblaient simplement non indispensables et disproportionnées.

50. Les documents de la NSA montrent que tous les gouvernements ne sont pas transparents sur leur propre niveau de coopération avec la NSA. Comme le rapporte The Intercept : « Peu de dirigeants élus ont connaissance de cet espionnage, voire aucun ».

51. La NSA intercepte, enregistre et archive chaque communication de téléphone mobile des Bahamas.

52. La NSA a surveillé les communications téléphoniques d’au moins 35 chefs d’États.

53. La NSA a espionné des diplomates français à Washington et aux Nations Unies.

54. La NSA a piraté les réseaux de l’entreprise chinoise Huawei et volé les sources de son code.

55. La NSA a posé des mouchards dans les ambassades de l’Union européenne à New York et à Washington. Elle a copié des disques durs dans les bureaux de l’UE à New York, et a mis sur écoute le réseau informatique interne des ambassades de Washington.

56. La NSA a collecté les métadonnées de plus de 45 millions d’appels téléphoniques italiens sur une période de 30 jours. Elle a également entretenu des stations de surveillance à Rome et à Milan.

57. La NSA a stocké les données d’approximativement 500  millions de connexions des systèmes de communication allemands chaque mois.

58. La NSA a collecté les données de plus de 60 millions d’appels téléphoniques espagnols sur une période de 30 jours, fin 2012 et début 2013, et a espionné des membres du gouvernement espagnol.

59. La NSA a collecté les données de plus de 70 millions d’appels téléphoniques français sur une période de 30 jours, fin 2012 et début 2013.

60. The Hindu, sur la base de documents de la NSA, a rapporté que « Sur une liste exhaustive des pays espionnés par les programmes de la NSA, l’Inde est en cinquième place. »

61. La NSA a pénétré le compte officiel de courriel de l’ancien président mexicain Felipe Calderon.

62. D’après The Guardian : « La NSA a, pendant des années, systématiquement écouté le réseau des télécommunications brésiliennes et et a intercepté, collecté et stocké sans discrimination les courriels et enregistrements téléphoniques de millions de Brésiliens ».

63. La NSA a surveillé les courriels, les appels téléphoniques et les textos de la présidente brésilienne Dilma Rousseff et de ses plus proches collaborateurs.

64. Les agences du renseignement allemand ont coopéré avec la NSA et ont implémenté le programme de la NSA XKeyscore, tandis que la NSA était en train d’espionner les dirigeants allemands.

65. Le quotidien norvégien Dagbladet a rapporté que la NSA a acquis des données sur 33 millions d’appels de téléphones mobiles norvégiens sur une période de 30 jours.

Il ne fait aucun doute que les relations internationales qu’Obama s’était engagé à restaurer, de même que la confiance du peuple des États-Unis dans le respect de sa vie privée et de ses droits constitutionnels, ont été sapées par la surveillance tous azimuts de la NSA. Mais un an après, le gouvernement des USA aussi bien que les gouvernements d’autres pays n’ont pas pris les mesures nécessaires pour faire en sorte que cette surveillance cesse. C’est pourquoi chacun doit se mobiliser – contactez votre député, rejoignez Reset the Net, et apprenez comment la loi internationale s’applique à la surveillance états-unienne aujourd’hui.

Toutes les images sous licence CC BY 2.0, par EFF, JeepersMedia et Richard Loyal French,




Geektionnerd : Asile pour Snowden

geektionnerd_197-1_simon-gee-giraudot_cc-by-sa.jpg

geektionnerd_197-2_simon-gee-giraudot_cc-by-sa.jpg

Sources sur Numerama :

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)




Vous êtes « natif du numérique » ? — Ce n’est pas si grave, mais…

La vie privée est-elle un problème de vieux cons ? demandait Jean-Marc Manach dans un excellent ouvrage. Bien sûr que non, mais on aimerait tant nous le faire croire…

« Natifs numériques », « natifs du numérique », « génération numérique »… Ce genre d’expressions, rencontrées dans les grands médias désireux d’agiter le grelot du jeunisme, peut susciter quelque agacement. D’autant que cette catégorie soi-disant sociologique se transforme bien vite en cible marketing pour les appétits des mastodontes du Web qui ont tout intérêt à présenter la jeunesse connectée comme le parangon des usages du net.

En s’attaquant à cette dénomination, Cory Doctorow [1] entend aussi remettre en cause ce préjugé. Selon lui, les adolescents sont tout à fait soucieux de la confidentialité et de leur vie privée. Mais ils sont loin de maîtriser tous les risques qu’ils sont susceptibles de prendre et comme nous tous, ils ont besoin d’outils et dispositifs qui les aident…

Vous n’êtes pas un « natif numérique » : la vie privée à l’ère d’Internet

par Cory Doctorow sur ce blog


Traduction Framalang : Amargein, lamessen, r0u, teromene, goofy, Clunär

image de couverture du roman Homeland de Doctorow

On raconte que Frédéric II, à la tête du Saint-Empire Romain germanique, avait ordonné qu’un groupe d’enfants soit élevé sans aucune interaction humaine, afin que l’on puisse étudier leur comportement « naturel », sans que celui-ci ne soit corrompu par la culture humaine, et découvrir ainsi la véritable nature profonde de l’animal humain.

Si vous êtes né au tournant du XXIe siècle, vous avez certainement dû supporter au moins une fois que quelqu’un vous appelle « natif numérique ». Dans un premier temps, ça sonne de façon plutôt sympathique : une éducation préservée du monde hors ligne et très imprégnée d’une sorte de sixième sens mystique, donnant l’impression de savoir ce que devrait être Internet.

Mais les enfants ne sont pas d’innocents mystiques. Ce sont de jeunes personnes, qui apprennent à devenir adultes de la même manière que les autres : en commettant des erreurs. Tous les humains se plantent, mais les enfants ont une excuse : ils n’ont pas encore appris les leçons que ceux qui se sont déjà plantés peuvent leur éviter. Si vous voulez doubler vos chances de réussite, vous devez tripler vos risques d’échec.

Le problème quand vous êtes catalogué « natif numérique », c’est que cela transforme toutes vos erreurs en une vérité absolue sur la manière dont les humains sont censés utiliser Internet. Ainsi, si vous faites des erreurs concernant votre vie privée, non seulement les entreprises qui vous incitent à les commettre (pour en tirer profit) s’en sortent impunies, mais tous ceux qui soulèvent des problèmes de vie privée sont exclus d’emblée. Après tout, si les « natifs numériques » sont censés ne pas être soucieux de leur vie privée, alors quiconque s’en préoccupe sérieusement passe pour un dinosaure complètement à la ramasse, plus du tout en phase avec ’’les Jeunes’’.

« Vie privée » ne signifie pas que personne au monde ne doit être au courant de vos affaires. Cela veut dire que c’est à vous de choisir qui peut s’en mêler.

Quiconque y prête attention s’apercevra qu’en réalité, les enfants se soucient énormément de leur vie privée. Ils ne veulent surtout pas que leurs parents sachent ce qu’ils disent à leurs amis. Ils ne veulent pas que leurs amis les voient dans leurs relations avec leurs parents. Ils ne veulent pas que leurs professeurs apprennent ce qu’ils pensent d’eux. Ils ne veulent pas que leurs ennemis connaissent leurs peurs et leurs angoisses.

Ceux qui veulent s’insinuer dans la vie privée des jeunes ne communiquent pas du tout sur ce point. Facebook est une entreprise dont le modèle économique repose sur l’idée que si elle vous espionne suffisamment et vous amène à révéler malgré vous suffisamment sur votre vie, elle pourra vous vendre des tas de trucs à travers la publicité ciblée. Quand on l’interpelle sur ce point, elle se justifie en disant que puisque les jeunes finissent par dévoiler tant de choses de leur vie personnelle sur Facebook, ça ne doit pas être un problème, vu que les natifs numériques sont censés savoir comment se servir d’Internet. Mais quand les gamins grandissent et commencent à regretter ce qu’ils ont dévoilé sur Facebook, on leur dit qu’eux non plus ne comprennent plus ce que ça signifie d’être un natif numérique, puisqu’ils sont devenus adultes et ont perdu le contact avec ce qui fait l’essence même d’Internet.

Dans « It’s Complicated: The Social Lives of Networked Teens[2] » [NdT « La vie sociale des jeunes connectés, un problème complexe »], une chercheuse nommée danah boyd[3] résume plus de dix ans d’étude sur la manière dont les jeunes utilisent les réseaux, et dévoile une lutte continue, voire désespérée, pour préserver leur vie privée en ligne. Par exemple, certains des jeunes interviewés par Boyd suppriment leur compte Facebook à chaque fois qu’ils s’éloignent de leur ordinateur. Si vous supprimez votre compte Facebook, vous avez six semaines pour changer d’avis et réactiver votre compte, mais durant le temps où vous êtes désinscrit, personne ne peut voir votre profil ou quelque partie que ce soit de votre journal (’’timeline’’). Ces jeunes se réinscrivent sur Facebook à chaque fois qu’ils reviennent devant leur ordinateur, mais s’assurent de cette manière que personne ne peut interagir avec leur double numérique à moins qu’ils ne soient là pour répondre, supprimant les informations si elles commencent à leur causer des problèmes.


C’est assez extraordinaire. Cela nous enseigne deux choses : premièrement, que les jeunes vont jusqu’à prendre des mesures extrêmes pour protéger leur vie privée ; deuxièmement, que Facebook rend extrêmement difficile toute tentative de protection de notre vie privée.


Vous avez certainement entendu un tas d’informations concernant Edward Snowden et la NSA. En juin dernier, Edward Snowden, un espion étatsunien, s’envola pour Hong Kong et remit à un groupe de journalistes étatsuniens des documents internes à la NSA. Ces documents décrivent un système d’une ampleur presque inimaginable — et absolument illégal — de surveillance d’Internet de la part des agences de surveillance étatsuniennes. Celles-ci choisissent littéralement au hasard un pays et enregistrent le moindre appel téléphonique passé depuis ce pays, juste pour voir si cela fonctionne et peut être transposé dans d’autres pays. Ils puisent littéralement dans le flux complet d’informations circulant entre les centres de données de Google ou de Yahoo, enregistrant les parcours de navigation/, les e-mails, les discussions instantanées et d’autres choses dont personne ne devrait avoir connaissance chez des milliards de personnes innocentes, y compris des centaines de millions d’Étatsuniens.

Tout cela a modifié les termes du débat sur la vie privée. Tout à coup, les gens ordinaires qui ne se préoccupaient pas de la vie privée s’y sont intéressés. Et ils ont commencé à penser à Facebook et au fait que la NSA avait récolté beaucoup de données par leur biais. Facebook a collecté ces données et les a mises à un endroit où n’importe quel espion pouvait les trouver. D’autres personnes dans le monde y avaient déjà pensé. En Syrie, en Égypte et dans beaucoup d’autre pays, rebelles ou agents du gouvernement ont mis en place des barrages que vous ne pouvez franchir qu’en vous connectant à votre compte Facebook de sorte qu’ils ont accès à votre liste d’amis. Si vous êtes ami-e avec les mauvaises personnes, vous êtes abattu ou emprisonné ou bien vous disparaissez.

Les choses ont été si loin que Marck Zuckerberg — qui avait dit à tout le monde que la vie privée était morte tout en dépensant 30 millions de dollars pour acheter les quatre maisons à côté de la sienne afin que personne ne voie ce qu’il faisait chez lui — a écrit une lettre ouverte au gouvernement des États-Unis pour lui reprocher d’avoir « tout gâché ». Comment avait-il tout gâché ? Ils ont montré au gens d’un seul coup que toutes leurs données privées étaient en train de migrer de leur ordinateur vers ceux de Facebook.


Les enfants savent intuitivement ce que vaut la vie privée. Mais comme ce sont des enfants, ils ont du mal à comprendre tous les détails. C’est un long processus que d’apprendre à bien la gérer, car il se passe beaucoup de temps entre le moment où on commence à négliger la protection de sa vie privée et celui où les conséquences de cette négligence se font sentir. C’est un peu comme l’obésité ou le tabagisme. Dans les cas où une action et ses conséquences sont clairement distinctes, c’est une relation que les gens ont beaucoup de peine à comprendre. Si chaque bouchée de gâteau se transformait immédiatement en bourrelet de graisse, il serait bien plus facile de comprendre quelle quantité de gâteau était excessive.

Les enfants passent donc beaucoup de temps à réfléchir sur leur vie privée préservée de leur parents, des enseignants et de ceux qui les tyrannisent, mais ils ne se demandent pas à quel point leur vie privée sera protégée vis-à-vis de leurs futurs employeurs, de l’administration et de la police. Hélas, au moment où ils s’en rendent compte, il est déjà trop tard.

Il y a toutefois de bonne nouvelles. Vous n’avez pas à choisir entre une vie privée et une vie sociale. De bons outils sont disponibles pour protéger votre vie privée, qui vous permettent d’aller sur Internet sans avoir à livrer les détails intimes de votre vie aux futures générations d’exploitants de données. Et parce qu’ il y a des millions de personnes qui commencent à avoir peur de la surveillance — grâce à Snowden et aux journalistes qui ont soigneusement fait connaître ses révélations — de plus en plus d’énergie et d’argent sont utilisés pour rendre ces outils plus faciles à utiliser.


La mauvaise nouvelle, c’est que les outils propices à la vie privée tendent à être peu pratiques. C’est parce que, avant Snowden, quasiment tout ceux qui se sentaient concernés par l’adéquation entre leur vie privée et la technologie étaient déjà experts d’un point de vue technologique. Non pas parce que les nerds ont besoin de plus de vie privée que les autres, mais parce qu’ils étaient les plus à même de comprendre quel genre d’espionnage était possible et ce qui était en jeu. Mais, comme je le dis, cela change vite (et les choses ne font que s’améliorer).

L’autre bonne nouvelle c’est que vous êtes des « natifs numériques », au moins un peu. Si vous commencez à utiliser des ordinateurs étant enfant, vous aurez une certains aisance avec eux, là où d’autres auront à travailler dur pour y parvenir. Comme Douglas Adams l’a écrit :


1. Tout ce qui existe dans le monde où vous êtes né est normal et ordinaire, et ce n’est qu’un rouage dans le mécanisme naturel du système.

2. Tout ce qui est inventé entre le moment de vos quinze ans et celui de vos trente-cinq est nouveau, excitant et révolutionnaire et vous pourrez probablement y faire carrière.

3. Tout ce qui sera inventé après vos trente-cinq ans est contraire à l’ordre naturel des choses.

Si j’étais un enfant aujourd’hui, je saurais tout au sujet des sécurités opérationnelles. J’apprendrais à me servir d’outils pour garder mes affaires entre moi et les personnes avec qui j’aurais décidé de les partager. J’en ferais une habitude, et j’inciterais mes amis à adopter cette habitude aussi (après tout, ça ne change rien si tous vos e-mails sont chiffrés mais que vous les envoyez à des idiots qui les gardent tous sur les serveurs de Google sous une forme déchiffrée, là où la NSA peut venir y fourrer son nez).

Voici quelques liens vers des outils de sécurité pour vous y initier :

  • Tout d’abord, téléchargez une version de Tails (pour « The Amnesic Incognito Live System »). Il s’agit d’un système d’exploitation que vous pouvez utiliser pour démarrer votre ordinateur sans avoir à vous soucier si le système d’exploitation installé est exempt de tout virus, enregistreur de frappe ou autre logiciel-espion. Il est fourni avec une tonne d’outils de communication sécurisés, ainsi que tout ce dont vous avez besoin pour produire les contenus que vous souhaitez diffuser de par le monde.
  • Ensuite, téléchargez une version du Tor Browser Bundle, une version spéciale de Firefox qui envoie automatiquement votre trafic à travers quelque chose appelé TOR (The Onion Router, le routeur en oignon, à ne pas confondre avec Tor Books, qui publie mes nouvelles). Cela vous permet de naviguer sur Internet avec beaucoup plus d’intimité et d’anonymat que vous n’en auriez normalement.
  • Apprenez à utiliser GPG, qui est une excellente manière de chiffrer vos courriers électroniques. Il existe une extension pour Chrome qui vous permet d’utiliser GPG avec GMail et une autre pour Firefox.
  • Si vous appréciez les messageries instantanées, procurez-vous OTR (« ’’Off The Record messaging’’ »), un outil pour sécuriser ses conversations en ligne, incluant des fonctionnalités telles que « l’inviolabilité des messages passés » (une façon de dire que même si quelqu’un arrive à le casser demain, il ne pourra pas lire les conversations interceptées aujourd’hui).

Une fois que vous aurez maîtrisé ce genre de choses, mettez-vous à réfléchir à votre téléphone. Les appareils sous Android sont de loin plus faciles à sécuriser que les iPhones d’Apple (Apple essaie de verrouiller ses téléphones pour que vous ne puissiez pas y installer d’autres logiciels que ceux de leur logithèque, et en raison de la loi DMCA de 1998, il est illégal de créer un outil pour les déverrouiller (’’jailbreaker’’). Il existe de nombreux systèmes d’exploitation concurrents d’Android, avec des niveaux variables de sécurité. Le meilleur point de départ est Cyanogenmod, qui vous facilitera l’utilisation d’outils de confidentialité sur votre mobile.

Il existe également des quantités de projets commerciaux qui traitent la vie privée bien mieux que le tout-venant. Je suis par exemple consultant de l’entreprise Wickr, qui reproduit les fonctionnalités de Snapchat mais sans moucharder à tout moment. Wickr a cependant beaucoup de concurrents, il vous suffit de regarder dans votre logithèque préférée pour vous en convaincre, mais assurez-vous d’avoir bien lu comment l’entreprise qui a conçu l’application vérifie que rien de louche ne vient interférer avec vos données supposées secrètes.

Tout ceci est en constante évolution, et ce n’est pas toujours facile. Mais c’est un excellent exercice mental que de chercher comment votre usage d’Internet peut vous compromettre. C’est aussi une bonne pratique dans un monde où des milliardaires voyeurs et des agences d’espionnage hors de contrôle essayent de transformer Internet en l’outil de surveillance le plus abouti. Si vous trouvez particulièrement pénible que vos parents espionnent votre historique de navigation, attendez que tous les gouvernements et toutes les polices du monde en fassent autant.

Notes

[1] Lisez ses très bons romans, notamment Little Brother

[2] Lien direct vers le téléchargement de cet essai au format PDF, en anglais : http://www.danah.org/books/ItsComplicated.pdf

[3] …et non Danah Boyd, c’est elle qui insiste pour ne pas mettre de capitales à ses nom et prénom, dit sa page Wikipédia




Plus rien ne marche, qu’est-ce qu’on fait ?

Désormais conscients et informés que nos actions et nos données en ligne sont faciles à espionner et l’enjeu de monétisation en coulisses, il nous restait l’espoir que quelques pans des technologies de sécurité pouvaient encore faire échec à la surveillance de masse et au profilage commercial. Pas facile pour les utilisateurs moyens d’adopter des outils et des pratiques de chiffrement, par exemple, cependant de toutes parts émergent des projets qui proposent de nous aider à y accéder sans peine.

Mais quand les experts en sécurité, quittant un moment leur regard hautain sur le commun des mortels à peine capables de choisir un mot de passe autre que 123AZERTY, avouent qu’ils savent depuis longtemps que tout est corrompu directement ou indirectement, jusqu’aux services soi-disant sécurisés et chiffrés, le constat est un peu accablant parce qu’il nous reste tout à reconstruire…

Plus rien ne fonctionne

article original : Everything is broken par Quinn Norton

Traduction Framalang : Diab, rafiot, Omegax, Scailyna, Amine Brikci-N, EDGE, r0u, fwix, dwarfpower, sinma, Wan, Manu, Asta, goofy, Solarus, Lumi, mrtino, skhaen

Un beau jour un de mes amis a pris par hasard le contrôle de plusieurs milliers d’ordinateurs. Il avait trouvé une faille dans un bout de code et s’était mis à jouer avec. Ce faisant, il a trouvé comment obtenir les droits d’administration sur un réseau. Il a écrit un script, et l’a fait tourner pour voir ce que ça donnerait. Il est allé se coucher et il a dormi environ quatre heures. Le matin suivant, en allant au boulot, il a jeté un coup d’œil et s’est aperçu qu’il contrôlait désormais près de 50 000 ordinateurs. Après en avoir pratiquement vomi de trouille, il a tout arrêté et supprimé tous les fichiers associés. Il m’a dit que finalement il avait jeté le disque dur au feu. Je ne peux pas vous révéler de qui il s’agit, parce qu’il ne veut pas finir dans une prison fédérale ; et c’est ce qui pourrait lui arriver s’il décrivait à qui que ce soit la faille qu’il a découverte. Cette faille a-t-elle été corrigée ? Sans doute… mais pas par lui. Cette histoire n’est en rien exceptionnelle. Passez quelque temps dans le monde des hackers et de la sécurité informatique, et vous entendrez pas mal d’histoires dans ce genre et même pires que celle-là.

Il est difficile d’expliquer au grand public à quel point la technologie est chancelante, à quel point l’infrastructure de nos vies ne tient qu’avec l’équivalent informatique de bouts de ficelle. Les ordinateurs et l’informatique en général sont détraqués.

Quand c’est codé avec les pieds, bonjour les vautours

Pour un bon nombre d’entre nous, en particulier ceux qui ont suivi l’actualité en matière de sécurité et les questions d’écoutes sauvages, rien de surprenant dans toutes les dernières révélations. Si nous ne connaissions pas les détails, nous savions tous, dans le monde de la sécurité, que la technologie est vacillante et malade. Depuis des années nous voyons tourner les vautours qui veulent profiter de cet état de fait. La NSA n’est pas et n’a jamais été le grand prédateur unique fondant sur Internet. C’est simplement le plus gros de ces charognards. S’ils arrivent à aller aussi loin, ce n’est pas parce que leurs employés sont des dieux des maths.

Si la NSA s’en sort si bien, c’est parce que les logiciels en général sont merdiques.

Huit mois avant que Snowden ne fasse ses révélations, j’ai twitté ça :

tweetQuinnNorton.png

« alerte de sécu : tout a une faille 0 day, tout le monde est suivi à la trace, toutes les données fuitent, tout est vulnérable, tout est compromis jusqu’à l’os. »

J’en étais arrivée à cette conclusion un peu désespérée : chercher des logiciels de qualité est un combat perdu d’avance. Comme ils sont écrits par des gens n’ayant ni le temps ni l’argent nécessaires, la plupart des logiciels sont publiés dès qu’ils fonctionnent assez bien pour laisser leurs auteurs rentrer chez eux et retrouver leur famille. Pour nous le résultat est épouvantable.

Si les logiciels sont aussi mauvais, c’est parce qu’ils sont très complexes, et qu’il cherchent à parler à d’autres logiciels, soit sur le même ordinateur, soit au travers du réseau. Même votre ordinateur ne peut plus être considéré comme unique : c’est une poupée russe, et chaque niveau est fait de quantité d’éléments qui essaient de se synchroniser et de parler les uns avec les autres. L’informatique est devenue incroyablement complexe, alors que dans le même temps les gens sont restés les mêmes, pétris de la même boue grise originelle pleine d’une prétention à l’étincelle divine.

Le merdier qu’est votre ordinateur sous Windows est tellement complexe que personne sur Terre ne sait tout ce qu’il fait vraiment, ni comment.

Maintenant imaginez des milliards de petites boites opaques qui essaient en permanence de discuter les unes avec les autres, de se synchroniser, de travailler ensemble, partageant des bouts de données, se passant des commandes… des tous petits bouts de programmes aux plus gros logiciels, comme les navigateurs – c’est ça, Internet. Et tout ça doit se passer quasi-simultanément et sans accrocs. Sinon vous montez sur vos grand chevaux parce que le panier de la boutique en ligne a oublié vos tickets de cinéma.

On n’arrête pas de vous rappeler que le téléphone avec lequel vous jouez à des jeux stupides et que vous laissez tomber dans les toilettes au troquet du coin est plus puissant que les ordinateurs utilisés pour la conquête de l’espace il y a de cela quelques décennies à peine. La NASA dispose d’une armée de génies pour comprendre et maintenir ses logiciels. Votre téléphone n’a que vous. Ajoutez à cela un mécanisme de mises à jour automatiques que vous désactivez pour qu’il ne vous interrompe pas au beau milieu d’une séance de Candy Crush…

À cause de tout ça, la sécurité est dans un état effrayant. En plus d’être truffés de bugs ennuyeux et de boîtes de dialogue improbables, les programmes ont souvent un type de faille piratable appelée 0 day (« zéro jour ») dans le monde de la sécurité informatique. Personne ne peut se protéger des 0 days. C’est justement ce qui les caractérise : 0 représente le nombre de jours dont vous disposez pour réagir à ce type d’attaque. Il y a des 0 days qui sont anodins et vraiment pas gênants, il y a des 0 days très dangereux, et il y a des 0 days catastrophiques, qui tendent les clés de la maison à toute personne qui se promène dans le coin. Je vous assure qu’en ce moment même, vous lisez ceci sur une machine qui a les trois types de 0days. Je vous entends d’ici me dire : « Mais, Quinn, si personne ne les connaît comment peux-tu savoir que je les ai ? » C’est parce que même un logiciel potable doit avoir affaire avec du code affreux. Le nombre de gens dont le travail est de rendre le logiciel sûr peut pratiquement tenir dans un grand bar, et je les ai regardé boire. Ce n’est pas rassurant. La question n’est pas : « est-ce que vous allez être attaqué ? » mais : « quand serez-vous attaqué ? »

Considérez les choses ainsi : à chaque fois que vous recevez une mise à jour de sécurité (apparemment tous les jours avec mon ordi sous Linux), tout ce qui est mis à jour a été cassé, rendu vulnérable depuis on ne sait combien de temps. Parfois des jours, parfois des années. Personne n’annonce vraiment cet aspect des mises à jour. On vous dit « Vous devriez installer cela, c’est un patch critique ! » et on passe sous silence le côté « …parce que les développeurs ont tellement merdé que l’identité de vos enfants est probablement vendue en ce moment même à la mafia estonienne par des script kiddies accrocs à l’héro ».

Les bogues vraiment dangereux (et qui peut savoir si on a affaire à eux lorsqu’on clique sur le bouton « Redémarrer ultérieurement » ?) peuvent être utilisés par des hackers, gouvernements, et d’autres horreurs du net qui fouillent à la recherche de versions de logiciels qu’ils savent exploiter. N’importe quel ordinateur qui apparaît lors de la recherche en disant « Hé ! Moi ! Je suis vulnérable ! » peut faire partie d’un botnet, en même temps que des milliers, ou des centaines de milliers d’autres ordinateurs. Souvent les ordinateurs zombies sont possédés à nouveau pour faire partie d’un autre botnet encore. Certains botnets patchent les ordinateurs afin qu’ils se débarrassent des autres botnets, pour qu’ils n’aient pas à vous partager avec d’autres hackers. Comment s’en rendre compte si ça arrive ? Vous ne pouvez pas ! Amusez-vous à vous demander si votre vie en ligne va être vendue dans l’heure qui suit ! La prochaine fois que vous penserez que votre grand-mère n’est pas cool, pensez au temps qu’elle a passé à aider de dangereux criminels russes à extorquer de l’argent à des casinos offshore avec des attaques DDoS.

Récemment un hacker anonyme a écrit un script qui prenait le contrôle d’appareils embarqués Linux. Ces ordinateurs possédés scannaient tout le reste d’Internet et ont créé un rapport qui nous en a appris beaucoup plus que ce que nous savions sur l’architecture d’Internet. Ces petites boîtes hackées ont rapporté toutes leurs données (un disque entier de 10 To) et ont silencieusement désactivé le hack. C’était un exemple délicieux et utile d’un individu qui a hacké la planète entière. Si ce malware avait été véritablement malveillant, nous aurions été dans la merde.

Et ceci parce que les ordinateurs sont tous aussi inévitablement défectueux : ceux des hôpitaux et des gouvernements et des banques, ceux de votre téléphone, ceux qui contrôlent les feux de signalisation et les capteurs et les systèmes de contrôle du trafic aérien. Chez les industriels, les ordinateurs destinés à maintenir l’infrastructure et la chaîne de fabrication sont encore pires. Je ne connais pas tous les détails, mais ceux qui sont les plus au courant sont les personnes les plus alcooliques et nihilistes de toute la sécurité informatique. Un autre de mes amis a accidentellement éteint une usine avec un ‘“ping”’ malformé au début d’un test d’intrusion. Pour ceux qui ne savent pas, un ‘“ping”’ est seulement la plus petite requête que vous pouvez envoyer à un autre ordinateur sur le réseau. Il leur a fallu une journée entière tout faire revenir à la normale.

Les experts en informatique aiment prétendre qu’ils utilisent des logiciels d’un genre complètement différent, encore plus géniaux, qu’eux seuls comprennent, des logiciels faits de perfection mathématique et dont les interfaces semblent sortir du cul d’un âne colérique. C’est un mensonge. La forme principale de sécurité qu’ils offrent est celle que donne l’obscurité – il y a si peu de gens qui peuvent utiliser ces logiciels que personne n’a le moindre intérêt à concevoir des outils pour les attaquer. Sauf si, comme la NSA, vous voulez prendre le contrôle sur les administrateurs systèmes.

Une messagerie chiffrée et bien codée, il ne peut rien nous arriver, hein ?

Prenons un exemple que les experts aiment mettre sous le nez des gens normaux qui ne l’utilisent pas : OTR. OTR, ou Off The Record messaging, ajoute une couche de chiffrement aux échanges via messagerie instantanée. C’est comme si vous utilisiez AIM ou Jabber et que vous parliez en code sauf que c’est votre ordinateur qui fait le code pour vous. OTR est bien conçu et robuste, il a été audité avec attention et nous sommes bien sûrs qu’il ne contient aucune de ces saloperies de vulnérabilités zéro jour.

Sauf que OTR n’est pas vraiment un programme que vous utilisez tel quel.

Il existe un standard pour le logiciel OTR, et une bibliothèque, mais elle ne fait rien par elle-même. OTR est implémentée dans des logiciels pour des neuneus par d’autres neuneus. À ce stade, vous savez que ça va se terminer dans les pleurs et les grincements de dents.

La partie principale qu’utilise OTR est un autre programme qui utilise une bibliothèque appelée ‘“libpurple”’. Si vous voulez voir des snobs de la sécurité aussi consternés que les ânes qui ont pondu leur interface, apportez-leur ‘“libpurple”’. ‘“Libpurple”’ a été écrit dans un langage de programmation appelé C.

Le C est efficace dans deux domaines : l’élégance, et la création de vulnérabilités jour zéro critiques en rapport avec la gestion de la mémoire.

Heartbleed, le bogue qui a affecté le monde entier, permettant la fuite de mots de passe et de clés de chiffrement et qui sait quoi encore ? – Du classique et superbe C.

La ‘“libpurple”’ a été écrite par des gens qui voulaient que leur client de discussion open source parle à tous les systèmes de messagerie instantanée du monde, et se foutaient complètement de la sécurité ou du chiffrement. Des gens du milieu de la sécurité qui en ont examiné le code ont conclu qu’il y avait tellement de façons d’exploiter la ‘“libpurple”’ que ça n’était probablement pas la peine de la patcher. Elle doit être jetée et réécrite de zéro. Ce ne sont pas des bugs qui permettent à quelqu’un de lire vos messages chiffrés, ce sont des bugs qui permettent à n’importe qui de prendre le contrôle total de votre ordinateur, regarder tout ce que vous tapez ou lisez et même probablement vous regarder vous mettre les doigts dans le nez devant la webcam.

Ce magnifique outil qu’est OTR repose sur la ‘“libpurple”’ dans la plupart des systèmes où il est utilisé. Je dois éclaircir un point, car même certains geeks n’en ont pas conscience : peu importe la force de votre chiffrement si celui qui vous attaque peut lire vos données par-dessus votre épaule, et je vous promets que c’est possible. Qu’il sache le faire ou pas encore, cela reste néanmoins possible. Il y a des centaines de bibliothèques comme ‘“libpurple”’ sur votre ordinateur : des petits bouts de logiciels conçus avec des budgets serrés aux délais irréalistes, par des personnes ne sachant pas ou ne se souciant pas de préserver la sécurité de votre système.

Chacun de ces petits bugs fera l’affaire quand il s’agit de prendre le contrôle de tout le reste de votre ordinateur. Alors on met à jour, on remet à jour, et peut-être que ça mettra les intrus dehors, ou peut-être pas. On n’en sait rien ! Quand on vous dit d’appliquer les mises à jour, on ne vous dit pas de réparer votre navire. On vous dit de continuer à écoper avant que l’eau n’atteigne votre cou.

oldSchoolSecurity.jpg (Crédit image : sridgway, licence CC BY 2.0)

Pour prendre un peu de recul par rapport à cette scène d’horreur et de désolation, je dois vous dire que la situation est tout de même meilleure que par le passé. Nous disposons aujourd’hui d’outils qui n’existaient pas dans les années 90, comme le ‘“sandboxing”’, qui permet de confiner des programmes écrits stupidement là où ils ne peuvent pas faire beaucoup de dégâts. (Le « sandboxing » consiste à isoler un programme dans une petite partie virtuelle de l’ordinateur, le coupant ainsi de tous les autres petits programmes, ou nettoyant tout ce que ce programme essaie de faire avant que d’autres puissent y accéder).

Des catégories entières de bugs horribles ont été éradiqués comme la variole. La sécurité est prise plus au sérieux que jamais, et il y a tout un réseau de personnes pour contrer les logiciels malveillants 24h sur 24. Mais ils ne peuvent pas vraiment garder la main. L’écosystème de ces problèmes est tellement plus vaste qu’il ne l’était ne serait-ce qu’il y a dix ans, qu’on ne peut pas vraiment dire que l’on fait des progrès.

Les gens, eux aussi, sont cassés

« Je vous fais confiance… » est ce que j’aime le moins entendre de la part des mes sources Anonymous. C’est invariablement suivi de bribes d’informations qu’ils n’auraient jamais dû me confier. Il est naturel de partager quelque chose de personnel avec quelqu’un en qui on a confiance. Mais c’est avec exaspération que je dois rappeler aux Anons qu’avant d’être connectés à un autre être humain ils sont d’abord connectés à un ordinateur, relayé à travers un nombre indéterminé de serveurs, switches, routeurs, câbles, liaisons sans fil, et en bout de chaîne, mon ordinateur parfaitement ciblé par les attaques. Tout ceci se déroule le temps d’une longue inspiration. Cela semble une évidence, mais il est bon de le rappeler : les humains ne sont pas conçus pour penser de cette manière.

Personne n’arrive à utiliser les logiciels correctement. Absolument tout le monde se plante. OTR ne chiffre pas avant le premier message, un fait que des éminents professionnels de la sécurité et des hackers qui subissent une chasse à l’homme dans une vingtaine de pays oublient en permanence. Gérer toutes les clés de chiffrement et de déchiffrement dont vous avez besoin pour garder vos données en sûreté sur plusieurs appareils, sites, et comptes est théoriquement possible, de la même façon que réaliser une appendicectomie sur soi-même est théoriquement possible. Il y a un gars qui a réussi à le faire en Antarctique, pourquoi pas moi, hein ?

Tous les experts en programmes malveillants que je connais ont un jour oublié ce que faisait là un certain fichier, ont cliqué dessus pour le voir et ensuite compris qu’ils avaient exécuté un quelconque logiciel malveillant qu’ils étaient censés examiner. Je sais cela parce que ça m’est arrivé une fois avec un PDF dans lequel je savais qu’il y avait quelque chose de mauvais. Mes amis se sont moqués de moi, puis m’ont tous confessé discrètement qu’ils avaient déjà fait la même chose. Si quelques-uns des meilleurs spécialiste de rétro-ingénierie de logiciels malveillants ne peuvent surveiller leurs fichiers malveillants, qu’espérer de vos parents avec cette carte postale électronique qui est prétendument de vous ?

Les pièces jointes exécutables (ce qui inclut les documents Word, Excel, et les PDF) des emails que vous recevez chaque jour peuvent provenir de n’importe qui (on peut écrire à peu près ce que l’on veut dans le champ « De : » d’un email) et n’importe laquelle de ces pièces jointes pourrait prendre le contrôle de votre ordinateur aussi facilement qu’une vulnérabilité jour zéro. C’est certainement de cette façon que votre grand-mère s’est retrouvée à travailler pour des criminels russes, ou que vos concurrents anticipent tous vos plans produits. Mais dans le monde d’aujourd’hui, vous ne pourrez sûrement pas conserver un emploi de bureau si vous refusez d’ouvrir des pièces jointes. Voilà le choix qui s’offre à vous : prendre en permanence le risque de cliquer sur un dangereux programme malveillant, ou vivre sous un pont, laissant sur la pelouse de votre ancienne maison des messages pour dire à vos enfants combien vous les aimez et combien ils vous manquent.

Les experts de la sécurité et de la vie privée sermonnent le public à propos des métadonnées et des réseaux d’échange de données, mais prendre en compte ces choses est aussi naturel que de se faire une batterie de tests sanguins tous les matins, et à peu près aussi facile. Les risques sur le plan sociétal de renoncer à notre vie privée sont énormes. Et pourtant, les conséquences pour chacun de ne pas y renoncer sont immédiatement handicapantes. Il s’agit au final d’un combat d’usure entre ce que l’on veut pour nous-mêmes et nos familles, et ce que l’on doit faire pour vivre dans notre communauté en tant qu’humains – un champ de mines monétisé par les entreprises et monitoré par les gouvernements.

Je travaille en plein là-dedans, et je ne m’en sors pas mieux. J’ai dû une fois suivre un processus pour vérifier mon identité auprès d’un informateur méfiant. J’ai dû prendre une série de photos montrant où je me trouvais ainsi que la date. Je les ai mises en ligne, et on m’a permis de procéder à l’interview. Au final, il se trouve qu’aucune de ces vérifications n’avait été envoyées, parce que j’avais oublié d’attendre la fin du chargement avant d’éteindre nerveusement mon ordinateur. « Pourquoi m’avez-vous quand même permis de vous voir ? » demandais-je à ma source. « Parce qu’il n’y a que vous qui pourrait faire une chose aussi stupide », m’a-t-il répondu.

Touché.

Mais si cela m’arrive à moi, une adulte relativement bien entraînée qui fait attention à ce genre de sujets systématiquement, quelle chance ont les gens avec de vrais boulots et de vraies vies ?

Finalement, c’est la culture qui est cassée.

Il y a quelques années, j’ai rencontré plusieurs personnes respectées qui travaillent dans la confidentialité et la sécurité logicielle et je leur ai posé une question. Mais d’abord j’ai dû expliquer quelque chose : « La plupart des gens n’ont pas de droits d’administration sur les ordinateurs qu’ils utilisent. »

computerClassBolts.jpg (Crédit image : amelungc, licence CC BY 2.0)

C’est-à-dire que la plupart des gens qui utilisent un ordinateur dans le monde n’en sont pas propriétaires… Que ce soit dans un café, à l’école, au travail, installer une application bureautique n’est pas directement à la portée d’une grande partie du monde. Toute les semaines ou toutes les deux semaines, j’étais contacté par des gens prêts à tout pour améliorer la sécurité et les options de confidentialité, et j’ai essayé de leur apporter mon aide. Je commençais par « Téléchargez le… » et on s’arrêtait là. Les gens me signalaient ensuite qu’ils ne pouvaient pas installer le logiciel sur leur ordinateur. En général parce que le département informatique limitait leurs droits dans le cadre de la gestion du réseau. Ces gens avaient besoin d’outils qui marchaient sur ce à quoi ils avaient accès, principalement un navigateur.

Donc la question que j’ai posée aux hackers, cryptographes, experts en sécurité, programmeurs, etc. fut la suivante : quelle est la meilleure solution pour les gens qui ne peuvent pas télécharger de nouveau logiciel sur leurs machines ? La réponse a été unanime : aucune. Il n’y a pas d’alternative. On me disait qu’ils feraient mieux de discuter en texte brut, « comme ça ils n’ont pas un faux sentiment de sécurité ». À partir du moment où ils n’ont pas accès à de meilleurs logiciels, ils ne devraient pas faire quoi que ce soit qui puisse déranger les gens qui les surveillent. Mais, expliquais-je, il s’agit d’activistes, d’organisateurs, de journalistes du monde entier qui ont affaire à des gouvernements et des sociétés et des criminels qui peuvent vraiment leur faire du mal, ces gens sont vraiment en danger. On me répondait alors que dans ce cas, ils devraient s’acheter leurs propres ordinateurs.

Et voilà, c’était ça la réponse : être assez riche pour acheter son propre ordinateur, ou bien littéralement tout laisser tomber. J’ai expliqué à tout le monde que ce n’était pas suffisant, j’ai été dénigrée lors de quelques joutes verbales sans conséquences sur Twitter, et je suis passée à autre chose. Peu de temps après, j’ai compris d’où venait l’incompréhension. Je suis retourné voir les mêmes experts et j’ai expliqué : dans la nature, dans des situations vraiment dangereuses – même quand les gens sont traqués par des hommes avec des armes – quand le chiffrement et la sécurité échouent, personne n’arrête de parler. Ils espèrent seulement ne pas se faire prendre.

La même impulsion humaine qui nous pousse vers le hasard et les loteries depuis des milliers d’années soutient ceux qui luttent même quand les chances sont contre eux. « Peut-être bien que je m’en sortirai, autant essayer ! » Pour ce qui est de l’auto-censure des conversations dans une infrastructure hostile, les activistes non techniques s’en sortent de la même manière que les Anons, ou que les gens à qui l’on dit de se méfier des métadonnées, ou des réseaux d’échanges de données, ou de ce premier message avant que l’encodage OTR ne s’active. Ils foirent.

Cette conversation a été un signal d’alerte pour quelques personnes de la sécurité qui n’avaient pas compris que les personnes qui devenaient activistes et journalistes faisaient systématiquement des choses risquées. Certains ont rallié mon camp, celui où on perd son temps à des combats futiles sur Twitter et ils ont pris conscience que quelque chose, même quelque chose d’imparfait, pouvait être mieux que rien. Mais beaucoup dans le domaine de la sécurité sont toujours dans l’attente d’un monde parfait dans lequel déployer leur code parfait.

Alors apparaît l’Intelligence Community (Communauté du renseignement), ils s’appellent entre eux le IC. Nous pourrions trouver ça sympathique s’ils arrêtaient d’espionner tout le monde en permanence, et eux aimeraient bien que l’on cesse de s’en plaindre. Après avoir passé un peu de temps avec eux, je pense savoir pourquoi ils ne se préoccupent pas de ceux qui se plaignent. Les IC font partie des humains les plus surveillés de l’histoire. Ils savent que tout ce qu’ils font est passé au peigne fin par leurs pairs, leurs patrons, leurs avocats, d’autres agences, le président, et parfois le Congrès. Ils vivent surveillés, et ne s’en plaignent pas.

Dans tous les appels pour augmenter la surveillance, les fondamentaux de la nature humaine sont négligés. Vous n’allez pas apprendre aux espions que ce n’est pas bien en faisant encore plus qu’eux. Il y aura toujours des failles, et tant qu’elles existeront ou pourront être utilisées ou interprétées, la surveillance sera aussi répandue que possible. Les humains sont des créatures généralement égocentriques. Les espions, qui sont humains, ne comprendront jamais pourquoi vivre sans vie privée est mal aussi longtemps qu’ils le feront.

Et pourtant ce n’est pas cela le pire. La catastrophe culturelle qu’ils provoquent rend plus facile leur boulot d’épier le monde. Les aspects les plus dérangeants des révélations, ce sont le marché des failles 0 day, l’accumulation des moyens de les exploiter, l’affaiblissement des standards. La question est de savoir qui a le droit de faire partie de ce « nous » qui est censé être préservé de ces attaques, écoutes et décryptages et profilages. Quand ils ont attaqué Natanz avec Stuxnet et laissé tous les autres centres nucléaires vulnérables, nous avons été tranquillement avertis que le « nous » en question commençait et finissait avec l’IC lui-même. Voilà le plus grand danger.

Quand le IC ou le DOD ou le pouvoir exécutif sont les seuls vrais Américains, et que le reste d’entre nous ne sommes que des Américains de deuxième classe, ou pire les non-personnes qui ne sont pas associées aux États-Unis, alors nous ne pouvons que perdre toujours plus d’importance avec le temps. À mesure que nos désirs entrent en conflit avec le IC, nous devenons de moins en moins dignes de droits et de considération aux yeux du IC. Quand la NSA accumule des moyens d’exploiter les failles, et que cela interfère avec la protection cryptographique de notre infrastructure, cela veut dire qu’exploiter des failles contre des gens qui ne sont pas de la NSA ne compte pas tellement. Nous sécuriser passe après se sécuriser eux-mêmes.

En théorie, la raison pour laquelle nous sommes si gentils avec les soldats, que nous avons pour habitude d’honorer et de remercier, c’est qu’ils sont supposés se sacrifier pour le bien des gens. Dans le cas de la NSA, l’inverse s’est produit. Notre bien-être est sacrifié afin de rendre plus aisé leur boulot de surveillance du monde. Lorsque cela fait partie de la culture du pouvoir, on est en bonne voie pour que cela débouche sur n’importe quel abus.

Mais le plus gros de tous les problèmes culturels repose toujours sur les épaules du seul groupe que je n’aie pas encore pris à partie – les gens normaux, qui vivent leurs vies dans cette situation démentielle. Le problème des gens normaux avec la technologie est le même qu’avec la politique, ou la société en général. Les gens pensent être isolés et sans pouvoir, mais la seule chose qui maintient les gens seuls et sans pouvoir est cette même croyance. Ceux qui travaillent ensemble ont un énorme et terrible pouvoir. Il existe certainement une limite à ce que peut faire un mouvement organisé de personnes qui partagent un rêve commun, mais nous ne l’avons pas encore trouvée.

Facebook et Google semblent très puissants, mais ils vivent à peu près à une semaine de la ruine en permanence. Ils savent que le coût de départ des réseaux sociaux pris individuellement est élevé, mais sur la masse, c’est une quantité négligeable. Windows pourrait être remplacé par quelque chose de mieux écrit. Le gouvernement des États-Unis tomberait en quelques jours devant une révolte générale. Il n’y aurait pas besoin d’une désertion totale ou d’une révolte générale pour tout changer, car les sociétés et le gouvernement préfèreraient se plier aux exigences plutôt que de mourir. Ces entités font tout ce qu’elles peuvent pour s’en sortir en toute impunité – mais nous avons oublié que nous sommes ceux qui les laissons s’en sortir avec ces choses.

Si les ordinateurs ne satisfont pas nos besoins de confidentialité et de communication, ce n’est pas en raison d’une quelconque impossibilité mathématique. Il existe un grand nombre de systèmes qui pourraient chiffrer nos données de façon sécurisée et fédérée, nous disposons de nombreuses façons de retrouver la confidentialité et d’améliorer le fonctionnement par défaut des ordinateurs. Si ce n’est pas ainsi que les choses se passent en ce moment c’est parce que nous n’avons pas exigé qu’il en soit ainsi, et non pas parce que personne n’est assez malin pour que ça arrive.

C’est vrai, les geeks et les PDG et les agents et les militaires ont bousillé le monde. Mais en fin de compte, c’est l’affaire de tous, en travaillant ensemble, de réparer le monde.