CaliOpen - Correspondance sécurisée - Laurent Chemla

De April MediaWiki
Révision datée du 4 novembre 2015 à 15:26 par Morandim (discussion | contributions) (Page créée avec « Catégorie:Transcriptions '''Titre :''' CaliOpen - Correspondance sécurisée '''Intervenant :''' Laurent Chemla '''Lieu :''' Open World Forum '''Date :''' Octobre... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigationAller à la recherche


Titre : CaliOpen - Correspondance sécurisée

Intervenant : Laurent Chemla

Lieu : Open World Forum

Date : Octobre 2014

Durée : 48 min 24

Lien vers la vidéo

Description

Depuis les révélations d'Edward Snowden, peu de choses ont changé. Si la prise en compte de la sécurité dans la société est devenue plus importante, les usages ne changent pas, ou trop peu. Pourquoi ? Et comment faire pour permettre au plus grand nombre de retrouver un peu de contrôle de sa vie privée ?

Transcription

00' transcrit MO

Donc la vie privée.

Un an et demi, maintenant, après les révélations d'Edward Snowden, on a forcément tous quelque chose à dire de la vie privée, mais on a aussi un an et demi de recul ce qui permet d'avoir un peu plus de réflexion sur cette façon dont on a perdu notre vie privée. Au début, enfin il y a un an et demi, on a tous, en tout cas moi j'ai réagi en disant « voilà, c'est la faute à la NSA ». Et puis, avec un peu plus de réflexion, un peu plus de temps pour réfléchir, on s’aperçoit, qu'en réalité, on a perdu notre vie privée pour tout un tas de raisons, mais pas que à cause de la NSA, clairement. Moi, il me semble avoir identifié deux raisons principales à ça, c'est, d'un côté, l’hyper centralisation d'Internet, qui rend l'espionnage beaucoup plus facile pour les méchants. C'est beaucoup plus facile de placer des micros chez les quelques gros opérateurs qui reçoivent toute notre correspondance privée, d'une part. Et d'autre part, la perte de valeur de la vie privée pour le grand public, petit à petit. Ça, ça ne date pas du tout de l'an dernier, ça date de dizaines d'années en arrière, pendant lesquelles on a petit à petit abandonné cette notion de vie privée, parce que, je ne sais pas, il y a tout un tas de raisons, j'en ai identifiées, je crois, quelques-unes. Mais, en dehors d'Internet, il y a les émissions de télé-réalité qui nous habituent à voir la vie privée des gens, les caméras dans toutes les villes de vidéosurveillance, ou vidéo protection comme on dit maintenant, qui nous habituent à être filmés en permanence. Mais ça va même encore plus loin. Ça va jusqu'au baby-phones qu'on met dans les chambres de tous les gamins maintenant. Quelque part, on a fini par abandonner, nous-mêmes, toute valeur qu'on pouvait associer, avant, à la vie privée.

Et du coup, à la fois, cette perte de valeur au niveau du grand public, qui permet aux États, du coup, de surveiller, parce que ce n'est pas grave si on surveille la population, la population s'en fout. Et, d'autre part, l’hyper centralisation d'Internet qui fait que c'est très facile de surveiller la population, fait que ces deux éléments créent un écosystème très favorable à cette surveillance généralisée contre laquelle on va essayer maintenant seulement de se battre. Mais il est très tard, il est très tard, on a beaucoup perdu dans ce combat-là. Il va falloir faire demi-tour, à la fois sur l’hyper-centralisation et c'est déjà un boulot énorme, et, en même temps, essayer de faire retrouver au grand public cette notion de vie privée. Donc le travail est gigantesque.

CaliOpen est un des projets qui essaient de répondre à cette problématique, à la différence d'un bon nombre d'autres, justement, en essayant d'agir sur ces deux aspects-là, en considérant que l'affaire de la vie privée est vraiment un problème plus économique qu'autre chose, le résultat de perte de valeur d'un côté, et de surveillance très peu chère de l'autre. Donc vraiment, ce sont des questions économiques quelque part.

(Non ça ne marche pas ça. Oui, c'est chiant)

Je parlais du grand public, j'ai fait mes slides en anglais. On m'avait demandé de faire une conférence en anglais, mais vraiment il ne vaut mieux pas, donc je fais la conférence en français, mais j'ai fait les slides en anglais, au cas où. Voilà. Alors je parlais du grand public. On pourrait imaginer que les plus technophiles d'entre nous, eux savent comment faire, savent comment se protéger, ont compris cette problématique et font de leur mieux pour retrouver un peu de vie privée. En réalité, j'identifie, en général, quand je fais des confs, trois catégories de technophiles. Ceux qui croient qu'ils peuvent se protéger, mais qui ne le font pas. Simplement, ils sont sûrs de pouvoir le faire, du coup, ça ne sert à rien. Ceux qui savent se protéger, pour le coup, vraiment, mais qui ne le font pas, parce que leur vie privée n'a pas d'importance, comme pour la grande majorité de la population. Et peut-être les pires, ceux qui se protègent, en tout cas qui croient se protéger. Mais ça ne sert à rien.

Dans le temps j'utilisais une image qui n’existe pas, une image que je racontais, qui était « Imaginez-vous en vacances, en train de prendre un selfie et imaginez que derrière vous il y a un opposant politique ». Vous, vous vous en fichez, vous êtes en vacances, vous diffusez votre photo sur les réseaux sociaux. L'opposant politique qui est dans le champ, lui, il ne sait pas que vous avez pris un selfie. Par contre, une fois qu'il est sur Facebook, le régime totalitaire dans lequel il vit le repère, et l’arrête, parce qu'ils savent où il est. Cette image je la trouve plus rigolote, c'est quoi ? Ça dit : « Si vous prenez de photos des rhinos, les chasseurs vont savoir où ils sont ». Donc faites gaffe, quoi ! Ce n'est pas vous que vous protégez en faisant attention, ce sont les autres. Et la vie privée c'est ça en réalité. Ce n'est pas se protéger soi-même. On peut, pourquoi pas, chiffrer son courrier électronique, utiliser PGP. Combien dans la salle utilisent PGP tous les jours ? Question habituelle. Voilà, tous les jours. ! Deux sur une quarantaine. C'est un beau score, je crois.

Donc voilà, on peut imaginer que dans un public technophile comme celui-là il y en aurait un peu plus, c'est en général entre 10 et 15 %, mais pas plus. Et ça ne sert à rien. Ça ne sert à rien pourquoi ? Parce que vous, vous l'utilisez, très bien. Avec qui ? Avec une, peut-être deux personnes, une mailing-liste, grand maximum, si vous y arrivez parce que c'est compliqué. Mais 99 % des gens avec qui vous échangez n'ont pas PGP en face, et ne savent pas s'en servir. Donc, de toutes façons, vous échangez 99 % en clair. Donc, en pratique, ça ne sert à rien de se protéger soi-même, parce que les gens avec qui on discute ne le sont pas, et surtout, ça ne sert à rien de se protéger soi-même, parce que, ce qu'il faut, c'est protéger les gens avec qui on discute, justement. Le but du jeu c'est de faire en sorte que les gens avec qui on discute soient protégés. C'est ça la vie privée. Donc, essayez de ne pas tirer sur le rhino, c'est vraiment ça. C'est ne faites pas attention à vos données, même si c'est important de le faire, mais ça n'a aucune importance sauf si vous ne discutez avec personne.

D'autres raisons pour lesquelles, jusqu'à présent, la façon dont le public technique, en général, a mal évalué la situation, c'est que la plupart de solutions offertes aujourd'hui, que ce soit PGP, mais ProtonMail et d'autres projets en cours, sont tous orientés sur le mail. C'est très bien de protéger le mail, ça protège vos échanges avec Amazon quand vous passez une commande. Voilà les logs de vos serveurs, à la limite peut-être, mais avec qui vous discutez tous les jours par e-mail aujourd'hui ? En moyenne peut-être deux/trois personnes. Avec combien de personnes vous discutez par Facebook, par Tweeter, par SMS, par chat ?

Si on ne protège que le courrier électronique, c'est déjà énorme, c'est déjà beaucoup mieux que ce qui se fait actuellement. Mais si on ne protège que le courrier électronique, on laisse, à nouveau, dans la nature, tout son réseau. Or c'est ça qui intéresse, on le sait, la NSA. Ce ne sont pas vos petits papotages entre potes, c'est de pouvoir vous identifier à l’intérieur d'un réseau, savoir quels sont vos contacts, pour que si, un jour, un de ces contacts-là intéresse des espions, on puisse dire : « Tiens je vais le surveiller, lui aussi, parce qu'il fait partie de ses contacts », et ainsi de suite. Ce qu'on appelle les métadonnées. Et les métadonnées, ce n'est pas que le mail aujourd'hui, ce sont les réseaux sociaux, c'est le chat, c'est l'IRC, ce sont tous ces outils qu'on utilise pour les correspondances privées. Si on veut vraiment réinventer une vie privée en ligne, se limiter au courrier électronique, ça ne servira à rien.

D'autre part, la plupart des projets dont je parle, que ce soit le nouveau ProtonMail ou celui qu'on m'a présenté tout à l'heure, j'ai oublié son nom, mais je vais aller le voir de plus près dès que j'aurais le temps, bref, la plupart des projets qui proposent du courrier sécurisé aujourd'hui sont des services centralisés.

Le problème d'un service centralisé, évidemment, c'est qu'il y aura toujours un trou. ProtoMail s'est fait trouer il y a très peu de temps, en plus par un hack assez bête. Bon ! Tout le monde se fera trouer. CaliOpen, s'il existe un jour, se fera trouer aussi. La question n'est pas de se faire trouer ou pas se faire trouer, c'est d’être centralisé. Si on en a un qui propose du courrier sécurisé, la NSA rajoute un micro. Elle en avait quatre avant, elle en aura cinq demain, ça ne va pas lui coûter beaucoup plus cher. Le problème de la centralisation c'est ça. Ce n'est pas « on va se faire trouver », c'est qu'on est trop peu nombreux pour pouvoir rajouter suffisamment d'entropie à la vie privée pour que la surveillance de masse ne puisse plus se faire à un coût aussi bas qu'aujourd'hui.

(J'ai toujours besoin de beaucoup d'eau, sinon, voilà.)

09' 07

Donc voilà, on est sur Internet,

Récupérée de « http://wiki.april.org/index.php?title=CaliOpen_-_Correspondance_sécurisée_-_Laurent_Chemla&oldid=68736 »