juin 9th, 2015

Deux ans déjà, mais les choses changent de manière perceptible, estimait Snowden dans une lettre ouverte publiée au début de ce mois dans les colonnes du N.Y. Times. Les choses changent, en effet. Si, Outre Atlantique, la NSA essuie quelques revers et se fait remettre à sa place, en Europe en revanche (et en France en particulier), les révélations du lanceur d’alerte ont eu un effet contraire. Jamais, en temps de paix, au cours de l’histoire de notre pays, les services de police et de renseignements n’ont bénéficié d’un tel pouvoir. Qu’importe les raisons et prétendus prétextes, telle est la situation à laquelle doivent faire face les citoyens pour préserver leurs propres intimités numériques.

Là est la clef du problème. Car il s’agit bien d’un problème.

En plaçant le citoyen dans une position passive de « surveillé », la société civile lui fait admettre l’inéluctabilité et l’omniprésence de cette surveillance. Que ce soit dans le quotidien du particulier ou durant son activité professionnelle. Car le citoyen « fliqué » est cette même personne qui, durant les heures ouvrées, travaille et contribue à la richesse du pays. La séparation stricte de ces deux mondes n’existe que dans l’esprit de certains politiques. Une « victime de la surveillance » dans le monde civile demeure une « victime de la surveillance » dans le secteur industrie, des biens et des services. Ergo, chaque coup de canif porté au contrat social infligé par les lois « Renseignement », Loppsi, LCEN et semblables saignent également le monde de l’entreprise.

Et quand bien même les procédés de basse police ainsi légalisés seraient-ils capables de faire le distinguo entre la sphère privée-qui-ne-doit-plus-l’être et la sphère économique-qui-doit-devenir-privée ? Psychologiquement la notion de préservation du secret professionnel et du stratégiquement « à ne pas divulguer » se déliterait quand même dans un aquoibonisme pessimiste : « Je suis fliqué, je n’y peux rien, « ils » sont trop forts ». « Ils » recouvrant des services de police aux géants du Net, Google, Facebook et consorts. Il n’y a strictement aucune raison pour qu’une personne habituée à cette intrusion et à cette surveillance constante ne devienne plus vigilante dans son cadre professionnel.

S’il est encore un peu tôt pour que le citoyen « non geek » prenne réellement conscience de la gravité de la situation dans le domaine de la surveillance d’Etat, tout semble prouver que le pillage de la vie privée par les industriels du Cloud commence à peser. Ce sentiment d’être le dindon de la farce est clairement exprimé dans une étude publiée par l’Université de Pennsylvanie qui peut se résumer en ces mots : « moi, citoyen et internaute, j’ai accepté d’échanger quelques données privées en échange de la fourniture d’un service en ligne, mais, avec le recul du temps, je me rends compte que le « deal » n’est pas du tout à mon avantage et je me sens totalement désarmé face à cette situation ».

Il y a du bon dans ce constat d’échec : une majorité de citoyens (aux Etats Unis, certes) admet clairement que sa vie privée et que ses données personnelles sont littéralement « pillées ». Et que les moyens mis en œuvre sont tellement formidables qu’il est devenu impossible de lutter contre. Une prise de conscience tant de la vulnérabilité de chacun que de la violence des procédés des grands opérateurs Cloud et du danger que cela représente. Peut-être un jour cette attitude englobera-t-elle le flicage d’Etat ?

Quelques jours avant la publication du « bilan » Snowden, Steve Bellovin écrivait un billet sur l’éventuelle généralisation de PGP par Facebook, en réponse à une annonce semblable faite par Google qui aimerait bien voir fonctionner GPG sur Gmail et Chrome. Indiscutablement, explique Bellovin, il faudra résoudre des problèmes qui sont loin d’être triviaux. Techniques, tout d’abord, tel que l’écriture d’un client de chiffrement à la fois simple et efficace pour plateformes mobiles, ou l’adoption d’un standard véritablement solide : PGP ou S/Mime ? Ergonomiques et psychologiques ensuite. Car à l’heure actuelle, utiliser de manière régulière des outils de chiffrement n’est l’apanage que de quelques technoïdes militants capables de ne pas confondre une clef publique ou privée et autres joyeusetés que nous réserve le cambouis du chiffrement.

Mais qu’un gros opérateur Cloud commence à s’investir dans une telle croisade, et ces aspects, techniques, ergonomiques et psychologiques pourraient s’effacer grâce aux moyens financiers, éducatifs et de développements dont ces opérateurs disposent. Le chiffrement deviendrait une sorte de réflexe naturel… et ce serait déjà un premier acte de « self defense » contre cette surveillance généralisée cherchant le djihadiste pédophile qui sommeillerait en chacun de nous.

L’initiative de Facebook (tout comme celle de Google, premier flic commercial de la planète) part d’un constat simple : trop de flicage tue le business. Il faut au moins donner l’illusion que l’on ne pense qu’au bien-être de chaque client-abonné-consommateur-source d’information. Dans leur ensemble, d’ailleurs, les opérateurs Cloud (et le CSA, Cloud Security Alliance) dans leur ensemble, tentent de réparer les pots longtemps cassés par les initiatives malheureuses et expéditives de leurs débuts. Cela a récemment pris la forme d’une seconde version du la PLA, Privacy Level Agreement, un outil de vérification de conformité Européenne capable d’indiquer avec assez de précision le niveau de protection des données à caractère privé garanti par un service et une application Cloud associée. Outil bien entendu destiné aux éditeurs d’applications Cloud et servant essentiellement à rassurer le client final. A quand un logiciel d’évaluation des « écoutes légales » ?

« Si on causait » propose Dancho Danchev. Si, pour briser ce ronron d’avis et de campagnes de communication consensuelles, nous nous mettions à dialoguer ? Si on parlait du temps qu’il fait dans le monde de la sécurité informatique, ou plus exactement des prévisions météorologiques relatives à la sinistralité numérique ? Envoyez courrier avec références et lettre de motivation à ddanchev at nym.hush.com.

Danchev est loin, très loin d’être un perdreau de l’année. Ce fut l’un des premiers, il y a plus de 20 ans, bien avant Brian Krebs, à mettre en évidence les relations inter-spécialistes des réseaux cyber-mafieux de ce qui allait devenir le Russian Business Network. Des hébergeurs « bullet-proof » aux spécialistes du spam, en passant par les bot-herders, les gourous du ransomware ou les empereurs du faux-antivirus, il les a tous tracés un jour ou l’autre, et a pu découvrir les « relations de confiance » cachées qui existaient entre clans cybermafieux. Alors, histoire de compléter une liste déjà longue de réseaux sociaux spécialisés…