Standblog

D’abord, le plus important, puisque le vote solennel de la loi Renseignement, celle qui permet l’installation de boites noires permettant de la surveillence de masse d’Internet, aura lieu mardi 5 mai. La veille, le 4 mai, il y a une manifestation :

Rendez-vous lundi à 18h30 Esplanade des Invalides (sortie métro Invalides) - Fichier PDF.

Simultanément (ou presque) Médiapart organise 6 heures contre la surveillance, où j’ai été convié.

Par ailleurs, et pour faire bonne mesure, quelques liens en vrac sur la surveillance de masse et la loi Renseignement (mais pas que) :

• Le Conseil de l’Europe contre ‘Les opérations de surveillance massive’. Voilà qui tombe à point pour lutter contre le projet de loi Renseignement. Le rapport Les opérations de surveillance massive.
• Qu’en est-il de la collecte de méta-données ? Pour avoir ces méta-données, faut-il faire de la DPI ? Deux explications :
  • Illustration de Jef Mathiot ;
  • Article de Jean Baptiste Favre ;
• Le quotidien L’Opinion fait sa une sur l’aspect économique de la loi Renseignement. Ca tape fort !
  • Renseignement : une loi anti-compétitivité ;
  • Loi renseignement : la délicate position d’Axelle Lemaire ;
  • Tristan Nitot : «C’est l’union sacrée contre les “boîtes noires”» ;
• Loi sur le renseignement : ‘Nous faisons exactement ce que veulent les terroristes’ explique le représentant du Conseil de l’Europe ;
• Enfin, je ne saurais trop recommander la lecture de cet article : La loi Renseignement (Acte 2). Il pose les questions qui font mal.
• Some links about tracking and security  ;
  • 91% of adults in the survey “agree” or “strongly agree” that consumers have lost control over how personal information is collected and used by companies
  • 17% of the adults who have heard about the government surveillance programs say they have changed their privacy settings on social media in an effort to hide their information from the government
• Do Not Track, le Web-documentaire est, pour ce que j’ai vu jusqu’à présent, une merveille éducative sur la vie privée. Foncez le voir !
  • Épisode 1, ‘Routines matinales’, avec son article associé : Peut-on éviter de se faire traquer ? ;
  • Épisode 2, ‘Breaking Ad’, avec son article associé : Guide de survie en milieu cookie ;
  • Épisode 3, ‘Paye ton Like’, avec son article associé : Comment Facebook vous suit (même hors ligne) ;
  • Au total, 7 épisodes sont prévus ! Épisode 4, 5, 6 et 7 (à l’heure où j’écris ceci, les épisodes en questions ne sont pas encore en ligne…) ;
• Emergence d’un nouveau comportement : on refuse de lui louer un appartement à cause de son ‘profil internet’ ;
• Les méta-données sont particulièrement bavardes, et en plus elles sont infiniment plus faciles à analyser que les données complètes car plus structurées. Deux études le démontrent brillamment :
  • Metaphone : The Sensitivity of Telephone Metadata, une expérience démontrant comment les méta-données (ici téléphoniques) permettent de révéler énormément sur les gens ;
  • How your innocent smartphone passes on almost your entire life to the secret service
• L’excellent Marc-Antoine Ledieu, avocat qui gagne à être connu, A analysé le projet de loi, et ça fait mal : La loi Renseignement (Acte 3). Extrait :

Lors d’une collecte de renseignement, si un agent des services spécialisés de renseignement découvre un crime ou un délit, même en cours de préparation, il doit en aviser le procureur de la République et lui transmettre « tous les renseignements, procès-verbaux et actes ».

• Très bonne interview de Laure de La Raudière (UMP) : «Il est dangereux de préférer la sécurité aux libertés» ;
• La même Laure de la Raudière (que mille pétales de roses couvrent son chemin !) est bien proche, avec 58 signatures sur 60 nécessaires, de pouvoir saisir le Conseil Constitutionnel. Voici ce que ça pourrait signifier.
• Nombreux sont ceux qui ont envoyé un courrier ou un mail à leur député. Bien souvent, ils ont reçu une réponse type… écrite par Jean-Jacques Urvoas (rapporteur du projet de loi Renseignement) (cf les méta-données du fichier Word). J’ai donc proposé sur Twitter que l’on rédige une réponse type à la réponse type. En fait, cela a déjà été fait deux fois (au moins) :
  • Dans les commentaires de Numerama ;
  • Sur le Wiki de la Quadrature ;
• La pétition contre la loi Renseignement a été remise aux services du 1er ministre. Plus de 119 000 signataires !
• Stephan Ramoin, de Gandi :  ;

Quand nous avions ouvert cette filiale (aux USA), 40% à 50% de nos clients nous disait : «vous êtes bien gentils, mais aux Etats-Unis il y a PRISM, le programme de surveillance de la NSA, et je préfère laisser mes données en France car c’est un pays qui respecte les libertés». En somme, la filiale américaine était boudée. Désormais, j’ai plus intérêt à leur proposer d’héberger leurs données au Luxembourg.

Ah, et puisqu’il ne faut pas oublier que l’important dans l’Internet, c’est l’humain qui est derrière et, parfois, l’humain qui le fait, Thank you, Mihai. Mihai Șucan était un contributeur et employé exemplaire de Mozilla. Il est décédé des suites d’une longue maladie. Si vous avez le coeur bien accroché et lisez l’anglais : Touched.

Voilà, l’info est tombée mercredi soir, 15 avril 2015, date qui restera dans les mémoires : Les députés approuvent le système de surveillance du trafic sur Internet.

Trente présents dans l’hémicycle. Sur 577. Soit 5,2% de présents. Les institutions fonctionnant encore un peu, on a les noms. Sur les 30 présents, 25 ont voté pour les boites noires, 5 ont voté contre.

Voici les 5 députés ayant voté CONTRE les boites noires : Laure de La Raudière, Lionel Tardy, Isabelle Attard, Sergio Coronado, Jean-Jacques Candelier. Qu’ils soient ici remerciés du fond du coeur d’avoir eu le courage de défendre nos libertés dans un débat difficile (voir plus bas).

Rappelons le, cette loi est fondamentale : l’excellent Laurent Chemla se charge de nous le rappeler, avec une Lettre à ceux qui s’en foutent. La lecture est recommandée.

Qu’en est-il des hébergeurs ?

Face à la pression des hébergeurs qui menaçaient de quitter le territoire, plusieurs ministres les ont reçus pour discuter des modalités des boites noires, ces équipements qui doivent “détecter les mouvements suspects” sur Internet. Cela a donné lieu à l’amendement 437 que d’aucuns trouvent très creux.

Je n’étais pas invité aux réunions entre les ministres et les hébergeurs, mais j’en ai eu quelques échos par les personnes présentes.

• Les boites noires sont toujours là, mais plus pratiques à gérer pour les hébergeurs.
• Les hébergeurs ont eu l’assurance qu’ils pourront s’assurer techniquement que seules les méta-données sont visibles par les boites noires (mais on sait que ça reste un problème majeur, car il est facile de recouper les méta-données).

L’amendement discuté avec les hébergeurs est bien entendu fait pour calmer le jeu. J’ai des doutes sur son efficacité, vu les dernières annonces :

• OVH : « On a eu le minimum pour continuer à opérer en France. C’est pas la fête mais le strict minimum » « je pense que cette loi va avoir des impacts sur notre quotidien de manière très profonde et donc elle n’est pas bonne. ». « Cette loi va modifier l’équilibre de notre société et changer nos comportements. »
• EU.org : « Suite au vote à l’assemblée nationale de la loi renseignement française, Eu.org annonce qu’il procèdera au déménagement de tous ses serveurs de noms hors de France. »
• Altern.org : Altern.org, hébergeur historique annonce qu’il quitte la France, par la voix de son fondateur, Valentin Lacambre : « Pour nous un seul jour sous écoute globale est un jour de trop. Altern.org refuse la boite noire des services secrets, ferme ses services immédiatement, pour les réouvrir dans quelques jours dans un pays plus respectueux des libertés individuelles. »
• Gandi : « Bien que plus clair sur ses implications pratiques pour les données de nos clients, ce projet n’en reste pas moins inacceptable. ». Plus bas, dans les commentaires : « Pour être clair: on n’a pas écrit cette loi, on ne la veut pas et il faut continuer à la combattre ».

Faut-il boire pour oublier ?

Alors, faut-il aller picoler pour oublier ? Non. Tout n’est pas perdu !

Le texte doit encore passer par le Sénat, malgré le fait que le gouvernement ait eu recours à une procédure accélérée. Les sénateurs peuvent encore amender le texte.

Il y a aussi la possibilité pour un député de saisir le Conseil Constitutionnel. Bonne nouvelle, François Fillon a annoncé qu’il le saisira ! Quelques questions demeurent :

• Aura-t-il suffisamment de signatures de députés pour cela ? (il en faut 60).
• S’il est contre le projet de loi et en particulier les boites noires, pourquoi n’était-il pas dans l’hémicycle à voter contre ?

A propos d’incohérence, parmi les députés ayant voté POUR les boites noires, on remarque Eric Alauzet, qui s’était pourtant fendu d’un article très argumenté CONTRE les boites noires. En voici un extrait :

ce big data suscite des questions relatives au respect de la vie privée et plus encore au respect de la démocratie. Souhaiter tout connaître, tout prévoir, afin de mieux contrôler, c’est prendre le risque de réduire notre espace de liberté, espace de liberté sans lequel la démocratie ne peut exister.

C’est très bien dit. Depuis ce vote malheureux, je suis très inquiet. Eric Alauzet a-t-il perdu la tête juste avant le vote ? A-t-il été menacé ? Tout est possible quand on sait que son compte Twitter est sans activité depuis le 9 avril. Va-t-on le retrouver enchainé à un radiateur dans les locaux de la DGSI ? Tout est possible…

Par ailleurs, on sait bien que la plupart des députés ne comprennent rien à la technologie. Seuls les 5 qui comprennent ont voté contre les boites noires. Aussi, ça donne lieu à un magnifique chapelet d’inepties à l’assemblée nationale lors des débats. Par exemple, une phrase de Bernard Cazeneuve :

Si vous voyez un seul article qui remet en cause la liberté publique, dites-le moi. En revanche, il y a des articles qui remettent en cause la vie privée.

Voilà, c’est dit, ça remet en cause la vie privée. Pourtant, c’est tellement important, la vie privée, que c’est inscrit dans plusieurs grands textes de loi. Je les ai recensés dans un chapitre entier de mon livre. Juste un exemple, la Charte des droits fondamentaux de l’Union Européenne, juridiquement contraignante dans les 27 états membres de l’Union Européenne depuis 2007.

article 7 : toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.

Rions un peu

Bon, ça n’est pas tout ça, rions un peu en attendant la mort les boites noires. Pour cela, j’ai sélectionné quelques liens rigolos :

• Gare aux Godillots, une excellente reprise de Gare au gorille de Brassens, version surveillance. Merci JCFrog, qui nous offre même les paroles !
• Pour Bernard Cazeneuve, « parler de surveillance généralisée est un mensonge ». Il faudrait écrire une réponse à cela…
• Ah, justement, la voilà, la réponse : L’algorithme du gouvernement sera intrusif et inefficace. On vous le prouve ;
• Le Vrai/Faux du Gouvernement sur le #PJLRenseignement a le goût d’un article de la Pravda, ce qui peut laisser penser que si la France souhaite ressembler à la Chine pour la surveillance des citoyens, elle a encore une nostalgie pour la Russie soviétique ). Tant Le Monde que Next Inpact contredisent le gouvernement : il s’agit bien de surveillance de masse…
  • L’analyse de Next Inpact ;
  • Les Décodeurs ont fait de même : Loi renseignement : on a vérifié le « vrai/faux » du gouvernement.
  • Et, fait amusant, dès qu’on disait le contraire sur leur page Facebook, les commentaires étaient supprimés. Depuis, ils ont viré le stagiaire.
• Entendu sur Twitter : « Les socialistes ont inventé la machine à remonter le temps et ont mis 34 ans à passer de 1981 à 1984 »…
• Il y a un genre de surprise à voir que les boites noires arrivent à mettre du même côté des gens que tout sépare. Par exemple, Laurence Parisot, ex-Medef, scandalisée et la Commission Nationale Consultative de Droits de l’Homme (Voir l’avis, voté à l’unanimité).

Mieux comprendre la loi Renseignement

Comprendre, c’est déjà agir. Voici donc un peu de lecture pour mieux saisir le problème…

• L’article à lire pour comprendre le projet de loi sur le renseignement ;
• Loi renseignement : peut-on encore croire à la démocratie parlementaire ? ;
• L’Obs - Comment fonctionnent les boîtes noires destinées à vous surveiller ;
• La loi française sur le renseignement, un magnifique analyse par un avocat ;
• Compte rendu par Télérama « 2 minutes pour parler des libertés fondamentales, ça commence à bien faire ! ».

Agir

• J’encourage les individus contre la loi à signer la pétition #stopLoiRenseignement ;
• De même, les acteurs français d’Internet devraient signer la déclaration #NiPigeonsNiEspions qui compte déjà plus de 500 signataires, dont Criteo, Libération, les membres du CNNum, OVH, Gandi, Linagora, Capitaine Train, l’INRIA, PLOSS, FaberNovel, XWiki, GTLL Systematic, Prestashop, Videolan/VLC, Aquinum, Claranet, OpenWide, Médiapart, France Digitale, Captain Dash, Servebox, Syntec Numérique… Encouragez votre employeur à signer !
• Surtout, il faut bien se rappeler que la loi sera inefficace pour quiconque sait se servir d’outils de chiffrement. Alors, si vous avez envie de vous protéger des boites noires, il suffit d’apprendre comment se servir de ces outils lors du prochain Café Vie Privée, à Paris ou ailleurs.

Le selfie, version 2016. Par Thibaut Soulcié, via Iconovox et Urtikan.net

La liste de ceux qui s’opposent au projet de loi Renseignement (aka #PJLRenseignement et #LoiRenseignement) ne cesse de s’allonger. Le problème est grave : veut-on autoriser les services de renseignement, à l’aide de leurs fameuses “boites noires”, à mettre tout l’Internet français sous écoute dans l’espoir vain d’attraper des terroristes qui seront bien sûr indétectables car utilisant des techniques de chiffrement ? Rappelons que la NSA, malgré ses 10 milliards de dollars de budget, a du reconnaitre du bout des lèvres qu’elle n’a réussi qu’à éviter qu’un ou deux attentats !

Face à cette menace, chaque internaute français a le devoir de s’informer et d’agir. Voici comment :

S’informer

• En vidéo, par votre serviteur : Avec la loi sur le renseignement, on ne pourra surveiller que les gens qui n’ont rien à se reprocher ;
• Next Inpact réexplique le projet de loi sur le renseignement. C’est nécessaire, vu les amendements passés en commission des lois ;
• C dans l’Air (France 5), consacre son émission du vendredi 10/4 au Cyberterrorisme et à la cybercriminalité. À partie de 46mn 30, passage sur la loi Renseignement, avec Adrienne Charmet de la Quadrature et votre serviteur (durée : 3mn 30). Une copie de sauvegarde est disponible au cas où ;
• Enregistrement audio du débat à Numa Paris : Faut-il avoir peur du projet de loi renseignement?, avec
  • Marc Rees, NextINpact
  • Adrienne Charmet Alix, La Quadrature du Net
  • Tristan Nitot, Conseil National du Numérique (mais pas que)
  • Eduardo Rihan Cypel, député PS
  • Sergio Coronado, député EELV
  • Renaud Vedel, conseiller des Affaires intérieures de Manuel Valls
  • Marie-Catherine Beuth, journaliste Knight Fellow à l’Université de Stanford
  • Grégoire Pouget, Reporters Sans Frontières
  • Geneviève Garrigos, présidente d’Amnesty International France
  • Laurence Blisson, Syndicat de la Magistrature.
• Ce « Big Brother » dissimulé au cœur du renseignement. tellement encombrant qu’il n’est pas inclus dans la loi Renseignement !
• Que sont les IMSI-catchers, ces valises qui espionnent les téléphones portables ? ;
• Il est déjà possible de détecter les IMSI-catchers sur votre téléphone Android ;
• Le mythe de la surveillance de masse ;
• Pourquoi la surveillance de masse est un chèque en blanc donné aux futurs gouvernants ;
• Déclaration commune des principaux hébergeurs français, très inquiets de voir la loi Renseignement faire fuir leurs clients : Le gouvernement veut-il contraindre les hébergeurs Internet à l’exil ? ;
• Octave Klaba, fondateur d’OVH, balance : ;

Nous avons annoncé un plan d’investissement de 400 millions d’euros sur trois ans. Nous devons décider d’ici à septembre comment répartir cette somme et où investir. Si la loi est votée, nous irons mettre nos serveurs ailleurs. Actuellement, en France, nos principaux « data centers » sont situés à Roubaix, à Gravelines et à Strasbourg. Si la loi passe, nous irons de l’autre côté de la frontière au Royaume Uni, en Allemagne… Si nous ne le faisons pas, il faudra nous résoudre à voir nos clients partir : 40 % de notre activité concerne des clients étrangers (de Singapour, des Etats-Unis, d’Italie, etc.). Les Allemands, pour des raisons historiques, sont très soucieux de ces questions de surveillance.

Agir

Il existe plusieurs moyens de ne pas laisser passer cette loi inefficace, dangereuse pour la démocratie et pour l’économie française. En voici trois à la portée de chacun :

• Appel à manifestation lundi 13/4 : non à la surveillance généralisée ! ;
• Appeler les députés
• Signer la pétition demandant le retrait du projet de loi Renseignement.

Il se passe plein de choses sur la loi terrorisme. Je vous propose un petit tour d’horizon :

La Commission numérique de l’Assemblée Nationale contre les boites noires

La Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique présente sa Recommandation sur le projet de loi relatif au renseignement, et ça n’est pas tendre pour le projet de loi Renseignement :

La Commission souhaite en préalable mettre en garde contre le risque d’aller$ pas à pas$ d’une surveillance ciblée à une surveillance généralisée (…) La commission est fortement préoccupée par l’usage préventif de sondes et d’algorithmes parametrés pour recueillir largement et de façon automatisée des données anonymes afin de détecter une menace terroriste (« signaux faibles »).

Et attendez, j’ai gardé le meilleur pour la fin, qui laisse penser que la commission lit le Standblog en évoquant la surveillance de masse, la surveillance par les algorithmes et les « effets de brèche» et demande donc la suppression de l’article 851-4 du projet de loi :

La Commission estime que l’article L. 851-4 dans sa rédaction proposée par le projet de loi, ouvre la possibilité à des fins de prévention du terrorisme d’une collecte massive et d’un traitement généralisé de données. L’argument selon lequel cette surveillance porte initialement sur des données anonymes traitées de façon automatique et algorithmique ne saurait offrir de garanties suffisantes. Cet argument est d’ailleurs traditionnellement avancé à l’appui de la surveillance généralisée qui a recours à des algorithmes qui lisent et exploitent des volumes massifs de données. Par ailleurs, sur le plan juridique, les données concernées ne sont pas anonymes puisque leur exploitation peut conduire, sous certaines conditions, à la levée de l’anonymat. Il s’agit donc d’un traitement de données à caractère personnel. La Commission s’interroge sur la conformité de la mesure proposée au regard des exigences posées par la CJUE, dans son arrêt Digital Rights Ireland du 8 avril 2014, qui rappelle que tout traitement de ce type doit être ciblé et proportionné. Enfin, la Commission est particulièrement attentive à éviter des effets de brèche qui conduiraient à l’élargissement de ce dispositif à d’autres finalités que la prévention du terrorisme.

La Commission s’est interrogée sur la possibilité d’un encadrement strict de ce type de technologie de surveillance. En l’état des informations disponibles, cet encadrement ne lui est pas apparu envisageable. C’est pourquoi la commission appelle de ses voeux la suppression de l’article L.851-4 du projet de loi.

Quelques articles intéressants

• La galaxie des opposants au projet de loi sur le renseignement ;
• Un bon billet que j’ai oublié de mentionner dans mes revues de presse précédentes Renseignement : un texte sur mesure pour les services spéciaux ;
• IMSI Catchers : qu’est-ce vraiment ? ;
• Frenchiot Act : la boîte noire expliquée ;
• L’Organization for Security and Co-operation in Europe tacle le projet de loi Renseignement : Website blocking in France; other anti-terrorist legislation in some OSCE countries may curb free expression, says OSCE Representative ;
• Loi Renseignement : la boîte noire regardera qui regarde des vidéos ennemies ;
• Nous sommes en train de détruire nos capacités de contre-espionnage ;
• La Loi Renseignement fusillée par le gendarme du renseignement ! ;
• Loi sur le renseignement : la « boîte noire » reste obscure ;
• « Loi renseignement » : la prison, nid d’espions ?. Et si on mettait des micros et des caméras cachés dans les parloirs, sur les gardiens et dans les chambres ? Et tant pis pour la réinsertion…
• Loi renseignement : une surveillance de masse ?, une vidéo avec Adrienne Charmet, de la Quadrature du Net ;
• Les Français bientôt espionnés par les mêmes systèmes américains que les Syriens ou les Birmans ? ;
• Très bonne chronique didactique de Grégoire Pouget (RSF) : Manu, le super flic qui veut surveiller tout le monde ;
• Ca n’est pas sur la loi Renseignement mais sur la Loi de Programmation Militaire (précédent coup de boutoir contre nos libertés), mais ça a sa place ici : Publication du recours contre le décret LPM par la FDN. Un magnifique travail associatif de défense de nos libertés !
• Agissons contre le projet de loi de surveillance, avec un lien vers l’excellent Sous-surveillance.fr ;
• Le président de la Commission des écoutes flingue le projet de loi Renseignement : “nous sommes bien dans la pêche au chalut chère aux Américains” ;
• «Pêche au chalut» ou «pêche sélective»: le projet de loi renseignement, un texte qui sent le poisson ;

Des amendements scandaleux

De nombreux amendements ont été soumis (308 au moment où j’écris ces lignes), et certains font froid dans le dos. Le pire, à mon sens, c’est l’amendement N°CL262, qui en plus a été adopté, et qui sera donc intégré dans la loi qui sera discutée au parlement. Jugez plutôt :

cet amendement prévoit de contraindre les personnes physiques ou morales qui fournissent des prestations de cryptologie à remettre sans délai aux agents des services de renseignement les clés de déchiffrement des données transformées au moyen des prestations qu’elles ont fournies.

Mise à jour : on me souffle dans l’oreillette que les opérateurs de services de chiffrement doivent déjà donner les clés de chiffrement, d’après le code de sécurité intérieure|http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000025508207&cidTexte=LEGITEXT000025503132&dateTexte=20120618]. C’est vrai, mais la nouveauté ici est que cela doit être fait “sans délai” (donc en temps réel).

C’est une attaque en règle contre le chiffrement en France. Non seulement on fait de la surveillance de masse, mais en plus on affaiblit la crypto. On voudrait planter un couteau dans le dos du numérique en France en encourageant tous les clients à partir à l’étranger qu’on ne s’y prendrait pas autrement.