« Le CECIL - Radio Alto » : différence entre les versions

Aller à la navigationAller à la recherche
Ligne 129 : Ligne 129 :
==29’ 00==
==29’ 00==


<b>Marion : </b>Et justement, avant de passer aux solutions
<b>Marion : </b>Et justement, avant de passer aux solutions, parce que c’est tout ce qui fait que votre livre <em>Guide de survie à destination des aventuriers d’Internet</em> est super intéressant, c’est que c’est un guide vraiment qui donne les solutions très pratiques, très concrètes aux gens. Ma question c’est justement, apparemment les journalistes et le milieu associatif ou militant est beaucoup plus actif et éveillé à ces sujets, mais est-ce que vous arrivez, par exemple, à sensibiliser on va dire les plus grands utilisateurs du numérique, c’est-à-dire les jeunes ?
 
<b>Sylvain : </b>On essaye. Nous, le CECIL, on a des petits ateliers, qui sont terminés désormais, avec la mairie de Paris dans le cadre des rythmes scolaires. On intervenait dans les écoles pour faire adopter ce qu’on appelait des pratiques informatiques raisonnables ou d’Internet raisonnables, pour apprendre aux enfants les avantages aussi bien à utiliser des outils qui nous semblent très bons comme du <em>chat</em>, comme des documents collaboratifs, ou s’initier à la programmation pour un peu comprendre ce que c’est que l’informatique. Mais aussi connaître les questions de protection de vie privée, de savoir qu’il faut faire attention en publiant sur Internet.
 
Le CECIL participe à un gros collectif qui est animé par la Commission nationale de l’informatique et des libertés, qui s’appelle EDUCNUM, qui a été créé il y a quatre/cinq ans pour, à la base, promouvoir une grande cause nationale de l’éducation numérique mais qui, depuis, en fait est vraiment en train de se développer, qui regroupe tous les acteurs de l’éducation numérique qui sont non-commerciaux ; c’est une des conditions pour participer au collectif. Donc on essaye d’agir sur ces questions.
 
Alors c’est pareil, il n’y a rien d’évident. Ce n’est pas facile que les plus jeunes adoptent des bonnes pratiques. Il y a des choses sur lesquelles ils ont intuitivement des pratiques très protectrices de leur vie privée, notamment vis-à-vis de leurs proches. Il y a un livre que j’aime beaucoup, qui a été traduit il n’y a pas longtemps en français, qui est un travail de recherche d’une chercheuse qui s’appelle Danah Boyd qui a écrit un bouquin qui s’appelle <em>It's Complicated</em>, <em>C’est compliqué. Les vies numériques des adolescents</em> et qui montre que globalement les adolescents ont quand même une certaine maîtrise sur la protection de leur privée, vis-à-vis de leurs proches en tous cas, mais que, par contre effectivement, on constate au quotidien que la question du fait que Facebook s’approprie toutes leurs données ; que sur Snapchat les photos qu’ils envoient, peut-être que leurs correspondants ne peuvent les voir que 5 ou 10 secondes, mais déjà potentiellement on peut les enregistrer ; et qu’en tout cas l’entreprise Snapchat elle, pourrait tout à fait les conserver indéfiniment et s’en servir plus tard. Là, la sensibilisation n’est pas forcément toujours faite, donc il y a des actions.
 
<b>Marion : </b>C’est-à-dire est-ce qu’ils le savent, mais ça ne les inquiète pas plus que ça ? Ou est-ce qu’ils ne le savent pas ?
 
<b>Sylvain : </b>Ça va dépendre. Il n’y pas une réponse. Il y a des adolescents qui refusent d’utiliser le service, qui se rendent bien compte des dangers et qui ne veulent pas. Et il y en a d’autres qui vont mettre toute leur vie sans s’en préoccuper. Il y a de la sensibilisation qui est faite. Ça devrait continuer de se faire, clairement. Mais on fait ce qu’on peut ! Il y a eu quelques engagements mais qui sont extrêmement minimes et qui ne suffiront clairement pas pour que les enseignants soient sensibilisés sur ces questions, mais très largement à l’éducation numérique en général. Il n’y a que deux jours de formation donc c’est clairement insuffisant mais déjà un premier pas. Il y a des projets qui se font dans les écoles mais qui restent peut-être trop limités, qu’on essaye de développer dans le cadre d’EDUCNUM ; en tout cas c’est un objectif qu’on partage avec tous les partenaires du collectif.
 
<b>Marion : </b>D’accord. Merci pour votre réponse. Et alors maintenant passons, justement peut-être, sur le livre en tant que tel, et notamment certaines fiches plus particulières. Donc vous donnez des fiches : on a la boîte e-mail, le moteur de recherche, voilà tout ça.
 
<b>Sylvain : </b>Les systèmes de protection.
 
<b>Marion : </b>En fait ça répertorie un peu tous nos actes quotidiens par rapport à Internet. Et alors les mots de passe, la question des mots de passe, est-ce que c’est important ?
 
<b>Sylvain : </b>Les mots de passe, moi c’est un sujet sur lequel, en travaillant sur le sujet j’ai beaucoup évolué, parce que ce qu’on entendait sur les mots de passe il y a cinq ans, c’était il fallait des mots de passe compliqués, il fallait des mots de passe différents selon chaque service. Ce sont des choses qui, effectivement, sont vraies : c’est mieux d’avoir des mots de passe compliqués, c’est mieux d’avoir un mot de passe différent par service. Sauf qu’en pratique avoir un mot de passe où il y a des caractères spéciaux, des chiffres, des lettres, des majuscules, des minuscules et qui fait plus de, à l’époque on demandait plus de dix caractères on va dire, et d’en avoir un par compte, c’est un peu compliqué. Donc effectivement, il y a une vraie nécessité d’avoir des mots de passe qui ne soient pas facilement cassables.
 
Quelque chose qui est un peu expliqué dans les fiches, mais en tout cas qu’on explique bien plus largement en atelier d’autodéfense numérique, c’est la question de pourquoi on va adopter des mesures de sécurité. Elle est liée à ce qu’on appelle les modèles de menace.
 
Ça veut dire de quoi j’ai peur ? Pourquoi je veux mettre en place des mesures de sécurité qui vont protéger ma vie privée ? Dans le cadre du CECIL, le modèle de menace c’est eh bien potentiellement je ne veux pas que des entreprises privées s’attribuent toutes mes données à caractère personnel et fassent du profilage. C’est aussi je ne veux pas qu’un pirate informatique, que quelqu’un qui va me viser, soit moi directement, soit moi au milieu d’une masse à des fins mercantiles, puisse facilement accéder à mes données à caractère personnel, à mon compte pour infecter d’autres personnes.
 
Dans le cas des mots de passe, les modèles de menace il y a différentes choses. Il y a le proche : éviter que ses proches récupèrent facilement le mot de passe et pour ça il y a des choses aussi basiques que déjà faire attention à ne pas forcément les enregistrer sur son navigateur, parce que les navigateurs, que ce soit Firefox ou Opéra par exemple, par défaut vont les enregistrer en clair. Si vous enregistrez vos mots de passe sur Firefox, n’importe qui aurait accès à la même édition de Firefox pourrait voir tous vos mots de passe et juste se connecter à votre compte. Quelque chose qui peut être assez dangereux vis-à-vis de ses proches.
 
Mais il y a aussi la menace de qu’est-ce qui se passe si le service sur lequel je me suis inscrit il y a une faille de sécurité et qu’une personne s’approprie toute la base de données des données des utilisateurs. Et là, potentiellement les mots qui peuvent être mal protégés – alors de plus en plus, quand même, les services vont chiffrer leurs mots de passe, mais ce n’est pas encore systématique – donc quelque chose auquel il faut déjà faire très attention : si par exemple vous vous inscrivez sur un site et vous faites la procédure de récupération de mot de passe et que le site vous le renvoie en clair, va vous dire votre mot de passe c’est ça, ça veut dire que chez eux il est conservé en clair ; que n’importe qui qui a accès à leur serveur peut connaître votre mot de passe ; ça veut dire qu’il n’est pas du tout protégé. Il faut fuir ce service, en tout cas pas du tout lui donner un mot de passe que vous allez utiliser ailleurs ; il faut considérer qu’il est compromis.
 
<b>Marion : </b>D’accord !
 
<b>Sylvain : </b>Au-delà de ça, si quelqu’un récupère toute la base de données, même si les mots de passe sont un peu chiffrés, éventuellement il va pouvoir essayer de casser le chiffrement des mots de passe, donc essayer de retrouver les mots de passe. Et c’est là où la longueur va jouer, la longueur ou la complexité du mot de passe va jouer, c’est pour les attaques qu’on va appeler de <em>brute-forcing</em>, d’attaques de force brute, où le pirate va essayer plein de combinaisons pour essayer de voir quel est le bon mot de passe. Et là, effectivement, si votre mot de passe fait moins de huit caractères, ça va lui prendre à peu près cinq secondes pour trouver le bon mot de passe. Donc là il y a un vrai besoin de longueur, de complexité éventuellement.
 
En termes de bonne pratique sur les mots de passe on conseille plutôt quelque chose qui fait rire les plus jeunes, on dit : « Plus c’est plus c’est bon ! » Ça veut dire qu’il vaut mieux un mot de passe assez long et pas forcément si complexe que ça qu’un mot de passe court et complexe. Un mot de passe de huit caractères avec des caractères spéciaux et des chiffres et des lettres est moins protégé contre les attaques de force brute qu’un mot de passe de quatorze/seize caractères en lettres minuscules pures.
 
<b>Marion : </b>C’est ce que vous appelez les phrases de passe dont Snowden a parlé ?
 
<b>Sylvain : </b>Oui. C’est ce qu’on appelle les phrases de passe, donc ça veut dire de ne plus tellement raisonner en tant que mot de passe parce que mot de passe ça implique c’est seulement un mot, mais de raisonner en phrase de passe ; par exemple quatre mots complètement aléatoires mis les uns après les autres ou, effectivement, une phrase, alors pas une phrase qui va être trop commune, parce qu’éventuellement elle peut être devinée dans ces cas-là. Si on prend des maximes un peu trop connues, ça peut être dans les dictionnaires d’attaque aussi. Il y a plein de choses qu’il faut éviter, qui ne sont pas évidentes.
 
<b>Voix off : </b>L’an dernier une étude a montré que sur dix millions de mots de passe piratés plus de la moitié faisaient partie des 25 suivants. Regardez ! Sérieusement : 123456 ; des suites logiques de chiffres ; six fois de suite le chiffre 6 puis sept fois de suite le chiffre 7 ; qwerty : google. Attends ! Tu imagines un hacker qui teste systématiquement ces 25 mots et qui connaît en plus ta date d’anniversaire ! Il pirate 80 % d’entre nous !
 
<b>Sylvain : </b>Donc si on veut des mots de passe dont on peut se rappeler facilement, on peut essayer de trouver quatre mots aléatoires avec des petites variations éventuellement, mettre des caractères spéciaux et comme ça, ça fait des mots de passe dont on peut se rappeler facilement. Je n’en sais rien, chacun va trouver ses phrases de passe par rapport à son expérience personnelle en essayant que ce ne soit pas trop facilement…
 
<b>Marion : </b>Est-ce que vous auriez un exemple ?
 
<b>Sylvain : </b>C’est ça le problème, c’est que tous les exemples qu’on va donner il faut considérer que ce ne sont pas des bons exemples parce que, potentiellement, il y a quelqu’un qui va s’appuyer dessus pour casser des mots de passe. Mais voilà <em>Guide de survie des aventuriers du Net</em> c’est un excellent mot de passe. Mais par contre si c’est quelqu’un qui va m’attaquer moi, il peut se dire ça peut être des choses que je vais essayer. Mais en même temps, si je mets guide de survie avec un 2 et que je mets deux espaces à un endroit, c’est quelque chose qui va être quasiment incassable.
 
<b>Marion : </b>D’accord !
 
<b>Sylvain : </b>Voilà. Et pourtant c’est très facile à s’en rappeler. Donc ça permet facilement d’avoir des mots de passe complexes dont on va se rappeler.
 
Après, la meilleure pratique, c’est celle d’utiliser un gestionnaire de mots de passe. Donc un logiciel où on va seulement avoir besoin de se rappeler un seul mot de passe qui, du coup, peut être extrêmement compliqué et assez long, puisqu’on n’aura qu’un seul à se rappeler, et après le logiciel va gérer tous les autres mots de passe, donc des mots de passe aléatoires qui sont globalement incassables en tant que tels, et va les remplir à votre place. Et du coup vous avez un logiciel qui va protéger tous vos mots de passe et vous n’avez besoin de n’en utiliser qu’un. C’est l’idéal. Il y en a certains qui fonctionnent assez bien, notamment un logiciel libre qui s’appelle qui KeePass, qui fait bien ce qu’on lui demande. Mais ça reste une pratique que tout le monde n’arrive pas à mettre en place !
 
Quelque chose d’autre qui est important en termes de mot de passe, c’est d’essayer d’établir la dangerosité des comptes. C’est-à-dire qu’effectivement peut-être qu’il y a un forum sur lequel on va une fois par an, sur lequel on n’a mis aucune une donnée privée, ce n’est pas très grave que notre mot de passe se fasse casser si on ne l’a pas mis à vingt autres endroits de la même façon.
 
<b>Marion : </b>D’accord !
 
<b>Sylvain : </b>À l’inverse, on peut avoir son compte mail, son compte mail principal, donc là qui permet d’accéder déjà à plein d’autres services, en plus il y a plein d’autres données personnelles qui permettent d’attaquer d’autres personnes, donc quelque chose d’assez critique, où là il est important d’avoir un excellent mot de passe et même, si possible, d’utiliser ce qu’on va appeler de l’auto-authentification par plusieurs facteurs, notamment des choses en disant si vous vous connectez d’un nouvel ordinateur que le service ne connaît pas, il va vous demander une authentification aussi par le biais d’un texto envoyé sur votre numéro personnel. Ou, c’est ce que font aussi les banques, avec d’autres outils qui vont permettre de s’assurer que c’est bien la bonne personne derrière. Deux facteurs. Comme ça, même si une personne s’approprie un mot de passe ou un facteur, ça ne va pas lui suffire pour accéder au compte.
 
Pour les comptes qu’on utilise peu, il faut mieux mettre un mot de passe compliqué et ne pas s’en rappeler et demander, du coup, sur son compte mail qui est bien protégé la remise à zéro du mot de passe, que mettre un mot de passe complètement basique.
 
Il y a des solutions comme ça. Ça va dépendre des pratiques des personnes. Si c’est une personne qui a dix, vingt comptes importants, il faut peut-être effectivement songer à un gestionnaire de mots de passe. Si c’est une personne qui a son compte mail et son compte bancaire qui sont extrêmement cruciaux sur ces deux-là mettre des mots de passe vraiment importants, avec des phrases de passe vraiment conséquentes et probablement incassables. C’est aussi adopter des bonnes pratiques, éviter de laisser son mot de passe affiché partout ; une entreprise, éviter de laisser les mots de passe du Wi-Fi ou les mots de passe des comptes des utilisateurs affichés en plein jour.
 
<b>Marion : </b>Sur le mur !
 
<b>Sylvain : </b>Et que, éventuellement s’il y a des journalistes qui viennent chez vous et qui filment, vos mots de passe n’apparaissent pas derrière comme c’était le cas pour TV5 Monde juste après le moment où ils s’étaient fait attaquer. On voyait des images d’un journaliste où les mots de passe étaient écrits sur un tableau Velleda ! Il y a plein de choses qui sont importantes en matière de mots de passe. La meilleure pratique : avoir un gestionnaire de mot de passe et sinon essayer de composer avec des phrases de passe et des méthodes de substitution pour les comptes…
 
<b>Marion : </b>Les plus sensibles.
 
<b>Sylvain : </b>Les moins qu’on surveille.
 
<b>Marion : </b>Et quels seraient vos conseils, on va dire les premiers pas, justement, que pourrait faire quelqu’un, qui soient simples, accessibles. En même temps qui, du coup, sont un vrai atout de sa vie privée. Ça serait quoi votre conseil prioritaire ?
 
==42’ 44==
 
<b>Sylvain : </b>Moi vraiment, quelque chose qui est extrêmement simple et qui est extrêmement

Version du 18 septembre 2017 à 08:40


Titre : Le CECIL

Intervenant : Sylvain Steer - Héloïse Pierre, etikya.fr - Marion Bourget, journaliste pour Radio Alto

Lieu : Émission TIC éthique #14 - Radio Alto

Date : Juillet 2017

Durée : 53 min 30

Écouter l'émission

Licence de la transcription : Verbatim

Statut : Transcrit MO


Description

Le CECIL, Centre d’Étude sur la Citoyenneté, l'Informatisation et les Libertés vise à donner une assise solide et permanente à l'étude critique de l'informatisation de la société et aux interventions citoyennes dans ce domaine, rencontre avec l'un des salariés du CECIL.


Transcription

Coton tige FM – Coton tige FM sur Alto

Voix off – Frédéric Couchet : Accordons-nous juste une petite pause pour expliquer l’importance de l’informatique aujourd’hui.

Marion : Frédéric Couchet, délégué général et fondateur de l’April.

Voix off – Frédéric Couchet : Vous serez d’accord avec moi que les ordinateurs sont omniprésents dans note quotidien : réseaux sociaux, services bancaires, services publics ; il est donc essentiel que nous gardions le contrôle sur nos outils.

Marion : Garder le contrôle sur nos outils informatiques. C’est la raison de la création de l’émission Tic éthique. Pas pour faire de chacun de vous quelqu’un capable de cracker n’importe quel logiciel. Non ! Mais parce que nous sommes intimement convaincus que le lien entre la compréhension de l’outil informatique et la défense de nos libertés est étroit. Et nous ne sommes pas les seuls penser ça. Pour preuve l’existence du CECIL, le Centre d’Études sur la Citoyenneté, l’Informatisation et les Libertés. Et pour mieux vous expliquer ce lien, pas forcément évident au premier abord, le lien entre l’usage des technologies et vos libertés, Héloïse a rencontré un membre du CECIL.

Sylvain : Je m’appelle Sylvain Steer, j’ai fait une formation juridique et puis j’ai dévié dans les travaux de recherche sur d’autres disciplines, disciplines sciences sociales et ce qu’on appelle les études sur les sciences et les techniques. Et en travaillant sur les interactions entre les libertés fondamentales et l’informatique, je me suis retrouvé à travailler pour une association qui s’appelle le CECIL, donc le Centre d’Études sur la Citoyenneté, l’Informatisation et les Libertés où j’ai travaillé deux ans en tant que chargé de mission, où là j’ai vraiment fait de l’opérationnel sur ces questions-là, très loin au-delà du droit, vraiment sur de la formation même à l’utilisation de l’informatique, aux bonnes pratiques de choses et aussi du lobbying citoyen, enfin de l’influence citoyenne, avec d’autres association sur ces questions-là.

Marion : D’accord. Est-ce que vous pourriez justement nous en dire un peu plus sur le CECIL ?

Sylvain : Le CECIL est une association qui date de 2008 et qui, en fait, s’est construite dans la continuité d’un mouvement qui a débuté un peu avec la loi de 78, donc la loi informatique et libertés, qui est la première pierre de la protection des libertés face à l’informatique en France et qui a développé tout un mouvement d’enseignants, notamment dans les IUT mais pas que, qui ont créé la doctrine, enfin qui ont posé les bases de ce régime et notamment autour de deux revues scientifiques, notamment la revue CREIS et la revue Terminal qui sont maintenant dans une même association qui édite, du coup, une revue s’appelle CREIS-Terminal et le CECIL a un peu été créé pour aller plus loin, justement, de la seule recherche, enfin la seule recherche adressée au législateur, à la technique, enfin voilà pour poser les bases. Mais le CECIL a pour vocation d’aller au-delà que ça et d’aller vers l’éducation populaire, d’impliquer aussi des journalistes, des citoyens, enfin de dépasser vraiment le cadre très recherche, très académique, pour entrer dans des enjeux du quotidien et des enjeux d’éducation.

Marion : D’accord. Votre but c’est un peu de sensibiliser, je dirais, les citoyens lambda ou en tout cas le grand public à ces questions et ces en jeux liés à la technologie ?

Sylvain : C’est ça. Ce n’est pas que sensibiliser même si en pratique c’est quand même beaucoup ça. On fait des cinés-débats, des interventions, on tient des tables pour informer, on intervient à différentes occasions ou sur les débats de société, ce type de choses. C’est aussi essayer, mais alors ça c’est quelque chose qui est peut-être plus à développer, essayer d’impliquer directement les personnes pour se réapproprier la réflexion sur les sciences et les techniques et principalement l’informatique, notamment face aux libertés fondamentales.

Marion : D’accord. Pourquoi est-ce que c’est important pour vous d’impliquer les gens sur ces questions-là ?

Sylvain : Parce que ce sont des sujets qui sont extrêmement importants. On touche vraiment à des enjeux qui sont colossaux dans la société. Ça rejoint un peu mon parcours. Je me suis intéressé à toutes ces questions à partir d’un livre qui est un petit peu connu, qui s’appelle Code is law, On Liberty in Cyberspace, de Lawrence Lessig donc le code fait loi et les autres lois du cyberespace ; qui montre, en fait, qu’il y a différentes forces ??? dans la société, mais je veux rentrer dans le détail là-dessus, mais notamment que les personnes qui vont déterminer la technique, qui vont être les personnes qui vont gérer le code, qui vont gérer les services ont, en fait, une possibilité d’influence majeure dans la société et vont conditionner les lois. Ce qu’on constate au quotidien avec le fait que si Google considère que l’algorithme du moteur de recherche va privilégier, par exemple, les contenus récents, eh bien ça va privilégier éventuellement un article de presse un peu sensationnaliste sur quelque chose qui vient de se passer dans un conflit, par exemple le conflit israélo-palestinien. On va avoir un article de presse plutôt récent qui va ressortir plutôt qu’un article d’analyse de fond qui pourrait donner plus les enjeux, plus ce type de choses et, par ce biais-là, influencer éventuellement la pensée des personnes qui pensent faire une recherche objective, alors qu’en réalité il y a quelqu’un derrière qui fait des choix qui sont les siens.

Donc en ça et pour plein d’autres raisons, en fait, la technique et l’informatique conditionnent quand même très largement la vie de tout le monde à l’heure actuelle et sans forcément que tout le monde en ait bien conscience et, en tout cas, sans forcément que tout le monde ait les armes pour comprendre les enjeux et pour éventuellement s’opposer à ce à quoi ils peuvent s’opposer et agir pour défendre toujours plus les libertés.

Marion : D’accord. C’est vrai que vous avez participé grandement à l’écriture du livre Guide de survie à destination des aventuriers d’Internet qui a été coédité justement par le CECIL mais également la Ligue des droits de l’homme.

Sylvain : Oui. En fait à la base le Guide de survie c’est un document dont on avait plus ou moins besoin en interne. On réalisait ce qu’on appelle des ateliers d’autodéfense numérique, donc de formation directe auprès des personnes pour leur dire eh bien voilà, il y a des enjeux politiques, il y a des enjeux qui se jouent au niveau de la société dans son ensemble et sur lesquels on agit, pour en parler on risque de ??? autrement, mais on agit sur ces terrains-là avec un groupement d’associations qui s’appelle l’Observatoire des Libertés du Numérique où on essaye d’éviter que les nouveaux textes, les nouvelles lois, soient toujours plus attentatoires aux libertés. On a notamment pas mal travaillé sur la loi sur le renseignement. Mais du côté du CECIL, du coup, on fait aussi des ateliers d’auto-défense numérique pour, au-delà de la question politique générale sur laquelle les réponses sont globales, il y a aussi une possibilité pour chaque citoyen de limiter un peu la surveillance au quotidien, de s’opposer, dans une certaine mesure, à des opérations de surveillance qui ont lieu en ligne. Et du coup, le but de l’atelier d’auto-défense numérique c’est d’appendre les premières méthodes pour limiter ces possibilités-là.

Donc on fait des choses ???. Moi, ce sont des questions sur lesquelles j’étais compétent, mais ne serait-ce que pour transmettre, pour que d’autres personnes puissent le faire, on avait besoin d’un document en interne donc j’avais réalisé des petites fiches sur les premiers à faire sur différents sujets. Et ça a bien plu. La Ligue des droits de l’homme avec laquelle on avait l’habitude de travailler ça leur a bien plu et ils ont voulu le transmettre du numérique au papier et, du coup, ils ont participé à l’édition de ce petit guide qui fonctionne bien depuis et qui a l’air de trouver son public.

Marion : Oui, parce que vos fiches, les fiches pratiques sont accessibles sur votre site internet, donc tout le monde peut les trouver.

Sylvain : Tout le monde peut les trouver librement. Elles sont sous licence Creative Commons donc elles sont librement réutilisables et modifiables sauf ce qu’on appelle la paternité, mais tout le monde peut se les approprier et les rediffuser sans aucune contrainte.

Marion : La rédaction de ces fiches pratiques c’est une des actions très concrètes que vous menez pour donner, on va dire, des armes de résistance presque aux gens !

Sylvain : C’est ça, c’est l’objectif de ces fiches. De la même façon qu’il y a besoin d’autodéfense intellectuelle pour ne pas subir des manipulations de personnes avec qui on va débattre ou de subir donc des manipulations des médias qui pourraient transmettre de l’information qui serait mauvaise, qui serait mensongère, qui viserait à influencer le lecteur. L’autodéfense numérique c’est aussi se protéger contre les agresseurs sur Internet et, effectivement, il y a des personnes qui ne veulent pas forcément que notre bien. Alors elles ne veulent pas forcément notre mal, nous faire du mal physiquement, mais s’approprier nos données, influer nos comportements, réaliser du profilage pour changer nos habitudes de consommation ou, dans le cadre des États ou d’autres puissances nous surveiller directement, avoir nos habitudes de vie pour éventuellement nous faire chanter. Ce type de choses c’est aussi possible ou nous envoyer en prison dans certaines circonstances, c’est aussi possible. Donc c’est pour s’opposer à ça, c’est limiter les intrusions sur Internet et en matière d’informatique en général.

Marion : Oui. C’est vrai que la technologie en général, on y fait face au quotidien, mais on la trouve plutôt utile et puis normale aussi dans notre monde moderne. Mais du coup, ce que vous vous dites c’est que cette technologie ne nous facilite pas seulement la vie, mais a un impact, en fait, à plein de niveaux et c’est ça peut-être dont les gens n’ont pas vraiment conscience. À un niveau, vous disiez politique, ça peut influencer même ce qu’on pense sur un sujet. Là vous donniez l’exemple des moteurs de recherche.

Sylvain : Oui, effectivement. Pour y revenir, quand même, on est très loin d’être des néo-luddistes même si on a une approche critique sur l’évolution des techniques. On accepte tous, au sein de CECIL, les apports positifs de l’informatique et d’Internet. On n’est pas du tout dans une approche « ah non surtout il ne faut plus qu’il y ait d’informatique ! »

Marion : C’est bien !

Sylvain : Mais justement, il faut essayer d’en tirer les meilleurs aspects en limitant les pires, en limitant les possibilités de surveillance notamment. Effectivement, parler de dangers c’est toujours un peu problématique. Mais oui, il y a des choses qui ne vont pas dans le sens des intérêts de la personne quand elle fait la plupart des comportements qu’on va considérer comme normaux sur Internet. Ça veut dire qu’une personne qui va avoir un compte Gmail, c’est le cas de nombreuses personnes,, c’est un service qui effectivement fonctionne bien, il faut qu’elle comprenne que tous ses e-mails, Google les « possède » entre guillemets, peut y accéder, va les scanner pour faire de la publicité ciblée ; va s’en servir pour savoir ce qui intéresse la personne et, éventuellement, lui proposer la bonne publicité au bon moment et du coup en fait, clairement manipuler la personne dans un acte d’achat qu’elle n’aurait peut-être pas fait autrement. Ça c’est pour le cas de Google. De l’autre côté il y a le problème de la surveillance étatique ou, en tout cas, par des acteurs du niveau étatique qui eux sont intéressés, qui ont été révélés notamment par les révélations Snowden, qui montrent que les renseignements américains et les renseignements des autres pays amis des Américains et très probablement de la France, on le sait depuis le renseignement, mais de la France et des autres pays européens, s’intéressent à la vie privée de tous leurs citoyens. Dans certains cas pour des motifs légitimes de lutte contre le terrorisme mais avec des méthodes qui, elles, dépassent largement ces questions-là et qui permettent de faire de la surveillance de tout un chacun dans plein de situations. Voilà !

Quand l’Amérique de Trump demande désormais à toutes les personnes qui viennent sur le sol américain de lui confier les comptes qu’elles utilisent sur les réseaux sociaux et même, potentiellement, les mots de passe pour pouvoir examiner ; qu’il y ait des possibilités d’examen, aussi, de tous les matériels informatiques qui vont être amenés sur le territoire de à peu près tout le monde, on peut vraiment se poser la question de la légitimité de l’action de l’État sur ces questions-là.

Un double problème : d’un côté une surveillance des acteurs privés essentiellement à des fins de manipulation commerciale, à des fins d’établir du profilage pour aller toujours plus loin. On peut parler de publicité, mais ça peut aussi être en matière d’assurances pour savoir que telle ou telle personne on a plutôt intérêt à lui donner le prêt ou, à l’inverse, ne pas du tout l’aider parce qu’elle ne sera pas solvable. Dans le cadre de la surveillance publique, ça peut être de la surveillance plus diffuse et moins lointaine que la surveillance étatique. L’université, par exemple, qui propose déjà, alors pas en France mais aux États-Unis, aux étudiants de porter des bracelets connectés qui vont jouer dans leur note de sport : au final, si vous avez bien vos tant de pas pendant la semaine, eh bien dans ce cas-là vous allez avoir une bonne note. Oui. Sauf que derrière un bracelet connecté qui va recueillir ce type de données, il peut éventuellement révéler beaucoup plus sur la personne que seulement son nombre de pas. Donc ce sont des choses sur lesquelles il faut rester vigilant et essayer de voir ce qu’on peut accepter ou ce qui, effectivement, doit plutôt être rejeté.

13’ 03

Marion : Vous disiez que vous faisiez du lobbying citoyen. Est-ce que vous pouvez nous expliquer un peu plus ce que c’est concrètement ?

Sylvain : C’est essayer de limiter, on va dire, moi ça fait du coup quatre ans, trois/quatre que je travaille sur ces questions, mais c’est d’essayer de limiter : s’il y a des nouveaux textes essayer de faire propositions positives pour mieux protéger les libertés, essayer que les droits et libertés du citoyen soient mieux respectées. Et à l’inverse limiter les textes qui pourraient s’y opposer. Pour citer quelques exemples, je vous ai parlé de la loi renseignement qui a mis en place dans le droit français un corps de règles qui justifient le recours, aux services secrets, de méthodes de renseignement qui permettent d’espionner des personnes. Il y avait déjà un régime qui date de 91 pour l’écoute des communications téléphoniques et pour la vidéosurveillance ou la sonorisation de lieux, donc pour écouter ou voir des personnes à différents endroits, mais qui était effectivement très incomplet à l’ère du numérique. La loi renseignement a créé un régime complet qui permet, notamment, l’usage d’outils tels que des IMSI-catcher qui sont des espèces de fausses antennes réseau, enfin des vraies antennes réseau où, quand des personnes vont utiliser leur téléphone portable dans une zone, à la place de s’adresser à l’antenne réseau légitime, ça va passer par l’IMSI-catcher. Et les personnes qui vont maîtriser cet outil, donc dans ce cas-là les services de renseignement, sont capables de savoir toutes les personnes qui vont avoir un téléphone portable sur une zone donnée ; éventuellement, dans certaines conditions, le contenu des communications, de savoir à qui s’adresse à qui ; dans tous les cas, savoir qui vous appelez et, du coup, la loi renseignement pose le cadre d’utilisation de ce type d’outils. Alors il y a les IMSI-catcher, il y a un mécanisme dit des boîtes noires, mais qui n’est pas encore mis en place, mais qui permet de faire de la surveillance automatique sur les réseaux en disant si une personne, un jour ,regarde comment fabriquer une bombe et que le lendemain elle a un acte d’achat de clous ou de je n’en sais rien sur Internet eh bien peut-être qu’on va la surveiller.

Donc ce sont des outils qui nous, nous semblent dangereux. Enfin il y avait un certain nombre de choses qui, dans la loi renseignement, nous semblaient attentatoires aux libertés parce qu’il n’y a pas du contrôle du juge. Ce ne sont pas des personnes qui sont officiellement sous une enquête ; ce sont vraiment des possibilités de surveillance à la libre appréciation des services de renseignement, même s’il y a une petite autorité qui fait l’examen des demandes. Ça c’étaient des choses sur lesquelles on estimait qu’il y avait des dangers. On les a exprimés, on a essayé de faire campagne pour limiter les atteintes aux libertés. Plus récemment, on peut parler aussi du délit de consultation de sites terroristes qui avait été mis en place depuis deux ans, si je ne dis pas de bêtise, dans le droit français et qui est la première fois qu’en droit français on a ce qu’on appelle un délit de pensée. Ça veut dire le seul fait de s’intéresser à un sujet peut nous conduire en prison. Donc c’est quelque chose qui, pareil, nous pose des problèmes éthiques. Notamment la Ligue des droits de l’homme a porté un recours devant le Conseil constitutionnel, une question prioritaire de constitutionnalité, et a obtenu l’annulation de ce délit, reconnu comme contraire à la Constitution. Voilà ! Donc ce type d’actions.

Marion : Donc parfois vous arrivez à vous faire entendre sur certains points ?

Sylvain : Assez. Jamais. Sur ces différents textes, forcément on sait qu’en situation d’état d’urgence, dans une situation où effectivement la France a connu quand même un certain nombre d’attentats et d’attaques tragiques, ce n’est pas évident de faire entendre aux personnes que les libertés c’est important dans les contextes de crise et pas dans les contextes où tout se passe bien ; c’est à ce moment-là qu’il faut les défendre. Ce n’est pas toujours évident, effectivement encore moins du côté des politiques qui eux ont besoin de donner l’impression qu’ils font quelque chose, qu’ils sont en train d’agir sur ces questions-là, même si c’est au déficit total des libertés fondamentales.

Du coup le droit au déréférencement, c’est un droit qui découle déjà des droits existants en matière d’informatique et de libertés, protection de données à caractère personnel, et c’est un droit qui permet à tout citoyen de demander à un moteur de recherche de désindexer des informations, enfin des articles ou des pages qui vont comporter des éléments d’identification – donc principalement les nom et prénom – et où la personne considère qu’il n’y a plus d’adéquation entre ce document et son identité actuelle. Donc c’est la possibilité, par exemple pour quelqu’un qui aurait, quand il était jeune serait apparu dans la presse locale pour avoir une bêtise dans le centre-ville, par exemple s’être baladé tout nu dans une fontaine ; qui, après, cinq ans après, en essayant de chercher du travail, trouverait que ce document n’est pas pertinent, qu’il n’a pas un gros intérêt du point de vue de l’information du public, et peut ainsi demander au moteur de recherche de désindexer le contenu et de faire que si quelqu’un cherche son nom et prénom sur le moteur de recherche on ne puisse pas facilement retrouver l’article en question. Ça ne supprime pas l’article, ça va juste empêcher, ça va juste limiter sa décontextualisation via le biais du moteur de recherche.

Mais du coup, c’est un droit qui pose de nombreux problèmes en termes d’équilibre avec la liberté d’expression. Et là il y a quatre cas qui ont été à nouveau renvoyés par le Conseil d’État devant la Cour de justice de l’Union européenne. On est dans une situation où éventuellement une personne a fait partie de la Scientologie à une époque et où on avait un article de presse qui l’accusait d’avoir fait pression sur une famille pour éviter de faire un procès suite à la mort de leur enfant liée à des actions avec la Scientologie ; ou des responsables politiques qui souhaitent désindexer des contenus qui vont se moquer d’eux, des contenus satyriques ou sur des choses où il y a eu un non-lieu qui a été déclaré, mais où des articles qui indiquaient que la justice avait recherché différentes choses.

Donc on voit que ce sont des choses où il y a une vraie sensibilité entre est-ce que le public doit pouvoir accéder à ce contenu, c’est ce qu’on appelle le droit à l’information : mais en même temps, est-ce que de l’autre côté, les personnes physiques qu’il y a derrière, est-ce qu’elles auraient le droit à la protection de la vie privée sur ces questions. La CNIL et Google, en l’occurrence sur les cas dont je parle, ont refusé la désindexation et là ça va être à la Cour de justice de l’Union européenne de décider si ça peut aller dans ce sens-là.

Marion : Et quel est votre point de vue, vous au CECIL, sur ce sujet ?

Sylvain : Sur ces questions-là, on s’interroge aussi. Il n’y a pas de bonne réponse. Par défaut, on est plutôt dans le camp de la protection de la vie privée. Il y a quelque chose qui nous gêne, en tout cas dans ce régime, à peu près tout le monde est d’accord là-dessus, c’est que le choix d’indexer ou non va essentiellement reposer sur le moteur de recherche et ça, ça nous pose clairement problème que ce soit au moteur de recherche de décider si, effectivement, il doit désindexer le contenu ou non. Ça lui offre un pouvoir qu’il ne devrait pas avoir. En tout cas moi, à titre personnel, mais c’est une opinion que je partage avec beaucoup de monde du CECIL, on serait plutôt pour que ce soit une autorité indépendante qui apprécie ces cas-là et qui, après, même les répercute directement vers tous les moteurs de recherche et tous les services concernés. Ce qui serait aussi plus logique que le coût de cette réflexion ne soit pas mis sur les moteurs de recherche, même s’ils ont l’argent pour, mais que ce soit mis sur la société. Donc un mécanisme qui ne serait peut-être pas aussi lourd que celui d’un juge parce qu’effectivement les demandes se comptent par centaines de milliers, mais que ce soit une autorité indépendante, peut-être la CNIL ou peut-être une autre autorité qui apprécie demandes-là. Donc ça un vrai problème en tout cas que les moteurs de recherche soient juge et partie, du coup, sur ces choses-là.

Après sur les cas, il y a une question de cas par cas qui doit être faite et ça on ne va pas se substituer au juge, justement, qui devrait être engagé dans une procédure de ce type.

20’ 58

Voix off : Mais si je veux me faire un peu l’avocat du diable, je pourrais vous répondre que, finalement, ça ne vise que les terroristes puisque c’est soi-disant une loi antiterroriste. Donc les citoyens qui n’ont rien à se reprocher n’ont rien à craindre finalement !

Voix off de Laurence Blisson : Ce n’est pas une loi antiterroriste. Précisément c’est l’un des écueils de cette procédure en urgence, c’est de laisser penser que ça pourrait être une loi antiterroriste.

Marion : Laurence Blisson du syndicat de la magistrature lors d’un rassemblement contre le projet de loi renseignement.

Voix off de Laurence Blisson : Et par ailleurs c’est une loi, les services de renseignement vont pouvoir viser des citoyens bien au-delà de ce qu’on pense puisqu’on a d’une part la possibilité d’utiliser ces techniques dans le domaine de la prévention des violences collectives ; c’est-à-dire que ça pourra être utilisé concernant toutes les manifestations, de la Manif pour tous à la manif du 1er mai ; mais aussi pour la défense des intérêts économiques et industriels majeurs de la France, c’est-à-dire que ça pourra être utilisé notamment pour empêcher les lanceurs d’alerte de dénoncer par exemple les pratiques de l’industrie pharmaceutique ; et ensuite parce que les méthodes utilisées vont aller bien au-delà des cibles que l’on imagine : c’est-à-dire que la définition de l’entourage qui pourra être écouté est une définition très large et que, par ailleurs, ce qui est organisé c’est un sondage du Net et pour pouvoir faire sortir des actions suspectes il faut d’abord que ces technologies aient tout observé, tout scanné. Et c’est là que réside le véritable danger pour nos concitoyens.

Marion : Donc ce sont des grandes questions qui ne sont pas simples, quand même, à résoudre.

Sylvain : Non. Ce sont des questions qui sont extrêmement complexes. Il y a quand même beaucoup de choses, beaucoup de questions que pose le numérique. On a cette libération de la liberté d’expression qui permet à tous de facilement exprimer son opinion, quelque chose qui n’était pas du tout possible avant et qui est extrêmement positif ; qui permet de faire du travail collaboratif, des projets fantastiques comme Wikipédia. Mais de l’autre côté il y a aussi des abus qui sont compliqués parce qu’on n’est plus sur des régimes étatiques, on est sur des choses qui ont un impact international. Eh bien aussi est-ce que nous Européens on a le droit de demander à ce que la désindexation elle se fasse dans le monde entier, parce qu’on considère que c’est notre vie privée, elle doit être respectée dans le monde entier.

Ce n’est pas non plus une question évidente. Mais oui il y a des problèmes qui sont assez importants et où il y a besoin d’une réflexion quotidienne et de continuer à travailler, de continuer à essayer de trouver des solutions. Et là, vraiment le positionnement du CECIL c’est justement d’impliquer les citoyens, dans une approche qui n’est plus tellement d’élites qui vont décider des bonnes solutions mais d’essayer, au maximum, de réfléchir collectivement sur quelles sont les bonnes solutions pour ce type de problème.

Marion : Est-ce que justement, depuis là les quelques années où vous faites ça, essayer de mobiliser les citoyens, vous voyez justement des changements dans les consciences, dans les actes, est-ce qu’il y a des progrès selon vous ?

Sylvain : Il y a clairement une évolution qui tient essentiellement, enfin peut-être pas essentiellement, mais qui tient beaucoup aux révélations d’Edward Snowden, pas forcément parce que tout le monde a eu directement connaissance des révélations d’Edward Snowden ou de la gravité qu’elles pouvaient avoir, mais en tout cas ça a réveillé beaucoup de personnes, beaucoup de militants. On avait un milieu associatif assez développé en matière de logiciels libres par exemple. En France, on est un pays qui a beaucoup développé – alors je ne sais pas si vous en avez déjà parlé dans l’émission du logiciel libre – mais qui et quand même un pays très actif sur ces questions-là. Et le milieu du logiciel libre, depuis ces cinq dernières années, s’est quand même largement tourné vers les problèmes pas seulement de respect des libertés vis-à-vis du code informatique, mais aussi des libertés individuelles, de la protection la vie privée. Typiquement Framasoft qui était une association qui faisait la promotion de logiciels libres, si un logiciel était libre ils en faisaient la promotion, ils font maintenant la promotion d’outils respectueux des libertés fondamentales, qui sont aussi des logiciels libres, mais développent aussi des projets dont l’objectif n’est pas seulement d’être des projets libres mais aussi de respecter les libertés individuelles.

Marion : Oui. En effet nous avons eu la chance de les interviewer à Lyon. Donc il y aura deux émissions spéciales sur les logiciels libres et puis aussi toutes les actions de Framasoft.

Sylvain : Du coup, vraiment, on a tout ce secteur associatif-là qui s’est un peu converti à la défense des libertés et d’autres personnes qui ont pris conscience du risque de la surveillance en ligne. On a plein de journalistes qui font un travail de très bonne qualité sur les questions de vie privée aussi depuis les révélations de Snowden, sans forcément les attribuer uniquement aux révélations de Snowden. Mais la prise de conscience de l’importance de cette problématique est claire ; maintenant les solutions concrètes manquent un peu parce que ce n’est pas toujours facile pour une personne de se dire OK, je ne vais pas être sur Google ou je ne vais pas avoir un Gmail ou je vais arrêter d’utiliser Windows ou je vais chiffrer mes données systématiquement. Il y a des choix qui sont assez peu conséquents et qui peuvent se faire très rapidement. Il y a en a d’autres qui sont potentiellement plus lourds. Ce n’est pas toujours évident d’arriver à faire faire les premiers pas aux individus et c’est aussi sur ces questions-là où on essaye de convertir, enfin de convertir, des personnes qui sont déjà convaincues des nécessités de protéger leur vie privée, de leur faire passer l’étape d’après en disant OK, potentiellement vous pouvez militer sur ces questions mais vous pouvez aussi, déjà individuellement, adopter des meilleures pratiques qui vont limiter les possibilités de surveillance, privée comme publique, et permettre de mieux respecter la vie privée au quotidien.

[Musique]

29’ 00

Marion : Et justement, avant de passer aux solutions, parce que c’est tout ce qui fait que votre livre Guide de survie à destination des aventuriers d’Internet est super intéressant, c’est que c’est un guide vraiment qui donne les solutions très pratiques, très concrètes aux gens. Ma question c’est justement, apparemment les journalistes et le milieu associatif ou militant est beaucoup plus actif et éveillé à ces sujets, mais est-ce que vous arrivez, par exemple, à sensibiliser on va dire les plus grands utilisateurs du numérique, c’est-à-dire les jeunes ?

Sylvain : On essaye. Nous, le CECIL, on a des petits ateliers, qui sont terminés désormais, avec la mairie de Paris dans le cadre des rythmes scolaires. On intervenait dans les écoles pour faire adopter ce qu’on appelait des pratiques informatiques raisonnables ou d’Internet raisonnables, pour apprendre aux enfants les avantages aussi bien à utiliser des outils qui nous semblent très bons comme du chat, comme des documents collaboratifs, ou s’initier à la programmation pour un peu comprendre ce que c’est que l’informatique. Mais aussi connaître les questions de protection de vie privée, de savoir qu’il faut faire attention en publiant sur Internet.

Le CECIL participe à un gros collectif qui est animé par la Commission nationale de l’informatique et des libertés, qui s’appelle EDUCNUM, qui a été créé il y a quatre/cinq ans pour, à la base, promouvoir une grande cause nationale de l’éducation numérique mais qui, depuis, en fait est vraiment en train de se développer, qui regroupe tous les acteurs de l’éducation numérique qui sont non-commerciaux ; c’est une des conditions pour participer au collectif. Donc on essaye d’agir sur ces questions.

Alors c’est pareil, il n’y a rien d’évident. Ce n’est pas facile que les plus jeunes adoptent des bonnes pratiques. Il y a des choses sur lesquelles ils ont intuitivement des pratiques très protectrices de leur vie privée, notamment vis-à-vis de leurs proches. Il y a un livre que j’aime beaucoup, qui a été traduit il n’y a pas longtemps en français, qui est un travail de recherche d’une chercheuse qui s’appelle Danah Boyd qui a écrit un bouquin qui s’appelle It's Complicated, C’est compliqué. Les vies numériques des adolescents et qui montre que globalement les adolescents ont quand même une certaine maîtrise sur la protection de leur privée, vis-à-vis de leurs proches en tous cas, mais que, par contre effectivement, on constate au quotidien que la question du fait que Facebook s’approprie toutes leurs données ; que sur Snapchat les photos qu’ils envoient, peut-être que leurs correspondants ne peuvent les voir que 5 ou 10 secondes, mais déjà potentiellement on peut les enregistrer ; et qu’en tout cas l’entreprise Snapchat elle, pourrait tout à fait les conserver indéfiniment et s’en servir plus tard. Là, la sensibilisation n’est pas forcément toujours faite, donc il y a des actions.

Marion : C’est-à-dire est-ce qu’ils le savent, mais ça ne les inquiète pas plus que ça ? Ou est-ce qu’ils ne le savent pas ?

Sylvain : Ça va dépendre. Il n’y pas une réponse. Il y a des adolescents qui refusent d’utiliser le service, qui se rendent bien compte des dangers et qui ne veulent pas. Et il y en a d’autres qui vont mettre toute leur vie sans s’en préoccuper. Il y a de la sensibilisation qui est faite. Ça devrait continuer de se faire, clairement. Mais on fait ce qu’on peut ! Il y a eu quelques engagements mais qui sont extrêmement minimes et qui ne suffiront clairement pas pour que les enseignants soient sensibilisés sur ces questions, mais très largement à l’éducation numérique en général. Il n’y a que deux jours de formation donc c’est clairement insuffisant mais déjà un premier pas. Il y a des projets qui se font dans les écoles mais qui restent peut-être trop limités, qu’on essaye de développer dans le cadre d’EDUCNUM ; en tout cas c’est un objectif qu’on partage avec tous les partenaires du collectif.

Marion : D’accord. Merci pour votre réponse. Et alors maintenant passons, justement peut-être, sur le livre en tant que tel, et notamment certaines fiches plus particulières. Donc vous donnez des fiches : on a la boîte e-mail, le moteur de recherche, voilà tout ça.

Sylvain : Les systèmes de protection.

Marion : En fait ça répertorie un peu tous nos actes quotidiens par rapport à Internet. Et alors les mots de passe, la question des mots de passe, est-ce que c’est important ?

Sylvain : Les mots de passe, moi c’est un sujet sur lequel, en travaillant sur le sujet j’ai beaucoup évolué, parce que ce qu’on entendait sur les mots de passe il y a cinq ans, c’était il fallait des mots de passe compliqués, il fallait des mots de passe différents selon chaque service. Ce sont des choses qui, effectivement, sont vraies : c’est mieux d’avoir des mots de passe compliqués, c’est mieux d’avoir un mot de passe différent par service. Sauf qu’en pratique avoir un mot de passe où il y a des caractères spéciaux, des chiffres, des lettres, des majuscules, des minuscules et qui fait plus de, à l’époque on demandait plus de dix caractères on va dire, et d’en avoir un par compte, c’est un peu compliqué. Donc effectivement, il y a une vraie nécessité d’avoir des mots de passe qui ne soient pas facilement cassables.

Quelque chose qui est un peu expliqué dans les fiches, mais en tout cas qu’on explique bien plus largement en atelier d’autodéfense numérique, c’est la question de pourquoi on va adopter des mesures de sécurité. Elle est liée à ce qu’on appelle les modèles de menace.

Ça veut dire de quoi j’ai peur ? Pourquoi je veux mettre en place des mesures de sécurité qui vont protéger ma vie privée ? Dans le cadre du CECIL, le modèle de menace c’est eh bien potentiellement je ne veux pas que des entreprises privées s’attribuent toutes mes données à caractère personnel et fassent du profilage. C’est aussi je ne veux pas qu’un pirate informatique, que quelqu’un qui va me viser, soit moi directement, soit moi au milieu d’une masse à des fins mercantiles, puisse facilement accéder à mes données à caractère personnel, à mon compte pour infecter d’autres personnes.

Dans le cas des mots de passe, les modèles de menace il y a différentes choses. Il y a le proche : éviter que ses proches récupèrent facilement le mot de passe et pour ça il y a des choses aussi basiques que déjà faire attention à ne pas forcément les enregistrer sur son navigateur, parce que les navigateurs, que ce soit Firefox ou Opéra par exemple, par défaut vont les enregistrer en clair. Si vous enregistrez vos mots de passe sur Firefox, n’importe qui aurait accès à la même édition de Firefox pourrait voir tous vos mots de passe et juste se connecter à votre compte. Quelque chose qui peut être assez dangereux vis-à-vis de ses proches.

Mais il y a aussi la menace de qu’est-ce qui se passe si le service sur lequel je me suis inscrit il y a une faille de sécurité et qu’une personne s’approprie toute la base de données des données des utilisateurs. Et là, potentiellement les mots qui peuvent être mal protégés – alors de plus en plus, quand même, les services vont chiffrer leurs mots de passe, mais ce n’est pas encore systématique – donc quelque chose auquel il faut déjà faire très attention : si par exemple vous vous inscrivez sur un site et vous faites la procédure de récupération de mot de passe et que le site vous le renvoie en clair, va vous dire votre mot de passe c’est ça, ça veut dire que chez eux il est conservé en clair ; que n’importe qui qui a accès à leur serveur peut connaître votre mot de passe ; ça veut dire qu’il n’est pas du tout protégé. Il faut fuir ce service, en tout cas pas du tout lui donner un mot de passe que vous allez utiliser ailleurs ; il faut considérer qu’il est compromis.

Marion : D’accord !

Sylvain : Au-delà de ça, si quelqu’un récupère toute la base de données, même si les mots de passe sont un peu chiffrés, éventuellement il va pouvoir essayer de casser le chiffrement des mots de passe, donc essayer de retrouver les mots de passe. Et c’est là où la longueur va jouer, la longueur ou la complexité du mot de passe va jouer, c’est pour les attaques qu’on va appeler de brute-forcing, d’attaques de force brute, où le pirate va essayer plein de combinaisons pour essayer de voir quel est le bon mot de passe. Et là, effectivement, si votre mot de passe fait moins de huit caractères, ça va lui prendre à peu près cinq secondes pour trouver le bon mot de passe. Donc là il y a un vrai besoin de longueur, de complexité éventuellement.

En termes de bonne pratique sur les mots de passe on conseille plutôt quelque chose qui fait rire les plus jeunes, on dit : « Plus c’est plus c’est bon ! » Ça veut dire qu’il vaut mieux un mot de passe assez long et pas forcément si complexe que ça qu’un mot de passe court et complexe. Un mot de passe de huit caractères avec des caractères spéciaux et des chiffres et des lettres est moins protégé contre les attaques de force brute qu’un mot de passe de quatorze/seize caractères en lettres minuscules pures.

Marion : C’est ce que vous appelez les phrases de passe dont Snowden a parlé ?

Sylvain : Oui. C’est ce qu’on appelle les phrases de passe, donc ça veut dire de ne plus tellement raisonner en tant que mot de passe parce que mot de passe ça implique c’est seulement un mot, mais de raisonner en phrase de passe ; par exemple quatre mots complètement aléatoires mis les uns après les autres ou, effectivement, une phrase, alors pas une phrase qui va être trop commune, parce qu’éventuellement elle peut être devinée dans ces cas-là. Si on prend des maximes un peu trop connues, ça peut être dans les dictionnaires d’attaque aussi. Il y a plein de choses qu’il faut éviter, qui ne sont pas évidentes.

Voix off : L’an dernier une étude a montré que sur dix millions de mots de passe piratés plus de la moitié faisaient partie des 25 suivants. Regardez ! Sérieusement : 123456 ; des suites logiques de chiffres ; six fois de suite le chiffre 6 puis sept fois de suite le chiffre 7 ; qwerty : google. Attends ! Tu imagines un hacker qui teste systématiquement ces 25 mots et qui connaît en plus ta date d’anniversaire ! Il pirate 80 % d’entre nous !

Sylvain : Donc si on veut des mots de passe dont on peut se rappeler facilement, on peut essayer de trouver quatre mots aléatoires avec des petites variations éventuellement, mettre des caractères spéciaux et comme ça, ça fait des mots de passe dont on peut se rappeler facilement. Je n’en sais rien, chacun va trouver ses phrases de passe par rapport à son expérience personnelle en essayant que ce ne soit pas trop facilement…

Marion : Est-ce que vous auriez un exemple ?

Sylvain : C’est ça le problème, c’est que tous les exemples qu’on va donner il faut considérer que ce ne sont pas des bons exemples parce que, potentiellement, il y a quelqu’un qui va s’appuyer dessus pour casser des mots de passe. Mais voilà Guide de survie des aventuriers du Net c’est un excellent mot de passe. Mais par contre si c’est quelqu’un qui va m’attaquer moi, il peut se dire ça peut être des choses que je vais essayer. Mais en même temps, si je mets guide de survie avec un 2 et que je mets deux espaces à un endroit, c’est quelque chose qui va être quasiment incassable.

Marion : D’accord !

Sylvain : Voilà. Et pourtant c’est très facile à s’en rappeler. Donc ça permet facilement d’avoir des mots de passe complexes dont on va se rappeler.

Après, la meilleure pratique, c’est celle d’utiliser un gestionnaire de mots de passe. Donc un logiciel où on va seulement avoir besoin de se rappeler un seul mot de passe qui, du coup, peut être extrêmement compliqué et assez long, puisqu’on n’aura qu’un seul à se rappeler, et après le logiciel va gérer tous les autres mots de passe, donc des mots de passe aléatoires qui sont globalement incassables en tant que tels, et va les remplir à votre place. Et du coup vous avez un logiciel qui va protéger tous vos mots de passe et vous n’avez besoin de n’en utiliser qu’un. C’est l’idéal. Il y en a certains qui fonctionnent assez bien, notamment un logiciel libre qui s’appelle qui KeePass, qui fait bien ce qu’on lui demande. Mais ça reste une pratique que tout le monde n’arrive pas à mettre en place !

Quelque chose d’autre qui est important en termes de mot de passe, c’est d’essayer d’établir la dangerosité des comptes. C’est-à-dire qu’effectivement peut-être qu’il y a un forum sur lequel on va une fois par an, sur lequel on n’a mis aucune une donnée privée, ce n’est pas très grave que notre mot de passe se fasse casser si on ne l’a pas mis à vingt autres endroits de la même façon.

Marion : D’accord !

Sylvain : À l’inverse, on peut avoir son compte mail, son compte mail principal, donc là qui permet d’accéder déjà à plein d’autres services, en plus il y a plein d’autres données personnelles qui permettent d’attaquer d’autres personnes, donc quelque chose d’assez critique, où là il est important d’avoir un excellent mot de passe et même, si possible, d’utiliser ce qu’on va appeler de l’auto-authentification par plusieurs facteurs, notamment des choses en disant si vous vous connectez d’un nouvel ordinateur que le service ne connaît pas, il va vous demander une authentification aussi par le biais d’un texto envoyé sur votre numéro personnel. Ou, c’est ce que font aussi les banques, avec d’autres outils qui vont permettre de s’assurer que c’est bien la bonne personne derrière. Deux facteurs. Comme ça, même si une personne s’approprie un mot de passe ou un facteur, ça ne va pas lui suffire pour accéder au compte.

Pour les comptes qu’on utilise peu, il faut mieux mettre un mot de passe compliqué et ne pas s’en rappeler et demander, du coup, sur son compte mail qui est bien protégé la remise à zéro du mot de passe, que mettre un mot de passe complètement basique.

Il y a des solutions comme ça. Ça va dépendre des pratiques des personnes. Si c’est une personne qui a dix, vingt comptes importants, il faut peut-être effectivement songer à un gestionnaire de mots de passe. Si c’est une personne qui a son compte mail et son compte bancaire qui sont extrêmement cruciaux sur ces deux-là mettre des mots de passe vraiment importants, avec des phrases de passe vraiment conséquentes et probablement incassables. C’est aussi adopter des bonnes pratiques, éviter de laisser son mot de passe affiché partout ; une entreprise, éviter de laisser les mots de passe du Wi-Fi ou les mots de passe des comptes des utilisateurs affichés en plein jour.

Marion : Sur le mur !

Sylvain : Et que, éventuellement s’il y a des journalistes qui viennent chez vous et qui filment, vos mots de passe n’apparaissent pas derrière comme c’était le cas pour TV5 Monde juste après le moment où ils s’étaient fait attaquer. On voyait des images d’un journaliste où les mots de passe étaient écrits sur un tableau Velleda ! Il y a plein de choses qui sont importantes en matière de mots de passe. La meilleure pratique : avoir un gestionnaire de mot de passe et sinon essayer de composer avec des phrases de passe et des méthodes de substitution pour les comptes…

Marion : Les plus sensibles.

Sylvain : Les moins qu’on surveille.

Marion : Et quels seraient vos conseils, on va dire les premiers pas, justement, que pourrait faire quelqu’un, qui soient simples, accessibles. En même temps qui, du coup, sont un vrai atout de sa vie privée. Ça serait quoi votre conseil prioritaire ?

42’ 44

Sylvain : Moi vraiment, quelque chose qui est extrêmement simple et qui est extrêmement