C’est quoi la cyber-surveillance - Jean-Marc Manach

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : C’est quoi la cyber-surveillance ? Avec Jean-Marc Manach (Journaliste d’investigation)

Intervenants : Jean-Marc Manach - Journaliste

Lieu : Émission Métadonnées - Tech & Co

Date : 6 janvier 2023

Durée : 37 min 17

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Smartphones, objets connectés, vidéo-surveillance, reconnaissance faciale… Autant de technologies qui ont envahi notre quotidien, mais qu’on regarde aussi d’un œil méfiant. Avec un scénario cauchemar: être écouté, surveillé, partout, tout le temps. Mais c’est quoi, la cyber-surveillance ? Qui nous surveille, et pourquoi? Faut-il devenir parano pour protéger sa vie privée?

Transcription

Journaliste : Smartphones, objets connectés, caméras, reconnaissance faciale, autant de technologies qui ont envahi notre quotidien, mais qu’on regarde aussi parfois avec un œil méfiant et avec un scénario cauchemar, celui d’être espionnés partout et tout le temps. C’est quoi au fait la cybersurveillance ? Qui nous surveille, si nous surveille, et pourquoi ? Est-ce qu’il faut devenir parano pour protéger sa vie privée ?
Bienvenue dans Métadonnées, le podcast qui revient aux fondamentaux de la tech. Bonjour Jean-Marc Manach.

Jean-Marc Manach : Bonjour.

Journaliste : Tu es journaliste d’investigation, spécialisé notamment sur l’investigation en ligne et la cybersurveillance. J’aimerais qu’on revienne un peu sur ce sujet qui est un sujet dont on parle maintenant depuis des années, qui est quasiment aussi vieux qu’Internet, revenir justement aux fondamentaux sur la cybersurveillance qui intègre des notions politiques, économiques. J’ai une question très simple : toi, comment définis-tu ce concept de cybersurveillance ? Question assez large, assez ouverte.

Jean-Marc Manach : L’informatique ça laisse des traces. Quand tu te balades dans la rue, tu ne laisses pas forcément des traces, par contre ça peut être documenté par des caméras de vidéosurveillance. Dans la rue, les caméras de vidéosurveillance appartiennent à des magasins, d’autres à la mairie de Paris, etc.
Quand tu es sur Internet, la quasi-totalité des pages ont des tags ou des cookies Google, Facebook, Twitter, donc Google et Facebook ont un pouvoir de cybersurveillance absolument monumental, mais également des régies publicitaires, Criteo et d’autres. Et puis il y a énormément des data-brokers, des gens dont le métier est de récupérer toutes les traces des internautes pour ensuite arriver à les monétiser, à les revendre. En fait, dans le business des data-brokers, qui est un énorme business sur le Web c’est pour arriver à savoir « je veux afficher cette page aux hommes de 25 à 35 ans qui habitent à Lille ». Tu ne peux pas faire ça à Lille, parce que quand tu mets un panneau quatre par trois, tu n’as pas que des hommes de 25 à 35 ans qui vont le voir. Par contre, on commence à voir apparaître des panneaux publicitaires dans le métro qui vont identifier qui passent en face et, en fonction de si c’est une femme, si c’est un homme, s’il a moins de 25 ans, la publicité va s’afficher différemment.

Journaliste : Je me permets une petite parenthèse, ça veut dire que pour toi la publicité ciblée, à laquelle maintenant nous sommes tous habitués, Facebook, Instagram, tous les réseaux sociaux, on voit de la publicité qui nous est adressée en fonction du site qu’on vient de visiter. Toi, tu considères que c’est de la cybersurveillance ?

Jean-Marc Manach : Évidemment c’est ce que Shoshana Zuboff appelle le capitalisme de surveillance, c’est le fait que le modèle économique d’Internet c’est « si c’est gratuit c’est vous le produit ». Comme sur Internet ça a longtemps été gratuit, le produit était effectivement l’utilisateur.

Journaliste : Tu ne fais pas de différence entre la publicité ciblé eet l’espionnage par exemple ?

Jean-Marc Manach : L’espionnage c’est de l’espionnage. C’est là où il y a hiatus.

Journaliste : Il y a un consentement entre les deux.

Jean-Marc Manach : Tu n’as pas consenti à être surveillé par des régies publicitaires américaines.

Journaliste : On a cliqué sur OK, On n’a pas lu, mais on a cliqué sur OK.

Jean-Marc Manach : Oui, mais ça ne respecte pas le RGPD, etc. Non, il n’y a pas de consentement, tu consens parce que tu n’as pas le choix.
C’est là où il y a un hiatus entre la cybersurveillance telle qu’on en parle beaucoup dans les médias, où ça s’assimile aux services de renseignement et la cybersurveillance qui est le b-a-ba du modèle économique de la majeure partie, d’une bonne partie du business sur Internet.
Ce que font les services de renseignement c’est du renseignement. Ils vont utiliser notamment la cybersurveillance qui va être un des moyens : ils vont utiliser de l’OSINT, ils vont utiliser du SIGINT, Signals intelligence , le fait d’espionner les communications. Ils vont utiliser plein de techniques de ce qu’ils appellent des capteurs dans les services de renseignement.
Le problème c’est que jusqu’aux révélations de Snowden, tout le monde se foutait un petit peu de ces questions-là, que ce soit des services de renseignement technique type NSA ou des modèles économiques des GAFAM ou de la publicité sur Internet.

Journaliste : Est-ce que tu peux juste rappeler rapidement ce que sont les révélations Snowden ?

Jean-Marc Manach : En juin 2013, Edward Snowden, un ancien analyste de la CIA et de la NSA, contractuel à la NSA qui, parce qu’un haut responsable du renseignement avait été interrogé au congrès américain à qui on avait demandé « est-ce que vous surveillez des Américains ? » Il avait répondu « pas intentionnellement, ça peut peut-être arriver mais pas intentionnellement ». Et Snowden avait la preuve que c’était faux : à l’époque, un programme secret avait été fait avec les principaux opérateurs de téléphonie américains qui faisait que les métadonnées, pas le contenu mais le contenant, savoir qui, quel numéro de téléphone téléphone à qui, pendant combien de temps, à quelle heure, depuis quel endroit ; ce qu’on appelle les métadonnées, le contenant pas le contenu, donc les métadonnées des communications qui pointaient vers un certain nombre pays à l’étranger, typiquement les pays qui étaient en conflit voire en guerre avec les États-Unis étaient surveillés. Donc les métadonnées des Américains qui téléphonaient dans tel pays surveillé étaient captées. Snowden avait la preuve que ce que venait de déclarer le responsable du renseignement américain était faux et ça l’a énervé. Snowden a un profil clairement libertarien, protecteur de la vie privée, c’est assez étonnant qu’il ait choisi de bosser à la NSA.
Il a passé des mois à essayer de convaincre Glenn Grenwald, blogueur, avocat, qui était en ??? contre l’administration américaine, de sortir des documents. Une fois qu’il a réussi à le convaincre, c’est une histoire assez rocambolesque, il lui a confié des centaines de milliers, on ne sait pas exactement combien, de documents qu’il avait aspirés, qu’il avait siphonnés de l’intérieur de la NSA, qui sont des modes d’emploi de logiciels, des descriptions d’opérations, tout ce qu’on peut imaginer comme documents qui peuvent émaner d’un service de renseignement. Il les a confiés à Glenn Greenwald en lui faisant promettre de ne pas divulguer l’identité d’agents des renseignements américains et de pratiquer l’éthique, la déontologie journaliste pour ne pas mettre en danger des programmes américains. C’est là où on a une saga qui a duré pendant deux/trois ans où énormément de documents ont été rendus caviardés au sens où ce n’est pas l’intégralité des documents, ce sont des extraits de documents qui ont été rendus publics, et qui ont laissé entendre qu’il y aurait de la surveillance de masse effectuée par la NSA.

Journaliste : Uniquement sur les métadonnées ?

Jean-Marc Manach : Ça dépend des programmes.

Journaliste : Quand tu parles des métadonnées, j’ai envie de dire qu’en France ça s’appelle les fadettes, c’est-à-dire les factures détaillées ; n’importe quelle enquête sur toi, on va te ressortir tes factures de télécoms.

Jean-Marc Manach : Ça dépend parce que moi je suis journaliste. Si c’est sur moi parce que j’ai un comportement, j’ai commis un crime ou un délit.

Journaliste : Sur un citoyen qui ne serait pas journaliste.

Jean-Marc Manach : Au sens où les journalistes, les avocats, les parlementaires sont protégés.

Journaliste : Un citoyen qui ne serait pas protégé.

Jean-Marc Manach : Si tu commets un crime ou un délit, le ba-a-b d’un officier de police judiciaire, que ce soit un gendarme ou un policier, c’est effectivement de passer par la PNIJ, la plateforme nationale des interceptions judiciaires pour réclamer les dafettes, les factures détaillées. À quoi servent les fadettes ? Ça sert à savoir avec qui tu communiques. On avait eu le cas il y a quelques années, justement, il y avait eu une fuite du ministère de la Justice et la DCRI, qui est le contre-espionnage français, avait épluché les fadettes du journaliste du Monde qui avait sorti le scoop. C’est là où ils ont découvert le nom d’un magistrat en poste au ministère de la Justice, donc potentiellement sa source, et qui a été muté je ne sais plus si c’est en Guyane, dans un pays où il y a des anciens bagnes.

Journaliste : En gros, la justice, on va dire l’État de droit classique, quelqu’un est soupçonné, on va sortir ses factures détaillées pour une enquête. La cybersurveillance, ce que faisait la NSA, c’est comme s’ils enregistraient les fadettes de tout le monde tout le temps,

Jean-Marc Manach : Oui et non. C’est là où il y a un hiatus. Au début des révélations Snowden, je me souviens que j’avais été interviewé par France 2. Dans l’anthologie des 40 meilleures vidéos pour les 40 ans de la CNIL, ils ont sorti l’extrait d’interview que j’avais donnée, c’est assez ironique, en 2013, où je disais « regardez les révélations de Snowden, ça prouve qu’il y a de la surveillance de masse. » Sauf que, et c’est là où mon point de vue a évolué, au fur et à mesure des révélations de Snowden, les documents étaient de moins en moins caviardés, au sens où on avait le mes mêmes extraits d’un même document. Et le fameux document qui pointait du doigt la surveillance de masse faite avec l’aide des GAFAM, un document où on voyait les logos de Google, Apple, Facebook, Amazon, etc., à côté du logo de la NSA. Traduction de Gleen Greenwald qui est un noob, un mec qui ne comprend rien à l’informatique et il le reconnaît, ce n’est pas un spécialiste des services de renseignement et ce n’est pas un spécialiste de l’informatique, déjà double problème. Lui a traduit ça dans un article en laissant entendre que les GAFAM collaboraient avec la NSA pour permettre à la NSA de faire de la surveillance de masse directement dans les serveurs des GAFAM, donc Google, Apple, etc.

Journaliste : C’est un peu ce qu’on a tous gardé dans l’imaginaire collectif, ceux qui en ont un peu entendu parler, c’est-à-dire même tes photos, tes SMS, tes photos WhatsApp.

Jean-Marc Manach : Ce que moi aussi j’ai relayé à l’époque. Sauf qu’un an après, au lieu d’avoir quatre extraits de ce document-là, on a eu une dizaine au fur et à mesure des révélations. Quand on en a eu une dizaine, on s’est aperçus qu’en fait on avait raconté n’importe quoi. PRISM, le programme en question, c’est l’acronyme utilisé par la NSA pour désigner le fait de passer par la DITU, qui l’unité renseignement technique du FBI, pour aller demander aux GAFAM « donne-moi les données sur tel utilisateur ».

Journaliste : J’ai envie de dire que c’est classique s’il y a une enquête.

Jean-Marc Manach : Voilà, c'est classique et c’est la voie légale ; ce n’était pas du tout de la surveillance de masse, c’est de la surveillance ciblée. Et pourquoi les GAFAM n’avaient-ils jamais entendu parler de PRISM ? Parce que c’était l’acronyme du nom en interne de la NSA, alors que eux ne voyaient pas la NSA faire toc-toc, ils voyaient le FBI faire toc-toc, leur demander des données. Tous les GAFAM ont commencé, après, à sortir des rapports de transparence qui montrent combien de fois ils ont des requêtes en fonction de tel texte de loi. Le texte de loi qui permet à la NSA de demander des données à Google ou aux différents GAFAM, on a vu qu’en fait cela concernait entre 10 et 50 000 personnes par an. 10 et 50 000 personnes par an, ce n’est pas de la surveillance de masse à l’échelle du nombre d’utilisateurs de Google.

Journaliste : Pour toi c’est un faux scandale ? Quand on parle de cybersurveillance, j’en envie de dire que l’an zéro de la prise de conscience de la cybersurveillance, pour tout le monde ce sont les révélations Snowden. Pour beaucoup de gens les révélations de Snowden ce sont littéralement les autorités américaines qui branchent quasiment leurs serveurs sur les serveurs de Microsoft, d’Apple, de Google et d’Amazon et qui vont tout regarder, ce qu’on achète sur Amazon. Je caricature mais c’est un peu ce qu’on peut en penser.

Jean-Marc Manach : La preuve en est que le sous-tire du film d’Oliver Stoneonsacré à Edward Snowden c’était « Nous sommes tous sur écoute ». C’est n’importe quoi ! C’est du complotisme. C’est littéralement du complotisme de dire que nous sommes tous sur écoute.
Pour répondre à ta question de tout à l’heure : est-ce que la NSA surveille tout ? Non. Un ancien responsable de la NSA avait expliqué « ce qui nous intéresse c’est l’aiguille dans la botte de foin. Sauf que pour chopper l’aiguille dans la botte de foin, il faut qu’on choppe la botte de foin ». Une fois qu’ils ont choppé la botte de foin, ils vont lancer des logiciels pour chercher l’aiguille et l’aiguille c’est quoi ? C’est un nom, un numéro de téléphone, une adresse e-mail. Peut-être que tes données, mes données ont pu être interceptées.

Journaliste : On parle de quelles données ? Tu parles de botte de foin ? C’est quoi cette botte de foin ? Qu’y a-t-il dedans ? Si je suis dedans, si j’en fais partie, qu’y a-t-il ?

Jean-Marc Manach : L’essentiel de ce qu’on a appelé surveillance de masse va être sur les câbles sous-marins. Pourquoi ? Parce qu’Internet c’est décentralisé. Quand tu envoies un mail de Paris à Marseille, un bout va passer par Rennes, Bordeaux, Marseille, d’autres qui vont passer par Lille, Lyon Marseille, les paquets de données sont cassés. Pour arriver à surveiller ce qui se passe sur Internet c’est très difficile : soit tu mets de boites noires partout, ça coûterait des milliards et des milliards, donc c’est impossible de faire de la surveillance de masse en France par exemple, soit tu le fais sur les câbles sous-marins. Pourquoi ? Parce qu’il y a une vingtaine de câbles sous-marins en France et là, il y a un goulet d’étranglement. - Journaliste : On rappelle que quand on envoie un mail aux États-unis, ce n’est pas de la magie, ça passe par un câble en fibre optique qui passe sous la mer, qui part de Brest ou de je ne sais où et qui arrive à New-York.

Jean-Marc Manach : En 2008, quand la DGSE a commencé à surveiller Internet, en fait elle a commencé les câbles sous-marins. Quand on regarde la littérature, les rapports de l’ex-CNCIS, aujourd’hui CNCTR, qui est le contrôleur national des techniques de renseignement, l’autorité en charge de valider les demandes de techniques de renseignement des services de renseignement, c’est-à-dire que ce n’est pas la DGSE qui décide et qui fait ce qu’elle veut. La DGSE, la DGSI, les différents services de renseignement, quand ils veulent mettre quelqu’un sur écoute, quand ils veulent un pays sur écoute ou région géographique sur écoute ils demandent l’autorisation à la CNCTR ; il y a l’équivalent aux États-Unis. Tous les pays occidentaux démocratiques ont des gardes-fous qui permettent d’éviter que les services de renseignement fassent n’importe quoi.
Si on veut comprendre ce qui se passe avec les révélations de Snowden, le mieux c’est probablement de lire la BD qui a été faite sur Snowden qui explique bien que ce qui intéresse la NSA ce n’est pas de surveiller les gens qui habitent à Marseille, à Lille, ils ne sont pas en guerre contre les Français.

Journaliste : Mais s’ils prennent tout ce qui passe dans les câbles ?

Jean-Marc Manach : Non. Ils vont prendre tout ce qui va en Afghanistan ou tout ce qui va en Irak, ou tout ce qui va ou vient de la Syrie, tout ce qui va ou vient du Yémen, parce qu’ils sont en guerre dans ces pays-là. Donc oui, si tu es un Yéménite ou si tu communiques avec quelqu’un qui est au Yémen peut-être que tes données vont être siphonnées par des services de renseignement qu’ils soient français au anglo-saxons.

Journaliste : Et si elles ne sont pas chiffrées ils y auront accès.

Jean-Marc Manach : On reviendra là-dessus. Avant les révélations Snowden, moins de 40 % du trafic web était chiffré, le fameux https, entre autres, qui apparaît dans la barre du navigateur. Du fait des révélations Snowden, précisément de cette mythologie de la surveillance de masse et du programme PRISM qui fait que plein de gens ont été persuadés que les GAFAM collaboraient avec la NSA, en fait, tout le monde, à commencer par les GAFAM, a commencé à chiffrer les données. Aujourd’hui, dans les pays occidentaux, on estime que plus de 9 % du trafic est chiffré ce qui fait que les services de renseignement ne peuvent pas intercepter les métadonnées.
C’est d’autant plus improbable, aujourd’hui, que les services de renseignement puissent faire de la surveillance de masse que la quasi-totalité des données sont chiffrées. Je te donne un exemple : quand les données ne sont pas chiffrées et que tu t’intéresses aux métadonnées, un service de renseignement peut savoir quelles pages tu consultes sur Wikipédia. Quand tu es un LGBTQ ou un démocrate qui vit dans un pays totalitaire, la page que tu consultes est super importante. Quand le trafic est chiffré, quand tu surveilles les métadonnées, on sait que tu es sur Wikipédia, c’est tout, mais on ne sait pas la page web.
Après, en fonction du protocole de chiffrement – on ne va rentrer dans les détails, mais il y a un certain nombre de strates – on peut éventuellement savoir à qui tu écris, mais on ne pourra pas avoir accès au contenu du mail.
Pour répondre concrètement, la BD sur Snowden montre bien à quoi sert la surveillance de masse : on surveille effectivement tout ce qui se passe en Afghanistan, tout ce qui se passe au Yémen pour arriver à identifier le numéro de téléphone portable de quelqu’un dont on sait qu’il est terroriste, pour arriver à trouver le numéro de ses adjoints et quand ils font une réunion parce que tous les numéros de téléphone portables des gens qu’on a identifiés comme terroristes se géolocalisent au même endroit, eh bien là on balance la bombe. Sauf que le problème, ce que montre aussi la BD, c’est que souvent, quand des terroristes se réunissent au Yémen, ou ailleurs, ce n’est pas pour fomenter des attentats, c’est parce qu’il y a un mariage ou une réunion de famille. C’est pour ça qu’il y a énormément de victimes civiles dans les frappes de drones : en fait, oui, c’était bien un numéro de téléphone identifié comme celui d’un terroriste, mais dans un contexte de réunion qui n’était pas terroriste.

Journaliste : Ce qui est intéressant c’est que là-dessus, ça pointe exactement la limite entre données et métadonnées. Métadonnées là c’est simplement : on sait que telle personne a parlé à telle personne, donc elles sont à cet endroit-là, mais si on avait la donnée, c’est-à-dire les conversations, les photos qu’elles se sont envoyées, on aurait compris que c’était probablement pour un mariage en demandant à quelle heure doit-on se retrouver pour le cocktail.

Jean-Marc Manach : Pour résumer les services de renseignement anglo-saxons oui, font de la surveillance de masse dans les pays où ils sont en guerre. Ils ne font pas de la surveillance de masse des Américains, ils ne font pas de la surveillance de masse des Français, ils ne font pas de la surveillance de masse des Chinois non plus. Par contre, ils vont faire de la surveillance de masse de tous les gens qui travaillent dans tel bâtiment de telle université chinoise dont on sait qu’elle collabore avec des services de renseignement. Les services de renseignement ne sont pas débiles. Ils vont surveiller des gens qu’ils ont un intérêt légitime de surveiller. Ils ne vont pas surveiller l’intégralité des cinq milliards d’internautes.

Journaliste : Si demain ils avaient un algorithme exceptionnel qui arrive à comprendre une conversation, tel ou tel projet dangereux ? Est-ce que techniquement d’ailleurs, ce serait possible en supposent que les gens n’utilisent pas tous WhatsApp parce que c’est chiffré ou une appli chiffrée comme Signal ; sur Facebook, sur Messenger, sur Twitter ce n’est pas chiffré.

Jean-Marc Manach : C’est envisageable.

Journaliste : Est-ce que ce serait techniquement possible, avec l’aide des GAFAM, ou pas ?

16’38

Jean-Marc Manach : Il faut bien comprendre