Différences entre les versions de « De surveillance de masse paranoïa généralisée »

Titre : De la surveillance de masse à la paranoïa généralisée

Intervenant : Jean-Marc Manach

Lieu : Pas Sage En Seine

Date : Juin 2014

Durée : 58 min 08

Lien vers la vidéo : [1]

00' transcrit MO

Avant j'avais deux problèmes : c'était que, faire comprendre aux gens ce que c’était que la société de surveillance, sans être traité de parano, et ce n'était pas facile. Avec les révélations Snowden, mon problème a un petit peu changé : c'est arriver à faire comprendre ce que c'est que la société de surveillance à des paranos. C'est-à-dire que le problème auquel je suis confronté c'est qu'avant, des gens comme moi, des gens comme Okhin, des gens qui s’intéressaient à ces histoires-là, on était facilement brocardés de paranos. Le problème aujourd’hui c'est que tout le monde est devenu parano. C'est ce que je vais essayer de vous montrer et ce pourquoi ça me semble dangereux, ou problématique en tout cas, de passer de la société de la surveillance à la société de paranoïa.

Pour ceux qui ne me connaissent pas, j'ai fait une petite slide avec quelques trucs. On ne voit pas très bien, mais bon. Ça fait une dizaine d'années que je travaille sur ces questions de technologie de surveillance, de protection des libertés, de vie privée, etc, j'ai fait quelques bouquins dessus. J'ai bossé avec WikiLeaks sur les The Spy Files, donc ces marchands d'armes, ce salon de marchands d'armes de surveillance numérique qui se réunit tous les trois mois un peu partout dans le monde, mais dont l'entrée est interdite aux journalistes, enfin est réservée aux marchands d'armes et aux services de renseignement, aux flics, aux militaires, mais c'est interdit à la société civile et j'ai fait une BD d'ailleurs sur l'affaire Amésys et je suis en train de travailler sur le scénario de la BD, ça devrait sortir dans quelques mois.

Donc tout ce que vous avez toujours cru savoir sur la NSA, alors qu'en fait c'est un chouia plus compliqué que ça. Moi en fait il a fallu attendre 2007. En 2007 il y a eu le scandale autour du fichier Edvige en France. C'était un ficher de renseignements qui autorisait les services de renseignements à ficher les mœurs sexuelles, les opinions philosophiques, politiques, des gens à partir de treize ans. Il y a eu des manifestations dans la rue, il y a des hommes politiques qui sont montés au créneau, qui ont protesté en disant ça va trop loin cette société de surveillance, en tout cas cette volonté de ficher les gens. À ce moment-là j'étais journaliste au monde.fr et lemonde.fr m'a dit « écoute tes trucs, là, de surveillance, fichiers policiers, etc, jusqu'à présent ça n'intéressait que les droits-de-l'hommisme, là visiblement ça commence à intéresser les gens, donc fais-nous un blog là-dessus ». Et donc j'ai créé Bug Brother, qui est un blog sur Le Monde, où j'ai essayé de suivre un petit peu l'actualité et ces technos et où, en même temps, je sais que jusqu'à l’année dernière il y a des gens, même y compris à la rédaction du Monde qui disaient « ouais mais Manach il est un peu parano quand même ». Et ce à quoi moi ça fait des années je répondais « mais ce n'est pas moi le parano. Le parano ce sont des gens comme les clients d'Amésys qui veulent surveiller l'intégralité de leur population ». Amésys c'est cette boîte française qui a développé un système de surveillance de l'Internet à la demande d'Abdallah Senoussi, qui était le beau-frère de Kadhafi, accessoirement un terroriste, recherché par la justice française. Les paranos c’est la NSA qui veut surveiller tout ou en cas être capable de tout surveiller. Moi je ne suis pas parano, moi je suis journaliste, j'essaye de comprendre comment ça fonctionne. Le problème c'est que maintenant, je n'ai pas fait de sondage dans la rue, mais je suis à peu près persuadé que si on fait un sondage dans la rue « est-ce que vous êtes espionné par la NSA ? », la majeure partie des gens vont dire oui. Ce qui est complètement faux. La NSA ils ont autre chose à faire que d'espionner les gens, enfin l'intégralité de la population. Je vais revenir sur un certain nombre de fact checking que j'ai fait.

Au début PRIM. PRISM en fait a fait beaucoup de mal à la compréhension de comment fonctionne la NSA et de comment fonctionnent les systèmes de surveillance. Au sens où, les premières révélations de Glenn Greenwald, donc c'est le journaliste à qui Snowden a confié les documents, c’était sur le fait qu'un gros opérateur de téléphonie américain travaillait avec la NSA. Ça on n'en a pas beaucoup entendu parler en France parce que ça concernait un opérateur de téléphonie américain. Sachant que la NSA n'a pas le droit d’espionner les américains, c'est interdit normalement, en tout cas c'est assez compliqué. Mais avec PRISM, c'est là où ça a donné une visibilité mondiale, et encore récemment il y a plein de gens qui ne parlent pas des révélations Snowden qui parlent de PRISM, le scandale PRISM. Pourquoi ? Parce que c’était présenté comme un des SIGAD, donc un des systèmes les plus utilisés par la NSA. Là on ne voit pas très bien, mais ça c'était une slide qui montrait que en fait l'essentiel du trafic sur Internet ça passe par les États-Unis. Et donc c'est plus simple pour la NSA de surveiller ce qui passe par leur territoire. Et puis surtout, ça a eu énormément de succès, parce qu'on avait la date et les logos de Gmail, Facebook et donc là on disait « Ah ,comme ça, ça fait des années que la NSA travaillait avec les gros Google, Facebook, Microsoft, etc. », et où il y avait la liste des choses auxquelles les agents de la NSA pouvaient accéder, et donc là OK, PRISM, révélation mondiale. Sauf que, quand on regarde les slides, qui sont un peu plus techniques, qui apparaissent, alors je suis désolé ça apparaît en tout petit, mais il y a deux slides qui étaient très intéressantes dans les révélations PRISM et qui ont été rendues publiques après, et ça c'est un des gros problèmes des révélations Snowden, c'est qu'en fait on a un puzzle mais c'est comme si on avait un puzzle de cinquante pièces et on n'en voit que trois. C'est très difficile d'arriver à mesurer exactement l'ampleur du puzzle et ce que montre réellement ce puzzle quand on n'a que trois pièces ou quand on a cinq pièces, six pièces. Et sur les révélations PRISM, en fait il y a certaines des slides, du PDF qui ont été révélées après. Et donc sur ces slides on découvre ce qu'est PRISM en fait.

PRISM c'est un acronyme utilisé par la NSA pour désigner une façon d'accéder aux données. Et cette façon d'accéder aux données c'est en fait de demander au FBI d'aller demander à Google, d'aller demander à Microsoft ou à Facebook. Donc quand on a eu Google, Facebook, Microsoft qui disaient « mais nous on n'était pas au courant ! On n'était pas au courant qu'on travaillait comme ça avec la NSA !» C'était vrai, ils n'étaient pas au courant parce qu'ils répondaient à des sollicitations du FBI.

PRISM a été également très mal compris parce qu'il y a énormément de personnes qui ont dit que c’était un accès direct de la NSA dans les serveurs de Google, Microsoft et Facebook. Là-dessus, et c'est effectivement Google qui a poussé le plus à la roue, Google a demandé à la justice américaine d'avoir le droit de dire combien de personnes ont été concernées par l'utilisation de PRISM. Donc c'est le système FISA, donc là c'est pareil je suis désolé on ne voit pas bien, mais grosso modo, par semestre, c'est entre 0 et 1000 demandes et qui concernent entre 1000 et 12 000, par semestre, 12 000 comptes. Donc ce n'est pas un accès direct de la NSA dans les serveurs de Google et où la NSA fait ce qu'elle veut. C'est le FBI qui demande à Google « tiens je te donne une liste de 1000 noms, j'ai besoin d'avoir des données sur ces 1 000 noms ». Comparer 1 000 ou 10 000 utilisateurs avec le nombre d'utilisateurs de Facebook, le nombre d’utilisateurs de Microsoft, ce n'est pas de la même nature. Après ça ne veut pas dire que la NSA n’utilise pas d'autres systèmes pour accéder à des données. Il y aura une conférence qui va être faite, je ne sais plus si c'est demain ou après demain, sur une présentation des 280 et quelques systèmes d'interception des télécommunications utilisés par la NSA et GCHQ, GCHQ qui est son partenaire britannique.

Donc on ne peut pas dire que PRISM c'est de la surveillance massive, au sens où on surveille absolument tout le monde. Non c'est de la surveillance ciblée. Et c'est très utile bien évidemment à la NSA parce que quand on commence à avoir accès à un compte Gmail ou un compte Facebook, évidemment si on a accès à tout là ça devient très intéressant pour des enquêteurs.

08'15

Ça c'est un travail qui a été fait. Ça fait quelques années que Google avait entamé un boulot de ce qu'il appelle les transparency reports, à savoir tous les ans ou tous les six mois, Google publie le nombre de demandes d'accès à des données qu'ils ont eues de la part de chaque pays et donc c'est identifié par pays par pays et il y a plusieurs colonnes. Il y a une colonne combien de demandes ont été faites, ensuite combien de demandes auxquelles Google a dit non, on refuse, on ne veut pas vous donner les données, et combien d'acceptations ont été faites par Google. Suite à ça, Twitter, Facebook, Microsoft ont eux aussi, bien évidemment après les révélations de Snowden, commencé à faire leurs transparency reports et si on regarde la liste du nombre de total de requêtes qui ont été faites de 2009 à 2012, donc, je ne sais plus si c'est 394 000 ou 39 000. Çà c'est pour la France ; pour la France c'est 39 000, donc de 2009 à 2012, c'est 39000 requêtes qui ont été faites à tous ces opérateurs-là. Sachant bien évidemment que sur ces 39 000, il y en a certains qui portent sur un seul et même individu, et sur le compte Facebook, Tweeter et Google de ce même individu. Donc ce n'est probablement pas 39 000 personnes, c'est probablement moins, en l'espace de trois, quatre ans. Ça c'est pour les demandes d'entraides judiciaires légales, qui passent par les circuits légaux.

Un autre truc qui m'a fait bizarre l'autre jour, C'était il y a une dizaine de jours, on a Vodafone qui sort un transparency report, assez impressionnant, où il révèle qu'il collabore avec 28 pays, que sur ces 28 pays je ne sais plus s'il y en a 6 ou 8 où ils n'ont pas le droit de dire ce qu'ils font exactement mais où ils laissent entendre que les autorités ont un accès direct à leurs serveurs. C'est repris par la presse et j'avais vu sur Twitter : « ah les français on est dans la liste des 28 pays, on est ???, on est espionné par la NSA ». Quand on regarde dans le rapport, il y a eu trois demandes qui ont été faites concernant la France à Vodafone. En comparaison ce sont des dizaines, voire des centaines de milliers, à Malte ou en Italie. C'est comme si les gens avaient une sorte de prescience « ah oui on est espionné, on veut être espionné ». Une sorte de fantasme comme qui fait planer que ça existe. Ce serait quand même injuste quelle ne m’espionne pas moi.

Ensuit on a eu le fail de la DGSE. Les révélations Snowden je crois que c'était en mai ou juin et on a, en juillet, « Révélations sur le Big Brother français », ça fait la Une du Monde, et où, là, Le Monde explique que la DGSE intercepte, espionne l'intégralité des communications, mails, SMS, fax, comptes Twitter des français à l'étranger, enfin des français en France et à l'étranger. La DGSE est aussi forte que la NSA. Moi je vois ça et en plus, dans le papier, ils citaient un article que j'avais fait il y a quelques années, où c'était Bernard Barbier qui était le directeur technique de la DGSE jusqu’à il y a quelques mois, dans une conférence, il avait déclaré que, entre autres choses, il avait déclaré qu'ils enregistraient tous les mots de passe, avec un truc que je trouve assez brillant : il disait le fait d'enregistrer tous les mots de passe et de les stocker, un, c'est utile pour les dictionnaires de mots de passe qui leurs servent à cracker les mots de passe, mais deux, ça permet également d'identifier le gentil étudiant en chimie le jour, qui, le soir, devient un terroriste djihadiste qui utilise un nom et un login différent en fonction de quand il se logue en tant qu'étudiant et quand il se logue en tant que terroriste et qui utilise le même mot de passe. Pas con ! Ils avaient repris, donc, une partie de l'article que j'avais fait sur Barbier pour justifier l'article du Monde qui disait que la DGSE espionnait absolument tout. Mais ils ne m'avaient pas téléphoné pour me demander ce que j'en pensais. Et moi, le fait que la DGSE espionne absolument toutes les communications en temps réel et en tous temps, ça me semblait un petit peu bizarre. Donc j'ai creusé, j'ai interrogé un certain nombre d'acteurs qui sont au cœur des réseaux, et tous sont arrivés à la conclusion que oui la DGSE est capable d'espionner ce qu'elle veut, mais par contre, elle n'est pas en mesure d'espionner absolument tout, en temps réel, de tout archiver, elle n'a pas le droit de le faire et puis ça se verrait. Parce que vu l’infrastructure telle qu'elle est en France, enfin notamment l'architecture décentralisée, pour arriver à ce qu'on intercepte tout le trafic Internet il faut être sur tous les DSLAM. Il y a beaucoup de DSLAM, ça coûterait beaucoup d'argent et ça finirait forcément par se voir. Moi je fais un papier en disant « Oui, que la DGSE soit capable de tout espionner ? Oui. De suivre n'importe qui ? Oui. Maintenant qu'elle espionne absolument tout le monde tout le temps ? Non. Je ne vois pas. » Et dans les semaines qui ont suivi, les journalistes du Monde qui ont fait le papier, ont reconnu au détour d'une phrase eh bien ce que je viens de vous dire. Effectivement ils sont capables de tout mais ça ne veut pas dire qu'ils le font tout le temps.

Ensuite on a eu le fail concernant la NSA. Là ça a commencé en fait par un papier dans Spiegel, en août, qui dit qu'il y a, je ne sais plus si c'est 500 millions de métadonnées qui ont été interceptées par les services de renseignement allemands, à l'étranger, qui ont été transmis à la NSA. Ça c'est un papier qui est cosigné par Laura Poitras, qui est la journaliste qui a commencé à travailler sur les révélations Snowden avec Greenwald. Donc l'information était assez claire ; on sait depuis très longtemps qu'il y a des collaborations entre le le BND et la NSA, enfin entre l'Allemagne et la NSA, et à l'appui de ça, Laura Poitras et Spiegel publient une capture d'écran de Boundless Informant, Boundless Informant est un des systèmes de visualisation de données utilisé par les analystes de la NSA, et qui montre combien il y a de métadonnées Internet, combien il y a de métadonnées téléphonie, alors je ne sais plus lesquelles sont en vert et en bleu, pendant trente jours en Allemagne et qui donne un chiffre qui porte donc sur ces millions de données. OK.

Problème. En octobre, on a Le Monde qui fait sa Une sur « Révélations sur l’espionnage de la France par la NSA américaine » et qui utilise exactement cette même capture d'écran. C'est-à-dire que le Spiegel avait sorti, j'ai oublié de vous le montrer, le Spiegel avait sorti en annexe de son enquête, il avait un certain nombre de captures d'écran portant sur d'autres pays dont la France. Là on voit que, en France, ce ne sont que des métadonnées téléphoniques, en vert. Il n'y a pas de métadonnées Internet. Et on voit que c'est soixante-dix millions, alors que, en Allemagne c’était cinq cent millions ou trois cent millions, un truc comme ça. Donc, quelques mois après, on a Le Monde qui dit que c'est la NSA, à partir des mêmes slides, c'est la NSA, qui a espionné les communications des Français. Ce qui n'est pas du tout ce qu'avait raconté le Spiegel. Spiegel disait ce sont les services de renseignement allemands qui ont confié des données interceptées à l'étranger à la NSA.

14' 58

Et donc là, il y a Peter Koop, qui est un hollandais qui fait un blog qui s'appelle electrospaces, qui est probablement un de ceux qui se penche sur les révélations de la NSA, il fait un énorme boulot de fact checking et qui lui a remonté la piste et a dit « Mais non, un, ce ne sont pas des conversations téléphoniques ». Parce qu'en plus Le Monde écrivait que c'est soixante-dix millions de communications téléphoniques de citoyens français, d'enregistrements de données téléphoniques de français effectuées par la NSA et il parlait d'atteinte massive à la vie privée de la part d'un pays souverain. Donc ce n'était pas du tout la même façon de raconter les mêmes slides.