mardi 19 septembre 2017

CNNum et chiffrement

Le CNNum a publié son avis “Prédiction, chiffrement et libertés”. Les recommandations sont à lire et à garder à l’esprit (au point que Snowden a retouitté l’annonce !) C’est tellement bon que je fais un copier coller ci-dessous :

  • Tout projet législatif et réglementaire qui emporte des conséquences importantes sur les libertés doit faire l’objet d’une vaste consultation préalable ;
  • Le principe de l’intervention d’une autorité judiciaire doit être réaffirmé chaque fois qu’est mise en cause une liberté ;
  • Les pouvoirs publics doivent refuser la logique du soupçon, qui ouvre la porte à l’arbitraire, dans la mise en œuvre des politiques sécuritaires sur Internet ;
  • Le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ;
  • Le chiffrement – et les libertés fondamentales dont il permet l’exercice – constitue un rempart contre l’arbitraire des États. Il nous protège aussi contre le contrôle croissant des acteurs économiques sur nos vies ;
  • Le chiffrement ne constitue pas un obstacle insurmontable pour les enquêtes. Il est possible de le contourner dans le cadre d’une surveillance ciblée. À ce titre, il est surtout un rempart contre la surveillance de masse ;
  • Plus généralement, compte-tenu de l’augmentation des pouvoirs des services de renseignement et des incidences importantes sur la vie des citoyens, le Conseil s’interroge sur la nécessité d’établir un droit au recours effectif et, au-delà un droit à l’explicabilité des algorithmes de prédiction. Il se questionne également sur l’opportunité de renforcer les incriminations pénales relatives aux atteintes aux données personnelles sur le fondement de la vie privée.

La couverture médiatique est significative :

En guise de Post-Scriptum :

Le CNNum sort un communiqué de presse : Pourquoi le Privacy Shield doit être renégocié, qui donne déjà un article dans NextInpact. Extrait du communiqué :

le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens. Conformément à l’engagement du candidat Emmanuel Macron, cet accord doit être renégocié pour organiser une circulation des données sécurisée, respectueuse de nos droits et libertés et favorable aux entreprises.

Amen.

mercredi 9 novembre 2016

Trump : la première leçon

Donal Trump, via Wikipedia

Donald Trump par Michael Vadon (CC-BY)

Voilà, Donald Trump a gagné l’élection présidentielle américaine. Le monde est sous le choc et certains se ravissent. Il est encore trop tôt pour mesurer les conséquences de cet événement, mais il y a déjà une leçon à retenir : quand on donne à quelqu’un en qui on a confiance des pouvoirs extraordinaires, comme la possibilité de faire de la surveillance de masse ou ficher les gens, il faut se souvenir qu’on les donne aussi à son successeur[1].

Le 20 janvier 2017, Donald Trump sera aux commandes de l’Amérique, celle de la NSA, institution qui dont le cœur de métier est la surveillance de masse[2]. Il s’est fait remarquer dans sa campagne par ses prises de positions tranchées contre certaines minorités (de race, de genre ou de croyance religieuse). En ce qui concerne la technologie, Trump a promis la censure d’Internet et de s’attaquer à ceux qui protègent la vie privée de leurs utilisateur.

En France, Bernard Cazeneuve a passé en douce, pendant le week-end de la Toussaint, sans prévenir la secrétaire d’État au numérique, un décret visant la création du TES, un mégafichier biométrique de 60 millions de français. L’année dernière, c’était la loi Renseignement qui était passée, autorisant la surveillance de masse d’Internet et des communications mobiles.

En 2016, on ne peut pas raisonnablement considérer le président en place comme un fou sanguinaire voulant discriminer les gens par leur race, leur genre, leur religion ou leur orientation sexuelle.

Mais en 2017 ? En 2022 ? La surveillance de masse et le fichage des citoyens seront bien en place, bien huilés. Que voudra faire le/la futur(e) président(e) de la République avec ces outils à l’énorme potentiel répressif ?

Et d’ici là, qu’aurons-nous fait, nous informaticiens, citoyens et consommateurs, pour empêcher le dérapage de notre société vers plus de flicage et de surveillance ?

mercredi 24 août 2016

Chiffrement sur France Inter - la transcription

Mardi 23 août 2016, j’étais l’invité de Catherine Boullay et Éric Delvaux pour leur émission “Le 5/7” sur France Inter (voir le billet précédent, Défendre le chiffrement). Grâce à la très efficace Marie-Odile, de l’APRIL, voici une transcription.

Catherine Boullay : Votre invité ce matin, Éric Delvaux, c’est Tristan Nitot, spécialiste de la surveillance numérique, auteur d’un livre qui sortira en septembre prochain, chez C & F Éditions. En septembre ! C’est dans pas très longtemps d’ailleurs, et qui a justement pour titre Surveillance.

Éric Delvaux : Oui. La confidentialité sur Internet opposée à la sécurité antiterroriste. Aujourd’hui, le ministre de l’Intérieur, Bernard Cazeneuve, va recevoir son homologue allemand. Il s’agit de trouver une stratégie pour convaincre les opérateurs et autres messageries de fournir une partie du décryptage, tout ou partie de ce décryptage, pour mieux lire certaines données sur Internet et favoriser les enquêtes. Ça s’appelle le chiffrement. Ce chiffrement dans le collimateur, donc, des gouvernements. Bonjour Tristan Nitot.

Tristan Nitot : Bonjour.

Éric Delvaux : Dans ce débat, vous êtes clairement favorable à la protection de la vie privée sur Internet. Pour quelle raison ?

Tristan Nitot : Écoutez, c’est nécessaire pour vivre correctement. Si on était tous surveillés, il y a des romans qui nous ont expliqué ça très bien,1984 de George Orwell, c’est un cauchemar. On se sent surveillé, on n’ose plus rien faire. Il y a des études psychologiques qui ont démontré : quand on se sait surveillé, on s’autocensure. Alors finalement, c’est vrai que la France subit le coup du terrorisme et c’est horrible, ça fait des tas de victimes, d’accord ! Mais est-ce que c’est pour ça qu’il faut arrêter d’être libres dans notre pays ?

Éric Delvaux : Ça veut dire que vous faites de la confidentialité sur Internet un droit fondamental ?

Tristan Nitot : Absolument ! Mais c’est marqué dans la Convention européenne des droits de l’homme : on a le droit à la vie privée et c’est absolument essentiel si on veut vivre correctement.

Éric Delvaux : L’état d’urgence contre la cybercriminalité, contre les cybermenaces et contre le terrorisme, ça ne tient pas la route ?

Tristan Nitot : C’est sûr que les Français ont vraiment envie qu’on fasse quelque chose face au terrorisme. C‘est très logique et je suis d’accord avec eux. Seulement il ne faut pas faire n’importe quoi face au terrorisme, non plus.

Éric Delvaux : N’importe quoi, c’est-à-dire ?

Tristan Nitot : Et en l’occurrence, si vous voulez restreindre le chiffrement, ça poserait un vrai problème de sécurité. En fait, on affaiblirait la démocratie, on affaiblirait notre sécurité, parce que le chiffrement c’est absolument indispensable pour que la France fonctionne. C’est ce qui permet, par exemple, de faire du commerce électronique, c’est ce qui permet aux banques d’échanger, de faire des virements en toute sécurité. L’informatique, l’Internet, sans chiffrement, ça ne marche pas ! C’est une vraie gabegie ! Donc il ne faut absolument pas réduire le chiffrement qui est essentiel au bon fonctionnement d’Internet, Internet qui est de plus en plus présent dans nos vies.

Éric Delvaux : L’un des terroristes qui avait égorgé le prêtre à Saint-Étienne-du-Rouvray avait régulièrement recours à la messagerie chiffrée Telegram, avec son option secret chat qui sécurise les communications de bout en bout. Ces secret chat sont réellement inviolables ?

Tristan Nitot : C’est vrai que c’est quasiment inviolable. Maintenant, c’est quasiment inviolable techniquement. On sait aujourd’hui que le chiffrement est parfois utilisé par les terroristes. Il est toujours utilisé par les banques, si vous voulez. Donc il ne faut pas jeter le bébé avec l’eau du bain. Et c’est vrai que ce chiffrement peut gêner les enquêteurs, c’est une évidence, mais néanmoins, ce n’est pas parce qu’il les gêne qu’il empêche absolument les enquêtes. Aujourd’hui des infiltrations, etc., c’est possible.

Éric Delvaux : Ce n’est pas ce que disait François Mollins qui supervise les enquêtes terroristes en France. Il disait, sur France Inter d’ailleurs, en janvier dernier, que certains smartphones n’ont pas pu être pénétrés par les enquêteurs. Ça vous semble plausible, ça ?

Tristan Nitot : Oui, oui, tout à fait !

Éric Delvaux : Nous ne sommes pas capables, le FBI, par exemple pour prendre une superpuissance américaine, le FBI n’est pas capable d’aller cracker des smartphones.

Tristan Nitot : En fait le FBI disait : « Ah, mais c’est horrible, on ne peut pas cracker des iPhones ! »

Catherine Boullay : Et il y a eu un bras de fer terrible avec Apple.

Tristan Nitot : Exactement, il y a eu ce bras de fer. Et puis Apple a tenu bon, et ils ont bien fait de protéger la vie privée de leurs clients. Et, comme par hasard, juste après, on a appris que finalement ils avaient quand même cracké l’iPhone en question.

Éric Delvaux : C’était de la com au final ou pas ?

Tristan Nitot : C’était beaucoup de la communication et c’était une question de principe. Ils voulaient passer en force.

Catherine Boullay : Mais quand la sécurité est en jeu, Tristan Nitot, que fait-on quand on sait qu’on s’interdit d’aller briser le code ou d’aller chercher derrière les cryptogrammes ?

Tristan Nitot : Eh bien on utilise des moyens traditionnels comme l’infiltration.

Catherine Boullay : Est-ce que c’est responsable ?

Tristan Nitot : Il apparaît quand on lit la presse aujourd’hui que ce n’est pas parce que Telegram est chiffré, on peut quand mème infiltrer les groupes. Si le groupe terroriste essaye de recruter sur Telegram, et on l’a vu, il y a des journalistes, qui l’ont fait, il y a des policiers qui l’ont fait, qui se sont faits passer pour des recrues potentielles et qui ont infiltré des groupes. Et ça, qu’il y ait chiffrement ou pas, ça ne change rien à l’affaire. On est capable, aujourd’hui, d’infiltrer, mais c’est de la police traditionnelle plutôt que de la surveillance électronique.

Éric Delvaux : Et à vos yeux, que vaut la solution alternative qui s’appelle PrivaTegrity, ce nouveau réseau chiffré chapeauté par des membres issus de neuf pays différents, avec un conseil qui serait chargé d’étudier, à chaque fois, les requêtes des autorités qui voudraient enquêter sur la cybercriminalité.

Tristan Nitot : En fait, aujourd’hui, c’est comme ça que ça fonctionne très souvent. Quand on dit « oui Apple a résisté face au FBI, etc. », mais en fait Apple avait travaillé avec le FBI pour donner toutes les données qu’ils pouvaient offrir pour l’enquête. Néanmoins, il y a un moment où Apple a dit : « Je refuse d’introduire ce qu’on appelle une porte dérobée », dans son iPhone.

Éric Delvaux : Back doors.

Tristan Nitot : Une back door, effectivement. Le problème c’est que si on commence à introduire une back door dans les produits de chiffrement, on est incapable d’être certain qu’elle sera gardée secrète pour toujours, elle ne sera utilisée que dans les cas absolument utiles. Parce que si vous commencez à mettre une back door qui sera à la disposition du gouvernement américain, eh bien les Français vont le vouloir, les Chinois vont le vouloir aussi. Après tout, ils ont la légitimité pour espionner ou pour surveiller les téléphones de leurs citoyens. Et ça veut dire que, en gros, tous les gouvernements, y compris ceux qui sont moins recommandables, auront accès aux données qui sont planquées derrière les back doors.

Catherine Boullay : Mais finalement, Tristan Nitot, qu’est-ce que vous, moi, on aurait à cacher ?

Tristan Nitot : Moi je ne sais pas. Vous avez des loquets à vos toilettes, ou pas ? Vous ne fermez pas votre porte de toilettes quand… ?

Catherine Boullay : Qu’est-ce que ça peut faire finalement ?

Tristan Nitot : Je suis papa de deux enfants. J’ai fait deux enfants, mais je ne vais pas vous expliquer comment ! C’est-à-dire on a tous des choses qui sont légales, mais qu’on ne va pas afficher au monde.

Éric Delvaux : Principe fondamental, comme vous expliquiez. Ce chiffrement, le secret des données, est-ce que ce n’est pas devenu aussi un argument commercial pour des sociétés comme Whatsapp, Google ou encore eh bien Apple. ?

Tristan Nitot : Oui, tout à fait. C’est un argument commercial. Je pense qu’aujourd’hui il n’y a guère que Apple qui peut dire « je veux protéger les données de mes clients », sachant que les autres les Google et les Facebook, en fait, leur principal métier, c’est d’espionner leurs clients pour tout savoir sur eux et leur vendre de la publicité ciblée. Donc ils sont un peu hypocrites sur ce sujet. Voilà.

Éric Delvaux : Eh bien on lira ça sûrement dans votre prochain livre. Ça s’appellera Surveillance, c’est bien ça ?

Tristan Nitot : Tout à fait.

Éric Delvaux : Ça sort dans quelques semaines chez C & F Éditions. Merci donc Tristan Nitot, spécialiste des questions de surveillance numérique. Merci.

mardi 23 août 2016

Défendre le chiffrement

En sortant de la maison de la radio

En sortant de la maison de la radio

Le ministre de l’intérieur, Bernard Cazeneuve, a récemment annoncé qu’il souhaitait limiter l’accès au chiffrement, dans le cadre de la lutte contre le terrorisme. J’étais ce matin, à 6h20 (ouch !), l’invité de France Inter, pour expliquer pourquoi c’était une ânerie sans nom. Pour la même raison, je co-signais une tribune dans Le Monde, En s’attaquant au chiffrement contre le terrorisme, on se trompe de cible, avec mes anciens collègues du CNNum.

L’interview qui est passée sur France Inter est disponible en ligne. Il existe aussi une transcription.

Voici quelques points saillants de l’argumentaire :

  • Bien sûr, devant la menace terroriste, on a envie de mettre en place tout ce qui est possible. Pourtant, il ne faut pas jeter le bébé avec l’eau du bain.
  • Le chiffrement est essentiel dans la vie numérique, surtout que ce dernier prend une place grandissante
  • Le chiffrement est indispensable pour permettre le fonctionnement du commerce électronique et des banques. Il est aussi très important de le promouvoir pour limiter l’espionnage industriel (lune des missions de la NSA)
  • La notion de backdoor (porte dérobée) est très dangereuse car cela réduirait la sécurité et la liberté de tous.
  • Interdire la crypto ne gênerait que les honnêtes citoyens, les terroristes et malfaiteurs iraient utiliser des logiciels qu’ils trouveraient ailleurs qu’en France.

Je vous encourage à lire la version longue de la tribune sur le site du CNNum, elle est très bien écrite.

Mise à jour

Le soir sur BFM Business

BFM_Business_Tristan_Nitot_Chiffrement_Cazeneuve.jpg

La vidéo de BFM Business

mardi 1 mars 2016

Apple vs FBI, la suite

Deux nouvelles viennent de tomber en France, suite à l’affaire Apple contre FBI :

Quand on voit une telle surenchère liberticide, il me vient l’envie de rappeler deux vérités :

1 - 1984 était un roman, pas un mode d’emploi

2 - Nos libertés ne sont pas détruites par les terroristes mais bien par les politiciens… si on les laisse faire.

- page 1 de 36