Le CECIL - Radio Alto
Titre : Le CECIL
Intervenants : Sylvain Steer - Héloïse Pierre, etikya.fr - Marion Bourget, journaliste pour Radio Alto
Lieu : Émission TIC éthique #14 - Radio Alto
Date : Juillet 2017
Durée : 53 min 30
Écouter l'émission
Licence de la transcription : Verbatim
NB : Transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l'April.
Description
Le CECIL, Centre d’Étude sur la Citoyenneté, l'Informatisation et les Libertés vise à donner une assise solide et permanente à l'étude critique de l'informatisation de la société et aux interventions citoyennes dans ce domaine, rencontre avec l'un des salariés du CECIL.
Transcription
Coton tige FM – Coton tige FM sur Alto
Voix off – Frédéric Couchet : Accordons-nous juste une petite pause pour expliquer l’importance de l’informatique aujourd’hui.
Marion : Frédéric Couchet, délégué général et fondateur de l’April.
Voix off – Frédéric Couchet : Vous serez d’accord avec moi que les ordinateurs sont omniprésents dans notre quotidien : réseaux sociaux, services bancaires, services publics ; il est donc essentiel que nous gardions le contrôle sur nos outils.
Marion : Garder le contrôle sur nos outils informatiques. C’est la raison de la création de l’émission Tic éthique. Pas pour faire de chacun de vous quelqu’un capable de cracker n’importe quel logiciel. Non ! Mais parce que nous sommes intimement convaincus que le lien entre la compréhension de l’outil informatique et la défense de nos libertés est étroit. Et nous ne sommes pas les seuls penser ça. Pour preuve l’existence du CECIL1, le Centre d’Études sur la Citoyenneté, l’Informatisation et les Libertés. Et pour mieux vous expliquer ce lien, pas forcément évident au premier abord, le lien entre l’usage des technologies et vos libertés, Héloïse a rencontré un membre du CECIL.
Sylvain : Je m’appelle Sylvain S., j’ai fait une formation juridique et puis j’ai dévié dans les travaux de recherche sur d’autres disciplines, des disciplines des sciences sociales et ce qu’on appelle les études sur les sciences et les techniques. Et en travaillant sur les interactions entre les libertés fondamentales et l’informatique, je me suis retrouvé à travailler pour une association qui s’appelle le CECIL, donc le Centre d’Études sur la Citoyenneté, l’Informatisation et les Libertés où j’ai travaillé deux ans en tant que chargé de mission, où là j’ai vraiment fait de l’opérationnel sur ces questions-là, très loin au-delà du droit, vraiment sur de la formation même à l’utilisation de l’informatique, aux bonnes pratiques, ce type de choses et aussi du lobbying citoyen, enfin de l’influence citoyenne, avec d’autres associations sur ces questions-là.
Héloïse : D’accord. Est-ce que vous pourriez justement nous en dire un peu plus sur le CECIL ?
Sylvain : Le CECIL est une association qui date de 2008 et qui, en fait, s’est construite dans la continuité d’un mouvement qui a débuté un peu avec la loi de 78, donc la loi informatique et libertés, qui est la première pierre de la protection des libertés face à l’informatique en France et qui a développé tout un mouvement d’enseignants, notamment dans les IUT mais pas que, qui ont créé la doctrine, enfin qui ont posé les bases de ce régime et notamment autour de deux revues scientifiques, la revue du CREIS et la revue Terminal qui sont maintenant dans une même association qui édite, du coup, une revue, qui s’appelle CREIS-Terminal2. Et le CECIL a un peu été créé pour aller plus loin, justement, de la seule recherche, enfin la seule recherche adressée au législateur, à la technique, enfin voilà, pour poser les bases. Mais le CECIL a pour vocation d’aller au-delà de ça et d’aller vers l’éducation populaire, d’impliquer aussi des journalistes, des citoyens, enfin de dépasser vraiment le cadre très recherche, très académique, pour entrer dans des enjeux du quotidien et des enjeux d’éducation.
Héloïse : D’accord. Donc votre but c’est un peu de sensibiliser, je dirais, les citoyens lambda ou en tout cas le grand public à ces questions et ces enjeux liés à la technologie ?
Sylvain : C’est ça. Ce n’est pas que sensibiliser, même si en pratique c’est quand même beaucoup ça. On fait des cinés-débats, des interventions, on tient des tables pour informer, on intervient à différentes occasions ou sur les débats de société, ce type de choses. C’est aussi essayer, mais alors ça c’est quelque chose qui est peut-être plus à développer, essayer d’impliquer directement les personnes pour se réapproprier la réflexion sur les sciences et les techniques et principalement l’informatique, notamment face aux libertés fondamentales.
Héloïse : D’accord. Pourquoi est-ce que c’est important pour vous d’impliquer les gens sur ces questions-là ?
Sylvain : Parce que ce sont des sujets qui sont extrêmement importants. On touche vraiment à des enjeux qui sont colossaux dans notre société. Ça rejoint un peu mon parcours. Je me suis intéressé à toutes ces questions à partir d’un livre qui est un petit peu connu, qui s’appelle Code is law, and other laws of Cyberspace, de Lawrence Lessig donc le code fait loi et les autres lois du cyberespace ; qui montre, en fait, qu’il y a différentes forces normatives dans la société — je ne vais pas rentrer dans le détail là-dessus — mais notamment que les personnes qui vont déterminer la technique, qui vont être les personnes qui vont gérer le code, qui vont gérer les services, ont, en fait, une possibilité d’influence majeure dans la société et vont conditionner ce qu'on appelle les lois. Ce qu’on constate au quotidien avec le fait que si Google considère que l’algorithme du moteur de recherche va privilégier, par exemple, les contenus récents, ça va privilégier, éventuellement, un article de presse un peu sensationnaliste sur quelque chose qui vient de se passer dans un conflit, par exemple le conflit israélo-palestinien. On va avoir un article de presse plutôt récent qui va ressortir plutôt qu’un article d’analyse de fond qui pourrait donner plus les enjeux, plus ce type de choses et, par ce biais-là, influencer, éventuellement, la pensée des personnes qui pensent faire une recherche objective, alors qu’en réalité il y a quelqu’un derrière qui fait des choix qui sont les siens.
Donc en ça et pour plein d’autres raisons, en fait, la technique et l’informatique conditionnent, quand même, très largement la vie de tout le monde à l’heure actuelle et sans forcément que tout le monde en ait bien conscience et, en tout cas, sans forcément que tout le monde ait les armes pour comprendre les enjeux et pour éventuellement s’opposer à ce à quoi ils peuvent s’opposer et agir pour défendre toujours plus les libertés.
Héloïse : D’accord. C’est vrai que vous avez participé grandement à l’écriture du livre Guide de survie à destination des aventuriers d’Internet3 qui a été coédité justement par le CECIL, mais également la Ligue des droits de l’homme.
Sylvain : Oui. En fait, à la base, le Guide de survie c’est un document dont on avait plus ou moins besoin en interne. On réalisait ce qu’on appelle des ateliers d’autodéfense numérique, donc de formation directe auprès des personnes, pour leur dire, voilà, il y a des enjeux politiques, il y a des enjeux qui se jouent au niveau de la société dans son ensemble et sur lesquels on agit — pour en parler on risque de ne pas y revenir autrement — mais on (le CECIL) agit sur ces terrains-là avec un groupement d’associations qui s’appelle l’Observatoire des Libertés et du Numérique où on essaye d’éviter que les nouveaux textes, les nouvelles lois, soient toujours plus attentatoires aux libertés. On a notamment pas mal travaillé sur la loi sur le renseignement. Mais du côté du CECIL, du coup, on fait aussi des ateliers d’autodéfense numérique pour, au-delà de la question politique générale sur laquelle les réponses sont globales, il y ait aussi une possibilité, pour chaque citoyen, de limiter un peu la surveillance au quotidien, de s’opposer, dans une certaine mesure, à des opérations de surveillance qui ont lieu en ligne. Et du coup, le but des ateliers d’autodéfense numérique c’est d’appendre les premières méthodes pour limiter ces possibilités-là.
Donc ce sont des choses que l'on faisait. Moi, ce sont des questions sur lesquelles j’étais compétent, mais ne serait-ce que pour transmettre, pour que d’autres personnes puissent le faire, on avait besoin d’un document en interne, donc j’avais réalisé des petites fiches sur les premiers pas à faire sur différents sujets. Et ça a bien plu à la Ligue des droits de l’homme avec laquelle on avait l’habitude de travailler ; ça leur a bien plu et ils ont voulu le transmettre du numérique au papier et, du coup, ils ont participé à l’édition de ce petit guide qui fonctionne bien depuis et qui a l’air de trouver son public.
Héloïse : Oui, parce que vos fiches, les fiches pratiques4 sont accessibles sur votre site internet, donc tout le monde peut les trouver.
Sylvain : Tout le monde peut les trouver librement. Elles sont sous licence Creative Commons, donc elles sont librement réutilisables et modifiables sauf ce qu’on appelle la paternité, mais tout le monde peut se les approprier et les rediffuser sans aucune contrainte.
Héloïse : La rédaction de ces fiches pratiques c’est une des actions très concrètes que vous menez pour donner, on va dire, des armes de résistance, presque, aux gens !
Sylvain : C’est ça, c’est l’objectif de ces fiches. De la même façon qu’il y a besoin d’autodéfense intellectuelle pour ne pas subir des manipulations de personnes avec qui on va débattre ou de subir des manipulations des médias qui pourraient transmettre des informations qui seraient mauvaises, qui seraient mensongères, qui viseraient à influencer le lecteur. L’autodéfense numérique c’est aussi se protéger contre les agresseurs sur Internet et, effectivement, il y a des personnes qui ne veulent pas forcément que notre bien. Alors elles ne veulent pas forcément notre mal, nous faire du mal physiquement, mais s’approprier nos données, influer nos comportements, réaliser du profilage pour changer nos habitudes de consommation ou, dans le cadre des États ou d’autres puissances, nous surveiller directement, avoir nos habitudes de vie pour, éventuellement, nous faire chanter. Ce type de choses c’est aussi possible ; ou nous envoyer en prison dans certaines circonstances, c’est aussi possible. Donc c’est pour s’opposer à ça ; c’est limiter les intrusions sur Internet et en matière d’informatique en général.
Héloïse : Oui. C’est vrai que la technologie en général, on y fait face au quotidien, on la trouve plutôt utile et puis normale aussi dans notre monde moderne. Mais du coup, ce que vous vous dites c’est que cette technologie ne nous facilite pas seulement la vie, mais a un impact, en fait, à plein de niveaux et c’est ça, peut-être, dont les gens n’ont pas vraiment conscience. À un niveau, vous disiez politique, ça peut influencer même ce qu’on pense sur un sujet. Là vous donniez l’exemple des moteurs de recherche.
Sylvain : Oui, effectivement. Pour y revenir, quand même, on est très loin d’être des néo-luddites même si on a une approche critique sur l’évolution des techniques. On accepte tous, au sein de CECIL, les apports positifs de l’informatique et d’Internet. On n’est pas du tout dans une approche « ah non surtout il ne faut plus qu’il y ait d’informatique ! »
Héloïse : C’est bien !
Sylvain : Mais, justement, il faut essayer d’en tirer les meilleurs aspects en limitant les pires, en limitant les possibilités de surveillance notamment. Effectivement, parler de dangers c’est toujours un peu problématique. Mais oui, il y a des choses qui ne vont pas dans le sens des intérêts de la personne quand elle fait la plupart des comportements qu’on va considérer comme normaux sur Internet. Ça veut dire qu’une personne qui va avoir un compte Gmail — c’est le cas de nombreuses personnes, c’est un service qui effectivement fonctionne bien — il faut qu’elle comprenne que tous ses e-mails, Google les « possède » entre guillemets, peut y accéder, va les scanner pour faire de la publicité ciblée ; va s’en servir pour savoir ce qui intéresse la personne et, éventuellement, lui proposer la bonne publicité au bon moment et du coup, en fait, clairement manipuler la personne dans un acte d’achat qu’elle n’aurait peut-être pas fait autrement. Ça c’est pour le cas de Google.
De l’autre côté, il y a le problème de la surveillance étatique ou, en tout cas, par des acteurs du niveau étatique, qui eux sont intéressés, qui ont été révélés notamment par les révélations Snowden, qui montrent que les renseignements américains et les renseignements des autres pays amis des Américains et très probablement de la France — on le sait depuis la loi renseignement — mais de la France et des autres pays européens, s’intéressent à la vie privée de tous leurs citoyens. Dans certains cas pour des motifs légitimes de lutte contre le terrorisme mais avec des méthodes qui, elles, dépassent largement ces questions-là et qui permettent de faire de la surveillance de tout un chacun dans plein de situations. Voilà !
Quand l’Amérique de Trump demande désormais à toutes les personnes qui viennent sur le sol américain de leur confier les comptes qu’elles utilisent sur les réseaux sociaux et même, potentiellement, les mots de passe pour pouvoir examiner ; qu’il y ait des possibilités d’examen, aussi, de tous les matériels informatiques qui vont être amenés sur le territoire de à peu près tout le monde, on peut vraiment se poser la question de la légitimité de l’action de l’État sur ces questions-là.
Un double problème : d’un côté une surveillance des acteurs privés essentiellement à des fins de manipulation commerciale, à des fins d’établir du profilage pour aller toujours plus loin. On peut parler de publicité, mais ça peut aussi être en matière d’assurances pour savoir que telle ou telle personne on a plutôt intérêt à lui donner le prêt ou, à l’inverse, ne pas du tout l’aider parce qu’elle ne sera pas solvable. Dans le cadre de la surveillance publique, ça peut être de la surveillance plus diffuse et moins lointaine que la surveillance étatique. L’université, par exemple, qui propose déjà, alors pas en France mais aux États-Unis, aux étudiants de porter des bracelets connectés qui vont jouer dans leur note de sport au final : si vous avez bien vos tant de pas pendant la semaine, eh bien dans ce cas-là vous allez avoir une bonne note. Oui, sauf que derrière un bracelet connecté qui va recueillir ce type de données, il peut éventuellement révéler beaucoup plus sur la personne que seulement son nombre de pas. Donc ce sont des choses sur lesquelles il faut rester vigilant et essayer de voir ce qu’on peut accepter ou ce qui, effectivement, doit plutôt être rejeté.
Héloïse : Vous disiez que vous faisiez du lobbying citoyen. Est-ce que vous pouvez nous expliquer un peu plus ce que c’est, concrètement ?
Sylvain : C’est essayer de limiter, on va dire, moi ça fait du coup quatre ans, trois/quatre ans que je travaille sur ces questions, mais c’est d’essayer de limiter : s’il y a des nouveaux textes essayer de faire propositions positives pour mieux protéger les libertés, essayer que les droits et libertés du citoyen soient mieux respectés. Et, à l’inverse, limiter les textes qui pourraient s’y opposer. Pour citer quelques exemples, je vous ai parlé de la loi renseignement qui a mis en place, dans le droit français, un corps de règles qui justifient le recours, aux services secrets, de méthodes de renseignement qui permettent d’espionner des personnes. Il y avait déjà un régime qui date de 91 pour l’écoute des communications téléphoniques et pour la vidéosurveillance ou la sonorisation de lieux, donc pour écouter ou voir des personnes à différents endroits, mais qui était effectivement très incomplet à l’ère du numérique. La loi renseignement a créé un régime complet qui permet, notamment, l’usage d’outils tels que des IMSI-catcher qui sont des espèces de fausses antennes réseau, enfin des vraies antennes réseau où, quand des personnes vont utiliser leur téléphone portable dans une zone, à la place de s’adresser à l’antenne réseau légitime, ça va passer par l’IMSI-catcher. Et les personnes qui vont maîtriser cet outil, donc, dans ce cas-là, les services de renseignement, sont capables de savoir toutes les personnes qui vont avoir un téléphone portable sur une zone donnée ; éventuellement, dans certaines conditions, le contenu des communications, de savoir qui s’adresse à qui, dans tous les cas, savoir qui vous appelez et, du coup, la loi renseignement pose le cadre d’utilisation de ce type d’outils. Alors il y a les IMSI-catcher, il y a un mécanisme dit des boîtes noires, qui n’est pas encore mis en place, mais qui permet de faire de la surveillance automatique sur les réseaux en disant si une personne, un jour, regarde comment fabriquer une bombe et que le lendemain elle a un acte d’achat de clous, ou de je n’en sais rien, sur Internet eh bien peut-être qu’on va la surveiller.
Donc ce sont des outils qui nous, nous semblent dangereux. Enfin il y avait un certain nombre de choses qui, dans la loi renseignement, nous semblaient extrêmement attentatoires aux libertés parce qu’il n’y a pas du contrôle du juge. Ce ne sont pas des personnes qui sont officiellement sous une enquête ; ce sont vraiment des possibilités de surveillance à la libre appréciation des services de renseignement, même s’il y a une petite autorité qui fait l’examen des demandes. Ça, c’étaient des choses sur lesquelles on estimait qu’il y avait des dangers. On les a exprimés, on a essayé de faire campagne pour limiter les atteintes aux libertés. Plus récemment, on peut parler aussi du délit de consultation de sites terroristes qui avait été mis en place depuis deux ans, si je ne dis pas de bêtise, dans le droit français, et qui est la première fois qu’en droit français on a ce qu’on appelle un délit de pensée ; ça veut dire que le seul fait de s’intéresser à un sujet peut nous conduire en prison. Donc c’est quelque chose qui, pareil, nous pose des problèmes éthiques. Notamment la Ligue des droits de l’homme a porté un recours devant le Conseil constitutionnel, une question prioritaire de constitutionnalité, et a obtenu l’annulation de ce délit, reconnu comme contraire à la Constitution. Voilà ! Donc ce type d’actions.
Héloïse : Donc parfois vous arrivez à vous faire entendre sur certains points ?
Sylvain : Pas assez. Pa assez, jamais, sur ces différents textes. Forcément on sait qu’en situation d’état d’urgence, dans une situation où, effectivement, la France a connu quand même un certain nombre d’attentats et d’attaques tragiques, ce n’est pas évident de faire entendre aux personnes que les libertés c’est important dans les contextes de crise et pas dans les contextes où tout se passe bien ; c’est à ce moment-là qu’il faut les défendre. Ce n’est pas toujours évident, effectivement, encore moins du côté des politiques qui eux ont besoin de donner l’impression qu’ils font quelque chose, qu’ils sont en train d’agir sur ces questions-là, même si c’est au déficit total des libertés fondamentales.
[Coupure]
Du coup, le droit au déréférencement, c’est un droit qui découle déjà des droits existants en matière d’informatique et de libertés, de protection de données à caractère personnel, et c’est un droit qui permet à tout citoyen de demander à un moteur de recherche de désindexer des informations, enfin des articles ou des pages qui vont comporter des éléments d’identification – donc principalement les nom et prénom – et où la personne considère qu’il n’y a plus d’adéquation entre ce document et son identité actuelle. Donc c’est la possibilité, par exemple pour quelqu’un qui, quand il était jeune, serait apparu dans la presse locale pour avoir fait une bêtise dans le centre-ville, par exemple s’être baladé tout nu dans une fontaine ; qui, cinq ans après, en essayant de chercher du travail, trouverait que, effectivement, ce document n’est pas très pertinent, qu’il n’a pas un gros intérêt du point de vue de l’information du public et peut ainsi demander au moteur de recherche de désindexer le contenu et de faire que si quelqu’un cherche son nom et prénom sur le moteur de recherche, on ne puisse pas facilement retrouver l’article en question. Ça ne supprime pas l’article, ça va juste empêcher, enfin ça va juste limiter sa décontextualisation via le biais du moteur de recherche.
Mais du coup, c’est un droit qui pose de nombreux problèmes en termes d’équilibre avec la liberté d’expression. Et là, il y a quatre cas qui ont été à nouveau renvoyés par le Conseil d’État devant la Cour de justice de l’Union européenne. On est dans une situation où une personne qui, éventuellement, a fait partie de la Scientologie à une époque et où on avait un article de presse qui l’accusait d’avoir fait pression sur une famille pour éviter de faire un procès suite à la mort de leur enfant liée à des actions avec la Scientologie ; ou des responsables politiques qui souhaitent désindexer des contenus qui vont se moquer d’eux, des contenus satyriques ou sur des choses où il y a eu un non-lieu qui a été déclaré, mais où des articles qui indiquaient que la justice avait recherché différentes choses.
Donc on voit que ce sont des choses où il y a une vraie sensibilité entre est-ce que le public doit pouvoir accéder à ce contenu, c’est ce qu’on appelle le droit à l’information ; mais en même temps, est-ce que, de l’autre côté, les personnes physiques qu’il y a derrière, est-ce qu’elles auraient le droit à la protection de la vie privée sur ces questions. La CNIL et Google, en l’occurrence sur les cas dont je parle, ont refusé la désindexation et là, ça va être à la Cour de justice de l’Union européenne de décider si ça peut aller dans ce sens-là.
Héloïse : Et quel est votre point de vue, vous, au CECIL, sur ce sujet ?
Sylvain : Sur ces questions-là, on s’interroge aussi. Il n’y a pas de bonne réponse. Par défaut, on est plutôt dans le camp de la protection de la vie privée. Il y a quelque chose qui nous gêne, en tout cas dans ce régime, à peu près tout le monde est d’accord là-dessus, c’est que le choix d’indexer ou non va essentiellement reposer sur le moteur de recherche et ça, ça nous pose clairement problème que ce soit au moteur de recherche de décider si, effectivement, il doit désindexer le contenu ou non. Ça lui offre un pouvoir qu’il ne devrait pas avoir. En tout cas moi, à titre personnel, mais c’est une opinion que je partage avec beaucoup de monde du CECIL, on serait plutôt pour que ce soit une autorité indépendante qui apprécie ces cas-là et qui, après, les répercute même directement vers tous les moteurs de recherche et tous les services concernés. Ce qui serait aussi plus logique que le coût de cette réflexion ne soit pas mis sur les moteurs de recherche, même s’ils ont l’argent pour, mais que ce soit mis sur la société. Un mécanisme qui ne serait peut-être pas aussi lourd que celui d’un juge, parce qu’effectivement si les demandes se comptent par centaines de milliers, mais que ce soit une autorité indépendante, peut-être la CNIL ou peut-être une autre autorité, qui apprécie demandes-là. Donc ça c'est un vrai problème, en tout cas que les moteurs de recherche soient juge et partie, du coup, sur ces choses-là.
Après, sur les cas, il y a une question de cas par cas qui doit être faite et ça, on ne va pas se substituer au juge, justement, qui devrait être engagé dans une procédure de ce type.
Voix off : Mais si je veux me faire un peu l’avocat du diable, je pourrais vous répondre que, finalement, ça ne vise que les terroristes puisque c’est, soi-disant, une loi antiterroriste. Donc les citoyens qui n’ont rien à se reprocher n’ont rien à craindre finalement !
Voix off de Laurence Blisson : Ce n’est pas une loi antiterroriste. Précisément c’est l’un des écueils de cette examen en urgence, c’est de laisser penser que cela pourrait être une loi antiterroriste.
Héloïse : Laurence Blisson du syndicat de la magistrature lors d’un rassemblement contre le projet de loi renseignement.
Voix off de Laurence Blisson : Et par ailleurs c’est une loi, les services de renseignement vont pouvoir viser des citoyens bien au-delà de ce qu’on pense puisqu’on a d’une part la possibilité d’utiliser ces techniques dans le domaine de la prévention des violences collectives ; c’est-à-dire que ça pourra être utilisé concernant toutes les manifestations, de la Manif pour tous à la manif du 1er mai ; mais aussi pour la défense des intérêts économiques et industriels majeurs de la France, c’est-à-dire que ça pourra être utilisé notamment pour empêcher les lanceurs d’alerte de dénoncer, par exemple, les pratiques de l’industrie pharmaceutique ; et ensuite, parce que les méthodes utilisées vont aller bien au-delà des cibles que l’on imagine : c’est-à-dire que la définition de l’entourage qui pourra être écouté est une définition très large et que, par ailleurs, ce qui est organisé c’est un sondage du Net ; et pour pouvoir faire sortir des actions suspectes, il faut d’abord que ces technologies aient tout observé, tout scanné. Et c’est là que réside le véritable danger pour nos concitoyens.
Héloïse : Donc ce sont des grandes questions qui ne sont pas simples, quand même, à résoudre.
Sylvain : Non. Ce sont des questions qui sont extrêmement complexes. Il y a quand même beaucoup de choses, beaucoup de questions que pose le numérique. On a cette libération de la liberté d’expression qui permet à tous de facilement exprimer son opinion, quelque chose qui n’était pas du tout possible avant et qui est extrêmement positif ; qui permet de faire du travail collaboratif, des projets fantastiques comme Wikipédia. Mais, de l’autre côté, eh bien il y a aussi des abus qui sont compliqués parce qu’on n’est plus sur des régimes étatiques, on est sur des choses qui ont un impact international. Est-ce que nous, Européens, on a le droit de demander à ce que la désindexation elle se fasse dans le monde entier, parce qu’on considère que c’est notre vie privée, elle doit être respectée dans le monde entier ? Ce n’est pas non plus une question évidente. Mais oui, il y a des problèmes qui sont assez importants et où il y a besoin d’une réflexion quotidienne et de continuer à travailler, de continuer à essayer de trouver des solutions. Et là, vraiment, le positionnement du CECIL c’est justement d’impliquer les citoyens, dans une approche qui n’est plus tellement d’élites qui vont décider des bonnes solutions, mais d’essayer, au maximum, de réfléchir collectivement sur quelles sont les bonnes solutions pour ce type de problème.
Héloïse : Est-ce que justement, depuis là les quelques années où vous faites ça, essayer de mobiliser les citoyens, vous voyez des changements dans les consciences, dans les actes ? Est-ce qu’il y a des progrès selon vous ?
Sylvain : Il y a clairement une évolution qui tient essentiellement, enfin peut-être pas essentiellement, mais qui tient beaucoup aux révélations d’Edward Snowden, pas forcément parce que tout le monde a eu directement connaissance des révélations d’Edward Snowden ou de la gravité qu’elles pouvaient avoir, mais, en tout cas, ça a réveillé beaucoup de personnes, beaucoup de militants. On avait un milieu associatif assez développé. En matière de logiciels libres, par exemple, en France, on est un pays qui a beaucoup développé – alors je ne sais pas si vous en avez déjà parlé dans l’émission du logiciel libre – mais qui est quand même un pays très actif sur ces questions-là. Et le milieu du logiciel libre, depuis ces cinq dernières années, s’est quand même largement tourné vers les problèmes pas seulement de respect des libertés vis-à-vis du code informatique, mais aussi des libertés individuelles, de la protection de la vie privée. Typiquement Framasoft5, qui était une association qui faisait la promotion de logiciels libres — si un logiciel était libre ils en faisaient la promotion — ils font maintenant la promotion d’outils respectueux des libertés fondamentales, qui sont aussi des logiciels libres, mais développent aussi des projets dont l’objectif n’est pas seulement d’être des projets libres, mais aussi de respecter les libertés individuelles.
Héloïse : Oui. En effet, nous avons eu la chance de les interviewer à Lyon. Donc il y aura deux émissions spéciales sur les logiciels libres et puis aussi toutes les actions de Framasoft.
Sylvain : Du coup, vraiment, on a tout ce secteur associatif-là qui s’est un peu converti à la défense des libertés et d’autres personnes qui ont pris conscience du risque de la surveillance en ligne. On a plein de journalistes qui font un travail de très bonne qualité sur les questions de vie privée, aussi, depuis les révélations de Snowden, sans forcément les attribuer uniquement aux révélations de Snowden. Mais la prise de conscience de l’importance de cette problématique est claire.
Maintenant, les solutions concrètes manquent un peu parce que ce n’est pas toujours facile, pour une personne, de se dire OK, je ne vais pas être sur Google ou je ne vais pas avoir un Gmail ou je vais arrêter d’utiliser Windows ou je vais chiffrer mes données systématiquement. Il y a des choix qui sont assez peu conséquents et qui peuvent se faire très rapidement. Il y a en a d’autres qui sont potentiellement plus lourds. Ce n’est pas toujours évident d’arriver à faire faire les premiers pas aux individus et c’est aussi sur ces questions-là où on essaye de convertir, enfin de convertir, des personnes qui sont déjà convaincues des nécessités de protéger leur vie privée, de leur faire passer l’étape d’après en disant OK, potentiellement vous pouvez militer sur ces questions, mais vous pouvez aussi, déjà individuellement, adopter des meilleures pratiques qui vont limiter les possibilités de surveillance, privée comme publique, et permettre de mieux respecter la vie privée au quotidien.
[Musique]
Héloïse : Et justement, avant de passer aux solutions, parce que c’est tout ce qui fait, je trouve, que votre livre Guide de survie à destination des aventuriers d’Internet est super intéressant, c’est que c’est un guide vraiment qui donne les solutions très pratiques, très concrètes aux gens. Ma question c’est justement, apparemment les journalistes et le milieu associatif ou militant est beaucoup plus actif et éveillé à ces sujets, mais est-ce que vous arrivez, par exemple, à sensibiliser, on va dire, les plus grands utilisateurs du numérique, c’est-à-dire les jeunes ?
Sylvain : On essaye. Nous, le CECIL, on avait des petits ateliers, qui sont terminés désormais, avec la mairie de Paris dans le cadre des rythmes scolaires. On intervenait dans les écoles pour faire adopter ce qu’on appelait des pratiques informatiques raisonnables ou d’Internet raisonnables, pour apprendre aux enfants les avantages aussi bien à utiliser des outils qui nous semblent très bons comme du tchat, comme des documents collaboratifs, ou s’initier à la programmation pour un peu comprendre ce que c’est que l’informatique. Mais aussi connaître les questions de protection de vie privée, de savoir qu’il faut faire attention en publiant sur Internet.
Le CECIL participe à un gros collectif qui est animé par la Commission nationale de l’informatique et des libertés, qui s’appelle EDUCNUM6, qui a été créé il y a quatre/cinq ans pour, à la base, promouvoir une grande cause nationale de l’éducation numérique, mais qui, depuis, en fait, est vraiment en train de se développer, qui regroupe tous les acteurs de l’éducation numérique qui sont non-commerciaux ; c’est une des conditions pour participer au collectif. Donc on essaye d’agir sur ces questions.
Alors c’est pareil, il n’y a rien d’évident. Ce n’est pas facile que les plus jeunes adoptent des bonnes pratiques. Il y a des choses sur lesquelles ils ont intuitivement des pratiques très protectrices de leur vie privée, notamment vis-à-vis de leurs proches. Il y a un livre que j’aime beaucoup, qui a été traduit il n’y a pas longtemps en français, qui est un travail de recherche d’une chercheuse qui s’appelle danah boyd, qui a écrit un bouquin qui s’appelle It's Complicated, C’est compliqué. Les vies numériques des adolescents et qui montre que, globalement, les adolescents ont quand même une certaine maîtrise sur la protection de leur privée, vis-à-vis de leurs proches en tous cas, mais que, par contre effectivement, on constate au quotidien que la question du fait que Facebook s’approprie toutes leurs données ; que sur Snapchat les photos qu’ils envoient, peut-être que leurs correspondants ne peuvent les voir que 5 ou 10 secondes, mais déjà potentiellement on peut les enregistrer ; et qu’en tout cas l’entreprise Snapchat elle, pourrait tout à fait les conserver indéfiniment et s’en servir plus tard, là, la sensibilisation n’est pas forcément toujours faite, donc il y a des actions.
Héloïse : C’est-à-dire est-ce qu’ils le savent, mais ça ne les inquiète pas plus que ça ? Ou est-ce qu’ils ne le savent pas ?
Sylvain : Ça va dépendre. Il n’y pas une réponse. Il y a des adolescents qui refusent d’utiliser ces services, qui se rendent bien compte des dangers et qui ne veulent pas. Et il y en a d’autres qui vont mettre toute leur vie sans s’en préoccuper. Il y a de la sensibilisation qui est faite. Ça devrait continuer de se faire, clairement. Mais on fait ce qu’on peut ! Il y a eu quelques engagements, mais qui sont extrêmement minimes et qui ne suffiront clairement pas pour que les enseignants soient sensibilisés sur ces questions, mais très largement à l’éducation numérique en général. Il n’y a que deux jours de formation, donc c’est clairement insuffisant, mais déjà un premier pas. Il y a des projets qui se font dans les écoles mais qui restent peut-être trop limités, qu’on essaye de développer dans le cadre d’EDUCNUM ; en tout cas, c’est un objectif qu’on partage avec tous les partenaires du collectif.
Héloïse : D’accord. Merci pour votre réponse. Et alors maintenant passons, justement peut-être, sur le livre en tant que tel, et notamment certaines fiches plus particulières. Donc vous donnez des fiches : on a la boîte e-mail, le moteur de recherche, voilà tout ça.
Sylvain : Les systèmes d'exploitation.
Héloïse : En fait, ça répertorie un peu tous nos actes quotidiens par rapport à Internet. Et alors les mots de passe, la question des mots de passe, est-ce que c’est important ?
Sylvain : Les mots de passe, moi c’est un sujet sur lequel, en travaillant sur le sujet, j’ai beaucoup évolué, parce que ce qu’on entendait sur les mots de passe il y a cinq ans, c’était il fallait des mots de passe compliqués, il fallait des mots de passe différents selon chaque service. Ce sont des choses qui, effectivement, sont vraies : c’est mieux d’avoir des mots de passe compliqués ; c’est mieux d’avoir un mot de passe différent par service. Sauf qu’en pratique, avoir un mot de passe où il y a des caractères spéciaux, des chiffres, des lettres, des majuscules, des minuscules et qui fait plus de, à l’époque on demandait plus de dix caractères on va dire, et d’en avoir un par compte, c’est un peu compliqué. Donc effectivement, il y a une vraie nécessité d’avoir des mots de passe qui ne soient pas facilement cassables.
Quelque chose qui est un peu expliqué dans les fiches, mais en tout cas qu’on explique bien plus largement en atelier d’autodéfense numérique, c’est la question de pourquoi on va adopter des mesures de sécurité. Elle est liée à ce qu’on appelle les modèles de menace. Ça veut dire de quoi j’ai peur ? Pourquoi je veux mettre en place des mesures de sécurité qui vont protéger ma vie privée ? Dans le cadre du CECIL, le modèle de menace c’est, potentiellement, je ne veux pas que des entreprises privées s’attribuent toutes mes données à caractère personnel et fassent du profilage. C’est aussi : je ne veux pas qu’un pirate informatique, que quelqu’un qui va me viser, soit moi directement, soit moi au milieu d’une masse, à des fins mercantiles, puisse facilement accéder à mes données à caractère personnel, à mon compte, pour infecter d’autres personnes.
Dans le cadre des mots de passe, les modèles de menace, il y a différentes choses. Il y a le proche : éviter que ses proches récupèrent facilement le mot de passe et, pour ça, il y a des choses aussi basiques que déjà faire attention à ne pas forcément les enregistrer sur son navigateur, parce que les navigateurs, que ce soit Firefox ou Opéra par exemple, par défaut, vont les enregistrer en clair. Si vous enregistrez vos mots de passe sur Firefox, n’importe qui aurait accès à la même édition de Firefox pourrait voir tous vos mots de passe et juste se connecter à votre compte. Quelque chose qui peut être assez dangereux vis-à-vis de ses proches.
Mais il y a aussi la menace de qu’est-ce qui se passe si le service sur lequel je me suis inscrit a une faille de sécurité et qu’une personne s’approprie toute la base de données des données des utilisateurs. Et là, potentiellement, les mots de passe qui peuvent être mal protégés – alors de plus en plus, quand même, les services vont chiffrer leurs mots de passe, mais ce n’est pas encore systématique – donc quelque chose auquel il faut déjà faire très attention : si, par exemple, vous vous inscrivez sur un site et vous faites la procédure de récupération de mot de passe et que le site vous le renvoie en clair, va vous dire votre mot de passe c’est ça, ça veut dire que chez eux il est conservé en clair ; que n’importe qui qui a accès à leur serveur peut connaître votre mot de passe ; ça veut dire qu’il n’est pas du tout protégé. Il faut fuir ce service, en tout cas pas du tout lui donner un mot de passe que vous allez utiliser ailleurs ; il faut considérer qu’il est compromis.
Héloïse : D’accord !
Sylvain : Au-delà de ça, si quelqu’un récupère toute la base de données, même si les mots de passe sont un peu chiffrés, éventuellement il va pouvoir essayer de casser le chiffrement des mots de passe, donc essayer de retrouver les mots de passe. Et c’est là où la longueur va jouer, la longueur ou la complexité du mot de passe va jouer, c’est pour les attaques qu’on va appeler de brute-forcing, attaques de force brute, où le pirate va essayer plein de combinaisons pour essayer de voir quel est le bon mot de passe. Et là, effectivement, si votre mot de passe fait moins de huit caractères, ça va lui prendre à peu près cinq secondes pour trouver le bon mot de passe. Donc là, il y a un vrai besoin de longueur, de complexité éventuellement.
En termes de bonne pratique sur les mots de passe, à l'heure actuelle on conseille plutôt quelque chose qui fait rire les plus jeunes, on dit : « Plus c’est plus c’est bon ! » Ça veut dire qu’il vaut mieux un mot de passe assez long et pas forcément si complexe que ça, qu’un mot de passe court et complexe. Un mot de passe de huit caractères avec des caractères spéciaux et des chiffres et des lettres est moins protégé contre les attaques de force brute qu’un mot de passe de quatorze/seize caractères en lettres minuscules pures.
Héloïse : C’est ce que vous appelez les phrases de passe, dont Snowden a parlé ?
Sylvain : Oui. C’est ce qu’on appelle les phrases de passe. Donc ça veut dire de ne plus tellement raisonner en tant que mot de passe parce que mot de passe ça implique c’est seulement un mot, mais de raisonner en phrase de passe ; par exemple quatre mots complètement aléatoires, mis les uns après les autres ou, effectivement, une phrase, alors pas une phrase qui va être trop commune, parce qu’éventuellement elle peut être devinée dans ces cas-là. Si on prend des maximes un peu trop connues, ça peut être dans des dictionnaires d’attaque aussi. Il y a plein de choses qu’il faut éviter, qui ne sont pas évidentes.
Voix off : L’an dernier une étude a montré que sur dix millions de mots de passe piratés plus de la moitié faisaient partie des 25 suivants. Regardez ! Sérieusement ? 123456 ; des suites logiques de chiffres ; six fois de suite le chiffre 6 puis sept fois de suite le chiffre 7 ; qwerty : google. Attends ! Tu imagines un hacker qui teste systématiquement ces 25 mots et qui connaît en plus ta date d’anniversaire ! Il pirate 80 % d’entre nous !
Sylvain : Donc si on veut des mots de passe dont on peut se rappeler facilement, on peut essayer de trouver quatre mots aléatoires avec des petites variations éventuellement on peut mettre des caractères spéciaux et comme ça, ça fait des mots de passe dont on peut se rappeler facilement. Je n’en sais rien, chacun va trouver ses phrases de passe par rapport à son expérience personnelle, en essayant de faire que ce ne soit pas trop facilement devinable.
Héloïse : Est-ce que vous auriez un exemple ?
Sylvain : C’est ça le problème, c’est que tous les exemples qu’on va donner il faut considérer que ce ne sont pas des bons exemples parce que, potentiellement, il y a quelqu’un qui va s’appuyer dessus pour casser des mots de passe. Mais voilà Guide de survie des aventuriers du Net, c’est un excellent mot de passe. Mais par contre, si c’est quelqu’un qui va m’attaquer moi, il peut se dire ça peut être des choses que je vais essayer. Mais en même temps, si je mets guide de survie avec un 2 et que je mets deux espaces à un endroit, c’est quelque chose qui va être quasiment incassable.
Héloïse : D’accord !
Sylvain : Voilà. Et pourtant c’est très facile de s’en rappeler. Donc ça permet facilement d’avoir des mots de passe complexes dont on va se rappeler.
Après, la meilleure pratique, c’est celle d’utiliser un gestionnaire de mots de passe. Donc un logiciel où on va seulement avoir besoin de se rappeler un seul mot de passe qui, du coup, peut être extrêmement compliqué et assez long, puisqu’on n’aura qu’un seul à se rappeler. Et après, le logiciel va gérer tous les autres mots de passe, donc des mots de passe aléatoires qui sont globalement incassables en tant que tels, et va les remplir à votre place. Et du coup, vous avez un logiciel qui va protéger tous vos mots de passe et vous n’avez besoin de n’en utiliser qu’un. C’est l’idéal. Il y en a certains qui fonctionnent assez bien, notamment un logiciel libre qui s’appelle KeePass7, qui fait bien ce qu’on lui demande. Mais ça reste une pratique que tout le monde n’arrive pas à mettre en place.
Quelque chose d’autre qui est important en termes de mot de passe, c’est d’essayer d’établir la dangerosité des comptes. C’est-à-dire qu’effectivement, peut-être qu’il y a un forum sur lequel on va une fois par an, sur lequel on n’a mis aucune une donnée privée, ce n’est pas très grave que notre mot de passe se fasse casser si on ne l’a pas mis à vingt autres endroits de la même façon.
Héloïse : D’accord !
Sylvain : À l’inverse, on peut avoir son compte mail, son compte mail principal, donc là qui permet d’accéder déjà à plein d’autres services, en plus il y a plein d’autres données personnelles qui permettent d’attaquer d’autres personnes, donc quelque chose d’assez critique, où là il est important d’avoir un excellent mot de passe. Et même, si possible, d’utiliser ce qu’on va appeler de l’auto-authentification par plusieurs facteurs, notamment des choses disant si vous vous connectez d’un nouvel ordinateur que le service ne connaît pas, il va vous demander une authentification aussi par le biais d’un texto envoyé sur votre numéro personnel ; ou, c’est ce que font aussi les banques, avec d’autres outils qui vont permettre de s’assurer que c’est bien la bonne personne derrière. Deux facteurs. Comme ça, même si une personne s’approprie un mot de passe ou un facteur, ça ne va pas lui suffire pour accéder au compte.
Pour les comptes qu’on utilise peu, il faut mieux mettre un mot de passe compliqué et ne pas s’en rappeler et demander, du coup, sur son compte mail qui est bien protégé, la remise à zéro du mot de passe, que mettre un mot de passe complètement basique.
Il y a des solutions comme ça. Ça va dépendre des pratiques des personnes. Si c’est une personne qui a dix, vingt comptes importants, il faut peut-être, effectivement, songer à un gestionnaire de mots de passe. Si c’est une personne qui a son compte mail et son compte bancaire qui sont extrêmement cruciaux sur ces deux-là mettre des mots de passe vraiment importants, avec des phrases de passe vraiment conséquentes et probablement incassables. C’est aussi adopter des bonnes pratiques, éviter de laisser son mot de passe affiché partout ; une entreprise, éviter de laisser les mots de passe du Wi-fi ou les mots de passe des comptes des utilisateurs affichés en plein jour.
Héloïse : Sur le mur !
Sylvain : Et que, éventuellement s’il y a des journalistes qui viennent chez vous et qui filment, vos mots de passe n’apparaissent pas derrière comme c’était le cas pour TV5 Monde juste après le moment où ils s’étaient faits attaquer. On voyait des images d’un journaliste où les mots de passe étaient écrits sur un tableau Velleda ! Il y a plein de choses qui sont importantes en matière de mots de passe. La meilleure pratique : avoir un gestionnaire de mot de passe et sinon, essayer de composer avec des phrases de passe et des méthodes de substitution pour les comptes…
Héloïse : Les plus sensibles.
Sylvain : Les moins cruciaux on va dire.
Héloïse : Et quels seraient vos conseils, on va dire les premiers pas, justement, que pourrait faire quelqu’un, qui soient simples, accessibles ? En même temps qui, du coup, sont un vrai atout pour la protection de sa vie privée ? Ça serait quoi votre conseil prioritaire ?
Sylvain : Moi, vraiment, quelque chose qui est extrêmement simple et extrêmement prioritaire, que je fais systématiquement avec les personnes avec lesquelles j’interviens, c’est d’adopter un navigateur libre et donc principalement Firefox8 ou ses équivalents. D’installer Firefox à la place de Chrome — Chrome est assez apprécié mais ne présente pas beaucoup d’avantages si ce n’est d’envoyer beaucoup plus de données à Google — et d’installer un petit module qui s’appelle uBlock OriginuBlock Origin qui, par défaut, va bloquer les publicités et peut aussi, en quelques clics, bloquer pas mal de traceurs sur Internet. Ça c’est un peu le niveau zéro on va dire. D’essayer de limiter le traçage en ligne. On peut rajouter des modules tels que Disconnect9.
Il y a un outil aussi qu’on évoque, qui est très simple d’utilisation qui, par contre, ne permet pas le même confort qu’un navigateur classique, donc qui ne va pas être exactement pour les mêmes usages, qui est le navigateur Tor, qui est un clone de Firefox, mais qui va se connecter à un réseau qui va favoriser l’anonymat qui est le réseau Tor 10, où une personne ne va pas directement accéder à une page : quand elle va chercher une page sur Internet elle ne va pas directement y accéder, mais son adresse IP va transiter par des nœuds, par des routeurs, qui vont rediriger la communication sans que personne ne puisse savoir d’où elle provient et où elle retourne. La personne ne pourra pas être directement tracée sur ses navigations sur Internet. Ça permet d’offrir une certaine forme d’anonymat ; ça permet de protéger les communications et de protéger aussi, par ce biais, les personnes qui en ont besoin à des fins critiques : des activistes, des journalistes dans des pays où la liberté de la presse n’est pas très bien respectée, où les droits humains le sont encore moins. Ça c’est le navigateur Tor. Il suffit de le télécharger sur Internet, de l’installer et puis on est connecté sur Tor et on peut se balader assez librement. Ça ne va pas marcher pour regarder des heures et des heures de vidéos sur YouTube, ce n’est pas du tout fait pour ça, mais pour se renseigner sans être tracé par Google ou par les sites auxquels on s’intéresse, ça fonctionne bien.
Héloïse : Ça marche ! J’ai une question justement par rapport à Tor, parce qu’effet vous en parlez dans votre livre, mais étonnamment, en tout cas en France, il est très décrié par notamment le gouvernement qui l’associe, à chaque fois de plus en plus, à un outil, on va dire, pour les terroristes. Vous, vous conseillez Tor alors que le gouvernement lui dit que si vous utilisez Tor, en gros, vous êtes potentiellement un terroriste, que c’est un outil, en tout cas, pour les terroristes. Du coup il est très décrié.
Sylvain : Je ne sais pas. Ça arrive. On entend un peu tout et n’importe quoi de la bouche, alors pas forcément directement du gouvernement, mais du gouvernement ou des personnes qui vont en parler pour le défendre.
Héloïse : Des politiques en tout cas.
Sylvain : Le navigateur Tor est rarement cité parce qu’il est peu connu. Il y a une petite affaire qui a fait un peu de bruit à l’Assemblée nationale où il y a — je ne sais plus si c’était à l’Assemblée nationale ou au Sénat — un parlementaire qui avait fait un reportage avec je ne sais plus quel média où ils avaient été acheter des drogues sur Tor. Parce que Tor, c’est aussi bien un outil d’anonymisation que quelque chose qui va héberger des services, ce qu’on appelle des services cachés, où là on va retrouver effectivement du trafic de drogue. Mais le lien entre Tor et le terrorisme est rarement fait. C’est plutôt un lien qui est fait avec le service Telegram où on entend, systématiquement, Telegram= terroriste. Alors qu’il y a des centaines de milliers d’utilisateurs de Telegram, quand bien même Telegram n’est pas forcément le service qu’on conseillerait.
En tout cas, cette question d’outils de protection qui vont favoriser le terrorisme, c’est quelque chose qu’on entend et qu’on nous oppose. On a pu être qualifiés, là, par le gouvernement, dans certains cas, d’alliés objectifs du terrorisme parce qu’on défend les libertés individuelles. C’est quelque chose qui, pour nous, n’est pas recevable. Il y a pas mal d’arguments à donner à ça, mais déjà, il y a quelque chose qui est assez symptomatique, c’est que le terroriste est un internaute un peu comme les autres. Donc il va plutôt aller vers des outils qu’il a l’habitude d’utiliser. On a des pratiques qui sont assez spécifiques, comme celles des téléphones jetables, mais qui ne sont pas nouvelles et qui ne sont pas du tout liées à ce type d’outils de protection et qu’on retrouve systématiquement. Et autrement, en tout cas, il y a quelques terroristes. Par contre, il y a beaucoup de personnes qui ont droit à la liberté de s’informer, à la liberté d’opinion et à ne pas être tracées sur Internet. On ne défend pas du tout les terroristes ; on défend les libertés qui bénéficient à tous, qui sont nécessaires à tous. Tor n’a pas d’intérêt direct pour le terrorisme. Dans des schémas compliqués, ça peut permettre, éventuellement, à deux terroristes de discuter ensemble en protégeant leur communication via le réseau. Mais ce n’est vraiment pas trivial, il y a des outils plus simples pour ça.
Ça permet par contre, et ça il faut le reconnaître, ça permet à des personnes de mettre des services qui vont vendre de la drogue en ligne, ça c’est une réalité sur laquelle il faut lutter. Il faut lutter contre les réseaux, contre les trafics de stupéfiants, ce type de choses, ce ne sont pas des choses auxquelles on s’oppose. Ce ne sont pas les seuls usages du réseau Tor, loin de là. Et il y a des études qui ont tendance à montrer que ces pratiques totalement illicites sont, en fait, une assez faible partie du réseau Tor, même si c’est très difficile de les évaluer.
On peut peut-être rebondir directement sur les outils de chiffrement type Telegram. Effectivement, les outils de chiffrement des communications, eux, par contre, sont très décriés et on a des campagnes gouvernementales, notamment en France, qui s’attaquent en disant ce n’est pas normal que nos services de renseignement et la justice ne puissent pas accéder à ces communications, effectivement des services tels que Telegram et du coup, dans les outils qu’on va conseiller, même WhatsApp qui est une application qui est gérée par Facebook, ou Signal, ou Silence, qui sont des outils qui vont chiffrer les SMS ou les communications en ligne via téléphone, ordiphone/smartphone, vont effectivement empêcher que les services de renseignement, la justice, puissent accéder aux contenus des communications en se mettant au milieu des lignes. Donc ça va limiter les possibilités d’action. Ça ne les retire pas, il y a d’autres possibilités d’enquêtes.
Mais par contre, de l’autre côté, effectivement, ça protège les libertés de tout un chacun. Et au-delà de ça, s’attaquer aux méthodes de chiffrement, s’attaquer aux outils qui vont protéger des communications, ce n’est pas viable d’un point de vue des libertés individuelles, mais aussi d’un point de vue économique. Parce que si ces outils sont remis en cause, il faut quand même savoir que si vous vous adressez à une page sur Internet, vous lui transmettez de l’information sans que ce soit chiffré ; sur Internet c’est ce qu’on va appeler le HTTPS, quand vous avez un petit cadenas en haut à gauche de votre page qui est marqué vert ça veut dire que vous communiquez de façon chiffrée avec le site internet. Si ce n’était pas chiffré, n’importe qui qui se mettrait à côté de chez vous, qui se connecterait sur votre réseau, pourrait connaître les identifiants, les données que vous envoyez au site internet. Donc il va se placer sur la ligne, il va savoir eh bien là il a fait une commande sur Amazon. Du coup je vais reprendre ses identifiants, je vais reprendre ses données bancaires et puis je vais refaire des commandes.
Héloïse : Ce serait complètement transparent !
Sylvain : On serait dans une situation où, en fait, tout le monde pourrait attaquer tout le monde de façon très triviale. Au-delà de la remise en cause générale de HTTPS, remettre en cause la sécurité du chiffrement, eh bien OK, peut-être que le gouvernement s’en servira uniquement pour des bonnes raisons, mais ça veut dire ouvrir une faille qui pourra être utilisée par n’importe quel autre acteur s’il la découvre et notamment par les acteurs malintentionnés. Ça c’est pour le faire très rapidement, mais c’est assez complexe comme sujet.
Héloïse : Oui, en effet, rien que les mots, des fois, crypter ou chiffrer peuvent faire peur, mais c’est assez bien expliqué dans vos fiches. Vous avez deux fiches, les deux dernières fiches, comme ça on finit par des choses peut-être un peu plus complexes, mais pour justement apprendre à chiffrer ses données et puis aussi chiffrer ses communications.
Sylvain : Sur ça, pour des choses moins complexes. La plupart des ordiphones modernes, enfin les dernières versions d’Android ou d’iPhone, prévoient une possibilité de chiffrer son téléphone de façon triviale. Ça veut dire il suffit d’aller dans les paramètres, et de dire chiffrer son disque dur ; on met une phrase de passe. Effectivement après, à chaque fois qu’on démarrera son téléphone, il faudra rentrer son mot de passe et ne pas l’oublier parce que sinon on perd tout, mais ça permet de protéger ses données. C’est-à-dire que si quelqu’un récupère le téléphone, il ne pourra pas accéder à toutes vos données et les exploiter potentiellement contre vous. Ça, ça va marcher contre des attaquants privés et éventuellement, ça peut marcher aussi si vous êtes un activiste sur telle ou telle question sociale qui fait un peu débat. Voilà ! Si vous êtes à la Zad de Notre-Dame-des-Landes ou du Testet ou n’importe quoi, d’éviter que si vous êtes perquisitionné, potentiellement, les services puissent obtenir toutes vos données en récupérant seulement votre téléphone. Ce sont des choses qui permettent assez facilement de protéger ses données. Il y a des utilisations légitimes. Essentiellement, il y a des utilisations légitimes. La majorité des personnes utilisent ces outils pas tellement pour commettre des infractions. Il y a des situations illégitimes ; dans ces cas-là il y a besoin d’autres outils.
Héloïse : Juste pour protéger leur vie privée tout simplement. C’est assez légitime, en effet, de pouvoir protéger sa vie privée de manière simple.
Sylvain : C’est ça. De manière à protéger sa liberté, à limiter les abus du pouvoir.
Héloïse : C’est vrai que je trouve que c’est vraiment passionnant et on pourrait encore discuter des heures. Malheureusement c’est déjà la fin de cette interview. Moi je vous invite à aller sur le site du CECIL, lececil.org, où vous pourrez trouver plein d’informations. C’est un site de veille, mais aussi toutes les fiches pratiques pour changer sa pratique d’Internet et avoir plein de pistes pour se protéger en ligne. Est-ce que vous pouvez nous dire où est-ce qu’on peut se procurer le Guide de survie à destination des aventuriers d’Internet ? Où est-ce qu’on peut l’acheter ?
Sylvain : Si vous préférez le lire en papier, comme beaucoup de gens apparemment puisqu’il marche plutôt bien, on a mis en place une plate-forme de paiement via HelloAsso qu’on utilisait déjà pour des dons. Donc c’est un site qui propose du financement collaboratif et sert à d’autres associations ; donc peut le retrouver via le site du CECIL, lececil.org/fiches avec un « s » et je pense qu’on va tomber sur une des pages qui renvoie vers la parution du guide ou même sur la page de garde du site la parution du guide et le site HelloAsso où il est possible de l’acheter et on vous l’envoie rapidement.
Héloïse : Eh bien en tout cas, nous, à Radio Alto on vous le recommande vivement et merci encore Sylvain pour toutes ces réponses.
Sylvain : Merci à vous Héloïse.
- 1. CECIL - Centre d'Études sur la Citoyenneté, l'Informatisation et les Libertés
- 2. CREIS-Terminal
- 3. Guide de survie à destination des aventuriers d’Internet - Extraits
- 4. Les fiches pratiques pour réduire les risques liés à la surveillance
- 5. Framasoft
- 6. EDUCNUM - Une éducation au numérique pour tous
- 7. KeePass - Gestionnaire de mots de passe
- 8. Firefox
- 9. Disconnect
- 10. Le réseau Tor