Le gouvernement de l’Europe, s’il n’existe pas en tant que tel, est pourtant une réalité. Nos existences sont de plus en plus modelées par des lois, règles, normes,  issues des préconisation de la Commission européenne, validées par le Parlement européen, puis appliquées par les Parlements nationaux. Ce constat, en tant que tel, n’aurait rien de très inquiétant si les effets de ces changements étaient positifs. Nous pourrions imaginer  des pays membres de l’UE dont les habitants seraient mieux soignés, mieux éduqués, mieux payés, avec de meilleurs services publics que cela ne l’était avant la mise place du traité de Maastricht.

Nous pourrions vivre dans une Europe plus joyeuse, pleine d’entrain, dynamique, avec un foisonnement d’initiatives, dont le rayonnement culturel serait important, bref, un vieux continent, qui, grâce à son marché unique, sa monnaie unique, ses institutions modernes, son modèle social, permettraient à ses population de « mieux vivre », c’est-à-dire, améliorer leur condition.

Bien entendu, personne n’est en mesure d’effectuer un tel constat aujourd’hui : 22 ans après le fameux traité d’union économique et monétaire, l’Europe va bien plus mal qu’alors. Surtout du côté des ex-empires coloniaux, à l’ouest. Du point de vue des populations, il s’entend, et du côté des structures censées les protéger, les aider, leur fournir un contexte collectif favorable. Pourquoi, et comment en sommes-nous arrivés à nous écrouler à tous les niveaux, alors que l’évolution technologique et les moyens matériels n’ont jamais cessé de progresser ?

Moderniser… une idéologie ?

L’Europe, particulièrement l’euro-zone, telle que nous la connaissons, avec son marché unique et sa monnaie, les différents traités qui l’ont constituée, de Maastricht à Lisbonne, en passant par Amsterdam, n’avait, soi-disant qu’une unique préoccupation : permettre aux pays la constituant de se maintenir dans une compétition mondiale de plus en plus intense et maintenir une qualité de vie maximale à ses habitants. Le prétexte d’une Europe créée pour maintenir la paix ne vient qu’après de nombreux autres (malgré les discours des défenseurs de l’Union sur le sujet), et n’a même pas tenu  ses promesses : la guerre de Yougoslavie, du Kosovo, et celle d’Ukraine, (même si c’est aux portes de l’Union), viennent contredire cette analyse. Sans parler des multiples guerres extérieures menées par des coalitions européennes ou des Etats membres comme la France, en Afrique notamment.

Le « système Europe » est excessivement anti-démocratique, c’est un fait reconnu qu’il est très difficile de contredire aujourd’hui. Les cas de la Grèce, de l’Espagne, de l’Italie, du Portugal sont là pour le souligner : contre l’avis des citoyens, des politiques d’austérité délétères, venues de Bruxelles mais validées par les décideurs des pays-membres, ont cassé les systèmes de santé, de retraite, d’aides sociales de ces pays, fait exploser le chômage et mis des millions de personnes dans des situations de précarité inconnues depuis des décennies sur le continent. Les raisons des ces politiques voulues officiellement par la BCE, la Commission et le FMI, sont d’ordre idéologique, et vont contre tout bon-sens, au point qu’un pays ayant refusé de se soumettre à ces cures d’austérité, comme l’Islande, et ayant réussi à se sortir de l’ornière économique et sociale dans lesquelles il était enfoncé — à l’inverse de pays sous pression de la troïka — n’est jamais cité en exemple.

Le principe européen — qui veut qu’il ne faut jamais essayer un autre remède que celui de la libéralisation et de la réduction des dépenses publiques — est celui de la réforme, et par détournement sémantique, de la modernité. Réformer serait donc moderne, et la modernisation est semble-t-il incontournable. Mais réformer, en Union européenne, c’est toujours aller vers plus de « libéralisation » et moins de dépenses publiques. La libéralisation, dans le vocabulaire européen n’est pas — malgré la terminologie — aller vers plus de » liberté », cela se saurait. La libéralisation est en réalité : offrir aux structures privées la possibilité de rendre de moins en moins de comptes aux structures d’Etat, subir le moins de contraintes économique et sociales possibles, (et fiscales), et pouvoir absorber des marchés et structures publiques. Cette modernité idéologique européenne, qui veut que les impôts des citoyens servent à payer les déficits du secteur privé, mais permettent la privatisation des bénéfices, par des réformes — qui retirent le maximum de pouvoir au monde du travail en augmentant toujours un peu plus celui du capital — est pourtant acceptée. Partagée par le plus grand nombre. C’est cette acceptation qui nous mène à une issue que peu veulent encore voir— mais qui pourtant se dessine avec force : l’industrialisation de nos existences.

L’Européen(e) : un produit comme un autre ?

Il est entré en moins d’une décennie, dans le vocabulaire courant, des phrases comme  : « gérer ses enfants », « investir un lieu », « améliorer son image », « optimiser son réseau de connaissances ». Ce vocabulaire, issu du management, de l’industrie, s’est normalisé dans la vie quotidienne, comme les pratiques hygiéniques et sexuelles qui suivent les standards de l’industrie du film pornographique. Les 18-30 ans pratiquent — en grande majorité — l’épilation intégrale du pubis : le « poil » est devenu signe d’un archaïsme inacceptable. Ce phénomène est récent. Depuis que la pornographie, très regardée, a donné le « la » de cette norme « hygiénique », une partie de la population se plie donc à celle-ci. Comme un produit industriel doit se plier à certains standards, l’individu moderne doit faire de même. Que ce soit par le biais d’une industrie cinématographique ou par des normes édictées par la technocratie européenne, tout est devenu industriel dans nos vies. La nourriture, produite de façon industrielle, mécanisée à outrance, permet aux industriels  de faire avaler aux consommateurs des viandes de chevaux déclassés de pays de l’Est au lieu de bœuf, des animaux gavés de médicaments, incapables de tenir debout la plupart de leur existence sont mis en vente sur les étals des boucheries des hypermarchés, etc…

L’Européen est au final lui-même, majoritairement  gavé comme du bétail bas-de-gamme, plébiscitant les fast-food nord-américains, spécialistes de la vente de produits alimentaires présentés et livrés de façon industrielle à l’échelle…planétaire.

La norme industrielle s’est glissée dans tous les pans des existences : du logement, où à partir du premier janvier il faudra installer chez soi un détecteur de fumée avec alarme, les nouvelles installations électriques contrôlées par un consuel, les véhicules, contrôlés tous les 2 ans au delà de 4 ans de mise en service, les caméras qui filment les allées et venues, les systèmes de détection de vitesse des véhicules, les lois sur les tenues vestimentaires, le ramassage des fruits, les semences enregistrées au catalogue officiel, même la culture est devenue industrie culturelle… La liste est sans fin des règlements, lois, systèmes industriels intégrés à la vie courante des citoyens. L’Union européenne est entrée dans une normalisation industrielle massive, qui touche à tous les pans de l’existence, jusqu’aux hôpitaux, nouvelle usines à opérer et soigner de façon la plus productive possible. L’individu n’est, au sein de cet ensemble ultra-normé, qu’une sorte d’employé-ouvrier, sommé de suivre le règlement de la grande société-usine Europe, sous peine de sanctions. Employé-ouvrier, et peut-être même un peu plus.

Effets indésirables de l’industrialisation des existences

Vivre dans une usine géante n’est pas sans conséquences. Sur la santé physique, en premier lieu, et le mental, surtout. Les cancers sont en pleine explosion, les allergies se généralisent, l’espérance de vie en bonne santé diminue. La cause des effets indésirables de l’industrialisation massive est clairement établie : pesticides, engrais chimiques, rejets de nitrates, de  particules fines, de radioactivité, de substances issues de l’industrie diverses et variées, tuent lentement les populations. Quant à l’état psychologique de ces mêmes populations, il n’est pas compliqué de l’évaluer, particulièrement pour tous ceux qui ont vécu dans l’ancienne Europe, d’il y a plus de 20 ans, moins industrielle, particulièrement dans ses modes de vie.

Se retrouver à subir en permanence la pression normative n’est pas sans danger pour le mental, et si la dépression, l’anxiété sont en nette progression dans les sociétés européennes, ce n’est pas simplement la « crise économique » débutée en 2009 qui en est la seule coupable. L’individu est sommé de se plier en permanence à un nombre de règles, de contraintes telles, que se poser la question des effets de la généralisation d’un mode de vie basé sur celui des normes industrielles n’est peut-être pas sans intérêt.

L’informatique, créé pour l’industrie est désormais déclarée outil de « loisirs » pour les populations : quelle sorte de société arrive à faire qu’une technologie créée pour optimiser des machines et des processus devienne un phénomène de détente et de divertissement ? Comment penser le monde si celui-ci n’est jamais rien d’autre qu’une sorte d’usine géante qui contrôle sans cesse les moindres de vos faits et gestes, vos comportements et diffuse un flux ininterrompu d’informations anxiogènes sans analyse ? Si en plus, la population passe la majorité de son temps devant des écrans, que ce soit à avaler les messages publicitaires propagandistes des industriels ou à « gérer » professionnellement puis personnellement des données informatiques, il est probable que nous soyons devant une nouvelle forme d’humanité. L’homme-produit ou la femme-produit du XXIème siècle n’est ni heureux ni vraiment malheureux. Il semble qu’il soit à la fois l’employé-ouvrier qui fabrique, l’objet de consommation lui-même, et le processus que l’on traite. Qu’il en soit conscient ou non, le malaise qu’il ressent est réel. Tout le problème réside donc désormais dans sa capacité à contrer — ou non — ce phénomène…

A la lumière du cafouillage impliquant trois djihadistes supposés à leur retour en France, la question mérite d’être posée : à quoi sert une loi dont la mesure phare consiste à retirer le passeport aux apprentis terroristes si le système qui permet de les repérer dans les aéroports ne fonctionne que de manière aléatoire ?

Et pourtant… La situation est, parait-il, grave. Très grave. Nous sommes en guerre, l’ennemi est à nos portes, il était temps d’agir sérieusement. C’est tout du moins l’impression que donnent les débats lors du vote de la loi renforçant l’arsenal juridique contre le terrorisme. Gouvernement, députés, tous unis pour affirmer que « nous sommes en guerre » et qu’il faut agir pour se protéger. Pourtant, les chiffres sont têtus. Le terrorisme de l’auto-proclamé Etat Islamiste n’est pas une réalité en France.

Quelques rares exceptions (Isabelle Attard, Christian Paul, Lionel Tardy, Laure de la Raudière) sont venues troubler un consensus presque parfait, de gauche à droite de l’hémicycle. Il fallait une loi renforçant les moyens de lutte contre le terrorisme. Non pas que l’arsenal existant soit inopérant. Il s’agissait de fournir à notre pays les moyens de répondre à une guerre qui lui a été déclarée. Pas moins. Les Français n’ont peut-être pas remarqué, mais leur pays est en état de guerre. Nos ennemis sont à nos portes, si ce n’est déjà à l’intérieur même du pays, prêts à perpétrer des actes terroristes sanglants. Les députés ont été très clairs sur ce point lors des débats sur le projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme : « nous sommes en guerre« , ont-ils martelé sans relâche. Certains justifiant l’idée de lois d’exception, liberticides, pourquoi pas, par ces circonstances exceptionnelles. A croire que le nombre d’attentats à venir est massif. Pourtant, si l’on prend le temps de lire le rapport d’Eurpol sur les actes terroristes en Europe en 2013, le terrorisme inspiré par les djihadistes de l’Etat Islamique ou d’une autre organisation du même acabit, n’existe tout simplement pas dans l’Union européenne.

En 2013, quelque 152 attaques ont été recensées. La France, la Grande-Bretagne et l’Espagne sont les pays les plus touchés. Notre pays comptant 63 actes terroristes.

A lire ces chiffres, l’empressement du gouvernement à renforcer les textes peut sembler justifié. Pourtant, sur les 63 attaques, 58 sont le fait d’autonomistes, 5 sont non revendiquées. En outre, Europol précise que dans l’Union Européenne, en 2013, aucune « attaque terroriste n’a été explicitement classée comme étant inspirée par un motif religieux« .

A l’inverse des arrestations…

Selon Interpol, « Quatorze Etats de l’Union ont arrêté 535 personnes pour des délits liés au terrorisme« . La France arrive en tête du peloton avec 225 arrestations. Si les actes motivés par des revendications séparatistes ont été les plus nombreux, seules 77 interpellations ont concerné ce domaine tandis que 143 ont concerné des personnes dont on pouvait soupçonner qu’elles étaient motivées par des motifs religieux.

Le nombre d’individus faisant l’objet de procédures judiciaires engagées pour un motif lié au terrorisme (datant donc des années précédentes) est en baisse dans les 15 pays qui ont remonté ces statistiques. Il passe à 313 en 2014 contre 400 en 2012 et 316 en 2011. Sur les 49 condamnations en France en 2013, 29 étaient liées à des actions séparatistes et 20 à des actes motivés par la religion.

Tous ces chiffres n’ont pas empêché les députés de rivaliser dans la surenchère verbale. Eric Ciotti expliquait par exemple pendant les débats à l’Assemblée nationale que : « notre pays est en guerre. Notre pays est en guerre contre le terrorisme et contre l’expression qu’il revêt aujourd’hui : celle du fanatisme religieux et de l’extrémisme, celle qui arbore le visage de l’État islamique, portant à un degré jamais égalé dans l’Histoire contemporaine la menace qui pèse sur notre pays et sur nos libertés. Dans une interview publiée ce matin, le patron de l’Unité de coordination de la lutte antiterroriste a déclaré que la question n’était pas de savoir s’il y aurait demain un attentat en France, mais quand. Nous savons tous que le degré de risque est maximal« .

Le député Alain Tourret explorait pour sa part une question de philosophie du droit assez classique : les ennemis de la démocratie utilisent la démocratie pour la détruire… Jusqu’à quel point la démocratie doit-elle se laisser faire ?

« Jusqu’où devrons-nous suspendre les libertés démocratiques ? Cette question est très importante. Je n’ai pas dit « supprimer », j’ai dit « suspendre » ! Nous avons su, dans notre histoire, suspendre à un moment donné les libertés démocratiques. Celles-ci, en effet, ne peuvent pas avoir le même contenu en temps de paix et en temps de guerre. Or la guerre nous a été déclarée.« , assenait-il.

Pierre Lelouche faisait quant à lui vibrer la fibre nationale, façon Charles de Gaulle : « lorsque l’essentiel est en jeu, à savoir la défense de la nation et la protection de la sécurité des Français, nos différences de sensibilité politique, les affrontements politiciens n’ont plus leur place. Seule s’impose, comme ici même il y a un siècle, l’union sacrée de toute la représentation nationale, de tous les républicains, face à ce qu’il faut bien appeler une guerre. »

Le député Jacques Myard engageait pour sa part le gouvernement à agir très vite pour éviter une « guerre civile« . Pas moins.

Quant à Xavier Bertrand, ses accents guerriers se faisaient très précis : « Nous savons pertinemment qu’ils ne s’arrêteront pas, alors il faut les arrêter. Nous savons pertinemment qu’ils veulent nous détruire, alors il faut les faire disparaître. C’est un langage guerrier, mais nous sommes en guerre, et nous ne devons pas faire preuve de faiblesse. »

A quoi le ministre de l’Intérieur faisait écho avec cette phrase : « Face à cette menace nouvelle, face à ce danger pour l’intégrité de notre territoire, nous ne devons pas avoir la main qui tremble. »

Du côté de la DGSI, l’ex DCRI, le propos est, hors micros, nettement plus mesuré. Par manque d’hommes, (impossible de surveiller tout le monde en temps réel), certains parviennent à partir. Si quelques-uns devaient revenir, il faut que ceux-ci puissent être interpelés ou surveillés de près. Et de préciser que la loi française, avant le vote du 18 septembre, permet de le faire, ce qui n’est pas le cas partout en Europe. Bernard Cazeneuve a évoqué durant les débats à l’Assemblée le chiffre de 118 retours à ce stade.

Pour un fonctionnaire, l’embrigadement n’a rien de religieux. C’est un embrigadement sectaire comme n’importe quel autre. Donc très complexe à contrer. Et de citer des gens parfaitement éduqués qui finissent par se suicider pour répondre à l’appel de leur gourou.

Les discours guerriers et catastrophistes entendus à l’Assemblée visent surtout à « rassurer l’électorat » estime un député atterré.

Le contenu du projet de loi est d’ailleurs discutable. Les filières en place pour rejoindre les terrains de guerre s’adapteront à la problématique du retrait des papiers d’identité. En outre, chacun peut comprendre que la menace d’une confiscation du passeport au moment de partir faire la guerre n’est probablement pas la première préoccupation d’un apprenti djihadiste. Le blocage des sites faisant l’apologie du terrorisme est quant à lui un leurre. Il est on ne peut plus aisément contournable. Le gouvernement a brandi une menace inexistante sur notre territoire, selon Europol, et y a répondu par des mesures inefficaces.

Mais les réseaux sociaux… Là, ça fait peur, non ?

Le terme « cyber-djihad » a fait son apparition dans les débats politiques à l’Assemblée Nationale  à l’occasion du vote sur le projet de Loi renforçant les dispositions relatives à la lutte contre le terrorisme, La Commission des Lois évoquait le rôle croissant d’Internet dans le « Djihad médiatique » organisé par les groupes comme l’autoproclamé Etat Islamique. Plusieurs études sur la présence dans les réseaux sociaux des djihadistes ont été publiées et leurs résultats divergent. Celle de Recorded Future mérite que l’on s’y attarde.

Cette société fait l’objet d’un double investissement de 10 millions de dollars de la part de Google et de In-Q-Tel, le fonds d’investissements dans le secteur des nouvelles technologies de la CIA. Elle travaille par ailleurs avec Palantir Technologies. Elle-même également financée par In-Q-Tel. Le fond de commerce de ces deux sociétés est de « prédire » le futur en analysant du « big data ». C’est à dire d’agglomérer des millions de données et d’en faire ressortir des liens invisibles pour un oeil humain. Les analystes des deux entreprises se chargeant ensuite de donner du sens à ce qu’ont produit les ordinateurs et les logiciels.

Selon Recorded Future depuis le 20 août dernier, c’est à dire après l’assassinat de James  Foley, quelque 27.000 comptes Twitter parlaient « favorablement » du groupe terroriste.

De ce total, il faudrait retirer le volume de « sympathisants » extérieurs au groupe terroriste. Il faudrait également tenir compte du fait que Twitter ferme régulièrement des comptes de prosélytes parce qu’ils font une apologie de la violence ou profèrent des menaces, ce qui va à l’encontre de sa charte d’utilisation.

Dans ces cas, précise Recorded Future, un compte au nom très proche est immédiatement créé puis promus par les autres comptes liés à l’organisation.

Le nombre de combattants étrangers ralliés à l’Etat Islamique est d’environ 9 000 sur un total estimé à 25 à 30 000. Le nombre de comptes « parlant favorablement » de l’Etat Islamiste évoqué par Recorded Future parait donc assez faible si l’on retranche les simple sympathisants éparpillés sur la planète. Recorded Future focalise d’ailleurs son étude sur six comptes qui sont les plus actifs.

D’autre part, comme le remarque la Commission des Lois, la propagande est particulièrement mise en avant par les groupes terroristes : « En 2007, Ayman Al Zawahiri, nouveau chef d’Al Qaïda depuis  la mort d’Oussama Ben Laden, déclarait que ceux qui mènent le Djihad  médiatique sont des soldats anonymes de la cause au même titre que ceux  qui combattent dans les zones de conflit et leur promettait, en  récompense, le paradis« . L’on pourrait donc s’attendre à une présence plus massive sur un outil comme Twitter, particulièrement efficace -par sa nature même-  pour toucher un nombre croissant d’internautes.

Bien entendu, Twitter n’est pas le seul canal de communication utilisé par les membres de l’Etat Islamique ou d’autres groupes pour rallier des internautes à leur cause. On compte également Youtube, Tumblr, Scribd ou des sites comme Pastebin et JustPaste, remarque Recorded Future.

Pour ces derniers, le nombre de publications reste très faible. Outils privilégiés pour communiquer les adresses des vidéos de décapitation des otages, on ne compte que deux références à David Cawthorne Haines, un otage exécuté. Elles concernent sa déclaration mais ne contiennent pas de lien vers la vidéo. Quelque 2070 références à James Foley sont disponibles. La plupart ne contenant pas de lien vers la vidéo de l’exécution. Les publications sur ces sites qui en fournissent, pointent souvent vers des sites occidentaux. Une seule page concerne Hervé Gourdel (sur JustPaste.it) et ne contient pas la vidéo.

La cyber-guerre, ça fait des cyber-morts, tout comme le cyber-jihad, mais ça valait bien une loi de plus…

La semaine dernière sur Twitter et ce weekend ici même, nous alertions sur le fait que l’application mobile Firechat d’OpenGarden pourrait être dangereuse à utiliser dans certains contextes. En l’état, nous maintenons cet avertissement, mais il me semble important de préciser pas mal de points pour que cet avertissement soit bien compris. Il s’agit pour nous d’expliquer que contrairement à ce qu’une grande partie de la presse française a relayé, Firechat n’est actuellement pas une application pensée pour contourner la censure, pour la bonne et simple raison qu’elle n’a pas été développée avec cette problématique en ligne de mire. La protection de l’identité des utilisateurs n’a pas été dans la logique de son développement, Firechat n’est pas comme le souligne d’ailleurs OpenGarden, une application de comsec (communications sécurisées), elle doit plutôt être envisagée comme un réseau social local communiquant les contenus à Internet de manière publique.

Soulignons également que Firechat a pris en compte certaines remarques que nous lui avons objecté et la migration de l’infrastructure en cours vers le cloud d’Amazon a semble t-il été l’occasion de pas mal de corrections/ sécurisation.

Quelques gros mots un peu techniques

Il faut maintenant comprendre un peu de quoi nous parlons, et pour cela, parler un peu de technique. On va se rendre compte assez rapidement que le concept de « privacy by design », ce n’est pas la première fois qu’on vous le dit ici, sur un smartphone, c’est essentiellement un beau principe. Le chiffrement du transport des données que l’on reproche à OpenGarden de ne pas avoir intégré à Firechat n’est qu’une toute petite partie de de la « sécurisation » de cette application… Explications :

• Le chiffrement des communications comporte quelques écueils car il ne vous aura pas échappé que Firechat est une application fonctionnant en mesh sur deux protocoles principaux distincts : le WiFi et le Bluetooth… et comme vous vous en doutez, le WPA2 en bluetooth, ça ne fonctionne pas vraiment. Le chiffrement doit prendre en compte un autre problème inhérent à la nature d’un réseau chaotique : la connexion n’est pas permanente, elle saute régulièrement, la session et le chiffrement aussi. Un projet de recherche sous l’égide de la Commission Européenne, Haggle, propose une avancée significative en matière de chiffrement en environnement chaotique.
• Sur un réseau maillé, le routage est lui aussi chaotique, divers protocoles de routages mesh existent, mais peu se sont penchés sur l’authentification de paire à paire. J’entends par authentification de s’assurer de manière transparente que le point A communique avec le point B et non un tiers X. C’est là que ça se complique et c’est certainement pour répondre à ce problème qu’OpenGarden propose par défaut l’ouverture d’un compte pour utiliser son application… ce qui concorderait assez avec ses projets actuels d’ajouter des messages privés à Firechat. Mais tout de suite… on perd un peu de la magie du mesh.

Passons maintenant aux problématiques de sécurité en environnement hostile, mais qui dépassent de loin le cadre de l’application dont nous parlons :

• Le chiffrement local des contenus sur votre appareil : le plus gros trou de sécurité, c’est votre téléphone et son système d’exploitation. Une société comme Micro Systemation se fera une joie de vendre ses petits jouets de forensic, et là, votre vous avez beau avoir un super iPhone, il reste une passoire face à ce jouet.

• Le chipset GSM capable d’émettre téléphone éteint est aussi un gros problème en zone de conflits… une véritable balise de signalisation pour bombardement.

Vous voulez manifester « secure » ? Ne prenez pas votre téléphone, les pigeons voyageurs sont plus « sécurisés » car eux ne se baladent pas avec votre carnet de contacts ou l’historique de vos communications.

Elargissons un peu…

Nous sommes en 2014, nous ne découvrons plus Internet et les problèmes inhérents à l’appréhension d’un espace public. Plus que jamais, les développeurs ont de lourdes responsabilités lorsqu’ils offrent au public une application. La sécurité des applications que nous utilisons sur Internet et leur faculté à faire face aux menaces auxquelles elles sont inéluctablement exposées s’est considérablement complexifiée. L’utilisation de code tiers (librairies, frameworks…) ont ajouté une couche supplémentaire de complexité aux architectures classiques. S’il peut paraître à priori une bonne idée de se focaliser sur l’application elle-même, on se rend compte que dans l’Internet réel, les menaces ne sont pas toujours celles auxquelles un développeur pensera naturellement.

La question de la confidentialité et de la protection des données personnelles des utilisateurs répond à une logique encore plus complexe car elle dépasse de loin le périmètre de l’application elle même, au centre de laquelle se trouve une variable très complexe, que j’ai coutume de nommer la variable PFH (pour Pu@%!* de Facteur Humain).

Quand on développe une application, on s’attend à ce que ses utilisateurs l’utilisent de la manière dont on souhaiterait qu’ils l’utilisent. On fait de belles documentations, on explique comment ça fonctionne, ce qu’il faut faire et ne pas faire. Mais un utilisateur, c’est un animal complexe. Chose hallucinante pour un développeur, l’utilisateur ne lit jamais les belles documentations qu’il a passé un temps fou à écrire. L’utilisateur fait tout, souvent n’importe quoi, et rarement ce qu’on lui dit de faire. Souvent, cette caractéristique de l’utilisateur, inhérente à la nature humaine, ne prête pas à conséquences. Il y a même pour le développeur un aspect jubilatoire à voir ce qu’un utilisateur va pouvoir faire avec son application et qu’il n’aurait jamais prévu.

Dans d’autres cas, malheureusement eux aussi assez fréquents, l’utilisateur a des usages un peu plus malheureux que ce pour lesquels un développeur les avait prédestinés dans sa documentation. Et en principe, dans ces cas là, les utilisateurs s’exposent à un risque, tout simplement parce qu’il n’a pas été évalué comme tel au développement de l’application.

Dans le contexte actuel de certains pays, une application, surtout mobile, a maintenant une responsabilité très lourde, celle de protéger les utilisateurs de leurs usages « contre nature ». La variable PFH devrait être intégrée dans le cadre de tous les développements d’applications. Le cas que nous avons traité en parlant de Firechat suite à un gros battage médiatique, n’est qu’un cas parmi tant d’autres. Peut-être est il aujourd’hui temps pour chaque développeur de se poser de nouvelles questions lors de la conception d’une application pour aider les utilisateurs à se protéger d’eux mêmes.

Il y a trois ans environ, Reflets révélait qu’Amesys, une société française, avait mis sur écoute la Libye pour le compte du colonel Kadhafi. Nous passions alors pour de dangereux complotistes lorsque nous évoquions l’aspect particulièrement abject de ce deal : des opposants au régime politique local risquaient de se faire arrêter et torturer grâce à des outils bien français. Aujourd’hui, des torturés sur la base de ces écoutes ont témoigné devant un juge qui enquête sur des faits de complicité de torture. Puis, Edward Snowden est arrivé. Il a mis en lumière, powerpoints à l’appui, l’étendue de la surveillance mondiale. Il est aujourd’hui impossible de se voiler la face : les gouvernements sont engagés dans une course à l’échalote. C’est à celui qui surveillera le plus, de la manière la plus intrusive. Mieux, les services s’échangent des métadonnées par camions. Un peu comme les Etats-Unis après 2001, opéraient des livraisons de détenus dans des pays où les autorités sont moins gênées aux entournures avec la torture, pour obtenir des « résultats ». Lancer une application de messagerie comme Firechat n’a rien de condamnable. Le faire dans une ère post-Snowden, sans afficher des mises en garde sévères et multiples pour les pays fâchés avec les Droits de l’Homme, c’est au mieux irresponsable, au pire, pas loin d’être criminel. Se réjouir de l’utilisation de son application -que l’on sait sans chiffrement et laissant fuir des données personnelles – dans des pays à risques pour les opposants et s’en vanter sur son site est particulièrement troublant.

Créer une sorte de réseau social, fonctionnant en dehors des points d’écoute classiques, pourquoi pas. Monétiser d’une manière ou d’une autre cet outil, pourquoi pas… Mais afficher en clair tous les messages échangés entre les utilisateurs, y compris dans des pays dont tout le monde sait la volonté des autorités d’identifier les meneurs, d’éventuellement les arrêter, c’est faire preuve d’une singulière légèreté. Expliquer ensuite, une fois l’affaire éventée et les éventuelles mauvaises retombées en termes d’image en approche, que c’est tout à fait normal, que cet outil de communication est « comme Twitter » et que les messages sont publics, sans plus de réflexion, c’est aussi faire preuve d’une légèreté inquiétante.

Dans une ère post-snowden, mettre en valeur les retombées presse sur l’usage qui est fait d’une application (extrêmement intrusive en matière de privacy) dans des pays comme l’Irak ou Hong-Kong, c’est conforter les utilisateurs de ces pays sur l’intérêt de son produit.

Or, il est évident, y compris pour ses créateurs qu’au delà de l’intérêt éventuel et tout à fait discutable d’un tel outil, il y a d’énormes risques pour les opposants. Le fait d’inscrire sur son site ou de tweeter un message sur le fait que les conversations passent en clair n’est pas suffisant. Ce type d’alertes devrait figurer en rouge sur les pages où l’appli est téléchargeable.

En 2006, je co-écrivais (peut-être un peu trop tôt?) un dossier dans Le Monde 2 titré :

Internet : Staline aurait adoré

Nous sommes en 2014 et Edward Snowden, Amesys, Qosmos, Gamma, et tant d’autres, sont passés par là. Comment une entreprise, fut-elle une « startup Kikoulol 2.0″ peut-elle être aussi négligente alors que des opposants dans des pays fâchés avec les Droits de l’Homme utilisent son produit ? Comment la presse peut-elle encore tomber dans le panneau de « la belle histoire » ? Autant de questions auxquelles je n’ai pas de réponses.

 

Quel organe de presse n’a pas vanté cette semaine cette application fantastique Firechat, qui plus est, française, oui monsieur ? Le Monde, Le Monde Informatique, on en passe. Tout le monde au garde-à-vous pour saluer cette app qui permet aux opposants à Hong Kong de « contourner la censure« . Une vraie réussite française. Personne ne s’est demandé pourquoi l’appli fonctionne toujours à Hong-Kong alors qu’il suffit d’une pile de 9 volts, d’un CDROM et d’un fil de cuivre pour brouiller les communications ? Les autorités locales ont probablement tout intérêt à ce que les communications via Firechat continuent.

Que les journalistes se trompent, cela peut se comprendre. Qu’ils ne s’interrogent pas sur le discours marketing en or que leur servent une entreprise et les autres médias, c’est un peu plus inquiétant. Qu’ils n’interrogent pas les spécialistes du sujet, c’est dommage. Notre métier, le journalisme, consiste justement à toujours remettre en question la communication, la « belle histoire« . Pour ce faire, n’ayant pas la science infuse, nous sommes obligés d’aller questionner les experts. Puis, nous écrivons un article lisible et compréhensible par tous nos lecteurs. L’humilité, la prise de recul devraient guider nos pas. Ce n’est visiblement pas toujours le cas. L’histoire Firechat le démontre à nouveau.

L’article de Bluetouff a mis en lumière la fuite de données sur le site même d’Opengarden. Depuis Paris, n’importe qui peut « écouter » les conversations de (par exemple) l’incongrue Manif pour tous. Demain, la police pourra identifier les auteurs de deals d’extas sur un festival techno. Merci Opengarden.

De rien, c’est un plaisir :

Mais ce n’est pas tout. Depuis Paris, toujours, n’importe qui peut « écouter » les discussions et récupérer des informations techniques importantes concernant les opposants à Hong-Kong. Et pourquoi pas en Syrie, en Irak ?

Voici donc la méthode.

1°) s’armer d’un navigateur,

2°) utiliser un proxy à Hong-Kong ou un VPN sortant dans l’île.

3°) se connecter sur le site d’Opengarden.

4°) pleurer.

Nous attendions bien sûr les commentaires d’experts de la privacy et des zinternets après l’article de Bluetouff et de celui-ci. Sur le mode « ce n’est pas très grave, il n’y a pas de données identifiables simplement« , etc.

Mais c’est du patron d’OpenGarden que les commentaires les plus étonnants sont arrivés. Comme à notre habitude, nous procédons par étapes. En nous basant sur la doctrine Usenet de Guillermito : « dans quelques lignes, vous allez être ridicule« .

Notez que ceci est notre deuxième article sur le sujet. Il y en aura d’autres. Probablement autant que de réponses tentant d’excuser le comportement inqualifiable d’Opengarden.

Popcorn someone ?