Différences entre les versions de « La sécurité est-elle l'amie ou l'ennemie de droits humains - Stéphane Bortzmeyer »
| Ligne 25 : | Ligne 25 : | ||
===Transcription=== | ===Transcription=== | ||
| + | |||
| + | Bonjour.<br/> | ||
| + | Traditionnellement dans les conférences de sécurité, surtout quand ça s’adresse à un public d’étudiants en informatique, on a des conférences sur des sujets très techniques, du <em>reversing de malware</em> sur Windows, avec du code Assembleur en version <em>fontwork</em> qui défile sur l’écran ; ou alors des trucs : « comment pirater sa Tesla » ou des choses de ce genre. Ici, non. Je vais surtout parler de politique donc ça va être moins rigolo question ce qui défile sur l’écran, moins technique, mais c’est parce que j’ai l’impression que dans le domaine de la sécurité les aspects politiques, éthiques, sont souvent passés un peu sous le tapis alors qu’ils méritent un peu d’intérêt. | ||
| + | |||
| + | ===Liberté et sécurité=== | ||
| + | |||
| + | D’abord quelques trucs de niveau conceptuel et ensuite, quand même, quelques études de cas sur des sujets techniques pour montrer en quoi il y a un rapport entre la sécurité et des questions d’ordre politique.<br/> | ||
| + | Le débat liberté-sécurité, ou sécurité droits de l’homme, comme vous voulez le positionner, pardon droits humains pas droits de l’homme – c’est le 70e anniversaire, d’ailleurs le 10 décembre, de la Déclaration universelle des droits humains. Le débat est un débat politique classique, vous l’avez souvent entendu à la télévision, dans les journaux, sur les réseaux sociaux, par exemple quand il s’agit de la lutte contre le terrorisme, on peut s’empailler sans fin sur liberté-sécurité et souvent il est présenté de manière binaire. On ne peut pas vraiment discuter, en fait, ça part souvent très vite de manière binaire et donc c’est très difficile d’analyser réellement les mesures de sécurité.<br/> | ||
| + | Par exemple en matière de lutte contre le terrorisme, dès qu’on pose une critique ou même simplement une question c’est : « mais alors vous êtes pour les terroristes », donc on peut difficilement analyser les mesures de sécurité, voir si elles sont pertinentes, si elles sont efficaces. Il ne suffit pas d’être liberticide pour être efficace, c’est plus compliqué que ça. On a donc du mal à faire avancer la sécurité dans ce cas-là.<br/> | ||
| + | C’est par exemple qui est longuement discutée dans les bouquins de Bruce Schneier. Si vous vous intéressez à la sécurité informatique, il faut vraiment lire tous ses livres notamment <em>Au-delà de la peur</em>, qui n’est pas de la sécurité informatique ; <em>Au-delà de la peur</em> est surtout consacré à la lutte contre le terrorisme et il montre que ce n’est pas juste parce qu’une mesure est pénible qu’elle est efficace. Elle peut être pénible, dangereuse pour les libertés, et être quand même inefficace. Les deux, en fait, sont cruciales. Évidemment on a besoin de liberté et de sécurité, je crois qu’il n’y a pas grand monde qui va dire le contraire, enfin j’espère, mais la sécurité est très souvent utilisée comme un prétexte. Par exemple quand il y avait eu un piratage au ministère de l’Économie, à Bercy, l’infection s’était faite par un grand classique, un message où il y avait une charge utile dans la pièce jointe liée au message ; quelqu’un l’avait ouvert, enfin les sujets dont avait parlé l’orateur de l’ANSSI ce matin. Dans les mesures qui avaient été prises suite à ce piratage, le ministère avait bloqué l’accès à Twitter depuis les locaux alors que Twitter n’avait absolument rien à voir avec le piratage, mais c’était présenté pour des raisons de sécurité. En fait ça faisait longtemps que ça gonflait des gens au ministère que les employés utilisent Twitter donc le piratage a été un excellent prétexte pour faire passer des mesures qui n’avaient rien à voir avec la sécurité.<br/> | ||
| + | Ça c’est un grand classique et il suffit de dire dans beaucoup de discussions « c’est pour des raisons de sécurité » et là, plus de discussion possibles. | ||
| + | |||
| + | Le débat est classique, liberté et sécurité, c’est un débat très fréquent, mais beaucoup moins fréquent dans le monde du numérique, dans le monde de la cybersécurité. Là on constate qu’il n’y a pas tellement ce débat politique. C’est souvent traité comme un problème purement technique : on prend des mesures de sécurité, on ne discute jamais ou très rarement en tout cas, de leurs conséquences politiques, de leurs conséquences sur les libertés, de leurs conséquences sur les droits humains. Au début c’était justifié par le fait que le monde numérique était un petit truc, très à part, pour lequel on se disait : il n’y a pas vraiment d’enjeu politique, mais aujourd’hui où la quasi-totalité des activités humaines se mène en grande partie sur Internet ou via des systèmes informatiques, ce n’est plus possible. Toute décision aujourd’hui qui affecte, d’une manière ou d’une autre, l’utilisation des outils numériques, l’utilisation de l’Internet, forcément va avoir des conséquences politiques et donc doit être discutée comme telle, c’est-à-dire doit être pesée, genre quels sont les avantages, quels sont les inconvénients ? Qu’est-ce qu’on perd, qu’est-ce qu’on gagne ? Je cite encore une autre phrase favorite de Bruce Schneier, « la sécurité c’est toujours un compromis », c’est-à-dire qu’on va gagner en sécurité, on l’espère si les mesures sont bien conçues, on va perdre sur d’autres aspects, par exemple le coût, le côté pratique, des choses comme ça, et ce calcul, cette balance entre les deux est très rarement faite dans le monde de la cybersécurité où, en général, on saute d’autant plus rapidement que la sécurité c’est compliqué. Ce n’est pas évident. Qu’est-ce qui est le mieux pour la sécurité ? Souvent il y a des mesures qui peuvent sembler améliorer la sécurité, mais, en fait, sont dangereuses ; il y a eu des tas de débats là-dessus. Et en plus la sécurité, dans le monde numérique, eh bien il y a un aspect technique ; c’est compliqué. J’ai encore eu l’autre jour une discussion avec quelqu’un à qui je prônais l’utilisation du chiffrement comme l’a fait l’ANSSI ce matin, notamment spécialement dans le contexte de http, qu’il fallais que le site web soit en https mais, et m’expliquait que « mais non, parce qu’en fait htpps ce n’était pas sûr et donc ça ne servait à rien de mettre https ».<br/> | ||
| + | Donc il y a des débats comme ça techniques, pas évidents parce qu’il n’a pas complètement tort, mais je ne peux pas en plus lui dire « tout ça c’est faux ». Il faut argumenter, il faut discuter et ça contribue à dépolitiser le débat. On oublie plus facilement les aspects politiques quand il y a un aspect technique compliqué qui fait que la majorité des citoyens, n’étant pas technicienne, se sent exclue. | ||
| + | |||
| + | ===La liberté=== | ||
| + | |||
| + | La liberté. C’est déjà un concept compliqué la liberté ! Si on se limite même déjà à la Déclaration universelle des droits humains, il y a des aspects dans cette Déclaration qui peuvent rentrer en conflit l’un- l’autre. Par exemple elle dit à la fois, cette Déclaration, que la liberté d’expression c’est important, mais aussi qu’on n’a pas le droit de se faire insulter ou harceler, donc les deux. On a des droits qui ne sont pas absolus, ça les rend compliqués. Et puis en plus il y a les libertés théoriques et les libertés réelles. Pour prendre un exemple typique, dans un pays comme la France on a le droit de sortir dans la rue à n’importe quelle heure, comme on veut, il n’y a pas de contrainte là-dessus, mais cette liberté est théorique ; par exemple pour les femmes elle est beaucoup plus théorique que pour les hommes, puisque sortir seule le soir peut être beaucoup plus dangereux. Il y a souvent des problèmes comme ça qui rendent difficiles les débats autour de l’exercice de la liberté.<br/> | ||
| + | Dans un pays comme la France très peu de gens vont dire ouvertement qu’ils sont contre les libertés. Ça arrive de temps en temps, mais enfin c’est quand même relativement rare, en général tout le monde dit qu’il est pour, mais en pratique, derrière, ça ne veut pas dire que les gens, en plus, soient réellement sincères. Donc des fois, quand on dit qu’on est pour la liberté, c’est ce que les États-Unis appellent le <em>libservice</em>(???), c’est-à-dire qu’on le dit parce qu’il faut le dire, mais derrière on n’en pense pas moins et ça revient souvent dans les discussions.<br/> | ||
| + | La liberté évidemment, ça implique la liberté de critiquer la sécurité. C’est l’exemple que j’avais cité sur le terrorisme où c’est très difficile de participer à une discussion sur les mesures qui sont prises pour lutter contre le terrorisme, parce que dès qu’on émet une critique pouf ! on est classé comme partisan des terroristes. Ça c’était une discussion le coup des œuvres protégées, c’était par exemple la discussion qu’il y avait eue récemment sur une directive européenne, pas le RGPD qui est un règlement mais une autre sur le copyright où, dès qu’on émettait des critiques, c’était « oui mais vous êtes pour tuer les artistes alors » ou alors « oui mais vous êtes payé par Google ». Donc ça rend souvent difficile les discussions. | ||
| + | |||
| + | ==8’ 40== | ||
| + | |||
| + | ===La sécurité=== | ||
Version du 21 décembre 2018 à 14:56
Titre : La sécurité est-elle l'amie ou l'ennemie de droits humains ?
Intervenants : Stéphane Bortzmeyer
Lieu : Journée de la sécurité informatique en Normandie - Rouen
Date : novembre 2018
Durée : 38 min
Diaporama support de la conférence
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos de l'intervenant mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Statut : Transcrit MO
Transcription
Bonjour.
Traditionnellement dans les conférences de sécurité, surtout quand ça s’adresse à un public d’étudiants en informatique, on a des conférences sur des sujets très techniques, du reversing de malware sur Windows, avec du code Assembleur en version fontwork qui défile sur l’écran ; ou alors des trucs : « comment pirater sa Tesla » ou des choses de ce genre. Ici, non. Je vais surtout parler de politique donc ça va être moins rigolo question ce qui défile sur l’écran, moins technique, mais c’est parce que j’ai l’impression que dans le domaine de la sécurité les aspects politiques, éthiques, sont souvent passés un peu sous le tapis alors qu’ils méritent un peu d’intérêt.
Liberté et sécurité
D’abord quelques trucs de niveau conceptuel et ensuite, quand même, quelques études de cas sur des sujets techniques pour montrer en quoi il y a un rapport entre la sécurité et des questions d’ordre politique.
Le débat liberté-sécurité, ou sécurité droits de l’homme, comme vous voulez le positionner, pardon droits humains pas droits de l’homme – c’est le 70e anniversaire, d’ailleurs le 10 décembre, de la Déclaration universelle des droits humains. Le débat est un débat politique classique, vous l’avez souvent entendu à la télévision, dans les journaux, sur les réseaux sociaux, par exemple quand il s’agit de la lutte contre le terrorisme, on peut s’empailler sans fin sur liberté-sécurité et souvent il est présenté de manière binaire. On ne peut pas vraiment discuter, en fait, ça part souvent très vite de manière binaire et donc c’est très difficile d’analyser réellement les mesures de sécurité.
Par exemple en matière de lutte contre le terrorisme, dès qu’on pose une critique ou même simplement une question c’est : « mais alors vous êtes pour les terroristes », donc on peut difficilement analyser les mesures de sécurité, voir si elles sont pertinentes, si elles sont efficaces. Il ne suffit pas d’être liberticide pour être efficace, c’est plus compliqué que ça. On a donc du mal à faire avancer la sécurité dans ce cas-là.
C’est par exemple qui est longuement discutée dans les bouquins de Bruce Schneier. Si vous vous intéressez à la sécurité informatique, il faut vraiment lire tous ses livres notamment Au-delà de la peur, qui n’est pas de la sécurité informatique ; Au-delà de la peur est surtout consacré à la lutte contre le terrorisme et il montre que ce n’est pas juste parce qu’une mesure est pénible qu’elle est efficace. Elle peut être pénible, dangereuse pour les libertés, et être quand même inefficace. Les deux, en fait, sont cruciales. Évidemment on a besoin de liberté et de sécurité, je crois qu’il n’y a pas grand monde qui va dire le contraire, enfin j’espère, mais la sécurité est très souvent utilisée comme un prétexte. Par exemple quand il y avait eu un piratage au ministère de l’Économie, à Bercy, l’infection s’était faite par un grand classique, un message où il y avait une charge utile dans la pièce jointe liée au message ; quelqu’un l’avait ouvert, enfin les sujets dont avait parlé l’orateur de l’ANSSI ce matin. Dans les mesures qui avaient été prises suite à ce piratage, le ministère avait bloqué l’accès à Twitter depuis les locaux alors que Twitter n’avait absolument rien à voir avec le piratage, mais c’était présenté pour des raisons de sécurité. En fait ça faisait longtemps que ça gonflait des gens au ministère que les employés utilisent Twitter donc le piratage a été un excellent prétexte pour faire passer des mesures qui n’avaient rien à voir avec la sécurité.
Ça c’est un grand classique et il suffit de dire dans beaucoup de discussions « c’est pour des raisons de sécurité » et là, plus de discussion possibles.
Le débat est classique, liberté et sécurité, c’est un débat très fréquent, mais beaucoup moins fréquent dans le monde du numérique, dans le monde de la cybersécurité. Là on constate qu’il n’y a pas tellement ce débat politique. C’est souvent traité comme un problème purement technique : on prend des mesures de sécurité, on ne discute jamais ou très rarement en tout cas, de leurs conséquences politiques, de leurs conséquences sur les libertés, de leurs conséquences sur les droits humains. Au début c’était justifié par le fait que le monde numérique était un petit truc, très à part, pour lequel on se disait : il n’y a pas vraiment d’enjeu politique, mais aujourd’hui où la quasi-totalité des activités humaines se mène en grande partie sur Internet ou via des systèmes informatiques, ce n’est plus possible. Toute décision aujourd’hui qui affecte, d’une manière ou d’une autre, l’utilisation des outils numériques, l’utilisation de l’Internet, forcément va avoir des conséquences politiques et donc doit être discutée comme telle, c’est-à-dire doit être pesée, genre quels sont les avantages, quels sont les inconvénients ? Qu’est-ce qu’on perd, qu’est-ce qu’on gagne ? Je cite encore une autre phrase favorite de Bruce Schneier, « la sécurité c’est toujours un compromis », c’est-à-dire qu’on va gagner en sécurité, on l’espère si les mesures sont bien conçues, on va perdre sur d’autres aspects, par exemple le coût, le côté pratique, des choses comme ça, et ce calcul, cette balance entre les deux est très rarement faite dans le monde de la cybersécurité où, en général, on saute d’autant plus rapidement que la sécurité c’est compliqué. Ce n’est pas évident. Qu’est-ce qui est le mieux pour la sécurité ? Souvent il y a des mesures qui peuvent sembler améliorer la sécurité, mais, en fait, sont dangereuses ; il y a eu des tas de débats là-dessus. Et en plus la sécurité, dans le monde numérique, eh bien il y a un aspect technique ; c’est compliqué. J’ai encore eu l’autre jour une discussion avec quelqu’un à qui je prônais l’utilisation du chiffrement comme l’a fait l’ANSSI ce matin, notamment spécialement dans le contexte de http, qu’il fallais que le site web soit en https mais, et m’expliquait que « mais non, parce qu’en fait htpps ce n’était pas sûr et donc ça ne servait à rien de mettre https ».
Donc il y a des débats comme ça techniques, pas évidents parce qu’il n’a pas complètement tort, mais je ne peux pas en plus lui dire « tout ça c’est faux ». Il faut argumenter, il faut discuter et ça contribue à dépolitiser le débat. On oublie plus facilement les aspects politiques quand il y a un aspect technique compliqué qui fait que la majorité des citoyens, n’étant pas technicienne, se sent exclue.
La liberté
La liberté. C’est déjà un concept compliqué la liberté ! Si on se limite même déjà à la Déclaration universelle des droits humains, il y a des aspects dans cette Déclaration qui peuvent rentrer en conflit l’un- l’autre. Par exemple elle dit à la fois, cette Déclaration, que la liberté d’expression c’est important, mais aussi qu’on n’a pas le droit de se faire insulter ou harceler, donc les deux. On a des droits qui ne sont pas absolus, ça les rend compliqués. Et puis en plus il y a les libertés théoriques et les libertés réelles. Pour prendre un exemple typique, dans un pays comme la France on a le droit de sortir dans la rue à n’importe quelle heure, comme on veut, il n’y a pas de contrainte là-dessus, mais cette liberté est théorique ; par exemple pour les femmes elle est beaucoup plus théorique que pour les hommes, puisque sortir seule le soir peut être beaucoup plus dangereux. Il y a souvent des problèmes comme ça qui rendent difficiles les débats autour de l’exercice de la liberté.
Dans un pays comme la France très peu de gens vont dire ouvertement qu’ils sont contre les libertés. Ça arrive de temps en temps, mais enfin c’est quand même relativement rare, en général tout le monde dit qu’il est pour, mais en pratique, derrière, ça ne veut pas dire que les gens, en plus, soient réellement sincères. Donc des fois, quand on dit qu’on est pour la liberté, c’est ce que les États-Unis appellent le libservice(???), c’est-à-dire qu’on le dit parce qu’il faut le dire, mais derrière on n’en pense pas moins et ça revient souvent dans les discussions.
La liberté évidemment, ça implique la liberté de critiquer la sécurité. C’est l’exemple que j’avais cité sur le terrorisme où c’est très difficile de participer à une discussion sur les mesures qui sont prises pour lutter contre le terrorisme, parce que dès qu’on émet une critique pouf ! on est classé comme partisan des terroristes. Ça c’était une discussion le coup des œuvres protégées, c’était par exemple la discussion qu’il y avait eue récemment sur une directive européenne, pas le RGPD qui est un règlement mais une autre sur le copyright où, dès qu’on émettait des critiques, c’était « oui mais vous êtes pour tuer les artistes alors » ou alors « oui mais vous êtes payé par Google ». Donc ça rend souvent difficile les discussions.
