Toutes les données du monde... sur tous (un volet discret de la mondialisation)

L'accumulation des données ou « big data »

Moins médiatique que l'intelligence artificielle, mais plus présente dans l'immédiat, il y a l'accumulation, l'utilisation automatisée et le commerce des données. Venant d'où ? Souvent des « cloud », terme dont l'essence même est d'être vague, puisqu'il signifie en gros que le propriétaire des données ne sait pas où celles-ci se trouve, mais qui occulte le fait qu'il y a au-dessus de chaque « cloud » un Zeus centralisé qui a techniquement tout pouvoir sur ces données.

Il s’agit de stocker à peu près tout sur la plupart des humains. Cela fait partie des modèles économiques de Google ou de Facebook. C'est l'essence même de l'activité de la NSA ou encore, mais en beaucoup plus petit, de la DGSI française.

Depuis longtemps, c'est techniquement possible. Juridiquement, ça l'est largement aussi.

Le droit étatsunien, qui s'applique en pratique au monde entier, laisse une très grande latitude aux contrats, et notamment à ces conditions contractuelles que l'on accepte d'un clic sans jamais les lire, pour organiser la confidentialité et les droits de propriété sur les données. Les informations que nos activités sur Internet ou l'utilisation de nos équipements informatiques permettent de connaître ne sont pas, ou très mal, protégées juridiquement. Il est donc fréquent qu'une entreprise ait le libre usage d'une information personnelle dès lors que celle-ci a été légalement copiée sur un de ses ordinateurs.

La « Déclaration de confidentialité Microsoft » (1), illustre ceci, à condition de remarquer quelques paragraphes parmi les centaines de kilo-octets qu'elle comporte :

« Nous recueillons des données sur les fonctionnalités que vous utilisez, sur les éléments que vous achetez et sur les pages web que vous visitez. Ces données incluent vos requêtes de recherche ou commandes vocales et de texte transmises à Bing, à Cortana et à nos agents conversationnels.  » (...)

« Nous recueillons des données sur vos centres d’intérêt et vos favoris, comme les équipes que vous suivez dans une application de sport, vos langages de programmation préférés, les actions que vous suivez dans une application financière ou vos villes préférées que vous ajoutez à une application de météo. » (…)

« Nous pouvons éventuellement partager les données que nous recueillons avec des tiers, tels quOath, AppNexus ou Facebook (voir ci-dessous), de sorte qu’ils puissent sélectionner et distribuer certaines des publicités qui vous sont présentées dans nos produits, les leurs ou sur d'autres sites et applications gérés par ces partenaires.  »

Lorsqu'on démarre pour la première fois Windows 10, de Microsoft, on vous propose bien visiblement un paramétrage rapide, et pourquoi l'utilisateur peu informé ne le choisirait-il pas ? Or ce paramétrage rapide donne à Microsoft le maximum d’autorisations pour collecter des données. Il faut choisir l'autre option, puis chercher un peu, pour se voir offrir des possibilités de permettre ou de refuser.

Ces sociétés sont détentrices d'informations qui peuvent ensuite être recopiées presque jusqu'à l'infini. On peut imaginer qu'une majorité des courriels échangés dans le monde passe dans les ordinateurs d'une société donnée, bien que les adresses qu'elle gère elle-même ne génèrent directement qu'une part limitée de ces courriels.

La concurrence sur la collecte de données remplace parfois celle sur les licences de logiciels, notamment celle sur les « browsers » (difficile d'échapper ici au franglais, personne ne connaissant notre « butineur » national) entre Google (Chrome), Microsoft (Internet Explorer, remplacé par Edge) et le logiciel libre (Firefox). Cette concurrence est paradoxale en apparence, car l'utilisation de ces logiciels est gratuite.

En apparence seulement : « Si vous ne savez pas d'où proviennent les recettes, c'est que c'est vous qui êtes le produit. »

Il s'agit d'abord d'envoyer des publicités ciblées à des utilisateurs d'Internet, et aussi de mesurer l'impact des publicités.

Mais on voit bien qu'au-delà du marketing, les informations ainsi recueillies peuvent servir à cerner des personnes, et en particulier à déceler leurs points faibles.

Par ailleurs, on sait constituer des catégories à partir de données nombreuses qui n'avaient pas été prévues pour cela et établir ainsi des typologies très diverses. L'utilité en marketing est évidente. Mais il est facile aussi de placer des individus dans les catégories ainsi constituées.

La pénétration des systèmes informatiques

Les chances d'empêcher la pénétration de réseaux personnels par des organismes possédant les compétences et des moyens techniques suffisants, à commencer par la NSA (2), sont très faibles. Un bon niveau de précautions et de protections est par contre efficace contre les escroqueries courantes.

Il y a différentes techniques d'intrusion, notamment en exploitant des failles logicielles.

Des logiciels, notamment systèmes ou proches des systèmes, ont des failles ou des « backdoors » (portes dérobées) (3) (4). Wikipedia donne cette définition (3) : « Une porte dérobée peut être introduite soit par le développeur du logiciel, soit par un tiers. La personne connaissant la porte dérobée peut l'utiliser pour surveiller les activités du logiciel, voire en prendre le contrôle (...). Enfin, selon l'étendue des droits que le système d'exploitation donne au logiciel contenant la porte dérobée, le contrôle peut s'étendre à l'ensemble des opérations de l'ordinateur. ». Lorsque les failles ou « backdoors » sont connues d'un public spécialisé, elles deviennent des « zero-day vulnerabilities » (failles exploitables non encore corrigées). Puis elles sont documentées comme « exploits », introduites dans des logiciels spécialisés, destinés normalement à vérifier la sécurité informatique, par exemple Metasploit, et presque toujours fermées par des mises à jour des logiciels qui en sont porteurs (5).

Reste à savoir pourquoi les failles sont là. Il y a bien entendu une grande majorité de failles involontaires, parce que les logiciels sont développés et qualifiés trop rapidement. Il peut y avoir aussi des explications techniques. Mais seulement ? On connaît des cas où des backdoors ont été introduits volontairement dans des logiciels avant distribution (3), peut-être à l'insu de leurs éditeurs.

Des articles sur Internet laissent aussi entendre que de grandes entreprises US feraient connaître des failles à la NSA avant que celles-ci ne soient corrigées (6) (7).

Situation juridique en France

D’un point de vue juridique, il faut distinguer deux catégories de cas où la surveillance par l'état des réseaux de communication et des activités sur Internet est autorisée :

- ce qui correspond à la loi relative au renseignement du 24 juillet 2015 (8), à la loi dite « antiterroriste » du 1er novembre 2017 et à d'autres textes, l’ensemble se retrouvant dans le « Code de la sécurité intérieure »,

- ce qui correspond à des enquêtes dans les domaines relevant de la police judiciaire.

Enfin, le principe concernant les particuliers est plutôt celui de l'interdiction.

Code de la sécurité intérieure

Cela a été vendu politiquement comme moyens de lutter contre le terrorisme. En réalité, il y a 8 critères dont chacun suffit pour que ces lois soient applicables. Ils sont très généraux... et n'ont pas grand'chose à voir avec le terrorisme. En voici trois exemples tirés de l'article 811-3 :

- « Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère » ; le fait de lutter pour une désobéissance de la France vis-à-vis des traités de l’U.E, ou de refuser les conséquences mortifères du traité Ceta (ou AECG) entre l'Union Européenne et le Canada rentrerait dans ce cadre ;

- « Les intérêts économiques, industriels et scientifiques majeurs de la France » ; toute revendication sociale, ou d'ailleurs tout choix économique, peut être vu par un gouvernement comme contraire aux intérêts économiques ;

- « La prévention… (c) Des violences collectives de nature à porter gravement atteinte à la paix publique » ; au hasard, des actions genre N.D. Des Landes, des occupations d'usines ?

La spécificité de ces dispositions est qu’elles prennent effet par simple décision secrète de l’exécutif. Le contrôle n’en est assuré que par une commission consultative, qui fonctionne elle aussi dans le secret.

Techniquement, cela donne à l’administration et à ses sous-traitants à peu près tous les droits, sauf celui d’écouter le contenu des conversations téléphoniques, et encore avec des exceptions. En particulier, les fournisseurs d’accès Internet sont tenus de mettre en place, sur demande, des dispositifs techniques pour informer en temps réel de tout ce qui concerne ceux qu’on leur indique. On peut parier que toutes les demandes utiles ont été faites.

Le décret d'application le plus concret est non public et classifié.

Cela donne donc à l'exécutif la possibilité de savoir à peu près tout sur à peu près n'importe qui. Spéculations exagérées, affirmeraient-ils, la main sur le cœur. Mais on en viendra bien là si on n'y est pas déjà. Rappelons l'utilisation qui a été faite de « l’état d’urgence ». Et l’exemple de la Turquie montre bien que le mot « terrorisme » est magique pour faire passer n’importe quel excès.

Police judiciaire

Dans les domaines relevant de la police judiciaire, il y a un contrôle a priori par le juge des libertés et de la détention. C'est ce qu'on appelait dans le temps les « écoutes judiciaires ». Cela inclut bien entendu le contenu des conversations téléphoniques, ce qu'un certain Monsieur Paul Bismuth a d'ailleurs pu constater.

Les particuliers

Les intrusions dans des systèmes informatiques sont interdites (article 323 et suiv. du code pénal).

Cela laisse bien entendu libre l'utilisation des données publiques et on trouve souvent beaucoup d'informations sur quelqu'un, si on sait se servir des moteurs de recherche tels que Google. La consultation de Facebook, en tant qu'« amis », est aussi considérée comme celle d'informations publiques. Des trésors pour les cabinets de recrutement et les DRH !

Collecte de données et vie politique

Dans la vie publique traditionnelle, il était courant que les personnalités de premier plan disposent de « dossiers ». Le plus souvent, ceux-ci se neutralisaient plus ou moins et cela dispensait de les « sortir ».

Actuellement, quelques groupes économiques et quelques organismes (NSA en premier) ont dans leurs ordinateurs un maximum d'informations sur de très nombreuses personnes.

Or il y a peu de gens qui n’ont absolument rien à cacher. Même lorsque c'est le cas, il y a les proches, le parti, etc. Et puis on peut toujours choisir la présentation des informations dont on dispose, voire les arranger... En utilisant au bon moment des informations, on peut empêcher quelqu'un d'être élu président, écarter ou asservir un « ami » susceptible de vous gêner, et bien d'autres choses encore.

Les grandes multinationales sont gérées principalement à moyen et court terme, mais cela n'empêche pas leurs dirigeants de planifier ensemble l'avenir du monde. C'est notamment à cela que sert l'organisation dite «  Bilderberg  ». Ces multinationales ont d'énormes moyens financiers, mais aussi d'étude. Et elles savent que l'économie, telle qu'elles la veulent, ne pourra donner du travail qu'à une minorité, dans des conditions toujours plus dures. Qui peut croire qu'elles respecteront dans le domaine des données personnelles une éthique qu'elles bafouent dans le domaine fiscal, et pas seulement ?

Comment s'organiser face à cela ?

Il y a bien sûr des éléments de réponse : privilégier les logiciels libres, se méfier des « cloud » et autres « gigas gratuits » et des principaux réseaux sociaux, refuser les autorisations de collecter des données, mettre des outils spécialisés (9), faire attention à tout ce qu'on écrit, crypter, utiliser des VPN ou le réseau crypté Tor, préférer DuckDuckGo à Google, etc. La liste et presque infinie. Il s'agit certes de palliatifs très partiels, mais pas dérisoires.

(1) https://privacy.microsoft.comf/r-fr/privacystatement (tel qu'accessible le 06/11/2017)

(2) https://fr.wikipedia.org/wiki/PRISM (programme_de_surveillance)

(3) https://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e

(4) https://pwnies.com/winners/#fail

(5) https:// .com/information-technology/2017/04/nsa-backdoor-detected-on-55000-windows-boxes-can-now-be-remotely-removed/

(6) https://web.archive.org/web/20160310201616/http://drleonardcoldwell.com/2013/08/23/leaked-german-government-warns-key-entities-not-to-use-windows-8-linked-to-nsa/

(7) https://www.rt.com/usa/us-firms-trade-information-684/

(8) https://fr.wikipedia.org/wiki/Loi_relative_au_renseignement

(9) Par exemple, en complément de Firefox, et à côté d'un module tel que Noscript (qui permet de limiter les cross-scripting ou XSS, ce qui est, me semble-t-il, le minimum), mettre un anti-mouchards tel que Ghostery.