Recherche

Votre recherche de hadopi a donné 86 résultats.

vendredi 18 mars 2016

En vrac du vendredi

Par Tristan, vendredi 18 mars 2016. En vrac

(avec beaucoup de liens vers l’affaire Apple vs FBI)

“We’re in this bizarre position where we’re defending the civil liberties of the country against the government,” Cook says. “I mean, I never expected to be in this position. The government should always be the one defending civil liberties, and yet there’s a role reversal here. I still feel like I’m in another world, that I’m in this bad dream.”

samedi 21 mars 2015

Loi Renseignement : un vendredi à Matignon

Par Tristan, samedi 21 mars 2015. Politique

Suite à mon billet précédent, Projet de loi Renseignement : peut-être du mieux, indéniablement du terrifiant, j’ai été gentiment invité à Matignon avec des collègues du CNNum cité dans le communiqué de presse Renseignement et des membres du SG. D’autres personnalités et associations étaient invitées, mais n’ont pas pu ou pas voulu participer.

Ça n’est pas anodin que d’être invité par les services du premier ministre suite à un billet de blog et une citation dans un communiqué de presse. Vérification d’identités par des policiers en gilet pare-balles et mitraillette en bandoulière. Nous sommes 4 du CNNum, trois permanents du Secrétariat Général et moi, seul membre ayant pu me libérer. En face, 8 représentants du gouvernement, du premier ministre, de l’intérieur et de l’économie numérique. Du lourd. On sent une certaine tension… Mais aussi une envie de séduire, de créer des liens, comme si on entendait “nous sommes des gentils, aidez-nous à faire un bon projet de loi, c’est pour lutter contre le terrorisme (mais pas que)”.

Si j’essaye d’être honnête, c’est un langage que j’ai envie d’entendre : si je me suis engagé bénévolement (faut-il le rappeler) au Conseil National du Numérique, c’est parce que j’ai envie d’aider mon pays à comprendre, mieux gérer et affronter les changements majeurs apportés par la déferlante numérique.

Essayons de faire le tri. Comme souvent, je vais commencer par le positif.

Un besoin de faire évoluer la loi encadrant le renseignement

Il y a une évidence : ces dernières années, les techniques de renseignement ont considérablement évolué, avec l’arrivée d’Internet et des téléphones portables. Là où on surveillait des allées et venues de suspects et des rencontres dans le monde réel ou sur des lignes téléphoniques fixes, on voit plutôt des gens qui se connectent à Internet depuis chez eux ou s’appellent sur des téléphones portables jetables (c’était le cas pour les terroristes de janvier). Evidemment, la loi n’était pas prévue pour cela et les les terroristes ont suivi les progrès technologiques. Les services ont souvent semble-t-il, profité de zones grises comme par exemple l’utilisation d‘IMSI-catchers (fausses antennes GSM permettant de localiser des téléphones et/ou des cartes SIM). L’utilisation d‘IMSI-catchers sans l’autorisation est en théorie interdite, mais si l’on en croit le Canard Enchaîné, c’est monnaie courante.

Il était temps de faire évoluer la loi encadrant le renseignement, et c’est la volonté de Manuel Valls, qui a toujours eu une fibre sécuritaire.

Nos interlocuteurs agitent le risque terroriste, justifiant l’urgence d’une nouvelle loi permettant aux services de renseignements d’opérer plus facilement, plus rapidement, plus efficacement et surtout plus dans la légalité. On retrouve l’argumentaire de Manuel Valls :

La menace terroriste est à un niveau sans précédent. Elle est protéiforme, émanant aussi bien de groupes évoluant à l’étranger que d’individus présents sur notre territoire. (…) Comme le disent souvent les services, le problème n’est pas de savoir s’il y aura un attentat à nouveau, en France, en Europe, mais de savoir quand et où.

Nous voilà prévenus. Vouloir limiter l’action des agents de renseignement, c’est devenir complice du terrorisme. Voilà qui ne pousse pas à une réflexion sereine. C’est dommage, les enjeux sont colossaux, et la loi concerne le renseignement, dont le champ est bien plus large que simple terrorisme.

Une envie affirmée de bien faire les choses

Dans la foulée des attentats Charlie Hebdo et de l’épicerie cacher, on pouvait redouter un Patriot Act à la française, déjà surnommé « Frenchiot Act », qui a bien le goût que son surnom laisse supposer. Il faut reconnaitre la volonté des auteurs de la loi d’avoir fait l’effort d’inventer un dispositif plus compliqué que ne l’ont fait les Américains en vue, du moins l’espèrent-ils, de protéger les libertés individuelles.

Mais on peut légitimement se demander si cette envie de bien faire les choses est bien sincère. Comme le remarque la Quadrature (l’emphase est de mon fait) :

Les concertations après coup sont un simulacre de prise en compte de la société civile, et ne servent qu’à entretenir l’illusion du dialogue. Si le gouvernement se souciait réellement de notre avis, il avait tout le loisir de nous le demander avant, en amont et pendant la rédaction du projet de loi.

Mais mettons de coté les intentions et concentrons-nous sur ce qui ne va pas dans cette loi…

Le vrai problème : les boites noires

C’est là le cœur du problème, ce qui est pour moi ce qui ne peut être admis dans la loi Renseignement : le plan qui consiste à obliger les services Internet et fournisseurs d’accès à mettre des boites noires dans le coeur du réseau pour observer le trafic et signaler tout comportement suspect, qui sera transmis aux services de renseignements.

Je vous le répète, tellement c’est énorme : un algorithme, forcément secret car classé défense, va surveiller Internet. Pour désigner ensuite les suspects. C’est dérangeant à plusieurs niveaux.

D’abord, il y a un problème sémantique : d’après le gouvernement, ça n’est pas de la surveillance de masse, vu que c’est un logiciel qui surveille, et compte tenu des limites techniques, il ne peut pas tout surveiller. Il ne peut surveiller qu’un échantillon de l’Internet français. (D’après moi, avec la loi de Moore et l’augmentation des budgets de lutte contre le terrorisme, le pourcentage ne va cesser d’augmenter, mais on me répond que le trafic augmente aussi. Soit.) Ensuite, il ne doit pas trouver “trop de suspects, sinon c’est rejeté par la commission CNCTR” (commission nationale de contrôle des techniques du renseignement) qui approuve la levée de l’anonymat des suspects avant de les passer aux services qui vont ensuite espionner de façon traditionnelle (filature, mais aussi éventuellement, et c’est une nouveauté, mettre un keylogger sur leur PC).

C’est un peu comme si on me disait que Google ne fait pas de surveillance de masse en lisant tout le courrier transitant par Gmail, parce que “ce ne sont pas des humains qui lisent le courrier, ce sont des ordinateurs”. (On me l’a vraiment faite, celle-là, promis !). Sauf que les courriers sont analysés, y compris les pièces jointes. Et c’est ainsi que Google a dénoncé un pédophile en Août dernier. C’est très bien que ce pédophile ait été arrêté, mais ça reste de la surveillance de masse.

La surveillance de masse, c’est la fin de la vie privée, par définition, et c’est une catastrophe, comme je l’explique ici : En faisant croire aux gens qu’ils sont observés en permanence, on arrive à leur imposer une façon de se comporter. Ce soir encore, George Moreas, commissaire de la police nationale, l’explique fort bien.

l’histoire de la toute petite brèche

Ensuite, c’est le problème de la brèche. Vous ne connaissez pas l’histoire de la brèche ? c’est normal, je l’ai inventée tout à l’heure.

Ça se passe dans une vallée en montagne où se trouve un barrage hydraulique. L’imposant barrage fournit de l’énergie à toute la région, mais voilà, un résident du coin aimerait avoir l’eau courante pour arroser son potager. Il propose de faire un trou dans le barrage tout proche pour y brancher un robinet et un tout petit tuyau. Donc il va faire un petit trou dans le barrage. Affolement de certains voisins qui comprennent bien qu’un trou, même tout petit, pourrait être dramatique pour la survie de toute la vallée qui est en aval du barrage. Le ton monte, le propriétaire du potager s’énerve, après tout, il s’agit juste d’un trou minuscule, et « à quoi bon avoir toute cette eau à proximité si on ne peut pas s’en servir ? ».

On imagine bien qu’un trou, sous la pression de l’eau, va s’agrandir avant de se transformer en brèche avant d’éventrer le barrage sur toute sa hauteur.

Quel rapport avec la loi Renseignement ? La boite noire. La ou plutôt les boites noires au cœur du réseau vont surveiller le réseau et les comportement des utilisateurs avant de les dénoncer. C’est de la surveillance de masse qui ne dit pas son nom. Mais attendez, c’est juste fait par un ordinateur, et pas un humain (forcément, pour traiter autant de données). Et c’est pour lutter contre le terrorisme ! Et puis c’est anonyme (jusqu’à ce que ça ne le soit plus).

Je pense que dans ce domaine, sous la pression de l’opinion publique qui veut lutter contre le terrorisme, le petit trou va s’agrandir.

Vous voulez un exemple ? Il y en a plein. Le filtrage d’Internet est d’ores et déjà un grand classique.

On part d’un problème sur lequel tout le monde est d’accord. Par exemple, le terrorisme. On met le mécanisme pour lutter contre en place. Et puis on l’étend, d’abord pour des causes aussi justes que la pédopornographie. Et puis on l’étend encore. Par exemple pour éviter que les mineurs ne tombent « par erreur » sur de la pornographie « normale » entre adultes consentants. Et puis derrière, ça se bouscule au portillon, on cherche à l’étendre encore plus, par exemple pour préserver les artistes qui meurent de faim à cause de ces salauds de pirates (si vous vous souvenez de ce que l’industrie de la culture a réussi à faire avec Hadopi, vous savez de quoi je parle). Dernièrement, on a même vu un élu demander à ce que les sites insultant les élus soient filtrés. C’est à peine croyable, une histoire pareille ? Et pourtant c’est ce qui se passe en Angleterre, où 20 % des sites les plus visités sont bloqués (le porno, c’est seulement 4 %)[1]. Le coup de l’élu qui veut censurer les sites injurieux, c’est français, par contre, et ça démontre que l’envie d’étendre le champ d’action des outils n’a pas de frontières.

Commencer à surveiller le net depuis des boites noires, juste pour le terrorisme, c’est ce début de brèche. Un début de brèche n’est pas innocent, parce qu’il va s’étendre à toute vitesse.

C’est exactement ce processus qui a fait dire à Benjamin Franklin :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.

Quelle efficacité ?

Il est un autre problème qui vient s’ajouter à celui de la surveillance de masse des boites noires, c’est celui de l’efficacité des mesures. Communiquer sur Internet de façon sécurisée est finalement facile. Rapide tour d’horizon :

  • Pour échanger des messages instantanées : XMPP avec OTR
  • Pour naviguer sur le Web : TorBrowser en HTTPS
  • Pour envoyer des emails : GPG / Enigmail ou ProtonMail
  • Pour passer inaperçu : VPN (en cherchant « VPN gratuit » dans Google, je viens d’obtenir « Environ 1 230 000 résultats »)

Donc toute personne voulant se cacher sur Internet peut le faire facilement. Tous les logiciels listés ci-dessus sont gratuits. Un VPN correct payant peut se trouver à 5€ par mois environ.

J’ai posé la question à mes interlocuteurs sur le problème de l’efficacité de cette surveillance. La réponse, laconique, fut « même si les terroristes peuvent se planquer derrière du chiffrement, faut-il pour autant ne pas essayer de les surveiller ? »

Le rapport prix / efficacité

La surveillance de masse a un coût énorme. Pas seulement un coût financier, mais avant tout un impact négatif sur la société, en ce sens que c’est la négation de la démocratie, de la liberté des individus. C’est ce qui fait qu’on passe d’une société où le peuple élit ses représentants à un modèle où des gouvernants surveillent des gouvernés. Je ne veux pas de ce modèle, surtout si c’est pour une efficacité proche du néant. Bien sûr, avec la surveillance de masse, on va attraper des apprentis-terroristes, mais ça ne sera que du menu fretin, le pauvre type pas très malin qui rêve du grand soir djihadiste, mais qui a un QI proche de sa température rectale, un peu comme le crétin qui a voulu mettre le feu à ses semelles pour faire sauter un avion.

Conclusion

Ces sujets, qui mêlent des aspects juridiques (libertés individuelles) et technologiques (surveillance informatique) sont difficiles à aborder en temps normal, tant ils demandent une expertise étendue : les juristes informaticiens ne sont pas légion. Le contexte, deux mois après Charlie Hebdo, tout juste trois ans après Mohamed Merah, fait que l’émotion l’emporte sur la raison.

Ça n’est pas une raison pour baisser les bras et laisser s’écrouler une des pierres angulaires de la démocratie, celle du respect de la vie privée, tellement importante qu’on la retrouve dans les textes de loi fondateurs. Saurons-nous, citoyens français, sortir de cette torpeur, de cette résignation, pour essayer de comprendre les enjeux de la loi Renseignement et s’opposer à elle dans ce qu’elle a de dangereux, tout en la modernisant là où c’est nécessaire ?

Note

[1] Voir aussi Blocked.org.uk.

29 commentaires

mardi 12 mars 2013

L'avis du CNNum sur la Neutralite du Net

Par Tristan, mardi 12 mars 2013. Politique

Ce matin, le Conseil National du Numérique remettait à Fleur Pellerin, ministre déléguée chargée des PME, de l'Innovation et de l'Économie numérique, son avis et un rapport sur la neutralité du Net. En tant que membre du groupe de travail Neutralité du Net, j'étais convié à cette présentation, où l'avis du CNNum a été présenté.

Dans le bureau de la ministre, remise du rapport

Le groupe de travail sur la neutralité du Net

L'avis et le rapport ont été rédigés par le groupe de travail Neutralité du Net, sous la direction de Christine Balagué (Institut Mines-Telecom), avec l'aide de Jean-Baptiste Soufron (secrétaire général du CNNum), composé des membres suivants :

L'avis

On retiendra de l'avis que :

  • La neutralité du Net est menacée par les pratiques de filtrage, de censure, de ralentissement et de blocage ;
  • Pour être protégée, la neutralité du net doit être intégrée dans la loi française, avec une valeur quasi-constitutionnelle ;
  • Le CNN propose donc une solution visant à modifier la loi de 1986, posant ainsi le principe de neutralité du Net. Les modifications recommandées sont :
    • changer le titre de la loi de 1986 pour l'intituler "loi relative à la liberté d'expression et de communication » et non pas seulement « loi relative à la liberté de communication".
    • dans le deuxième alinéa de l'article premier de la loi de 1986, indiquer : "La neutralité des réseaux de communication, des infrastructures et des services d’accès et de communication ouverts au public par voie électronique garantit l’accès à l’information et aux moyens d’expression à des conditions non-discriminatoires, équitables et transparentes."[1]

Trois autres points importants dans l'avis :

  • En tant que liberté fondamentale, son application doit être contrôlée directement par le juge (comprendre : pas de justice privée par les intermédiaires techniques)
  • A travers la liberté de communication et d’expression, le principe de neutralité valorise la liberté de création et d’innovation, et contribue à la citoyenneté numérique. (partie qui justifie l'avis et est amplement développée dans le rapport)
  • Son application doit être continuellement adaptée à l’innovation technologique, à la transition économique et à l’évolution des usages, notamment en direction des mobiles, du pair à pair et des objets connectés. (On va au delà de la neutralité des "tuyaux", en l'étendant aux "services d'accès". La neutralité des tuyaux est bien comprise. Il va par contre falloir définir ces services d'accès avant de déclarer leur neutralité).

Neutralité limitée aux tuyaux ou au-delà ?

Il y a un point qui a provoqué beaucoup de discussions au sein du CNNum, c'est de savoir s'il fallait se limiter à la neutralité des réseaux de communication ouverts au public ou s'il fallait étendre cela aux "service d'accès aux autres services". J'étais en faveur d'une réglementation a minima, focalisée sur la neutralité des réseaux, mais le consensus au sein du CNNum l'a emporté en faveur de l'inclusion des services d'accès aux autres services. L'idée est que ces services d'accès aux autres services sont de facto une extension logicielle des tuyaux. Ainsi, au lieu de légiférer pour protéger une neutralité qui est historique, on cherche à définir une voie vers la neutralité de ces services d'accès aux autres services. C'est une approche plus audacieuse, plus orientée vers le futur, et c'est celle qui a été choisie. Le choix d'une approche plus limitée aurait aussi eu comme défaut de se focaliser uniquement sur les fournisseurs d'accès à Internet, qui sont français, en laissant toute liberté aux acteurs internationaux qui gèrent les services d'accès. Une telle approche limiterait probablement les chances qu'une telle loi de passer en l'état...

Mon opinion personnelle

Je suis ravi de l'avis donné par le CNNum. J'ai participé au groupe de travail malgré un emploi du temps très chargé (Firefox OS, Mobile World Congress…) en ce moment, car je suis un fervent partisan de la neutralité du Net et que j'estime qu'elle est menacée. Voir le CNNum voter à l'unanimité en faveur de cet avis est un signal fort.

J'espère que le législateur va implémenter ce que nous recommandons, et que ça va donner à la France une impulsion pro-Internet qui sera en contraste fort avec les lois sur Internet qui faisaient parler de nous à l'international (HADOPI, LOPPSI et avant DADVSI).

Le rapport, dont l'intérêt est d'expliquer l'enjeu de l'avis est un plaidoyer en faveur d'un Internet Libre et Ouvert. On y retrouve des concepts chers aux "barbus de l'Internet", dont l'excellent Benjamin Bayart, que je remercie ici pour avoir pris le temps de mettre sa réflexion par écrit, ce qui m'a permis de la diffuser au sein du CNNum pour alimenter nos discussions. On retrouve donc dans le rapport la notion d'"Innovation sans permis", ou l'idée que les adresses IP sont égales en droit (il n'y a pas d'adresses "spéciales pour les serveurs" et d'autres "spéciales pour les clients").

On retrouve aussi des idées communes à Bernard Stiegler[2] et moi quant à la nouvelle révolution industrielle et la participation de tous à la métamorphose numérique de la société, idées que partagent beaucoup de Libristes et de défenseurs des libertés des citoyens sur Internet.

Au final, cet avis et ce rapport nous auront fait travailler sous la pression, mais pour obtenir un résultat qui est au delà de mes espérances :

  • L'unanimité du conseil
  • Une recommandation qui met la neutralité quasiment au niveau constitutionnel
  • La prise en compte des contraintes des acteurs économiques

Quelques liens

Dans la presse

Notes

[1] Pourquoi ne pas parler simplement de Neutralité de l'Internet ? Benjamin Bayart l'explique très bien : "Il suffit que l'offre commercialisée s'appelle « abonnement data Orange » ou « Orange Connect » et il n'y a plus aucune obligation. Il suffit de dire « dessert lacté » pour échapper aux contrôles sanitaires obligatoires quand ça s'appelle « yaourt »".

[2] Exprimée par exemple au sein d'Ars Industrialis.

[3] On notera que le rapport a été écrit sous LibreOffice 3.5 et que l'ordinateur de JB Soufron tourne sous Linux. Comment douter du contenu ? ;-)

5 commentaires

- page 1 de 29