Allons-nous vers une Cyber-Dictature ?
Titre : Allons-nous vers une Cyber-Dictature ?
Intervenants : Jérémie Zimmermann - Éric Filiol - Journaliste
Lieu : ThinkerView
Date : Janvier 2014
Durée : 16 min 08
Licence : Verbatim
Pour visionner la vidéo
Transcription
Journaliste : Messieurs bonjour. Je vous interviewe aujourd'hui pour un site internet qui s'appelle ThinkerView. J'aurais voulu avoir votre avis sur le concept de cyberguerre ou de cyberpaix. Qu'est-ce que vous pouvez nous dire là-dessus ?
Jérémie Zimmermann : Je peux commencer là-dessus. On s'est fait bassiner pendant des années avec ce concept de cyberguerre, qui correspond à une forme de militarisation de l'internet, déploiement d’infrastructures, on pense aux joujoux d'Amésys, à la Deep Packet Inspection, des dispositions législatives pour donner des pouvoirs offensifs en matière de cyberattaque, maintenant en France à l'ANSSI et à des institutions dans le monde entier. C'est la commande publique qui part avec des contrats à je ne sais combien de zéros pour les mêmes entreprises qui vendent des missiles et des chasseurs. Le problème c'est quand on parle de cyberguerre on parle d'internet comme un champ de bataille, on parle de mouvements de troupes. On oublie juste un paramètre qui est le citoyen. Et pendant des années on nous a vendu une vision de la sécurité, de la cybersécurité, qui s'appelait cyberguerre, dans laquelle on a juste oublié les citoyens. Et aujourd'hui on s'aperçoit, avec les révélations de Snowden, le programme Bullrun de la NSA qui vise à saboter activement, une par une, toutes les technologies commerciales de protection de nos données de communication, on s'aperçoit aujourd'hui qu'on a tous un espion dans la poche.
Journaliste : Est-ce que vous pouvez un petit peu me développer le programme Lustre1 ?
Jérémie Zimmermann : Au-delà des différents programmes de la NSA, on constate l'échec des politiques de cybersécurité. La seule chose à laquelle ça a servi c'est à des contrats, d'un complexe « militaro industriel », qu'il va falloir renommer, je ne sais pas, complexe « militaro numétrique » ou quelque chose comme ça, alors que personne n'a pensé à développer la cyberpaix. La cyberpaix se basait sur la définition de la paix. La paix c'est un état dans lequel on est libre de la peur, de l'agression. Qu'est-ce que ça voudrait dire, dans l'environnement numérique, être libre de la peur ou de l'agression ? Ça veut dire mettre le citoyen au cœur de la sécurité ; ça veut dire mettre le citoyen au cœur de la technologie ; ça veut dire rendre le contrôle de la technologie au citoyen. Eh bien, on aspire à des politiques publiques qui penseraient en termes de cyberpaix plutôt qu'en termes de cyberguerre.
Journaliste : Éric Filiol est-ce que vous pouvez ?
Éric Filiol : Moi je crois que ce concept de cyberpaix et de cyberguerre, ne soit probablement que la plus grosse escroquerie intellectuelle de ces dernières années. Je vais me placer dans le plan purement opérationnel. Je pense que la partie « cyber » qui est une dimension supplémentaire à la fin du 20ème siècle comme l'a été l'aviation au début du 20ème, ne jouera qu'un rôle marginal, ou d'appui ou de préparation, sur des conflits classiques. Il ne faut pas oublier que la guerre consiste à prendre la possession de réalités bien matérielles, que ce soit des territoires, que ce soit des ressources, et que ce soit aussi des esprits. Il ne faut pas oublier que la finalité de la guerre c'est justement de prendre la main sur des réalités concrètes. Donc le « cyber », à mon avis, restera marginal. Ça ne veut pas dire qu'il faut le relativiser, ni le dédaigner, c'est une réalité qui s'impose à nous, mais elle n'a pas l’ampleur qu'on veut bien lui prêter et je suis d'accord que c'est plus pour légitimer d'une part des dépenses pharaoniques dans le domaine, puisque je crois que surtout plus qu'une cyberguerre, je crois qu'on est en train de mettre en place des cyberdictatures.
Journaliste : Vous pouvez développer ?
Éric Filiol : On s’aperçoit que le programme PRISM, et PRISM existe, a eu des antécédents.On s'aperçoit qu'il y a quand même, les principales démocraties ont tendance à se tourner en États policiers numériques. Moi ce qui me gêne, dans les évolutions récentes, c'est qu'on remplace la présomption d'innocence par la présomption de culpabilité. Quand on espionne toutes les personnes par défaut, pas seulement les communications téléphoniques parce que vous avez un contact avéré avec des terroristes corses ou des terroristes islamiques, quand on espionne en permanence, je vais dire, vos moindres faits et gestes. Il faut savoir qu'avec l'internet connecté et notamment le CPL Outdoor 2, c’est-à-dire que de l'extérieur on peut savoir ce qui se passe dans votre maison, votre consommation électrique et les outils mathématiques de traitement de l'information vont le permettre, quand on espionne en permanence et de manière aussi intime les gens, c'est qu'on part du principe qu'ils sont, par défaut, coupables ou susceptibles de perpétrer des actes. On ne peut pas avoir un État fort, un État doit être fort, mais sans faire confiance aux citoyens, sans les laisser libres et sans les respecter. Et si on se méfie des citoyens, les citoyens se méfieront de l’État et on aura un État faible.
Journaliste : Récemment un cryptographe belge3 a annoncé que lui-même était piraté par la NSA, poutré dans le jargon. Qu'est-ce que vous en pensez ?
Éric Filiol : Ce qui me surprend c'est que ça surprenne encore des gens. C'est logique. En plus ce cryptographe belge, est bien connu pour avoir eu des activités mathématiques dans des domaines sensibles. C'est aussi quelqu’un qui, à une époque, n'a pas voulu aller dans le sens du contrôle de la cryptographie, notamment universitaire, par les milieux américains. Tout simplement c'est quelqu'un qui compte dans le domaine, qui a eu une production scientifique de tout premier plan ; qui a d'ailleurs eu des cahiers pillés à l'époque, parce qu'il faut savoir qu'il avait fait, avec un autre cryptographe français, Guillou, le fameux protocole Guillou-Quisquater, qui a été pillé par une entreprise américaine, en violation directe des brevets. Sauf que trois avocats français contre cinquante avocats américains, la cause était vite entendue ! Ce n'est pas étonnant qu'il ait été espionné, mais encore une fois ce qui m'étonne c'est que ça étonne encore des gens.
Journaliste : Qu'est-ce que vous pouvez nous dire, un petit peu, sur la capacité que les gens eux-mêmes, le simple particulier a à se protéger de ce genre de pillage, d’infiltration dans son système ?
Jérémie Zimmermann : Il y a deux choses distinctes. La surveillance ciblée et la surveillance de masse. J'espère que les prochaines révélations de Snowden nous montreront d'une part comment on peut passer de l'une à l'autre. Est-ce que le simple fait de ne pas utiliser Facebook, Google ou Apple ne vous met pas immédiatement dans la catégorie surveillance ciblée, pour peu que vous utilisiez des logiciels libres ou Tor, et là ça fait de vous un potentiel terroriste. Mais il faut encore distinguer les deux. La surveillance ciblée, on le voit avec les dernières révélations sur les implants matériels et autres joujoux de la NSA, vous savez déjà qu'on ne peut pas y échapper. Ça c'est une réalité. La surveillance ciblée est légitime lorsque encadrée par l'autorité judiciaire, lorsqu'il y a un rétrocontrôle citoyen et démocratique des actions des services qui la pratiquent. Ce qui est véritablement intolérable, c'est la surveillance de masse, comme le disait Éric Filiol, c'est la présomption de culpabilité, ce sont des violations massives de nos libertés individuelles qui ne peuvent en aucun cas respecter le principe de proportionnalité. Or cette surveillance de masse, à priori, on peut y échapper.
Journaliste : Est-ce que vous allez dans le sens d'Eric Filiol sur la cyberdictature d'un gouvernement ou des gouvernements qui commencent à avoir peur de leurs propres concitoyens et qui commencent à monitorer l'ensemble de leur population ?
Jérémie Zimmermann : C'est manifeste. La doctrine de la NSA c'est que, l'ennemi se situant par définition dans le reste du monde, on va espionner le reste du monde comme ça on aura, après coup, espionné nos ennemis. C'est une doctrine qui est une forme de paranoïa d’État et c'est évidemment un problème. Le fait est, que l'on peut aujourd'hui, probablement, échapper à cette surveillance de masse. Et c'est ça l'enjeu aujourd'hui, c'est d’augmenter le coût de cette surveillance ou de tenter de la rendre inopérante par nos actions. À la différence des processus classiques dans lesquels on voyait intervenir le renseignement ou l'armée, où c'était souvent armée contre armée, État contre État, là, la vaste majorité des acteurs ce sont des citoyens.
Journaliste : Vous parlez de citoyens. Vous sortez d'une conférence que vous avez menée à Sciences-Po, est-ce que vous avez trouvé les étudiants sensibles à ce type de nouvelles valeurs, ce type de menace ? Est-ce que vous pensez qu'ils étaient en retard par rapport à la perception que la communauté des hackers peut avoir sur la cybersécurité, sur les techniques de surveillance de masse, et ce genre de choses ? Est-ce que vous pensez que la nouvelle génération est prête à résister ou est prête à trouver les nouveaux outils pour pouvoir échapper à ce type de surveillance ?
Jérémie Zimmermann : Je ne sais pas si une heure avec une promo d'un master de Sciences-Po est un échantillon représentatif. Une chose dont je suis sûr c'est que sur les dix jours qui viennent de s’écouler, il y a cinq personnes qui sont venues me voir en disant : « Ah, tu sais quoi, j'ai quitté Facebook ! » Et pour beaucoup ils m'ont dit c'est suite à une conversation qu'on avait eue ensemble. Dans ces derniers mois, ce sont des dizaines de journalistes que j'ai vu se mettre à OTR ou à GPG pour chiffrer leurs communications et c'est 100 % des journalistes à qui j'ai parlé de la protection de leurs sources qui m'ont répondu : « Ah ouais, c'est vrai, là on a un problème. »
Journaliste : Eric Filiol, Jérémie parle de chiffrement pour la protection des sources. Qu'est-ce que vous pouvez nous dire en tant qu'expert, avec votre qualité d'expertise, de cryptographe ? Est-ce que les journalistes sont à l'abri ?
Éric Filiol : Il est sûr que d’abord c'est mieux que de communiquer en clair. Ça complique les difficultés, ça complique les choses. Maintenant je crois qu'il ne faut pas se voiler la face, que la plupart des standards de chiffrement sont d'obédience américaine et que la subtilité américaine c'est la politique des œufs et du panier. Ils n'ont pas placé toutes les vulnérabilités au même endroit. Moi ce qui me gêne, c'est que l'ensemble de la planète utilise des algorithmes d'obédience américaine et uniquement ceux-là. J'ai vu un constructeur que je ne nommerai pas, qui avait fait le choix d'un crypt de chiffrement non américain et qui, quand il a été racheté par un société américaine, a été obligé de mettre l'AES4. Le problème c'est qu'on laisse aux États-Unis le monopole de toute la standardisation. Moi je conteste le fait que les Américains définissent le standard cryptologique mondial. Je pense qu'il y a de très bons cryptologues en France, il y en partout en Europe. Pourquoi devrait-on sous-traiter notre sécurité et les standards de chiffrement aux Américains ?
Journaliste : Est-ce que vous trouvez que c'est un renoncement de l’État français ?
Éric Filiol : Pas que de l’État français, de l'ensemble des pays du G8 ou du G20. Il est sûr qu'en France c'est d’autant plus surprenant, pour ne pas dire scandaleux, quand on est une des nations prééminentes en matière de cryptologie, quand on a l’École normale supérieure qui produit des cerveaux extrêmement brillants. Le problème c'est que pour une place dans un comité de programmes dans des conférences américaines, sous contrôle de la NSA, malheureusement ils font le jeu des États-Unis. Nous avons une capacité de réaction, nous avons une capacité de résistance, nous avons un génie français, il ne faut pas l’oublier. On ne peut pas sous-traiter notre sécurité, en tout cas on ne fera jamais de sécurité si on utilise les méthodes, les standards, les outils, de l'adversaire.
Journaliste : Jérémie Zimmermann, vous voulez rebondir ?
Jérémie Zimmermann : Je n'aime pas parler de souveraineté à proprement parler, parce que le concept d’État-nation n'est pas ce qui m'anime le plus, qui me définit le plus. Mais là, il y a quelque chose de vraiment flagrant, à voir la souveraineté d'un État tiers, non seulement empiéter sur la souveraineté d'autres États, mais aussi sur la souveraineté des individus, sur nos souverainetés informationnelles. Donc là, il y a manifestement un espace pour des politiques publiques, à tenter d'inverser cette vapeur-là. Et le seul moyen de faire ça, j'en suis convaincu, c'est de remettre la technologie aux mains des citoyens. Il faut que les citoyens comprennent l'importance de la vie privée, pour comprendre l’intérêt de la cryptographie, pour comprendre comment gérer des clefs de chiffrement, et pour éventuellement, être en position de choisir leur logiciel de chiffrement ou de choisir leur algorithme. Quand on génère une clef GPG, on peut choisir entre plusieurs algorithmes. Eh bien j'ai l’impression qu'il est essentiel aujourd'hui d'élever les niveaux de conscience des individus, d'une part, et de l'autre qu'il faut des politiques publiques, des politiques industrielles, pour aller favoriser ces technologies qui ne sont pas aux mains de la NSA, qui reposent évidemment sur le Logiciel Libre, les architectures décentralisées et le chiffrement point à point.
Journaliste : Le mot de la fin. Eric Filiol ?
Éric Filiol : Moi ce qui me fait peur, c'est que, depuis 95, on peut très vite basculer d'un gouvernement démocratique à un gouvernement non démocratique. Quand on met en place des infrastructures, quand on met en place, potentiellement du moins, des outils de surveillance, je pense à HADOPI, ça a l'air anodin, mais HADOPI peut permettre à quelqu’un non seulement de savoir que vous téléchargez du contenu potentiellement illégal, mais de savoir que vous vous intéressez à l'art africain, à l'art juif, ce qui est tout à fait légitime. Demain, c'est un risque qui est permanent et j'ai été surpris de voir que les étudiants de Science-Po n'étaient pas sensibilisés à ça. Ce risque il est permanent. On peut très bien basculer vers un régime beaucoup moins démocratique, avec des valeurs nauséabondes. Et je crois que l'actualité récemment a montré que, encore une fois, on n'en était pas si éloigné que ça. Ce qui me fait peur c'est que tout ce que l'on met en place pourra être utilisé, légitiment, par justement ces gouvernements moins démocratiques, s'ils venaient au pouvoir, et pourrait automatiser un génocide ou automatiser des arrestations en masse, et c'est ça qui me fait peur. Tant qu'on est dans un État démocratique, je veux bien faire confiance à nos États, mais…
Journaliste : Éric Filiol, Jérémie Zimmermann, peut-être un dernier mot, oui ?
Éric Filiol : Tant que ces États restent démocratiques.
Journaliste : Jérémie un dernier mot ?
Jérémie Zimmermann : Je peux ajouter quelque chose ?
Journaliste : Bien sûr.
Jérémie Zimmermann : Quand on parle de protection de la vie privée, on parle d'une liberté plus fondamentale que les autres parce qu'elle permet l'exercice des autres libertés et que cette vie privée c'est avant tout nos intimités. Nos intimités c'est un espace dans lequel on n'est pas jugé, dans lequel on partage la confiance, et dans lequel on peut expérimenter, dans lequel on peut inventer de nouvelles idées ou de nouveaux concepts, dans lequel on peut être nous-mêmes. Cette vie privée, cette intimité, ce sont nos identités. C'est ce qui nous définit en tant qu’être humain. Et c'est ça qui est en jeu, je crois, au travers de cet impératif de reprendre le contrôle de la technologie. C'est reprendre le contrôle de la technologie pour reprendre le contrôle de nos humanités ou au contraire se laisser contrôler par la machine.
Journaliste : Jérémie Zimmermann, merci. Éric Filiol, merci.