Différences entre les versions de « Si, vous avez quelque chose à cacher »

"Si, vous avez quelque chose à cacher."

• Titre : Si, vous avez quelque chose à cacher.
• Intervenants : <a href="https://twitter.com/numendil">Numendil</a>
• Lieu : <a href="http://www.passageenseine.org/Passage/pses-2013">Pas Sage en Seine 2013</a>, à <a href="http://lacantine.org/">La Cantine</a>, Paris
• Date : 21 juin 2013
• Durée : 1h14min
• Média : <a href="http://lacantine.ubicast.eu/videos/21-06-2013-125516/" title="Lien vers la vidéo">Lien vers la vidéo</a>
• Licence : CC BY-NC-SA (voire moins restrictif, contacter Numendil)

Résumé :

Des lois censées vous protéger aux entreprises qui rêvent de tout savoir sur vous, il devient de plus en plus compliqué de garder sa vie privée « privée ». Ça l'est encore plus lorsque les principaux concernés vous répondent « Je n'ai rien à cacher. ». Cette affirmation est-elle vraie ? À quels risques nous expose-t-elle ?

Pourquoi et comment en sommes-nous arrivés à tout ceci et, plus important encore, comment faire pour prendre pleinement conscience que si... nous avons tous quelque chose à cacher.

Bonjour - 00m34s transcrit par Beuc

OK, c'est bon ça marche OK.

Alors bonjour, bonjour à tous, bonjour à toutes. Bien mangé, ça va ?

On est ensemble pour à peu près une heure, quelque chose comme ça, sur la tentative de réponse à l'argument bateau "Non, non, je n'ai rien à cacher", qui arrive de plus en plus souvent, dans différentes loi, à gauche à droite, etc., etc.

Qui suis-je ? (bien qu'on s'en moque) - 01m00s

Avant toute chose, petite présentation rapide (bien qu'on s'en tape un peu en fait). Si vous ne me connaissez pas, moi je me présente : donc "numendil", je bidouille un peu sur le Net, à gauche à droite, je gueule sur tout en fait, c'est surtout ça le truc. Je tiens un blog, sur lequel je raconte un peu tout et n'importe quoi. Des fois ça marche, des fois ça marche pas. Des fois ça plaît, des fois ça plaît pas, bref... Et puis, dispo un peu sur quelques plate-formes, Twitter entre autres. Et puis sur le blog, il y a un mail.

[Pardon, mieux? C'est bon? OK]

Il y a un mail si vous avez besoin. Voilà.

Dafuk. - 01mn40s

Le reste, ma foi, ça ne regarde que moi, puisque moi j'ai des choses à cacher. Et la problématique c'est que quand j'aborde ça, quand je commence à dire "J'ai des choses à cacher", on se retrouve souvent sur deux réponses, deux arguments.

Le premier c'est "Ben ouais, mais si t'as quelque chose à cacher, en fait, c'est que t'es un terroriste" - je résume, mais l'idée est un peu là. En gros c'est "C'est mal", partant du principe que si on a quelque chose à cacher, c'est forcément mal. Il y a peut-être un problème dans ces cas-là.

Et puis le deuxième, surtout quand on vient à parler de loi un poil liberticides, ou de PRISM, on se retrouve sur "Moi je m'en fous, je n'ai rien à cacher". OK, c'est cool. Mais sinon ?

On peut se poser deux questions.

• La première des deux, c'est se demander si c'est vraiment vrai, si on a vraiment rien à cacher. Dans ce cas là, ma foi ben tous à poil, c'est parti. Ben c'est vrai, en même temps. On est d'accord ? Il y a bien quelque chose qui fait que des gens viennent à penser cette chose-là. Il n'y a pas une personne sur terre qui pense qu'on a rien à cacher. Ça existe pas partout, fort heureusement, mais ça existe énormément. Il y a bien des éléments qui doivent faire penser aux gens ce genre de choses. On va essayer de les comprendre dans un premier temps, puis essayer d'y répondre dans un deuxième temps.
• Et puis on va aussi se demander si c'est pas dangereux de déclarer ce genre de truc-là. Est-ce que le fait de n'avoir vraiment rien à cacher ne sous-entends pas un certain nombre de risques auxquels on est probablement exposés. Peut-être, peut-être pas, on va aussi essayer de se poser sur ce point-là.

La vie privée... (1) - 03mn17s

Pour se poser sur ce point-là, dans un premier temps, il faudrait définir la vie privée. Le truc est bateau, j'ai pris une définition du dico, du Larousse, comme ça on ira pas troller sur Wikipédia tous ensemble.

"Qui concerne quelqu'un dans sa personne même, dans sa vie personnelle. On parle des appartements privés de la reine."

Ça vient du Larousse.

Ce que je vois, dites-moi si c'est votre avis ou pas, c'est que cette définition-là est imprécise et incomplète. Elle parle d'une chose. Avec l'exemple on a l'impression qu'elle parle de la vie physique. Comme si la vie privée sur l'espace numérique n'existait pas. C'est bizarre. Et j'ai cherché, je me suis dit "Bon, j'ai peut-être pris une vieille version, c'est vrai que les Internets, c'est pas forcément à jour tout le temps...". Non, non, sur tous les dicos, "vie privée" ça parle de choses physiques, du monde des objets. Sauf qu'il n'y a pas que celui-là.

La vie privée... (2) - 04mn10s

Donc si on devait essayer de la redéfinir, dans un premier temps, moi je vous propose quelque chose comme ça :

• Un ensemble d'éléments, physiques ou non, matériels ou non, qui possède un certain degré de confidentialité.
• Ce degré-là va être différent selon quasiment tout le monde, c'est à dire qu'on peut demander ce qu'est la vie privée, je peux vous demander à chaque personne ici ce qu'est la vie privée, il y a de fortes chances que j'ai beaucoup, beaucoup, beaucoup de réponses différentes, avec beaucoup d'arguments différents, beaucoup de variables, prises en compte pour certains, pas prises en compte pour d'autres. L'exemple tout bête, les gens avec qui je peux parler sur un IRC : certains vont considérer que c'est public, d'autres que c'est privé, pourtant c'est la même chose. On appelle ça le cadre de référence - histoire de poser les bons mots. Le cadre de référence, pour celles ou ceux qui ne connaissent pas, c'est lié à plein de choses. Pour résumer, c'est la façon de concevoir les choses différemment. Exemple : le mot "Internet" pour madame Michu, c'est Google. C'est pas une blague. Le mot "Internet" pour moi, c'est tout sauf quelque chose de précis ; c'est du web, c'est un certain nombre de ports... C'est n'importe quoi en fait, on ne sait pas. Pourtant c'est le même mot. Voilà, la cadre de référence, c'est ça. C'est lié à l'éducation, c'est lié au niveau social dans certains cas, c'est lié à l'appréhension, à la perception des choses, et la vie fait partie de ce genre de variable-là, en fait.
• C'est entre autres pour ça que, en soi, on a tous une définition différente. La conclusion de ce premier point-là, comme j'ai expliqué, c'est que en soi, il y a quasi-autant de définitions de la vie privée que de personnes sur Terre. Plus ou moins, il y a des définitions qui se recoupent, mais dans l'ensemble on est sur quelque chose comme ça.

La vie privée... (3) - 05m58s

Si on fait un rapport avec "Je n'ai rien à cacher", ça sous-entend, en fonction de ce qu'on vient de voir, qu'en soi, en fait, on a pas de vie privée. Sachant que, dans la socio, on considère que la vie privée différencie les individus, on peut se dire que si on a pas de vrai, on a pas de vie. Bon ça plaît pas souvent aux gens quand vous leur dites ça:

- "Ouais, j'ai rien à cacher !" - "Ouais, OK, t'as pas de vie, bon ben va t'acheter une vie, quoi."

Ça ne marche pas trop, comme argument. C'est assez extrêmiste d'ailleurs, ce truc-là, on a tendance souvent à aller clasher les gens quand on essaie de répondre au "je n'ai rien à cacher". La problématique c'est qu'on tombe dans des extrêmes assez rapides, aussi extrêmes que "je n'ai rien à cacher", et le débat n'avance pas. Et on bloque, il y a pas mal de gens qui bloquent sur ce point-là. J'ai bloqué pendant pas mal de temps sur ce point-là aussi, en fait.

Il faut aussi comprendre un autre point, ça c'est une des réponses au "ouais, de toute façon si t'as quelque chose à cacher, c'est quelque chose de mal, t'es un terroriste pédophile". En France c'est la pédophilie qui sert à ce genre d'arguments. La vie privée, elle n'est pas mauvaise, elle n'est pas bonne, elle est privée, voilà. Et c'est juste le principe. Ce que je fais chez moi ça ne regarde personne. Je suis en train de lire : ça ne regarde personne. J'ai le droit de lire un livre sans qu'il y ait un mec derrière en train de me dire : "Hmm, dis-donc, t'es en train de lire un truc cheulou quand même". Sur Internet, ce truc-là n'existe pas. Quand vous lisez quelque chose sur un site, vous laissez des traces, on laisse tous des traces quelque part, il y a des logs qui sont conservés à gauche à droite par différents FAI parce que de toute façon ils ont l'obligation légale de le faire. C'est comme si vous étiez en train de lire un livre, sauf que là il y a quelqu'un qui regarde derrière vous.

Et puis, le dernier point sur cette première partie, c'est de ce dire qu'en soi, la protection de la vie privée numérique n'est pas tant différente que ça de la vie privée physique. On a un ensemble de réflexes depuis qu'on est gamin, de "Attention, il ne faut pas parler à des inconnus, ça peut être dangereux.", "Il ne faut pas monter dans le camion si on te propose d'acheter des bonbons, ou de..." - voilà, je ne vous fait pas le rapport... "Vas-y, monte dans ma camionnette, j'ai des bonbons".... On sait tous et toutes que c'est dangeureux, qu'il y a un problème dans ces cas-là. Ces réflexes-là, qu'on a acquis, qui sont vraiment naturels dans la vie physique, on ne les a pas forcément tous et toutes dans la vie numérique. On ne pense pas forcément à chiffrer ses communications. C'est comme si vous étiez en train d'envoyer une lettre avec une carte postale et des trucs qui clignottent : "Regarde, c'est ici que tu peux lire tout ce que je suis en train de dire". Votre navigation c'est pareil, vos SMS c'est pareil, vos appels c'est pareil... Tout ce qui est numérique au final, c'est pareil. Rajoutons à ça quelques récents événements d'espions, tout ça, partout, "PRISM c'est le mal", et vous avez un Big Brother en puissance.

Quand on ramène cet argument-là en disant, "Ben voilà, la vie physique n'est pas tant différente de la vie numérique, en fait, l'un et l'autre ont besoin d'être protégés à différents niveaux", ben, de plus en plus on a: "ouais, mais en fait... non.", par une entité particulière qu'on va aborder juste après, et pour des raisons particulières qu'on va aussi aborder juste après.

... versus "la loi" - 09mn13s

En fait, l'entité en question, c'est la loi, c'est à dire que la loi vous explique qu'au final, votre vie privée, on s'en tamponne, pour de vrai, qu'il y a des choses plus importantes que votre vie privée, des choses qui méritent que votre vie privée ne soit plus si privée que ça, en fait. En France, vraiment, le maronnier de la vie privée, c'est la lutte contre la pédophilie. Aux États-Unis, c'est le terrorisme. D'ailleurs on vous dit: - "Oui mais regarde, il y a des pédophiles!" - "Oui..." - "Donc il faut les arrêter!" - "Oui..." - "Donc on va te mettre sous surveillance avec des caméras partout et un mec chez toi en permanence, et ta connexion on va la fliquer en permanence aussi!" - "A... Ah d'accord..."

C'est à dire que l'objectif est bon, en soi - sauf les trolls : qui dans cette salle est pour la pédophilie ? ... On a dit "pas les trolls", non les deux là-haut non, pas les trolls. On ne peut pas en soi, être fondamentalement pour, comme on ne peut pas être pour le terrorisme, comme on ne peut pas être pour la vente de médicaments contrefaits, qui sont dangeureux, potentiellement mortels - ACTA, c'était un peu ça. Donc on vous explique que la cause est bonne, et que du coup votre vie privée, on la remet un peu au second plan. C'est vraiment ce qui remonte de plus en plus. C'est volontairement remonté comme ça, tout du moins je pense que c'est volontairement remonté comme ça par l'ensemble des gouvernements, parce que ce serait beaucoup trop compliqué de gérer votre vie privée dans toutes les lois. On l'a expliqué juste avant : votre vie privée, il y a un énorme nombre de variables à prendre en compte, incalculable en soi. Demandez à un gouvernement de prendre en compte toutes les variables qui protègent votre vie privée, qui composent votre vie privée... déjà que les lois durent longtemps, enfin elles sont longues à arriver, c'est un coup à ce qu'elles arrivent juste jamais. Donc, on ne s'embête pas en fait, "non, ces trucs-là, non, on s'en fout, la vie privée c'est simple, c'est binaire, c'est ce qu'est chez toi, et ce qui est sur Internet, c'est pas privé, c'est public". Bon, OK... Mais moi je ne suis pas d'accord.

... versus "la loi" (2) - 11mn09s

Quand vous commencez à vous inquiéter, justement quand vous n'êtes pas d'accord et que vous allez chopper vos députés sur le Net, sur PiPhone (merci la Quadrature), que vous les alertez pour leur dire: "Bon, je suis OK, je suis d'accord, la pédophilie c'est mal, mais est-ce que c'est normal qu'on me mette sous surveillance, je veux dire, bon c'est peut-être un peu disproportionné, quoi. Non?". Les gouvernements viennent vous répondre, exemple du gouvernement anglais, "Mais en même temps, si t'as rien à cacher t'as rien à craindre". Très binaire, hein, comme réponse. "Si t'as rien à cacher t'as rien à craindre", ça veut dire que si t'as quelque chose à cacher, genre ta vie privée, t'as quelque chose à craindre. Si on continue un peu, et qu'on arrive à la réflexion la plus poussée, et potentiellement la plus absurde, "si t'as quelque chose à cacher t'as quelque chose à craindre, donc si t'as quelque chose à cacher c'est que t'es un terroriste, donc on va t'arrêter". Si vous avez des choses à cacher dans cette salle, vous allez tous vous faire arrêter par la DCSI??? dans pas longtemps. L'idée est là. Et il n'y a pas que le gouvernement anglais; je prends l'exemple de ce gouvernement-là parce qu'en ce moment, il y a pas mal de choses qui se passent en angleterre, il y a des problèmes de renforcement de la sécurité du territoire, il y a des problèmes d'installation de caméras de surveillance un peu partout, le MI-5 a eu aussi l'autorisation l'année dernière, par le gouvernement anglais, de s'introduire dans quasiment n'importe quelle communication numérique, ce qui sous-entend mail, SMS, discussions, etc., et tout ce qui est chiffré, beaucoup trop, en fait ils ne prennent pas la peine de demander aux gens leur clef, ils les arrêtent, ça va plus vite. Je trouve ça plutôt sympa, ça ressemble presque à un régime totalitaire, mais faut pas dire ça, c'est mal.

... versus les entreprises - 12mn44s

Le deuxième point, il n'y a pas que la loi, il n'y a pas que les gouvernements, dans la notion de vie privée. Les entreprises aussi sont concernées aussi par votre vie privée. Entre autres Facebook, mais on va y venir. Elles ne jouent pas sur le même terrain, c'est à dire elles ne jouent pas sur la lutte contre le terrorisme, elles ne jouent pas sur la lutte contre la pédophilie - encore que, Facebook, mine de rien, est bien réputé pour lutter contre ce genre de choses-là sur leur site, sur leur Internet dans les Internets. Les entreprises ont en soi compris que votre privée, il y a beaucoup, beaucoup, beaucoup, beaucoup, beaucoup d'argent à faire avec. Parce que vous laissez des données, parce que vous aimez des groupes, parce que vous rejoignez différents cercles d'amis - enfin appelez-le comme vous voulez, cercle, groupe, liste, ça reste le même principe. Des gens qui ont un centre d'intérêt commun, ça veut dire qu'on peut cibler ces intérêts-là, ça veut dire qu'on peut proposer des choses qui vont répondre à ces intérêts-là. À nouveau, si on présente ça dans la vie physique cette fois-ci, en fait c'est comme si vous - je reprends l'exemple du libre - comme si vous étiez en train de lire un livre, et que du coup il y avait un mec derrière qui vous disait : "Hmmm, tu lis ce livre-là ? Achète celui-là, tu vas kiffer". C'est exactement la même chose. Sauf que ça dans la vie physique, personne ne l'accepte, vous avez - à nouveau, sauf les trolls - qui serait capable d'accepter un mec en permanence H24, en train de filmer tout, chez lui ?

Public: On peut le tabasser aussi ?

Numendil : Hmmm, ça dépend. Non, on a pas le droit de le tabasser. Non. Voilà. OK. C'est la même, hein, enfin, de... quoique ça pourrait être une expérience vachement drôle. Ou pas. Ça existe déjà, je suis con, ça s'appelle Secret Story, Loft Story, je suis bête en fait, pfff! Oui.

Juste pour l'annecdote, même dans ces séries-là en fait, les gens ont des choses à cacher. Il y a des passages sans caméra, ou officiellement sans caméra qui sont publiés derrière sur des sites cheulous. Mais bon, passons.

Je reprends.

Ça pourrait être le slogan de Facebook, ça pourrait être vachement bien, ce serait au moins plus honnête : "Si c'est gratuit, c'est que c'est vous le produit". On l'entend souvent, enfin je suis souvent à le croiser cet argument-là, faut m'expliquer comme Facebook - OK, on dégage la pub, encore que non puisque la pub elle cible vos... elle cible de que vous faites et les sites sur lesquels vous naviguez. Donc en soi la pub elle est concernée. On dégage allez, les partenaires, les prestataires, encore que - on pourrait se dire qu'ils récupèrent vos données. Donc, faut m'expliquer comment Facebook est capable de se faire de l'argent, de rentrer en bourse - OK ils sont en train de se viander, ils sont en train de perdre des gens, ils sont en train de descendre en bourse, etc., mais il faut m'expliquer comment ils ont fait rentrer avec un business model de génie, faut pas se leurrer, Zuckerberg, c'est une bête de génie, le mec il arrive, il pose un site, il dit "OK, moi il y a le site", mettez vos données dessus, c'est tranquille c'est cool, pis ben moi après je les vends. En fait le mec il fait rien : il prend vos données, il les récupère, il les vend; en fait vous bossez pour Facebook - si vous avez un compte Facebook. J'ai un compte Facebook, donc je bosse pour Facebook. Comme Google avec des Google Glasses, etc., ce sera pareil.

Quelques exemples... - 16mn04s

Dans les autres exemples qu'on peut citer, donc...

Facebook on l'a déjà vu.

Yahoo, si vous avez suivi l'actu, vous avez vu il y a quelques semaines que Yahoo a déclaré comme ça, nickel, "Oui alors on va installer un petit truc qui nous autorise à lire tous vos mails". Bon ils ont pas mis ça en plein page de Yahoo, histoire de pas faire peur aux gens quand même, mais ils ont fait passé une note, en expliquand que "Ben voilà, pour lutter contre le spam..." - le spam c'est pareil, c'est chiant, ça pollue nos boîtes - "luttons contre le spam, mettons tout le monde en DPI [Deep Packet Inspection]" avec un beau flicage de vos données en fait. Donc voilà, Yahoo a déclaré ça il y a pas longtemps, "Ouais ben on va aller lire vos mails". Pour info, je crois qu'OVH veut faire pareil dans pas longtemps, il me semble. Et je vois des "oui" à gauche à droite, donc merci.

Microsoft c'est pareil: ils ont sorti un XBox One - alors, en tant que joueur, j'ai regardé le truc, je me suis dit "Ouais putain, c'est pas mal quand même, c'est bien foutu, bon ça a son esthétique, pourquoi pas... Non franchement c'est cool". Après j'ai un peu lu les spécificités, je remercie d'ailleurs ???skaène??? puisqu'il en a parlé longuement sur les Internets, puis on se dit "Tiens, il y a un Kinect, tiens il est obligatoire. Tiens c'est cheulou quand même. Tiens il y a un détecteur de mouvement. Tiens il y a un micro, pourqu'on puisse lui causer. Hé c'est super cool, on peut lui causer directement! Le truc il est activé en permanence!" Je vous laisse comprendre, imaginez, je sais pas, vous passez - je vous donne un exemple gentil, mais on peut partir dans des exemples qui respectent la règle du porn - vous êtes avec des amis en train de causer, hé ben votre XBox, qu'est-ce qui vous prouve qu'elle est pas capable de capter tout ce que vous êtes en train de dire ? Microsoft le dit à un moment, dans une explication ils expliquent : "Voilà, on met de la VOD en place, vous allez voir c'est super bien, euh, par contre, euh, si vous la louez pour deux personnes, s'il y a une troisième personne qui débarque, ben le truc il s'arrête." Ça veut bien dire quelque part que leur système de détection de mouvement, il est activé H24. Alors ils ont fait marche arrière, hier il me semble, ils ont changé deux-trois trucs, la Xbox ne devra pas obligatoirement être connectée à Internet une fois par jour, et deux-trois améliorations comme ça mais globalement ça ne change pas grand chose. Il y a un capteur quelque part, ces données-là on ne sait pas où elles vont. On sait qu'elles vont chez Microsoft, mais on sait que Microsoft va plus ou moins chez la NSA et d'autres quelque part part là. Ouais, c'est vrai, sur le principe... Ouais?

Public : [inaudible] annoncé qu'ils ??? au [inaudible]

Numendil : Ah je n'ai pas vu ce point-là.

Public: pour améliorer les ???spams??? [inaudible] ça a été annoncé par Microsoft

Numendil : D'accord. Donc ils allaient prendre des morceaux, des samples à... comme ça, random ? Bon alors voilà, Microsoft annonce donc qu'ils vont prendre des morceaux de vidéos pour améliorer l'expérience du joueur, peut-être la reconnaissance de mouvements ou de trucs comme à ça. Alors ils n'ont pas précisé comment à première vue, ni quand, ça pourrait être funky quand même, je vous laisse imaginer sur le coup, règle 34 oblige, je vous laisse imaginer certains moments où on pourrait vraiment s'amuser avec la détection de mouvement. Si vous ne savez pas ce que c'est que la règle 34, Google peut vous répondre là-dessus. Avec des poneys. "poney règle 34", vous verrez. Désactivez le filtre parental, sinon ça marche pas. - GMail fait pareil, Google l'a annoncé, il annonce, 'fin, quand on lit les petites lignes de chez Google en fait, on se rend compte rapidement que ben vos mails, ils sont pas si protégés que ça. Alors il n'y a pas longtemps ils ont vendu un truc génial aux utilisateurs, Google, ils ont dit "Ouais, vous pouvez chiffrer vos mails, directement, à la volée, en rentrant une clef". Ouais, enfin, la clef vous la rentrez sur GMail, chez Google, je veux juste dire ça comme ça : qu'est-ce qui vous prouve par A+B que Google récupère pas cette clef à la volée ? Rien ! Ce n'est pas écrit ! On ne le sait pas. Et puis si on allait taper dans les trucs de Google, il y a un moment où on se ferait taper dessus parce qu'on est terroristes, on a pas le droit d'aller voir le code. Encore que Google est plus libre que d'autres - Microsoft, tout ça... Enfin bref.

Les pubs passives, c'est pareil. Vous allez sur un site A, vous allez sur le site B juste derrière : "Ah attends c'est trop bien, il y a des pubs du site A, c'est cool !". On se dit tous ici : "Mais c'est quand même vachement cheulou puisque... comment le site il fait pour récupérer ça quoi?" Il y a des gens que ça ne dérange pas. Mais il faut réfléchir plus loin que "ça dérange pas". C'est le principe : comment ces données font pour être récupérées ? Pourquoi ces données sont récupérées. Si vous lisez un livre dans votre vie, dans votre bibliothèque, il n'y a pas un mec quelque part qui quand vous sortez va vous dire : "Hmmm, tu as lu ce livre-là, je te conseille celui-là". On revient au même exemple. C'est pareil. Ça reste des données de la vie privée. Le pseudo par exemple sur Internet, c'est pareil. Il y a un pseudo, il y a un nom derrière, on est pas obligé de le mettre, en fait on a le choix, c'est ça l'idée. On nous dirait, sur GMail ou dans les pubs passives, "Est-ce que vous acceptez que les sites sur lesquels vous naviguez soient fliqués en permanence pour vous proposer du..." - enfin, non - "soit observés pour vous proposer du contenu personnalisé ?" C'est comme ça que c'est vendu. Sous-entendu : pour regarder tout ce que vous êtes en train de faire au passage. On aurait le choix, limite ça ne dérangerait presque pas, puisque c'est l'utilisateur qui a le choix final de la chose. Sauf qu'on ne l'a pas. Ou alors il faut vraiment se mettre à bloquer tout : et les contrôles, et les Java, et le Flash, et machin, et les cookies, bidule, en gros il faut avoir un Internet qui marche plus très puisque la moitié des sites fonctionne avec au moins un de ces trucs-là. Donc on a pas la version complète du site.

Dans les derniers exemples, si vous avez suivi l'actu aussi, la RATP s'est fait prendre la main dans le sac avec un projet - alors, entre temps le projet il a été abandonné, il y a eu des confirmations, "Non, non, c'est pas bon", etc., mais - la RATP s'est fait prendre la main dans le sac avec un projet de reconnaissance faciale dans le métro, pour détecter les individus ayant des comportements suspects, dangeureux, en infraction, etc. Ça sous-entend au passage que tous les usagers du métro sont surveillés. Ils le sont déjà par leur trajet, si vous avez une carte Navigo c'est pareil, vous avez un petit espion dans la poche, mais [là] on passe à l'étape d'après. Ils ont abandonné le truc en disant "Non, non, c'était une erreur, c'était pas prévu, on s'est gourrés, ça n'a pas été validé par la hiérarchie", beaucoup de monde, y compris moi, sommes convaincus que c'est "Oui on l'abandonne, parce qu'en fait on s'est fait grillés. La prochaine fois on le fera sans se faire griller, comme ça ce sera plus pratique, les gens viendront pas nous taper dessus".

Et puis, toutes les lois en "-A" : ACTA, SOPA, PIPA... Bon LOPPSI il n'y a pas de "A" mais c'est un peu pareil. La lutte contre le terrorisme, la lutte contre les infractions, la lutte contre la contre-façon, la lutte contre les infractions au droit d'auteur, c'est super cool, c'est sans doute très louable, sauf pour le droit d'auteur, j'ai tendance à vomir dessus. Mais à nouveau, on est sur quelque chose de complètement démesuré : on met sous surveillance l'ensemble de la population au motif que "Peut-être qu'un jour vous allez faire quelque chose. Peut-être. On est pas sûrs mais vu qu'on a un doute... De toute façon un de ces quatre vous ferez un truc. Vous êtes tous suspects là-dedans en fait".

Cas particulier : PRISM - 23mn06s

Un petit cas particulier, un gros cas particulier sur lequel je ne vais pas m'éterniser parce qu'il y a eu un débat hier soir dessus il me semble, il y a eu une introduction là-dessus, il y a eu un passage hier matin, très paradoxal, d'une personne qui vous expliquait que PRISM c'était dangeureux... sous Microsoft, avec un GMail et un Blogspot - enfin bref, PRISM en soi, ce programme de surveillance américain qui surveille surtout beaucoup de personnes de l'étranger puisque la constitution protège mieux les citoyens américains que les citoyens étrangers, PRISM en soi c'est une belle démonstration, c'est "On sait jamais, vous êtes tous potentiellement coupables de quelque chose, donc dans le doute on va fliquer tout le monde". Le 11 septembre a eu quand même pas mal de conséquences, logiques, qui sont le renforcement de la lutte contre le terrorisme; ça peut se comprendre en même temps, vous avez des centaines de morts, deux bâtiments qui tombent, un drame, on peut comprendre que. Par contre, ce qu'il aurait, enfin il aurait peut-être été bien d'annoncer quelque chose, je ne sais pas quelque part, "Bon ben voilà, on va mettre tout le monde sous surveillance", histoire de ne pas l'apprendre de cette façon, parce qu'un whistleblower a décidé de balance l'info. Et de perdre toute sa vie au passage, mais bon c'est encore un autre débat.

Cet exemple-là, vraiment, c'est peut-être juste la partie visible de tout le reste en fait. Sur le Guardian, en Anglettre du coup, il y a pas mal de journalistes qui s'accordent à dire que cette partie-là, OK on a eu du bol, on la connait, par contre le reste on le connait pas encore. Et puis c'est pareil, il y a déjà des choses qui existent comme ça en France. Vous avez récemment deux journalistes, ???Pierre Alonzo et Andréa???, je ne sais plus son nom, si vous savez, si vous connaissez... Ouais, je ne sais pas si elle est là ou pas. Non? Si!... qui ont fini dans les locaux des renseignements pour avoir balancé des infos sur les futurs grandes oreilles du gouvernement. On se dit "Tiens, c'est quand même vachement bizarre... Je ne sais pas, ils ont fait leur boulot de journalistes, peut-être qu'ils ont révélé des informations ultra-sensibles et méchamment confidentielles..." Mais bon, dans tous les cas, ce truc-là est là pour vous surveiller, pour surveiller vos données, ce serait peut-être bien que la population le sache. Mais on vous répondra que "Ben oui mais si la population le sait, les terroristes ils vont le savoir". Bon les terroristes et les pédophiles, sérieusement ils ne nous ont pas attendu pour chiffrer leurs communications. Ça fait longtemps qu'ils le font, donc ça ne changera pas grand chose à la donne. Sauf qu'on mettra tout sous surveillance.

Das its ein problem ! - 25mn37s

En prenant cet exemple-là, de l'apprendre comme ça, il y a quand même quelque part un problème, qui est soulevé en permanence, mais qui est jamais résolu... on a jamais de réponse, ou alors la réponse : "Ouais enfin en même temps si t'es contre c'est que tu as [des choses] à cacher" - encore et toujours.

On est pas forcément conscients de tout ça, même encore si dans cette salle tout le monde ou presque tout le monde a appris ce que c'était PRISM, dans la rue je ne suis pas certain que ce soit le cas. Si tout le monde ou presque tout le monde a appris qu'il y avait des grandes oreilles qui démarraient au niveau du gouvernement français, des services de renseignements français, c'est pareil : qui le sait, dans le grand public ? [Pardon.] Qui le sait dans le grand public, qui le sait dans la masse ? Un pourcent, deux pourcent ? Aller, peut-être cinq, si vraiment je suis un Bisounours et que je crois aux miracles ?

Le deuxième point dans ce gros problème à souligner, c'est que souvent les gouvernements vont quand même vous dire : "Oui mais, on récupère que des données statistiques, etc., etc." L'exemple de la NSA et de PRISM est assez représentatif, c'est à dire que les gouvernements bossent main dans la main avec les grosses sociétés. Faut pas croire que les grosses sociétés soient contentes de le faire, elles n'ont juste pas le choix. La NSA par exemple, pour revenir sur ce truc-là, et tout ce qui est Google, Apple, Facebook, etc., elles n'ont juste pas le choix de bosser avec les gouvernements. C'est : - "Bonjour, on veut vos données" - "Bah, non" - "OK, on va faire autrement : Bonjour [avec le fusil à pompe et la barre à mine], maintenant on veut vos données" et puis ça ne marche pas, on ramène la loi. Ça se fait. Ça pose problème quelque part.

Le vrai risque, dans tout ça, c'est quelque chose dont le "je n'ai rien à cacher" n'est absolument conscient, c'est l'évolution de l'état policier au fur et à mesure des années. On commence par un tout petit truc, on dit "Ben voilà, il y a des problèmes, il y a des infractions dans Paris tiens, on va mettre des caméras". Ou "Il y a des infractions sur Internet, on va surveiller toute la population". Imaginons, projetons-nous un peu dans un scénar qui arrivera peut-être, même si j'espère franchement pas. Donc on va surveiller toute la population, on ne sait jamais, il y a peut-être des terroristes. Bon, OK, c'est cool, ouais génial, comme ça on va repérer les terroristes, et la France sera un pays de Bisounours, ce sera cool. Puis après on va vous dire : "Bon, on va repérer les gens qui naviguent sur des sites X ou Y". D'accord, OK, c'est cool, c'est des sites dangereux. Et puis après, le gouvernement change un peu de point de vue : "Ben tiens, on va aller arrêter les gens qui naviguent sur d'autres sites que ceux de l'UMP". (Hé, on est vendredi hein, j'ai le droit de troller). OK... ça commence à être un peu bizarre quand même. Bon, moi ça va, je suis de l'UMP, donc j'ai rien à me reprocher quoi, tranquille, les autres on s'en fout. Et puis on va en continu comme ça. Je ne vous fait pas l'approche du point Godwin, mais quand ils sont venus arrêter machin, j'étais pas inquiété parce que j'étais pas ceci; quand ils sont venus arrêter machin, j'étais pas inquiété parce que j'étais pas cela. Et puis à un moment ils sont venus m'arrêter puis il n'y avait plus personne, en fait. C'est un peu ce point-là que je veux expliquer là. Le véritable risque, c'est qu'on se retrouve vraiment dans un gouvernement, ou encore pire un administration privée, une société privée qui a un ensemble de données sur vous, dont vous n'avez pas connaissance, et qui les recoupent à gauche à droite. Et qui au final fait que vous devenez dangereux, suspect, potentiellement coupable de quelque alors que vous ne le savez même pas.

On peut se poser la question suivante : est-ce que si on explique ces points-là à des gens qui vont vous répondre "Ben non, moi j'ai rien à cacher", est-ce que si on leur explique l'ensemble de ces choses-là, ils vont continuer vraiment à se dire : "OK, j'ai rien à cacher" ? Bon, mon avis c'est que : peut-être. J'ai un collègue qui colle vraiment à ce schéma-là, et je pense qu'il est pas le seul sur la planète à coller à ce schéma-là, bien qu'il soit pro-Apple et tout le reste. On peut vraiment, vraiment, vraiment, vraiment, s'ils vont changer de point de vue.

L'agrégation - 29mn38s

Il y a un autre problème qui n'est pas pris en compte par ce "Je n'ai rien à cacher"-là, qui peut aussi peut-être faire prendre conscience aux gens qu'en fait, si, au final, il y a peut-être quelque chose à cacher, c'est l'aggrégation, l'agrégation de données. C'est à dire qu'on part du principe, les gouvernements partent du principe que votre historique de navigation, ma foi, c'est une donnée, enfin c'est un ensemble de données mais c'est une variable, c'est votre historique de navigation, cette donnée-là n'est pas sensible, donc au final on peut la prendre. Et puis une autre donnée, tiens on va vous la prendre aussi. Et puis une autre donnée. Et au final, si une donnée n'est pas sensible, peut-être que plus de données le deviennent, peut-être qu'un groupe de données peut devenir sensible, peut faire comprendre quelque chose à quelqu'un, ou peut-être quelque chose d'erroné à quelqu'un.

C'est ce que j'essaie d'expliquer juste après : l'agrégation est réductrice, généralement elle déforme la réalité. Alors il y a certains cas, rares, avec beaucoup de temps, beaucoup de travail, où on arrive à avoir quelque chose de concret, d'assez représentatif de la personne, mais dans tous les cas, l'agrégation est systématiquement réductrice. Je vous cite l'exemple de consultation de certains sites dangereux. Sous le gouvernement de Nicolas Sarkozy, lorsque les attentats à Toulouse sont arrivés, Nicolas Sarkozy avait pondu une loi, puisque la loi c'était une loi par acte dramatique, qui était : "On va punir les gens qui vont sur des sites terroristes". Bon, ça sous-entend qu'on va fliquer soit le site, soit tout le monde. Vous prenez cette donnée-là, vous vous dites : "Ouais, c'est cool, on va repérer les terroristes". Ouais, sauf que, les journalistes, par exemple, font quoi dans l'histoire. Les journalistes qui bossent sur ce genre de sites-là? "Ben y sont terroristes! Ben oui ils vont sur ces sites-là." C'est de l'agrégation, t'es une personne qui va sur un site, t'as fait ceci t'as fait cela, t'es allé sur tel site et tel site et tel site, en fait, à la base vous avez une courbe de probabilité qui dit : "Bon voilà, il est possible que ceci, il est possible que cela, il est possible que cela", puis ben 2, 3, 4, 5 sites, en fait vous êtes un terroriste, vous allez sur ces sites-là. Vraiment.

On peut prendre un autre exemple, vraiment d'agrégation plus puissante encore. Vous écrivez, vous êtes bloggeur - au hasard, un peu une partie de ma vie privée - puis vous écrivez sur un sujet en particulier, qui nécessite que vous alliez chercher des informations très particulières. Genre, sur des groupuscules d'extrême-droite. Et puis, vous commencez à traîner avec ces gens-là - enfin, traîner, vous commencez à vous renseigner sur ces gens-là, ce serait plus exact - et puis ces gens-là ont quand même des idées qui sont classées comme terroristes par exemple. Bon, on pousse vraiment dans l'absurde, mais vous allez comprendre le principe. Donc, vous traînez, quelque part, avec des gens bizarres, vous avez peut-être acheté un livre avec des paroles bizarres dedans. Je ne sais pas, tiens, un truc encore plus... vous achetez un livre tel que : "Qu'est que la méthamphétamine", tiens, voilà, on prend ce truc-là, "Qu'est-ce que la méthamphétamine". Bon, de base, cette donnée-là, on s'en fout un peu. On se dit : "Bon, OK, c'est cool, il a acheté un livre pour apprendre à faire de la méthamphétamine, bon, pourquoi pas". Et puis derrière, vous achetez plein, plein, plein de produits pour retaper une maison par exemple, au hasard, puis vous publiez la petite photo qui va bien sur Twitter, avec plein de trucs dans une remarque, avec plein de produits cheulous, puis ben, c'est votre compte, c'est vos données, on sait que vous avez acheté ce livre-là, on sait que vous avez ces produits-là, et on sait que ces produits-là rentrent dans la composition de la méthamphétamine. Bon ben voilà, vous devenez officiellement fabriquant et dealer de méthamphétamine. Vous n'avez rien demandé - ça peut paraître poussé, mais l'agrégation, c'est ça en soi - vous n'avez rien demandé, vous n'êtes pas dangereux, vous n'avez pas envie de l'être, vous ne feriez pas de mal à qui que ce soit, mais quand on agrège ces données-là, la seule conclusion possible c'est que vous êtes dangereux, donc vous êtes potentiellement mis sous surveillance. Faites ça en France, il y a des lois qui protègent votre vie privée en partie. Faites ça aux États-Unis, il y a de fortes chances que vous soyez fichés quelque part. Vraiment.

Cette chose-là n'est pas prise en compte par l'exemple qu'on cite le plus souvent, aka Big Brother. Big Brother, c'est là société de surveillance, la surveillance généralisée de tout. En fait, c'est l'auto-censure. On ne fait rien, puisque de toute façon on est surveillés en permanence, on ne fait rien. L'agrégation est présentée dans un livre qui s'appelle Le procès, de Kafka. Si vous ne l'avez pas lu, je vous invite à le lire.

Public: [inaudible] ... le film ... [inaudible]

Numendil : Je n'ai pas vu le film. On se retrouve alors, pour résumer juste le point intéressant de cet exemple-là, on se retrouve avec une personne, qui se fait arrêter, qui ne comprend pas pourquoi, il n'a rien fait, et puis au fur et à mesure de gratter des infos, on se retrouve avec un énorme dossier sur la personne, il arrive à voir ce qui se passe, et il y a un ensemble de données monstrueuses qui ont été agrégées sur lui. C'est un peu la même chose ; vous prenez votre historique de navigation, vous prenez vos SMS s'ils ne sont pas chiffrés, vous prenez vos mails, puisque vous avez peut-être un compte GMail quelque part, vous prenez le tout, vous mélangez le tout, il y a un dirigeant ou une des personnes dirigeantes du FBI qui a déclaré il n'y a pas longtemps : "Donnez-moi n'importe quelle donnée, et en 6 minutes, je fais de n'importe qui un suspect". Bon sur le coup il disait une blague, il rigolait derrière. Moi perso, je me suis dit : "Ah ouais. Ah le mec quand même il en a pour déclarer ça quoi, parce que, le pire, c'est qu'il doit vraiment le penser, et que ce doit vraiment être possible". Prenez n'importe quelle personne, mélangez un peu le tout, puis vous ressortez forcément quelque chose qui dérange, quelque chose qui est pas normal. C'est comme ça que c'est tourné.

L'agrégation : exemple avec maltégo - 35mn03s

Alors, côté agrégation, je prends un petit exemple. On peut se dire - on m'a déjà répondu en fait : "Ouais, mais l'agrégation, attends, c'est bon, t'en fais pas, tout le monde est pas capable de le faire". Ouais, OK, c'est cool - euh, il y a un outil qui existe, sous Windows, sous MacOS il doit exister aussi il me semble, et puis sous GNU/Linux qui existe aussi, qui s'appelle Maltego.