"Si, vous avez quelque chose à cacher" conférence de Numendil à Passage en Seine en 2013
- Titre : Si, vous avez quelque chose à cacher.
- Intervenant : Numendil
- Lieu : Pas Sage en Seine 2013, à La Cantine, Paris
- Date : 21 juin 2013
- Durée : 1h14min
- Média : Lien vers la vidéo
- Licence : CC0
Résumé
Des lois censées vous protéger aux entreprises qui rêvent de tout savoir sur vous, il devient de plus en plus compliqué de garder sa vie privée « privée ». Ça l'est encore plus lorsque les principaux concernés vous répondent « Je n'ai rien à cacher. ». Cette affirmation est-elle vraie ? À quels risques nous expose-t-elle ?
:Pourquoi et comment en sommes-nous arrivés à tout ceci et, plus important encore, comment faire pour prendre pleinement conscience que si... nous avons tous quelque chose à cacher.
Transcription
Notes de transcription
- La présentation est volontairement en langage familier, un effet de style intéressant qui véhicule les messages "pas de langue de bois" ou "c'est comme une discussion entre potes", et cible une audience relativement jeune. La transcription va donc faire son possible pour garder ce registre. Je propose même de garder mot-à-mot les nombreux passages de dialogues imaginaires (entre "guillemets" ci-dessous), et de fluidifier de manière minimale le reste du texte.
- Licence: les vidéos de la cantine sont sous CC-BY-NC-SA mais j'ai pour habitude de tout publier en CC0, j'avais vu avant la mise en ligne, tout est en CC0, donc c'est du CC0 :), je reste disponible si tu/vous avez besoin de plus d'informations - Numendil
- Une solution pour récupérer la vidéo en fichier local, la commande en ligne suivante :
youtube-dl http://www.youtube.com/watch?v=BbkbdYoffX4
Texte
Bonjour
Alors bonjour, bonjour à tous, bonjour à toutes. Bien mangé, ça va ?
On est ensemble pour à peu près une heure, quelque chose comme ça, sur la tentative de réponse à l'argument bateau "Non, non, j'ai rien à cacher", qui arrive de plus en plus souvent, dans différentes lois, à gauche à droite, etc.
Qui suis-je ? (bien qu'on s'en moque)
Avant toute chose, petite présentation rapide (bien qu'on s'en tape un peu en fait). Si vous ne me connaissez pas, moi je me présente : donc "Numendil", je bidouille un peu sur le Net, à gauche à droite, je gueule sur tout en fait, c'est surtout ça le truc. Je tiens un blog, sur lequel je raconte un peu tout et n'importe quoi. Des fois ça marche, des fois ça marche pas. Des fois ça plaît, des fois ça plaît pas, bref... Et puis, dispo un peu sur quelques plate-formes, Twitter entre autres. Et puis sur le blog, il y a un mail, si vous avez besoin...
Dafuk.
Le reste, ma foi, ça ne regarde que moi, puisque moi j'ai des choses à cacher. Et la problématique c'est que, quand j'aborde ça, quand je commence à dire "J'ai des choses à cacher", on se retrouve souvent sur deux réponses, deux arguments.
Le premier c'est : "Ben ouais, mais si t'as quelque chose à cacher, en fait, c'est que t'es un terroriste" - je résume, mais l'idée est un peu là. En gros c'est : "C'est mal", partant du principe que si on a quelque chose à cacher, c'est forcément mal. Il y a peut-être un problème dans ces cas-là.
Et puis le deuxième, surtout quand on vient à parler de lois un poil liberticides, ou de PRISM, on se retrouve sur "Moi je m'en fous, j'ai rien à cacher." OK, c'est cool … mais sinon ?
On peut se poser deux questions.
- La première des deux, c'est se demander si c'est vraiment vrai, si on n'a vraiment rien à cacher. Dans ce cas là, ma foi, hé bien tous à poil, c'est parti. C'est vrai, en même temps, on est d'accord ? Il y a bien quelque chose qui fait que des gens viennent à penser cette chose-là. Il n'y a pas une personne sur terre qui pense qu'on n'a rien à cacher. Ça n'existe pas partout, fort heureusement, mais ça existe énormément. Il y a bien des éléments qui doivent faire penser aux gens ce genre de choses. On va essayer de les comprendre dans un premier temps, puis essayer d'y répondre dans un deuxième temps.
- Et puis on va aussi se demander si ce n'est pas dangereux de déclarer ce genre de truc. Est-ce que le fait de n'avoir vraiment rien à cacher ne sous-entend pas un certain nombre de risques auxquels on est probablement exposés. Peut-être, peut-être pas, on va aussi essayer de se poser sur ce point-là.
La vie privée... (1)
Pour se poser sur ce point-là, dans un premier temps, il faudrait définir la vie privée. Le truc est bateau, j'ai pris une définition du dico, du Larousse, comme ça on n'ira pas troller sur Wikipédia tous ensemble.
Qui concerne quelqu'un dans sa personne même, dans sa vie personnelle. On parle des appartements privés de la reine.
Ça vient du Larousse.
Ce que je vois, dites-moi si c'est votre avis ou pas, c'est que cette définition-là est imprécise et incomplète. Elle parle d'une chose. Avec l'exemple, on a l'impression qu'elle parle de la vie physique. Comme si la vie privée sur l'espace numérique n'existait pas. C'est bizarre. Et j'ai cherché, je me suis dit : "Bon, j'ai peut-être pris une vieille version, c'est vrai que les Internets, c'est pas forcément à jour tout le temps...". Non, non, sur tous les dicos, "vie privée" ça parle de choses physiques, du monde des objets. Sauf qu'il n'y a pas que celui-là.
La vie privée... (2)
Donc si on devait essayer de la redéfinir, dans un premier temps, moi je vous propose quelque chose comme ça :
- Un ensemble d'éléments, physiques ou non, matériels ou non, qui possède un certain degré de confidentialité.
- Ce degré-là va être différent selon quasiment tout le monde. C'est à dire, je peux demander à chaque personne ici ce qu'est la vie privée, il y a de fortes chances que j'ai beaucoup, beaucoup, beaucoup de réponses différentes, avec beaucoup d'arguments différents, beaucoup de variables, prises en compte pour certains, pas prises en compte pour d'autres. L'exemple tout bête : les gens avec qui je peux parler sur un IRC. Certains vont considérer que c'est public, d'autres que c'est privé, pourtant c'est la même chose. On appelle ça le cadre de référence - histoire de poser les bons mots. Le cadre de référence, pour celles ou ceux qui ne connaissent pas, c'est lié à plein de choses. Pour résumer, c'est la façon de concevoir les choses différemment. Exemple : le mot "Internet" pour madame Michu, c'est Google (ce n'est pas une blague). Le mot "Internet" pour moi, c'est tout sauf quelque chose de précis ; c'est du web, c'est un certain nombre de ports... C'est n'importe quoi en fait, on ne sait pas. Pourtant c'est le même mot. Voilà, le cadre de référence, c'est ça. C'est lié à l'éducation, c'est lié au niveau social dans certains cas, c'est lié à l'appréhension, à la perception des choses, et la vie fait partie de ce genre de variable.
- C'est entre autre pour ça que, en soi, on a tous une définition différente. La conclusion de ce premier point-là, comme j'ai expliqué, c'est que en soi, il y a quasi-autant de définitions de la vie privée que de personnes sur Terre. Plus ou moins, il y a des définitions qui se recoupent, mais dans l'ensemble on est sur quelque chose comme ça.
- "Ouais, j'ai rien à cacher !"
- "Ouais, OK, t'as pas de vie, bon ben va t'acheter une vie, quoi."
- « Oui...»
- « Donc il faut les arrêter ! »
- « Oui...»
- « Donc on va te mettre sous surveillance avec des caméras partout et un mec chez toi en permanence, et ta connexion on va la fliquer en permanence aussi ! »
- « Ah... Ah d'accord...»
- « Bonjour, on veut vos données «
- « Bah, non »
- « OK, on va faire autrement : Bonjour - avec le fusil à pompe et la barre à mine - maintenant on veut vos données »
- On commence par un tout petit truc, on dit « Ben voilà, il y a des problèmes, il y a des infractions dans Paris tiens, on va mettre des caméras ». Ou « Il y a des infractions sur Internet, on va surveiller toute la population ». Imaginons, projetons-nous un peu dans un scénar qui n'arrivera peut-être, même si je n'espère franchement pas. Donc on va surveiller toute la population, on ne sait jamais, il y a peut-être des terroristes. Bon, OK, c'est cool, ouais génial, comme ça on va repérer les terroristes, et la France sera un pays de Bisounours, ce sera cool.
- Puis après on va vous dire : « Bon, on va repérer les gens qui naviguent sur des sites X ou Y ». D'accord, OK, c'est cool, c'est des sites dangereux.
- Et puis après, le gouvernement change un peu de point de vue : « Ben tiens, on va aller arrêter les gens qui naviguent sur d'autres sites que ceux de l'UMP ». (Hé, on est vendredi hein, j'ai le droit de troller). OK … ça commence à être un peu bizarre quand même. Bon, moi ça va, je suis de l'UMP, donc j'ai rien à me reprocher quoi, tranquille, les autres on s'en fout.
- Et puis on va en continu comme ça.
- « OK, ben on met quelqu'un chez toi ! »
- « Euh, ouais mais non, j'ai piscine... »
- « Ben si tu n'as rien à cacher, on met quelqu'un chez toi. Dans tes toilettes, dans ton lit, dans ton canap... »
- « Ouais mais non... »
- « Ben pourquoi »
- « Ben parce que... parce que c'est chez moi ! »
- « Oui donc c'est ta... vie... privée ? »
- « Oui ! »
- « Ben voilà »
La vie privée... (3)
Si on fait un rapport avec "Je n'ai rien à cacher", ça sous-entend qu'en fait on n'a pas de vie privée. Sachant que dans la socio, on considère que la vie privée différencie les individus, on peut se dire que si on n'a pas de vie privée, on n'a pas de vie. Bon ça ne plaît pas souvent aux gens quand vous leur dites ça :
Ça ne marche pas trop comme argument. C'est assez extrémiste d'ailleurs, on a tendance souvent à aller clasher les gens quand on essaie de répondre au "je n'ai rien à cacher". La problématique c'est qu'on tombe dans des extrêmes assez rapides, aussi extrêmes que "je n'ai rien à cacher", et le débat n'avance pas. Et on bloque. Il y a pas mal de gens qui bloquent sur ce point-là. J'ai bloqué pendant pas mal de temps sur ce point-là aussi, en fait.
Il faut aussi comprendre un autre point, ça c'est une des réponses au "ouais, de toute façon si t'as quelque chose à cacher, c'est quelque chose de mal, t'es un terroriste pédophile". En France c'est la pédophilie qui sert à ce genre d'arguments. La vie privée, elle n'est pas mauvaise, elle n'est pas bonne, elle est privée, voilà. Et c'est juste le principe. Ce que je fais chez moi ça ne regarde personne. Ce que je suis en train de lire : ça ne regarde personne. J'ai le droit de lire un livre sans qu'il y ait un mec derrière en train de me dire : « Hmm, dis-donc, t'es en train de lire un truc cheulou quand même ». Sur Internet, ce truc-là n'existe pas. Quand vous lisez quelque chose sur un site, vous laissez des traces, on laisse tous des traces quelque part, il y a des logs qui sont conservées à gauche à droite par vos différents FAIs [Fournisseurs d'Accès à Internet] parce que de toute façon ils ont l'obligation légale de le faire. C'est comme si vous étiez en train de lire un livre, sauf que là il y a quelqu'un qui regarde derrière vous.
Et puis, le dernier point sur cette première partie, c'est que la protection de la vie privée numérique n'est pas tant différente que ça de la vie privée physique. On a un ensemble de réflexes depuis qu'on est gamin, de « Attention, il ne faut pas parler à des inconnus, ça peut être dangereux », « Il ne faut pas monter dans le camion si on te propose d'acheter des bonbons », ou de... - voilà, je ne vous fait pas le rapport... « Monte dans ma camionnette, vas-y, j'ai des bonbons »... On sait tous et toutes que c'est dangereux, qu'il y a un problème dans ces cas-là. Ces réflexes-là, qu'on a acquis, qui sont vraiment naturels dans la vie physique, on ne les a pas forcément tous et toutes dans la vie numérique. On ne pense pas forcément à chiffrer ses communications. C'est comme si vous étiez en train d'envoyer une lettre avec une carte postale et des trucs qui clignotent : « Regarde, c'est ici que tu peux lire tout ce que je suis en train de dire ». Votre navigation c'est pareil, vos SMS c'est pareil, vos appels c'est pareil... Tout ce qui est numérique au final, c'est pareil. Rajoutons à ça quelques récents événements d'espions, tout ça, partout, « PRISM c'est le mal », et vous avez un Big Brother en puissance.
Quand on ramène cet argument-là en disant : « Ben voilà, la vie physique n'est pas tant différente de la vie numérique, en fait, l'une et l'autre ont besoin d'être protégées à différents niveaux », de plus en plus on a : « ouais, mais en fait … non », par une entité particulière qu'on va aborder juste après, et pour des raisons particulières qu'on va aussi aborder juste après.
... versus "la loi"
En fait, l'entité en question, c'est la loi, c'est à dire que la loi vous explique qu'au final, votre vie privée, on s'en tamponne, pour de vrai, qu'il y a des choses plus importantes que votre vie privée, des choses qui méritent que votre vie privée ne soit plus si privée que ça. En France, vraiment, le marronnier de la vie privée, c'est la lutte contre la pédophilie. Aux États-Unis, c'est le terrorisme. D'ailleurs on vous dit :
«Dafuk.Oui mais regarde, il y a des pédophilesDafuk ! »
C'est à dire que l'objectif est bon, en soi... Sauf les trolls : qui dans cette salle est pour la pédophilie ? (On a dit « pas les trolls », non les deux là-haut non, pas les trolls !) On ne peut pas en soi, être fondamentalement pour, comme on ne peut pas être pour le terrorisme, comme on ne peut pas être pour la vente de médicaments contrefaits, qui sont dangereux, potentiellement mortels - ACTA, c'était un peu ça. Donc on vous explique que la cause est bonne, et que du coup votre vie privée, on la remet un peu au second plan. C'est vraiment ce qui remonte de plus en plus. C'est volontairement remonté comme ça, tout du moins je pense que c'est volontairement remonté comme ça par l'ensemble des gouvernements, parce que ce serait beaucoup trop compliqué de gérer votre vie privée dans toutes les lois. On l'a expliqué juste avant : votre vie privée, il y a un énorme nombre de variables à prendre en compte, incalculable en soi. Demandez à un gouvernement de prendre en compte toutes les variables qui protègent votre vie privée, qui composent votre vie privée … déjà que les lois sont longues à arriver, c'est un coup à ce qu'elles n'arrivent juste jamais. Donc, on ne s'embête pas en fait, « non, ces trucs-là, non, on s'en fout, la vie privée c'est simple, c'est binaire, c'est ce qu'est chez toi, et ce qui est sur Internet, c'est pas privé, c'est public ». Bon, OK... Mais moi je ne suis pas d'accord.
... versus "la loi" (2)
Quand vous commencez à vous inquiéter, justement quand vous n'êtes pas d'accord et que vous allez chopper vos députés sur le Net, sur un PiPhone (merci la Quadrature), que vous les alertez pour leur dire : « Bon, je suis OK, je suis d'accord, la pédophilie c'est mal, mais est-ce que c'est normal qu'on me mette sous surveillance, je veux dire, bon c'est peut-être un peu disproportionné, quoi. Non ? ». Les gouvernements viennent vous répondre - exemple du gouvernement anglais - « Mais en même temps, si tu n'as rien à cacher tu n'as rien à craindre ». Très binaire, hein, comme réponse. « Si tu n'as rien à cacher tu n'as rien à craindre », ça veut dire que si t'as quelque chose à cacher, genre ta vie privée, t'as quelque chose à craindre. Si on continue un peu, et qu'on arrive à la réflexion la plus poussée, et potentiellement la plus absurde : « si t'as quelque chose à cacher t'as quelque chose à craindre, donc si t'as quelque chose à cacher c'est que t'es un terroriste, donc on va t'arrêter ». Si vous avez des choses à cacher dans cette salle, vous allez tous vous faire arrêter par la <="a hrefhttps://fr.wikipedia.org/wiki/Direction_centrale_de_la_s%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information>DCSSI dans pas longtemps. L'idée est là. Et il n'y a pas que le gouvernement anglais ; je prends l'exemple de ce gouvernement-là parce qu'en ce moment, il y a pas mal de choses qui se passent en Angleterre, il y a des programmes de renforcement de la sécurité du territoire, il y a des programmes d'installation de caméras de surveillance un peu partout, le MI-5 a eu aussi l'autorisation l'année dernière, par le gouvernement anglais, de s'introduire dans quasiment n'importe quelle communication numérique, ce qui sous-entend mail, SMS, discussions, etc., et tout ce qui est beaucoup trop chiffré, en fait ils ne prennent pas la peine de demander aux gens leur clef, ils les arrêtent, ça va plus vite. Je trouve ça plutôt sympa, ça ressemble presque à un régime totalitaire, mais faut pas dire ça, c'est mal.
... versus les entreprises
Le deuxième point, il n'y a pas que la loi, il n'y a pas que les gouvernements, dans la notion de vie privée. Les entreprises aussi sont concernées par votre vie privée. Entre autres Facebook, mais on va y revenir. Elles ne jouent pas sur le même terrain, c'est-à-dire elles ne jouent pas sur la lutte contre le terrorisme, elles ne jouent pas sur la lutte contre la pédophilie - encore que, Facebook, mine de rien, est bien réputé pour lutter contre ce genre de choses sur leur site, sur leur Internet dans les Internets. Les entreprises ont en soi compris que votre privée, il y a beaucoup, beaucoup, beaucoup, beaucoup, beaucoup d'argent à faire avec. Parce que vous laissez des données, parce que vous aimez des groupes, parce que vous rejoignez différents cercles d'amis - enfin appelez-le comme vous voulez, cercle, groupe, liste, ça reste le même principe. Des gens qui ont un centre d'intérêt commun, ça veut dire qu'on peut cibler ces intérêts-là, ça veut dire qu'on peut proposer des choses qui vont répondre à ces intérêts-là. À nouveau, si on représente ça dans la vie physique cette fois-ci, je reprends l'exemple du livre, c'est comme si vous étiez en train de lire, et que du coup il y avait un mec derrière qui vous disait : « Hmmm, tu lis ce livre-là ? Achète celui-là, tu vas kiffer ». C'est exactement la même chose. Sauf que ça dans la vie physique, personne ne l'accepte, vous avez (à nouveau, sauf les trolls) qui serait capable d'accepter un mec en permanence H24, en train de filmer tout, chez lui ?
Public : On peut le tabasser ou pas ?
Numendil : Hmmm, ça dépend. Non, on a pas le droit de le tabasser. Non ? Voilà. Ça pourrait être une expérience vachement drôle. Ou pas. Ça existe déjà, je suis con, ça s'appelle Secret Story, Loft Story, je suis bête en fait, pfff ! Oubli.
Juste pour l’anecdote, même dans ces séries-là en fait, les gens ont des choses à cacher. Il y a des passages sans caméra, ou officiellement sans caméra, qui sont publiés derrière dans des sites cheulous. Mais bon, passons.
Ça pourrait être le slogan de Facebook, ça pourrait être vachement bien, ce serait au moins plus honnête : « Si c'est gratuit, c'est que c'est vous le produit ». On l'entend souvent, enfin je suis souvent à le croiser cet argument-là. Il faut m'expliquer comment Facebook est capable de faire de l'argent. OK, on dégage la pub, encore que non puisque la pub cible ce que vous faites et les sites sur lesquels vous naviguez. Donc en soi la pub est concernée. On dégage allez, les partenaires, les prestataires, encore que - on pourrait se dire qu'ils récupèrent vos données. Donc, faut m'expliquer comment Facebook est capable de se faire de l'argent, de rentrer en bourse - OK ils sont en train de se viander, ils sont en train de perdre des gens, ils sont en train de descendre en bourse, etc., mais il faut m'expliquer comment ils ont fait pour rentrer avec un business model de génie - faut pas se leurrer, Zuckerberg, c'est une bête de génie : le mec il arrive, il pose un site, il dit : « OK, moi il y a le site, mettez vos données dessus, c'est tranquille c'est cool, pis ben moi après je les vends ». En fait le mec il fait rien : il prend vos données, il les récupère, il les vend ; en fait vous bossez pour Facebook - si vous avez un compte Facebook. J'ai un compte Facebook, donc je bosse pour Facebook. Comme Google avec des Google Glasses, etc., ce sera pareil.
Quelques exemples...
Dans les autres exemples qu'on peut citer :
Facebook on l'a déjà vu.
Yahoo, si vous avez suivi l'actu, vous avez vu il y a quelques semaines que Yahoo a déclaré comme ça : | Oui alors on va installer un petit truc qui nous autorise à lire tous vos mails ». Bon ils ont pas mis ça en plein page de Yahoo, histoire de pas faire peur aux gens quand même, mais ils ont fait passé une note, en expliquant que : « Ben voilà, pour lutter contre le spam...»... Le spam c'est pareil : c'est chiant, ça pollue nos boîtes - « luttons contre le spam, mettons tout le monde en DPI [Deep Packet Inspection] » avec un beau flicage de vos données en fait. Donc voilà, Yahoo a déclaré ça il n'y a pas longtemps : « Ouais ben on va aller lire vos mails ».
Pour info, je crois qu'OVH veut faire pareil dans pas longtemps, il me semble. Et je vois des « oui » à gauche à droite, donc merci.
Microsoft c'est pareil : ils ont sorti un XBox One - alors, en tant que joueur, j'ai regardé le truc, je me suis dit : «Ouais putain, c'est pas mal quand même, c'est bien foutu, bon ça a son esthétique, pourquoi pas... Non franchement c'est cool ». Après j'ai un peu lu les spécificités, je remercie d'ailleurs @skhaen puisqu'il en a parlé longuement sur les Internets, puis on se dit : « Tiens, il y a un Kinect, tiens il est obligatoire. Tiens c'est cheulou quand même. Tiens il y a un détecteur de mouvement. Tiens il y a un micro, pour qu'on puisse lui causer. Hé c'est super cool, on peut lui causer directement ! Le truc il est activé en permanence!"Cf. http://www.01net.com/editorial/595881/donnees-personnelles-avec-xbox-one-big-brother-s-installe-dans-votre-salon/. Je vous laisse comprendre, imaginez, je sais pas, vous passez - je vous donne un exemple gentil, mais on peut partir dans des exemples qui respectent la règle du porn - vous êtes avec des amis en train de causer, hé ben votre XBox, qu'est-ce qui vous prouve qu'elle n'est pas capable de capter tout ce que vous êtes en train de dire ? Microsoft le dit à un moment, dans une explication : « Voilà, on met de la VOD en place, vous allez voir c'est super bien, euh, par contre, euh, si vous la louez pour deux personnes, s'il y a une troisième personne qui débarque, ben le truc il s'arrête »." Ça veut bien dire quelque part que leur système de détection de mouvement, il est activé H24. Alors ils ont fait marche arrière, hier il me semble, ils ont changé deux-trois trucs, la Xbox ne devra pas obligatoirement être connectée à Internet une fois par jour, et deux-trois améliorations comme ça mais globalement ça ne change pas grand chose. Il y a un capteur quelque part, ces données-là on ne sait pas où elles vont. On sait qu'elles vont chez Microsoft, mais on sait que Microsoft va plus ou moins chez la NSA et d'autres, quelque part part là. Ouais, c'est vrai, sur le principe... Ouais ?
Public : Ils ont annoncé qu'ils prendraient des bandes-vidéos pour analyse.
Numendil : Ah je n'ai pas vu ce point-là.
Public : C'est pour « améliorer l'expérience des joueurs ». Ça a été annoncé par Microsoft.
Numendil : D'accord. Donc ils allaient prendre des morceaux, des samples à... comme ça, random ? Bon alors voilà, Microsoft annonce qu'ils vont prendre des morceaux de vidéos pour améliorer l'expérience du joueur, peut-être la reconnaissance de mouvements ou de trucs comme à ça. Alors ils n'ont pas précisé comment à première vue, ni quand. Ça pourrait être funky quand même, je vous laisse imaginer sur le coup, règle 34 oblige, je vous laisse imaginer certains moments où on pourrait vraiment s'amuser avec la détection de mouvement. Si vous ne savez pas ce que c'est que la règle 34, Google peut vous répondre là-dessus. Avec des poneys. "poney règle 34", vous verrez. Désactivez le filtre parental, sinon ça marche pas.
Gmail fait pareil, Google l'a annoncé - enfin, quand on lit les petites lignes de chez Google - on se rend compte rapidement que vos mails ne sont pas si protégés que ça. Alors il n'y a pas longtemps, ils ont vendu un truc génial aux utilisateurs Google, ils ont dit : « Ouais, vous pouvez chiffrer vos mails, directement, à la volée, en rentrant une clef ». Ouais, enfin, la clef vous la rentrez sur Gmail, chez Google, je veux juste dire ça comme ça : qu'est-ce qui vous prouve par A + B que Google ne récupère pas cette clef à la volée ? Rien ! Ce n'est pas écrit ! On ne le sait pas. Et puis si on allait taper dans les trucs de Google, il y a un moment où on se ferait taper dessus parce qu'on est terroristes, on a pas le droit d'aller voir le code. Encore que Google est plus libre que d'autres - Microsoft, tout ça... Enfin bref.
Les pubs passives, c'est pareil. Vous allez sur un site A, vous allez sur le site B juste derrière : « Ah attends c'est trop bien, il y a des pubs du site A, c'est cool ! ». On se dit tous ici : « Mais c'est quand même vachement cheulou puisque … comment le site il fait pour récupérer ça quoi ? ». Il y a des gens que ça ne dérange pas, mais il faut réfléchir plus loin que « ça ne dérange pas ». C'est le principe : comment ces données font pour être récupérées ? Pourquoi ces données sont récupérées ? Si vous lisez un livre dans votre vie, dans votre bibliothèque, il n'y a pas un mec quelque part qui quand vous sortez va vous dire : « Hmmm, tu as lu ce livre-là, je te conseille celui-là ». On revient au même exemple. C'est pareil. Ça reste des données de la vie privée. Le pseudo par exemple sur Internet, c'est pareil. Il y a un pseudo, il y a un nom derrière, on est pas obligé de le mettre, en fait on a le choix, c'est ça l'idée. On nous dirait, sur Gmail ou dans les pubs passives : « Est-ce que vous acceptez que les sites sur lesquels vous naviguez soient observés pour vous proposer du contenu personnalisé ? » (C'est comme ça que c'est vendu.) Sous-entendu: pour regarder tout ce que vous êtes en train de faire au passage. On aurait le choix, limite ça ne dérangerait presque pas, puisque c'est l'utilisateur qui a le choix final. Sauf qu'on ne l'a pas. Ou alors il faut vraiment se mettre à bloquer tout : et les contrôles, et les Java, et le Flash, et machin, et les cookies, et bidule - en gros il faut avoir un Internet qui ne marche plus très bien, puisque la moitié des sites fonctionne avec au moins un de ces trucs-là. Donc on n'a pas la version complète du site.
Dans les derniers exemples, si vous avez suivi l'actu aussi, la RATP s'est fait prendre la main dans le sac avec un projetCf. http://seteici.ondule.fr/2013/05/reconnaissance-faciale-a-la-ratp/ - alors, entre temps le projet il a été abandonné, il y a eu des confirmationsCf. http://www.numerama.com/magazine/26016-la-ratp-abandonne-definitivement-la-reconnaissance-faciale.html, « Non, non, c'est pas bon », etc., mais - la RATP s'est fait prendre la main dans le sac avec un projet de reconnaissance faciale dans le métro, pour détecter les individus ayant des comportements suspects, dangereux, en infraction, etc. Ça sous-entend au passage que tous les usagers du métro sont surveillés. Ils le sont déjà par leur trajet, si vous avez une carte Navigo c'est pareil, vous avez un petit espion dans la poche, mais [là] on passe à l'étape d'après. Ils ont abandonné le truc en disant : « Non, non, c'était une erreur, ce n'était pas prévu, on s'est gourés, ça n'a pas été validé par la hiérarchie », beaucoup de monde, y compris moi, sommes convaincus que c'est : « Oui on l'abandonne, parce qu'en fait on s'est fait griller. La prochaine fois on le fera sans se faire griller, comme ça ce sera plus pratique, les gens ne viendront pas nous taper dessus ».
Et puis, toutes les lois en "-A" : ACTA, SOPA, PIPA... Bon LOPPSI il n'y a pas de "A" mais c'est un peu pareil. La lutte contre le terrorisme, la lutte contre les infractions, la lutte contre la contrefaçon, la lutte contre les infractions au droit d'auteur, c'est super cool, c'est sans doute très louable ; sauf pour le droit d'auteur, j'ai tendance à vomir dessus. Mais à nouveau, on est sur quelque chose de complètement démesuré : on met sous surveillance l'ensemble de la population au motif que « Peut-être qu'un jour vous allez faire quelque chose. Peut-être. On est pas sûrs mais vu qu'on a un doute... De toute façon un de ces quatre vous ferez un truc. Vous êtes tous suspects là-dedans en fait ».
Cas particulier : PRISM
Un petit cas particulier, un gros cas particulier sur lequel je ne vais pas m'éterniser parce qu'il y a eu un débat hier soir dessus il me semble, il y a eu une introduction là-dessus, il y a eu un passage hier matin, très paradoxal, d'une personne qui vous expliquait que PRISM c'était dangereux … sous Microsoft, avec un Gmail et un BlogspotCf. http://lacantine.ubicast.eu/videos/20-06-2013-130708/, enfin bref - PRISM, ce programme de surveillance américain qui surveille surtout beaucoup de personnes de l'étranger puisque la constitution protège mieux les citoyens américains que les citoyens étrangers, PRISM en soi c'est une belle démonstration, c'est : « On ne sait jamais, vous êtes tous potentiellement coupables de quelque chose, donc dans le doute on va fliquer tout le monde ». Le 11 septembre a eu quand même pas mal de conséquences, logiques, qui sont le renforcement de la lutte contre le terrorisme ; ça peut se comprendre en même temps, vous avez des centaines de morts, deux bâtiments qui tombent, un drame, on peut comprendre que... Par contre, il aurait peut-être été bien d'annoncer quelque chose, je ne sais pas quelque part : « Bon ben voilà, on va mettre tout le monde sous surveillance », histoire de ne pas l'apprendre de cette façon, parce qu'un whistleblower [NdT : lanceur d'alerte] a décidé de balancer l'info. Et de perdre toute sa vie au passage, mais bon c'est encore un autre débat.
Cet exemple-là, vraiment, c'est peut-être juste la partie visible de tout le reste en fait. Sur le Guardian, en Angleterre du coup, il y a pas mal de journalistes qui s'accordent à dire que cette partie-là, OK on a eu du bol, on la connaît, par contre le reste on ne le connaît pas encore. Et puis c'est pareil, il y a déjà des choses qui existent comme ça en France. Vous avez récemment deux journalistes, Pierre Alonso et Andréa [Fradin]Cf. http://www.rue89.com/2013/04/24/ecoutes-telephoniques-deux-journalistes-downi-convoques-a-dcri-241743 qui ont fini dans les locaux des renseignements pour avoir balancé des infos sur les futurs grandes oreilles du gouvernement. On se dit : « Tiens, c'est quand même vachement bizarre... Je ne sais pas, ils ont fait leur boulot de journalistes, peut-être qu'ils ont révélé des informations ultra-sensibles et méchamment confidentielles...». Mais bon, dans tous les cas, ce truc-là est là pour vous surveiller, pour surveiller vos données, ce serait peut-être bien que la population le sache. Mais on vous répondra que « Ben oui mais si la population le sait, les terroristes ils vont le savoir ». Bon les terroristes et les pédophiles, sérieusement ils ne nous ont pas attendu pour chiffrer leurs communications. Ça fait longtemps qu'ils le font, donc ça ne changera pas grand chose à la donne. Sauf qu'on mettra tout sous surveillance.
Das its ein problem !
En prenant cet exemple-là, de l'apprendre comme ça, il y a quand même quelque part un problème, qui est soulevé en permanence, mais qui n'est jamais résolu … n'a jamais de réponse, ou alors la réponse : « Ouais enfin en même temps si t'es contre c'est que tu as [des choses] à cacher » - encore et toujours.
On n'est pas forcément conscients de tout ça, même encore si dans cette salle tout le monde ou presque tout le monde a appris ce que c'était PRISM, dans la rue je ne suis pas certain que ce soit le cas. Si tout le monde ou presque tout le monde a appris qu'il y avait des grandes oreilles qui démarraient au niveau du gouvernement français, des services de renseignements français, c'est pareil : qui le sait, dans le grand public ? (Pardon.) Qui le sait dans le grand public, qui le sait dans la masse ? Un pour cent, deux pour cent ? Aller, peut-être cinq, si vraiment je suis un Bisounours et que je crois aux miracles ?
Le deuxième point dans ce gros problème à souligner, c'est que souvent les gouvernements vont quand même vous dire : « Oui mais, on récupère que des données statistiques, etc., etc. » L'exemple de la NSA et de PRISM est assez représentatif, c'est à dire que les gouvernements bossent main dans la main avec les grosses sociétés. Faut pas croire que les grosses sociétés soient contentes de le faire, elles n'ont juste pas le choix. La NSA par exemple, pour revenir sur ce truc-là, et tout ce qui est Google, Apple, Facebook, etc., elles n'ont juste pas le choix de bosser avec les gouvernements. C'est :
et puis si ça ne marche pas, on ramène la loi. Ça se fait. Ça pose problème quelque part.
Le vrai risque, dans tout ça, c'est quelque chose dont le « je n'ai rien à cacher » n'est absolument conscient, c'est l'évolution de l'État policier au fur et à mesure des années.
Je ne vous fait pas l'approche du point Godwin, mais quand ils sont venus arrêter machin, j'étais pas inquiété parce que j'étais pas ceci ; quand ils sont venus arrêter machin, j'étais pas inquiété parce que j'étais pas cela. Et puis à un moment ils sont venus m'arrêter puis il n'y avait plus personne, en fait. C'est un peu ce point-là que je veux expliquer là. Le véritable risque, c'est qu'on se retrouve vraiment dans un gouvernement, ou encore pire un administration privée, une société privée qui a un ensemble de données sur vous, dont vous n'avez pas connaissance, et qui les recoupent à gauche à droite. Et qui au final fait que vous devenez dangereux, suspect, potentiellement coupable de quelque chose alors que vous ne le savez même pas.
On peut se poser la question suivante : est-ce que si on explique ces points-là à des gens qui vont vous répondre « Ben non, moi je n'ai rien à cacher », est-ce que si on leur explique l'ensemble de ces choses-là, ils vont continuer vraiment à se dire : « OK, je n'ai rien à cacher » ? Bon, mon avis c'est que : peut-être. J'ai un collègue qui colle vraiment à ce schéma-là et je pense qu'il est pas le seul sur la planète à coller à ce schéma-là, bien qu'il soit pro-Apple et tout le reste. On peut vraiment, vraiment, vraiment, vraiment se demander s'ils vont changer de point de vue.
L'agrégation
Il y a un autre problème qui n'est pas pris en compte par ce « Je n'ai rien à cacher »-là, qui peut aussi peut-être faire prendre conscience aux gens qu'en fait, si, au final, il y a peut-être quelque chose à cacher : c'est l'agrégation, l'agrégation de données. C'est-à-dire qu'on part du principe, les gouvernements partent du principe, que votre historique de navigation, ma foi, c'est une donnée, enfin c'est un ensemble de données mais c'est une variable, c'est votre historique de navigation, cette donnée-là n'est pas sensible, donc au final on peut la prendre. Et puis une autre donnée, tiens on va vous la prendre aussi. Et puis une autre donnée. Et au final, si une donnée n'est pas sensible, peut-être que plus de données le deviennent, peut-être qu'un groupe de données peut devenir sensible, peut faire comprendre quelque chose à quelqu'un, ou peut-être quelque chose d'erroné à quelqu'un.
C'est ce que j'essaie d'expliquer juste après : l'agrégation est réductrice, généralement elle déforme la réalité. Alors il y a certains cas, rares, avec beaucoup de temps, beaucoup de travail, où on arrive à avoir quelque chose de concret, d'assez représentatif de la personne, mais dans tous les cas, l'agrégation est systématiquement réductrice. Je vous cite l'exemple de consultation de certains sites dangereux. Sous le gouvernement de Nicolas Sarkozy, lorsque les attentats à Toulouse sont arrivés, Nicolas Sarkozy avait pondu une loi, puisque la loi c'était une loi par acte dramatique, qui était : « On va punir les gens qui vont sur des sites terroristes ». Bon, ça sous-entend qu'on va fliquer soit le site, soit tout le monde. Vous prenez cette donnée-là, vous vous dites : « Ouais, c'est cool, on va repérer les terroristes ». Ouais, sauf que, les journalistes, par exemple, font quoi dans l'histoire. Les journalistes qui bossent sur ce genre de sites-là ? « Ben y sont terroristes ! Ben oui ils vont sur ces sites-là ». C'est de l'agrégation, t'es une personne qui va sur un site, t'as fait ceci t'as fait cela, t'es allé sur tel site et tel site et tel site, en fait, à la base vous avez une courbe de probabilité qui dit : « Bon voilà, il est possible que ceci, il est possible que cela, il est possible que cela », puis ben 2, 3, 4, 5 sites, en fait vous êtes un terroriste, vous allez sur ces sites-là. Vraiment.
On peut prendre un autre exemple, vraiment d'agrégation plus puissante encore. Vous écrivez, vous êtes bloggeur - au hasard, un peu une partie de ma vie privée - puis vous écrivez sur un sujet en particulier, qui nécessite que vous alliez chercher des informations très particulières. Genre, sur des groupuscules d'extrême-droite. Et puis, vous commencez à traîner avec ces gens-là - enfin, traîner, vous commencez à vous renseigner sur ces gens-là, ce serait plus exact - et puis ces gens-là ont quand même des idées qui sont classées comme terroristes par exemple. Bon, on pousse vraiment dans l'absurde, mais vous allez comprendre le principe. Donc, vous traînez, quelque part, avec des gens bizarres, vous avez peut-être acheté un livre avec des paroles bizarres dedans. Je ne sais pas, tiens, un truc encore plus … vous achetez un livre tel que : Qu'est ce que la méthamphétamine, tiens, voilà, on prend ce truc-là, Qu'est-ce que la méthamphétamine ?. Bon, de base, cette donnée-là, on s'en fout un peu. On se dit : « Bon, OK, c'est cool, il a acheté un livre pour apprendre à faire de la méthamphétamine, bon, pourquoi pas ». Et puis derrière, vous achetez plein, plein, plein de produits pour retaper une maison par exemple, au hasard, puis vous publiez la petite photo qui va bien sur Twitter, avec plein de trucs dans une remorque, avec plein de produits cheulous, puis ben, c'est votre compte, c'est vos données, on sait que vous avez acheté ce livre-là, on sait que vous avez ces produits-là, et on sait que ces produits-là rentrent dans la composition de la méthamphétamine. Bon ben voilà, vous devenez officiellement fabriquant et dealer de méthamphétamine. Vous n'avez rien demandé - ça peut paraître poussé, mais l'agrégation, c'est ça en soi - vous n'avez rien demandé, vous n'êtes pas dangereux, vous n'avez pas envie de l'être, vous ne feriez pas de mal à qui que ce soit, mais quand on agrège ces données-là, la seule conclusion possible c'est que vous êtes dangereux, donc vous êtes potentiellement mis sous surveillance. Faites-ça en France, il y a des lois qui protègent votre vie privée en partie. Faites-ça aux États-Unis, il y a de fortes chances que vous soyez fichés quelque part. Vraiment.
Cette chose-là n'est pas prise en compte par l'exemple qu'on cite le plus souvent, aka Big Brother. Big Brother, c'est là société de surveillance, la surveillance généralisée de tout. En fait, c'est l'auto-censure. On ne fait rien, puisque de toute façon on est surveillés en permanence, on ne fait rien. L'agrégation est présentée dans un livre qui s'appelle Le Procès<:a>, de Kafka. Si vous ne l'avez pas lu, je vous invite à le lire.
Public : Le film est sympa aussi.
Numendil : Alors je n'ai pas vu le film. On se retrouve alors, pour résumer juste le point intéressant de cet exemple-là, on se retrouve avec une personne, qui se fait arrêter, qui ne comprend pas pourquoi, il n'a rien fait, et puis au fur et à mesure de gratter des infos, on se retrouve avec un énorme dossier sur la personne, il arrive à voir ce qui se passe, et il y a un ensemble de données monstrueuses qui ont été agrégées sur lui. C'est un peu la même chose ; vous prenez votre historique de navigation, vous prenez vos SMS s'ils ne sont pas chiffrés, vous prenez vos mails, puisque vous avez peut-être un compte GMail quelque part, vous prenez le tout, vous mélangez le tout, il y a un dirigeant ou une des personnes dirigeantes du FBI qui a déclaré il n'y a pas longtemps : « Donnez-moi n'importe quelle donnée, et en 6 minutes, je fais de n'importe qui un suspect ». Bon sur le coup il disait une blague, il rigolait derrière. Moi perso, je me suis dit : « Ah ouais. Ah le mec quand même il en a pour déclarer ça quoi, parce que, le pire, c'est qu'il doit vraiment le penser, et que ce doit vraiment être possible ». Prenez n'importe quelle personne, mélangez un peu le tout, puis vous ressortez forcément quelque chose qui dérange, quelque chose qui n'est pas normal. C'est comme ça que c'est tourné.
L'agrégation : exemple avec maltégo
Alors, côté agrégation, je prends un petit exemple. On peut se dire - on m'a déjà répondu en fait : « Ouais, mais l'agrégation, attends, c'est bon, ne t'en fais pas, tout le monde n'est pas capable de le faire ». Ouais, OK, c'est cool - euh, il y a un outil qui existe, sous Windows, sous MacOS il doit exister aussi il me semble, et puis sous GNU/Linux qui existe aussi, qui s'appelle [Maltego.
Je vous résume le truc très rapidement, vous prenez un nom, vous prenez une adresse, vous prenez une adresse IP, vous prenez un mail, peu importe, vous prenez une donnée basique, et puis cet outil-là va aller scanner un peu partout pour essayer de retrouver quelque chose. Il vous ressort potentiellement un numéro de téléphone s'il est quelque part ; potentiellement un compte LinkedIn, Twitter, Facebook, j'en passe et des meilleurs; une adresse si elle est déclarée quelque part.
Moi à mon niveau je suis capable de faire ça. Ce n'est rien, mais dites-vous qu'à des niveaux supérieurs, dans des services de renseignements, on est peut-être capable de faire pire, enfin, au moins plus, sauf qu'on l'interprète toujours de la mauvaise façon. Je vous redonne mon exemple de tout à l'heure, j'ai même un compte Facebook, c'est un truc de fou, moi mon compte ne peut pas remonter dans ce système de données-là, parce que mon compte est juste invisible partout sur Facebook. Il n'y a que moi qui … enfin, c'est … voilà, on ne peut pas me retrouver. Par contre quand je m'amuse à me chercher dans Maltego, il me retrouve effectivement des noms, mais ce ne sont pas les miens. Et il me retrouve entre autres une personne qui tient des propos vachement bizarres et vachement extrême-droite sur son compte Facebook. Donc je me dis que si les services de renseignements utilisent ce truc-là, bon ben je dois être un extrémiste de droite. Bon c'est cool hein, c'est plutôt sympa … ou pas. Mais bon, voilà. Vous avez compris le principe. Même des outils comme ça, au final, ça reste que de la statistique, on prend la plus forte probabilité, il n'y a pas forcément d'humain au premier abord là-dedans, du coup ben on fait des erreurs. Point.
L'agrégation (2)
J'ai reproduit l'exemple l'année dernière avec deux amis, on était à un bar, là, après PSES tiens justement, on était à un bar, on s'est posés, on voulait échanger une donnée avec un téléphone Bluetooth. Et puis on s'est posés, on a dit : « Tiens c'est bizarre, il y a un nom, il y a un prénom, vachement cheulou, c'est qui ce truc-là ? ». Il y avait une femme un peu plus loin, Brigitte QuelqueChose - on cachera son nom pour la présentation. Donc avec son iPhone on a récupéré son nom et son prénom, c'était écrit en gros : « iPhone de Brigitte Machin ». Je n'ai même pas envie de troller Apple, ils se tuent tous seuls.
Donc on a cherché un peu, on est tombé sur son adresse postale, parce qu'il y a avait ses coordonnées à gauche à droite, et puis parce qu'il y avait plein de photos, et dans les photos il y avait plein de méta-données avec des coordonnées GPS. On s'est dit : « Ben tiens, c'est cool ! ». Et puis on a remonté sa profession ; elle est prof d'informatique et de sécu info, pour info (rires) dans une des grandes universités de Paris. J'ai trouvé ça juste épique, je me suis dit : « Non, on a dû se gourer, ce n'est pas possible, ce n'est pas elle, non mais t'as vu le profil et tout ? ». Tu regardes la photo et tu fais : « Ah merde, ça colle en fait, c'est elle, ah-ahhh » [il se tape sur le front]. Elle a un Facebook, et puis elle n'a pas modifié ses critères de protection des données Facebook, donc on a remonté son âge, ses contacts, ses groupes - d'ailleurs elle a des groupes vachement cheulous quand même - ses amis, les amis de ses amis, les amis de ses amis de ses amis, etc., etc. On a remonté ses numéros de téléphone ; on ne les a pas testés parce qu'en soi, on s'est juste dit : « Tiens, c'est quand même inquiétant ce truc-là ». Moi citoyen classique, avec un téléphone - on a fait ça avec un téléphone, à un bar, ce n'est pas une blague, deux personnes dans cette salle peuvent confirmer que ce n'est pas une blague, on a remonté donc : CV, quasi-toute sa vie professionnelle en gros, les différents comptes-rendus de conf qu'elle a pu tenir, les différents propos qu'elle a pu tenir, les pseudos qu'elle a pu [avoir] parce qu'on les a associés à des adresses mail en balayant l'adresse dans LinkedIn, dans machin, dans truc, dans bidule, dans chouette... C'est génial hein, franchement Google, quand vous savez bien vous en servir, c'est vraiment génial, et ça vous ressort plein de données. Trop cool.
Donc moi, simple citoyen... On a pu ressortir ces données-là... Ça nous a pris quoi, 15-20 minutes ? Ouais, 15-20 minutes. Dites-vous qu'on n'a pas fait ça dans un but malsain, ou dans un but de montrer que. Mais on s'est quand même dit : « Il y a un problème quelque part ». Et cette personne-là, je reviens là-dessus sans troller, elle est prof d'info. Ça sous-entend qu'elle a une certaine connaissance, un certain niveau ; qu'elle est sensée savoir au moins ce qu'elle fait un petit peu, normalement. Sur papier en tout cas, c'est sensé être comme ça. Madame Michu, ou Jean-Kevin, il n'est pas capable de faire ce genre de truc-là. Il n'est pas capable de se protéger, ou du moins il n'a pas ce niveau de connaissance-là, ou au moins il n'est peut-être pas conscient qu'il doit se protéger. Au final sa vie … en fait c'est comme s'il était à poil sur Internet. Si c'était dans le monde des objets, dans ce monde-là, il serait en train de se balader à poil. Bon ça peut être funky hein, mais ce serait un peu bizarre. Il y a des lois qui interdisent ça... Pas sur Internet.
J'ai encore refait cette expérience-là, une dernière fois, avec un des mes collègues cette fois-ci : le fameux pro-Apple qui dit que de toute façon, il n'y a rien à cacher. Je me suis dit : « Bon, c'est bon, peut-être que cette fois-ci il va tilter que j'ai toute sa vie depuis qu'il a 5 ans » - je ne le connais pas hors contexte professionnel, et puis du coup il m'a répondu...
« Je n'ai rien à cacher »
« Ben non, j'ai rien à cacher ». Ah d'accord...
Je l'ai quand même reproduit 2-3 fois sur des gens que je connais et qui me répondent souvent ce genre de choses-là, et bien en fait l'argument revient souvent : « Non, mais ouais OK c'est cool, mais de toute façon tu les as trouvées sur le Net, c'est public, ouais, bon ben voilà, je n'ai rien à cacher ». OK...
L'argument du « je n'ai rien à cacher » en soi ne cible pas l'agrégation. C'est un peu le constat que j'ai pu tirer, que d'autres ont pu tirer dans des analyses beaucoup plus sérieuses et poussées, dans des thèses, etc., etc., etc. Donc l'argument du « je n'ai rien à cacher » ne cible pas l'agrégation, en fait il cible le côté surveillance à la Big Brother. C'est-à-dire : « ben je vois pas de problème à ce que quelqu'un soit chez moi en permanence à surveiller tout ce que je fais et tout ce que je dis ». En fait c'est ça l'idée.
Public : On met une caméra dans les toilettes, il le sait !
Numendil : Ouais ! Mais, hé, bizarrement quand vous avez ces propos-là, quand vous dites aux gens :
Public : Ça on pourra le faire quand la XBox One sortira parce que...
Numendil : Oui voilà, avec la XBox One, ce sera génial.
Public : Ce sera exactement la même chose. « Ça ne te dérange pas ? Ben je peux venir alors ! »
Numendil :
- « T'as une XBox One, ben je peux venir chez toi quand tu dors ? »
- « Ben non ! »
- « Mais euh... Ta XBox One, elle est dans ta chambre ? »
- « Ouais »
- « Ben donc Microsoft te regarde quand tu dors. »
- « Ouais... ah merde... Ah ouais... Ah ouais c'est bizarre »
On ne prend vraiment pas en compte la dimension de l'agrégation. Le « je n'ai rien à cacher » ne prend, à nouveau, pas en compte le côté « évolution de la surveillance ». Souvenez-vous de ce que je vous ai dit tout à l'heure : on commence toujours par un petit truc de rien du tout dans un but très noble de - prenez une société par exemple, « voilà, on protège les locaux contre les vols » ; puis après on protège les locaux contre les intrusions, puis après on protège les locaux contre le livreur de pizzas qui vient, puis après on protège les locaux contre vous Parce que peut-être qu'un jour vous allez voler un truc. Et puis tiens, il y a un téléphone, ou un machin ou un chouette qui a cramé quelque part, et puis vous étiez près d'un téléphone à un endroit donc c'est forcément vous. Vous êtes coupable, alors que vous n'avez rien fait.
Il est trop tard, hein à ce moment-là, il est juste trop tard pour hurler. Quand vous vous faites arrêter pour quelque chose, quand vous vous faites fliquer pour quelque chose et que vous commencez à hurler, c'est juste trop tard. Si on est arrivé à ce niveau-là de « De toute façon, toutes vos données sont observées », c'est peut-être qu'il y avait déjà un problème avant. Et ce problème il ne date pas du début des Internets, il date de 1800 et des poussières, date à laquelle ces arguments-là [il pointe le transparent] sont arrivés.
D'ailleurs, pour la petite anecdote, la phrase « Si vous n'avez rien à craindre, vous n'avez rien à cacher », le premier politique qui l'ait dit, c'était en 1933... Point Godwin atteint ! J'avais promis de faire un point Godwin. C'était en 1933 et c'était Goebbels qui a dit au gouvernement allemand : « Non non non, mais ne vous en faites pas, vous n'avez rien à cacher, c'est cool ! On vous met tous sur surveillance, mais c'est pour votre bien ». Les Allemands on dit : « Bon, OK. C'est cool ». Et puis après il s'est passé ce qu'il s'est passé. J'ai trouvé assez ironique que les gouvernements s'en servent comme argument phare maintenant. Mais bon, ça n'engage que moi.
L'altération
Il y a un dernier point, qui est complètement - pareil - ignoré, et là ça reste mon interprétation personnelle, vous avez le droit de ne pas être d'accord avec la suite, c'est l'altération de données.
L'altération, pour ceux et celles qui ne connaissent pas : je présente un truc rapide.
Vous avez un point A, vous avez un point B, normalement c'est votre connexion. Vous allez vers un site, par exemple. Et puis entre les deux, il y a une personne soit qui écoute, soit qui va changer le contenu de la donnée. Je ne vais pas cibler spécifiquement le contenu changé, mais plutôt l'écoute passive des données. Vous allez comprendre le truc.
Je vais prendre le cas de SFR par exemple. Il n'y a pas longtemps, c'est d'ailleurs Bluetouff, qui s'est baladé sur un site, il est allé dans le code source du site : « Tiens, c'est vachement cheulou, sur les accès mobiles SFR, j'ai des trucs en plus dans le code source de la page, des trucs qui sont pas là quand je prends une autre connexion. Tiens c'est bizarre, on va regarder ce que c'est...»Cf. http://reflets.info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/. Alors SFR a communiqué là-dessus, à force de se faire taper ils ont quand même répondu, la réponse a été : « Ouais mais vous comprenez, en fait, on optimise les images pour que ça charge plus vite ! »Cf. http://www.zdnet.fr/actualites/optimisation-3g-sfr-nie-toute-atteinte-a-la-neutralite-du-net-39788330.htm. Bon c'est vrai que sur du edge ça pouvait sans doute servir, sur de la 3G, du HSDPA et de la 4G, c'est vachement utile...
Ces gens-là, au final, pour altérer cette donnée-là, ça veut dire qu'ils sont quand même à un moment où ils mettent les mains dans votre code, dans le code source. Ça veut bien dire que s'ils regardent ce truc-là, ils sont bien capables de l'observer complètement, et de voir ce que vous faites, où vous êtes, ce que vous êtes en train de lire. Ça va bien au-delà de : « On récupère l'adresse que vous êtes en train de visiter », qui est l'obligation légale. Ça va juste beaucoup plus loin.
Free c'est pareil. On a eu un énorme clash avec Free il y a quelques mois pour le bloqueur de pubs de FreeCf. http://www.webrankinfo.com/dossiers/webmastering/blocage-publicite-free. Idée géniale : la pub c'est chiant, la pub c'est lourd, donc « pouf ! » bloquons-là. Bon, surtout bloquons celles de Google parce qu'on n'est pas d'accord avec eux. Il y avait les anti - j'allais dire les anti-mariage pour tous - les anti-pubs et les pro-pubs - allez, c'est la fin. Les anti-pubs et les pro-pubs. Les anti- qui disaient : « Ouais c'est génial, c'est cool y a plus de pubs, machin, il y a plus de contenu ». Et le pro- qui disaient : « Ouais mais c'est pas à mon opérateur de décider de ce qui est à retirer ou pas. C'est moi qui décide. C'est moi qui installe l'application qui va bien sur mon navigateur », genre, je ne sais pas, AdBlock Plus par exemple, au passage qui a été viré par Google parce que ça les embête. « C'est moi qui gère ». Free l'a fait à votre place, à notre place, au moins pour ceux qui ont une FreeBox v6, je crois que la v5, ce n'est pas encore prévu. L'idée est là, c'est une terminaison de votre réseau qui le fait, c'est quand même une extension du réseau de chez Free, puisque Free dit que ça fait partie de son réseau à lui, qui altère du contenu. Si on altère du contenu, ça veut dire que ... surtout de la manière dont Free le faisait, c'est quand même vachement précis, on bloquait juste les régies Google. C'est vachement précis. Ça sous-entend qu'on lit tout le reste. Est-ce que ça regarde votre opérateur ce que vous êtes en train de faire sur Internet. Si l'obligation légale dit : « OK, tu références l'URL, parce qu'on doit savoir qui était là à quel endroit et avec quelle adresse IP », on ne lui demande pas d'en faire plus. Et au-delà de ça, ça sous-entend de potentiels faux-positifs, de la censure, etc.
Nokia fait pareil. Alors MITM c'est exactement ce que vous avez là en fait [il pointe le transparent], c'est de l'altération de données. Vous avez un attaquant qui vient reposer au milieu puis qui altère la donnée entre le point A et le point B, ou entre le point B et le point A. Généralement appelés Alice et Bob dans ces représentations-là. C'est à dire que Nokia, sur les périphériques, sur les téléphones Nokia, cassait la navigation en HTTPS, donc navigation sécuriséeCf. http://korben.info/risque-dinterception-de-type-man-in-the-middle-pour-tous-les-possesseurs-de-telephones-nokia.html. Alors je ne sais plus quel argument ils ont vendu, je ne l'ai plus en tête, si vous vous en souvenez je prends, mais ils ont expliqué que, voilà, ils cassaient la navigation HTTPS. Donc en fait vous pensiez naviguer de façon sécurisée et lire des choses de façon sécurisée, hé ben en fait non. Merci Nokia !
Et puis Skype. On pourrait troller énormément sur Skype, qui récupère des liens que vous envoyez - je ne sais pas si vous avez lu l'articleCf. http://www.zdnet.fr/actualites/une-nouvelle-preuve-que-microsoft-lit-les-conversations-sur-skype-39790421.htm ou pas, je vois deux-trois oui à gauche à droite - qui récupère les liens que vous envoyez d'un contact Skype à un autre contact Skype. Il est sensé transmettre de la donnée, hein, c'est tout. Mais il récupère. Qui les visites ? Pff, Microsoft sans doute... Pourquoi ? On ne sait pas. Dans quel but ? On ne sait pas. Est-ce que ça peut être utilisé contre vous ? On ne sait pas. En fait on ne sait rien. On sait juste que Microsoft le fait.
Cette altération-là, qu'on le veuille ou non, selon moi, elle représente un risque pour notre vie privée à tous. Parce que si quelqu'un altère, si quelqu'un peut récupérer et changer la donnée - ou au moins l'observer, l'écoute passive c'est pareil - il faudrait dans la mesure du possible que vos FAIs soient neutres. On ne va pas revenir sur les lois de Net neutre, la neutralité du Net, ça fait débat encore, je crois qu'il y a Benjamin Bayart qui passe ce soir sur FTTH je pense qu'il va au moins en parler une fois, peut-être.
Public : Il y a Domi, il y a Bayart, il y a Jérémie juste après.Programme : http://www.passageenseine.org/Passage/pses-2013
Numendil : Oui ben il y a au moins un des trois qui en parlera obligatoirement. Et voilà, il faudrait dans la mesure du possible que nos FAIs soient vraiment neutres, c'est-à-dire qu'ils fournissent un accès Internet, qu'ils transfèrent, qu'ils fassent transiter les paquets, point.
Idem sur les périphériques, il faudrait que nos Box ne s'amusent pas à bloquer des pubs, il faudrait que nos smartphones ne s'amusent pas à envoyer des points à gauche à droite et notre localisation à gauche à droite. Même si officiellement dans les réseaux mobiles c'est vrai que c'est vachement utile.
Kwakonfé
Alors on peut se demander : « Ben OK, c'est cool tout ça, mais on fait QUOI, du coup ? », pour essayer de répondre à l'argument « Je n'ai rien à cacher » sans péter les deux rotules de la personne que vous avez en face vous. C'est très tentant des fois mais vraiment, ça ne fait pas avancer les choses.
Le premier c'est d'essayer le plus possible de démystifier cet argument-là du « Je n'ai rien à cacher ». Faire comprendre à la personne les implications que cette affirmation-là peut avoir. Elle peut être lourde de sens, elle peut vraiment être dangereuse.
Le deuxième point, c'est la sensibilisation dès le plus jeunes âge à une sorte d'éducation numérique. On vous apprend, quand vous êtes gamins (ce que je disais tout à l'heure) à avoir un certain nombre de réflexes. Ces réflexes-là on ne vous les apprend pas dans la vie numérique. Vraiment. Il n'y a pas de cours d'éducation numérique. Pour l'instant. Ou très peu, dans des écoles spécialisées, dans des projets qui se lancent. Mais l'Éducation nationale n'a pas dit : « OK, on va expliquer aux djeunes, aux jeunes enfants, comment on fait pour protéger sa vie privée et qu'est-ce qui se passe quand on va sur tel site ».
Il nous faudrait aussi plus de transparence. Il faudrait qu'on soit vraiment conscients que voilà, quand vous allez sur ce site-là, il y a cette donnée-là, elle est récupérée de cette façon-là, et transmise à cette personne-là. Bon évidemment ce serait un miracle, hein. Ce serait génial, imaginez Facebook qui vous dit tout ça, c'est à dire que vous êtes capables de contourner, ça veut dire que potentiellement vous leur faites perdre de l'argent, et il ne faut pas se leurrer, une entreprise reste une entreprise, son but c'est de se faire un maximum d'argent, qu'on le veuille ou non, ce n'est pas Mère Teresa.
Ensuite on a le fameux RTFM, « Read The Fucking Manual ». Plein de gens s'inscrivent sur plein de sites. Je reprends mon Facebook, souvent celui-là parle, quand on regarde les CGU, les Conditions Générales d'Utilisation de Facebook, officiellement, jusqu'à la dernière modif il fallait votre vrai nom, votre vrai prénom, vous y connecter une fois par jour, mettre vos vraies données, mettre de vraies photos, les tag-er, et oui, c'est aussi marqué quand elles sont sur Facebook, vos photos et vos paroles ne sont plus votre propriété. Elles sont la propriété à vie de Facebook. Et quand vous dites ça aux gens qui viennent de s'inscrire sur le truc, ils vous regardent avec de gros yeux, genre « What the fuck ? Non, c'est pas possible ce que tu dis ». Si, si c'est possible, Google Plus avait fait la même au début, vous n'aviez pas le droit d'avoir des pseudos. Ils ont un peu lâché du lest, parce qu'ils n'avaient pas assez d'utilisateurs, puis ils ont fait pire, maintenant si vous voulez faire un commentaire sur Youtube ou sur un truc Android, il vous faut un compte Google Plus, donc on vous force un peu la main, mais bon, c'est pas grave... Ce passage est vraiment important. Lisez, expliquez aux gens que lire ce qu'il y a, lire un contrat, avant de le signer, ou avant de cliquer sur le bouton « OK, je m'inscris », c'est pas rien, c'est important.
Quotachu : ToS;DR ! ToS;DR ! ToS;DR !
Numendil : What ?
Quotachu : ToS;DR ! Terms Of Services; Didn't Read ! Ça c'est parfait pour faire ça, pour lires les Terms Of Service. C'est long les Terms Of Service... Donne le micro ! J'adore m'incruster dans les conf des autres.
Bonjour, alors désolée d'avoir incrusté la conf de Num. Vous savez, les Terms Of Service par exemple, pour ceux qui les ont lus, en diagonale comme tout le monde, vous avez cliqué « OK » à la fin... (Qui a cliqué « OK » à la fin, sans lire ? Oui ben voilà... Mais c'est bien il n'y a pas beaucoup de gens qui sont sur Facebook par contre, c'est bien.) C'est très long. Et c'est des documents administratifs chiants à lire, longs, et il y a des outils par ça, pour se prémunir de ce genre de truc long, qui vous perd dans la sauce administrative, ça s'appelle TOS;DR, "Terms Of Service; Didn't Read", et en fait ça vous extrait les choses importantes à rappeler dans chaque CGU, dans chaque site important, dans Twitter, dans Facebook. Il y a plein de trucs, il y a Twitpic, il y a plein de trucs. Il y a une dizaine de sites qui... C'est des juristes qui travaillent dessus, qui savent dépiauter ce qu'il y a dans le discours, et qui vous font ça avec de jolis couleurs, des trucs... Ils ont une appli, ils ont un add-on Firefox : si vous êtes sur Facebook, il y a une pop-up qui apparaît qui vous dit : « Attention, si vous êtes sur ce site, vous avez le droit de ça, de ça, de ça, vous avez pas le droit, vous donnez vos droits d'image, de machin, de ça ». C'est très très important, et c'est très intéressant. Donc c'est tos-dr.info, et c'est vraiment l'outil parfait pour se prémunir de ça et pour s'informer sur le contrat que vous signez quand vous allez sur un site, quand vous prenez des photos avec Twitpic, quand vous êtes sur Twitter, quand vous êtes sur Facebook. C'est ... voilà. .org. Ah oui, en fait .info redirige vers .org, je ne sais plus lequel des deux fait ça. Voilà, ça marche aussi. Euh voilà. C'est fait par un ami notamment, mais c'est vraiment une chouette idée quoi. Il les note, et vous pouvez les chercher par, question vie privée, quels sont les sites les plus permissifs et les moins permissifs. Question ... sur pas mal de questions. Question droit à l'image, question de ... voilà. C'est très complet et c'est vraiment l'outil parfait quoi. Voilà, c'était la minute pub, vous pouvez revenir à une activité normale.
Numendil : Merci Quotachu.
Public : Plutôt bien ! J'ai pas ma queue mais...
Numendil : Ouais, mais dis pas ça là, c'est dangereux. (rires)
Donc ce point-là, que @quota_atypique vient de vous expliquer, puis bah, comme expliqué juste avant, dans le dernier point, garantir la neutralité du Net pour au moins une raison : la liberté d'expression sur Internet, mais ça je pense qu'à nouveau Benjamin Bayart ou Jérémie Zimmerman vous l'expliqueront beaucoup mieux que moi. Et puis au moins pour une partie de la vie privée, c'est un point important de la vie privée, vraiment.
Des questions ?
Numendil : Est-ce que vous avez des questions ?
Public : Juste un truc : sur Skype en fait, tu disais tout à l'heure, quand on envoie un lien d'une personne à une autre, Skype change l'URL, si je me rappelle bien l'article. Faudrait vérifier mais en gros ça permet de savoir qui a cliqué dessus, à quel moment, pour accéder à quoi, etc. Faut vérifier, mais il me semble me rappeler de ça, du fin fond de ma mémoire.
Numendil : Ouais, Twitter, mais de toute façon oui, Twitter il y a un shortener, Facebook aussi, mais oui, c'est vrai. Tous les shortener etc., ça fait que tu sais qui a cliqué dessus, avec quelle IP, quand, à tel moment, c'est vrai, c'est important aussi de le dire.
Public : En fait, ce serait quelques points sur lesquels j'aimerais ta réaction.
La première c'est : tu parlais de PRISM, et tu parlais de l'agrégation des données. En fait, je pense que tu as soulevé le bon problème en disant : « Oui, bah demain peut-être qu'on aura pas le droit d'aller sur un site autre que celui de l'UMP ». Ce qu'il faut comprendre c'est que, OK, on surveille toutes nos données, mais avec le côté agrégation, il y a aussi : ce qui est légal aujourd'hui ne l'est peut-être pas forcément demain. Et donc il y a ça à réfléchir.
La deuxième chose, j'aimerais ton avis sur le « pseudonymat », et la gestion de son identité numérique. Par exemple, moi je sais que j'existe, entre guillemets, sur Internet, sous deux identité. Une identité que j'ai sur ma carte d'identité, et une identité de pseudonyme. C'est deux activités pour moi qui sont clairement différenciées, j'utilise des outils pour que ce soit différencié, en termes d'extensions Firefox, etc., bon je passe les détails, et je voulais avoir ta réaction par rapport à ça, puisque que moi ce que je mets sous ces identités-là, c'est des choses que je souhaite partager, que, comment dire, dans 20 ans je ne regretterai pas, donc ça rejoint tout à fait ton discours, j'ai des choses à cacher ! Si je ne mets pas tout, je choisis volontairement ce que je veux mettre là-dessus. Donc je voudrais ton avis sur ... une petite réaction sur la gestion d'identité numérique.
Et le troisième point, c'était : tu disais : « Il faut éduquer les gens ». Quand je vois qu'à l'école, apprendre la bureautique c'est apprendre une version de [Microsoft] Word, je pense qu'on est largement en deçà ce qu'il faudrait faire, parce que les parents vont dire :
Pour beaucoup, comme tu disais par rapport au 5%, les gens qui connaissent PRISM, etc., c'est les gens : « C'est l'informatique, c'est obscur, on s'en fout, c'est de la technique, on veut pas comprendre ». Les politiciens aussi : « C'est de la technique, on veut pas comprendre, mais on fait des lois parce sinon.»..
Numendil : Alors non, non, non. Alors je ne peux pas te laisser dire que les politiciens n'ont pas envie de comprendre, enfin, ne peuvent pas comprendre. En fait, ils sont parfaitement conscients de tout ça. C'est juste que ça les emmerde grave. Enfin, parfaitement... Peut-être qu'ils ne comprennent pas forcément tout, ils ne mettent pas forcément leurs mains dans le code mais il y a des gens qui sont là pour leur expliquer, c'est juste que ce serait beaucoup trop fastidieux pour eux. C'est vraiment : « Ce truc-là, tu le prends, tu le jettes à la poubelle... Non ! Vas-y ça nous emmerde, on s'en occupe pas ». C'est vraiment, c'est exactement, enfin ... la volonté de ... ça se dit « binariser » ? Bon on va dire ça comme ça. De rendre les choses binaires, au moins dans la politique et au moins au niveau des textes de lois, parce que la loi, en soi, elle est mal foutue. La loi (je l'avais écrit à un moment), ce qui est écrit est autorisé ou interdit. C'est soit l'un, soit l'autre. Tu n'as pas d'entre-les-deux. C'est toujours binaire, c'est une réflexion binaire.
Je vais essayer de répondre à tes deux-trois ... alors j'ai une mémoire de poisson-rouge donc ça va être un peu chaud...
Public : En fait il y avait l'éducation et la gestion d'identité numérique.
Numendil : L'éducation, tu marques un point, il y a un vrai problème dedans. Je ne vais pas trop m'avancer dessus, puisqu'il y a une personne qui en parlera demainConférence Hack et éducation par Cabusar, il me semble, mais tu soulignes un point important, il y a un problème effectivement d'éducation, parce qu'on tue la curiosité des gens, parce que l'éducation numérique n'est pas prise en compte, etc., etc., etc. Ça demande du temps, ça demande des gens, et ça demande une méchante volonté, et encore plus de motivation. Parce que les choses - tu vois, je te donne mon exemple de blogger - les choses que j'explique là, ça doit en deux ans, trois ans, cinq ans, ouais cinq ans, cinq ans et demi, ça doit faire à peu près, je ne sais pas, peut-être 100 fois que je les ré-explique. Ce n'est pas une image, hein, je dois approcher des 100-150 fois, je ne sais plus, je ne les compte plus. Rien que depuis le début de l'année, j'ai dû faire une quinzaine de billets qui parlent du même sujet. De 15 façons différentes, mais du même sujet. Il faut l'expliquer, autant de fois que nécessaire, jusqu'à ce que les gens commencent à comprendre, jusqu'à ce que tu ais un truc : « Tiens, TILT ! ». Et ça marche. Tu as un député par exemple, au sein de l'Assemblée nationale, Laure de la Raudièrehttp://www.assemblee-nationale.fr/13/tribun/fiches_id/331567.asp, qui est parfaitement consciente de ce genre de choses-là. Tu as d'autres députés, d'autres euro-députés, qui sont aussi parfaitement conscients de ce genre de choses-là, mais qui comme nous représentent les 1-2%. Et il faut arriver à convaincre les gens. Et ça demande du temps. L'exemple-même c'est ACTA. Tu regardes le truc ACTA : pendant que LQDN [La Quadrature Du Net] bossait très bien sur le dossier ACTA, il y avait aussi des euro-députés - dont une qui s'appelle Sandrine Bélierhttp://www.europarl.europa.eu/meps/fr/96738/Sandrine_B%C9LIER_home.html - qui bossaient vraiment pas mal avec des euro-députés pour essayer de leur faire comprendre. Résultat des courses : ACTA s'est fait buter d'une façon ... j'ai pris une bête de murge ce soir-là je crois. C'est ça l'idée. C'est un peu le truc. Côté éducation, pour essayer de résumer, il y a un vrai problème qui va demander beaucoup de temps, beaucoup d'implication, et beaucoup de gus dans des garages pour que ça change.
Côté identité numérique, j'ai envie de te dire que c'est bien d'avoir plusieurs identités numériques, parce que quand tu n'en as qu'une de toute façon tu recoupes les données. Moi je vois par exemple, je sais que Numendil, volontairement elle est reliée à ma vie, à mon vrai prénom à mon vrai nom, histoire de répondre aux députés quand ils nous disent : « Ouais de toute façon vous avez un pseudo, vous vous cachez » - ben non regarde, tiens cette identité-là numérique elle est liée à moi et tu peux me retrouver. Si vous vous amusez à chercher, en deux minutes vous avez mon nom, mon prénom, où je vis, enfin tout ça. Par contre, des identités, j'en ai une vingtaine... il y a toujours un moment où c'est relié quelque part. L'idée, et tu as soulevé le bon mot, c'est le pseudonymat. À partir du moment où tu as compris que le vrai anonymat, ça n'existe pas sur Internet, parce qu'il y a toujours un truc qui te relie. Tu vas avoir un VPN, OK tu as une IP, sauf que tu as un compte, ton compte il est relié à quelque chose parce que tu l'as payé. Donc on est capable de relier le tout comme ça. Et c'est pas toi qui retrouve, ou la police, ou les forces de l'ordre, ou les renseignements ou machin, il y aura toujours quelqu'un pour mettre la main dessus de toute façon.
Public : Juste pour réagir à ça, en fait, je voulais dire : j'achète un nom de domaine sous mon pseudonyme, je vais donner mon vrai nom dessus. Moi ce que je voulais dire par gestion d'identité numérique, ça rejoint un peu le côté éducation, c'est dire : « Voilà, quand je dis des choses sous le pseudo de Genma, c'est par rapport à ce pseudonyme-là, ça n'engage pas, par exemple, ce que je dirais sous le nom de Jérôme ». Par exemple j'ai un profil LinkedIn, sous ma véritable identité où j'ai mon véritable CV professionnel, et à côté j'ai un LinkedIn Genma où je présente ce que je fais en tant qu'activité de blogger. Pour moi c'est deux choses différenciées. Même si des gens connaissent mon vrai nom dans la vraie vie, etc., pour moi le côté c'est respecter le fait que je scinde les choses. Même si on peut faire le lien, il faut scinder. Et ça je pense que c'est aussi dans le côté éducation de dire : « Voilà, c'est pas parce que j'ai dit des choses en tant que Genma que ça engage mon employeur ou autre, parce que mon employeur, l'employeur de Genma, n'est pas la société qui m'emploie dans la vraie vie ».
Numendil : Alors, à nouveau t'as raison sur ce point-là, encore, simplement dans ce cas-là il n'y a pas que toi qui est impliqué. Parce que regarde, par exemple, moi je prends mon profil Numendil. OK, c'est cool. Par contre, je n'ai pas demandé à Google de fliquer tout ce qui passe avec ce pseudo-là, et l'adresse mail qui peut être reliée à ce pseudo-là. Je ne leur ai pas demandé de le faire, pourtant ils le font. Au même titre que je ne leur ai pas demandé de relier mon nom, prénom, à mon Twitter. Sauf qu'ils sont capables de le faire aussi. Pourquoi ? Ben quand tu demandes à Google, étrangement, tu n'as pas de réponse. Ce n'est pas une image, hein, ce n'est pas une blague, j'ai chopé tous les mails que je pouvais, j'ai envoyé un certain nombre de mails pour essayer de comprendre le principe, parce que c'est indiqué nulle part. Pff ! Donc si tout le monde avait cette logique-là, ouais on aurait aucun problème, parce que ton employeur n'irait pas dire : « Tiens, ton compte Twitter, tu as dis des trucs dessus, c'est mal ! ». Parce que c'est ton identité numérique. J'ai de la chance, moi mon employeur, qui est pourtant fournisseur d'accès à Internet, ne va pas sur mon profil Twitter, il ne me dit pas : « Ouais, t'as dit un truc, là, c'est super-mal ! ». J'ai dit, il ne m'emmerde pas trop là-dessus. Mais ça arrive. Il y a plein plein plein de cas où : « Ouais, ce que tu as dit sur Facebook, machin, ce que tu as dit sur Twitter, bidule..». Ouais sauf qu'il faut aussi... On rejoint l'éducation en fait. Si toi tu as compris ce point-là, ton employeur peut-être pas. Et lui va dire : « Ben OK, c'est lui qu'a dit ça, même si c'est un autre nom, au final c'est lui qui a dit ça ». Et tout le monde relie tout. Rajoute à ça que les différents moteurs, les différents sites ont pour intérêt de relier ce genre de choses-là, parce que ça génère de l'argent en plus tout simplement. Tu as moyen de cibler plus de choses, donc tu fais plus d'argent.
Public : On a parlé de publicité ciblée, entre autres tout ce qui est suivi comportemental, etc. Effectivement, si on ne paye pas pour le service, c'est qui sommes le produit. La question que je pose c'est : pourquoi il n'y a pas plus de services qui laissent le choix entre : « Bah OK je paye pas, mais vous regardez tout ce que je fais », ou bien « Je paye 2€ par mois, puisque c'est à peu près ce que je vous rapporte, et vous me traquez pas ».
Numendil : Parce que c'est pas des gus dans des garages qui les font... Alors, c'est pas... OK, je te fais une réponse plus argumentée. Je l'ai dit tout à l'heure : une boîte qui a une activité, dans tous les cas ça reste une entreprise. Elle peut avoir un but très noble. Si on prend le cas de Facebook, à la base c'était pas ça, il n'y avait pas du flicage partout. Il n'y en avait pas. C'était un truc où les étudiants s'inscrivent et partagent des données entre eux, et basta, on en parle plus, ça ne va pas plus loin. Sauf qu'à partir du moment où tu as moyen de générer de l'argent, c'est très démago ce que je vais dire mais : le pouvoir attire le pouvoir, et l'argent attire l'argent. Si tu commences à te faire de l'argent avec un truc et tu vois que ça marche, tu seras tenté pour te faire plus d'argent. Et tu as deux solutions dans ce cas-là. Soit tu as des gens qui ont vraiment une éthique complète, vraiment quelque chose de très cadré, et qui vont défendre du libre, qui vont défendre la protection de la vie privée. Et tu as des sites comme ça, tu as des réseaux sociaux qui vraiment s'engagent à respecter complètement ta vie privée, et qui te demandent si tu veux être d'accord pour partager ça, ou ne pas le partager ; pour avoir de la pub ciblée, ou pas de la pub ciblée. Le problème, c'est qu'il y en a très très peu qui le font. Et que ceux-là assez souvent ne propose pas autant de chose que du Facebook par exemple, et fatalement ils attirent moins les gens. C'est très con à dire, mais ils attirent beaucoup moins les gens. Facebook ça marche bien parce que tu peux partager tes interactions sociales sur des jeux avec Machin, et Bidule peut voir que tu as fait ça dans, je ne sais pas, dans un jeu à la con. Sur les jeux qui respectent ta vie privée, tu n'as pas peut-être pas envie que les gens le sachent, donc il y a moins d'interaction, donc c'est moins intéressant, donc c'est moins attractif. C'est tout con.
Alors il y a une question là, il a une question là-haut, il y a une question au fond aussi.
Public : Bonjour, moi c'est Lunar, et Lunar c'est mon vrai nom. Je vais insister là-dessus, il faut se méfier de la terminologie. L'État veut bien m'appeler comme il veut, mais tout le monde me connaît sous le nom de Lunar. Je m'appelle Lunar dans ma tête. C'est ça mon vrai nom. C'est un détail, mais c'est important, et ça va avec un autre point de terminologie que j'avais envie de faire : tu utilises beaucoup le terme de vie privée ; depuis que j'ai lu le guide d'auto-défensenumérique, que je vous recommande, moi j'ai un peu lâché le terme de vie privée pour préférer celui d'intimité. Parce que dans intimité il y a beaucoup plus cette notion de : « Ah, on est pas intime pareil avec tout le monde ». Et effectivement les gens disent : « Ah, je m'en fous qu'une personne dans la rue elle me voit pisser. Ben par contre, si jamais c'est ma mère qui rentre dans mes chiottes parce qu'elle n'a pas vu que j'étais là, ben là je vais être gêné ». Voilà, il y a cette notion-là dans intimité, que j'aime assez bien comme mot.
Un autre truc que j'ai trouvé problématique dans la façon dont tu présentais les choses, c'est quand même beaucoup axé sur un truc d'innocentisme. Ou en tout cas, je ne sais pas comment dire ça, mais c'est : « Si vous avez rien fait, mais que vot' téléphone il est au mauvais endroit au mauvais moment, alors ... dommage ». Mais en fait, ce qui est fondamentalement gênant dans cette surveillance généralisée, c'est bien qu'elle est en train de nous interdire la possibilité même de désobéir. Et à un moment donné, le point sur lequel moi j'insiste, mais qu'effectivement je n'arrive pas à faire passer quand je réponds à des gens qui disent « je n'ai rien à cacher », c'est que les lois changent, les gouvernements changent, et ce qui est suspect à un moment donné, ou ce qui ne l'est pas...
Numendil : C'est ce que j'ai dit tout à l'heure, ce n'est pas parce qu'un jour, ce jour-là, tu vas sur un site - bah, tiens, je te prends l'exemple du gouvernement anglais, étant anglais je peux bien le suivre - alors exemple : YouPorn. C'est autorisé en Angleterre ; en 2013 ce ne le sera plusCf. http://www.journaldugeek.com/2013/07/22/angleterre-les-contenus-pornographiques-bloques-par-defaut-lannee-prochaine/. Les lois changent et évoluent. Et ça c'est pas pris en compte effectivement, tu soumets aussi un bon point, c'est pas pris en compte dans ces transformations et dans cette protection, du coup, de l'intimité. Parce que c'est vrai que le mot est peut-être plus adapté que vie privée, du coup.
Public : Mais, en tout cas je pense que c'est vraiment ... ce truc de dire : « Oui, si t'as rien fait, alors la surveillance va se retourner contre toi », mais en fait, juste elle nous empêche la possibilité même de faire. Et c'est ça qui est crucial, et à un moment donné... Voilà. Je veux dire...
Numendil : Arrive un moment où elle t'empêche de ne serait-ce que de sortir du chemin, quoi. On te dis : « Tu dois suivre cette chose-là de cette façon-là », et si tu décides de faire autrement, ben c'est non.
Public : Des fois on a de très bonnes raisons de frauder le métro, vous voyez.
Et le tout, tout dernier truc c'est sur le portrait que tu as fait, qui m'a rappelé le portait de Marc L*** du Tigre, l'exemple de cette personne qui avait son téléphone au café. En fait, une fois qu'on a toutes ces infos-là, les gens ne mesurent pas du tout ce qu'on peut en faire en termes de se mêler de leurs affaires. Bon ben, tu as le numéro de téléphone de sa fac, potentiellement avec ça tu peux obtenir le numéro de ses stagiaires, que tu peux rappeler pour leur dire que...
Numendil : J'aurais pu faire plein plein de choses. J'aurais pu me faire passer pour un élève, j'aurais pu appeler en étant stagiaire, j'aurais pu appeler en disant que machin, puisque j'habite à tel endroit et bidule... Sur mon blog je me suis fait trollé, quand j'ai dit çaCf. http://pixellibre.net/2012/06/bonjour-brigitte-vie-privee-protection/. J'ai expliqué, les gens ont dit : « Oui, t'es là pour faire peur ». Non, je suis juste là pour expliquer qu'il y a plein de choses qu'on peut faire avec juste ce petit paquet de données-là, en fait.
Public : Et il y a plusieurs témoignages qui sont sortis récemment de gens qui en fait se sont fait pirater leur serveur, ou leur boîte mail, plusieurs exemples comme ça, parce qu'en fait, il y a des gens qui ont suffisamment enquêté via Facebook, via Google, etc., sur l'identité pour appeler l'hébergeur, et dire : « Ah, j'ai perdu mon mot de passe, mais regardez c'est bien moi, je suis né là, ma femme elle s'appelle comme ça, et puis...»
Numendil : Son nom de jeune fille, même.
Public : Et bon, bah... dommage (rires).
Organisation : Est-ce que l'équipe de Sous-Surveillance est là ? On va très rapidement arrêter les questions, parce qu'il va falloir passer à la suite, quand même. Et on va aussi devoir prendre une pause de genre 5 minutes, pour régler un petit truc avec les vidéos sur le serveur. Il faut virer les vidéos pour pouvoir faire d'autres vidéos. Donc pause obligatoire juste après la fin des questions.
Organisation : On se rend pas bien compte en fait, il y a en avait par là et...
Numendil : Il y en avait... en fait t'en avait une là, et Andréa là-haut.
=== 1h10mn09s ===
Public : OK, moi c'est pas vraiment une question, mais c'est juste pour faire remarquer, par rapport à tout ce qu'on a dit... Sur Facebook, j'ai quelqu'un qui m'a dit récemment, qui est venu me voir et qui m'a fait :
- « Mais t'es bête, tu mets ton anniversaire sur Facebook »
- Et j'ai dit : « Ben c'est une information assez basique, ça permet de suivre les anniversaires de ses amis, de sa famille, c'est génial, pour la mémoire »
- et on m'a dit : « Mais tu te rends compte qu'avec ton prénom, ton nom (véritable) et ton anniversaire, on peut très facilement obtenir une copie de ton certificat de naissance, puis après obtenir ta carte d'identité avec...»
Numendil : Alors ça va loin, mais c'est un début, ouais.
Public : Enfin voilà, je vais laisser mon...
Public : Moi je voulais revenir un petit peu ... ça recoupe un petit peu ce que disait Lunar tout à l'heure, mais au niveau de l'éducation. Moi il y a beaucoup de choses de ma vie privée, c'est pas des choses que j'ai forcément à cacher, parce que j'en parle allègrement à tout le monde, mais c'est des choses sur lesquelles je préfère parfois...
Numendil : La notion d'intimité, ouais...
Public : Voilà. C'est plutôt intime, c'est plutôt des choses sur lesquelles je veux rester discret. Et donc dans l'éducation qu'on a à faire sur les gens, sur leur vie privée, c'est vraiment insister sur le fait de la discrétion de leurs informations, plutôt que de dire : « T'as queq'chose à cacher ou pas ». Parce que dès qu'on parle de quelque chose à cacher, on verse tout de suite dans cette...
Numendil : Parce que c'est comme quand tu parles, quand tu dis : « Tiens, Machin c'est un hacker ». Il y a tout juste une connotation vachement négative, liée à ça.
Public : Oui mais dans ta présentation, tu n'as pas arrêté de parler de cacher, de choses à cacher, de choses comme ça. Tu n'as pas parlé de discrétion.
Numendil : Oui, parce que l'argument de base est « J'ai rien à cacher ». Je reprends vraiment ce terme-là, à la base. Pour dire : « Ben oui mais en fait si, quand tu prends cet argument-là, en soi, si, on a des choses à cacher ».
Public : Oui mais tu pourrais retourner cet argument en disant : » T'as p'têt' rien à cacher, mais t'as p'têt' des choses pour lesquelles tu préfères être discret ».
Numendil : Ouais, alors c'était une des réponses... J'avais fait un cobaye, enfin j'avais fait un test là-dessus. Une des réponses effectivement c'était ça. C'était soit, j'ai rien à cacher, par contre il y a des choses qui ne regardent pas tout le monde. Et c'est exactement ça en fait.
Public : Et par contre alors, concernant la vie privée aussi, il faut savoir que selon les cultures aussi, on a une notion qui est complètement différente. Ma femme vient d'un pays où la vie privée, même l'intimité, tu n'en as quasiment pas. Quand tu parlais tout à l'heure d'avoir quelqu'un chez toi qui regarde tout ce que tu fais, bon c'est pas exactement ça : la personne est sur le toit d'en face, en train de manger son sandwich. Tu peux lui faire « coucou », mais tu as une surveillance humaine de partout. Donc... Et il y a toujours des voisins qui rentrent chez toi, la famille qui rentre chez toi, enfin... Tu n'es jamais tranquille. Donc il y a vraiment des populations qui ne connaissent même pas ce concept.
Numendil : Qui ne savent pas ce que c'est parce qu'on leur donne pas le moyen, enfin il y a tellement de...
Public : Et puis même, ça fait partie de leur culture, tout simplement.
Numendil : Aussi, c'est vrai. Tu prends la culture française et la culture américaine, l'exposition de l'intimité dans la culture américaine, c'est pareil, elle n'est pas du tout la même que ce que nous connaissons ici quoi. Ou en Suède : les impôts en Suède sont publics, tu as le droit d'aller voir les impôts de ton voisin. Ici tu fais ça, tout le monde hurle. Et oui - c'est normal, dans leur culture, @skhaen a raison, c'est normal chez eux, tu as le droit d'aller voir les impôts de ton voisin sur le site des impôts, tu as le droit d'aller voir à qui appartient telle voiture.
Public : Ou de regarder ce qui se passe sur la question de transparence pour les députés en ce moment.
Numendil : Quand vous voyez, voilà, que tous les députés rejettent ça à l'unanimité, peu importe le parti, tu te dis : « Ah ouais, effectivement, côté transparence, en France, on a encore un peu de travail, quand même ».
Merci à tous et à toutes !