Mon blog-notes à moi que j'ai

Blog personnel d'un sysadmin, tendance hacker

Tout est une question d'équilibre...

Obi-Wan Kenobi à Dark Vador :
« Tu devais amener l’équilibre dans la force, pas la condamner à la nuit ! »
in « Star Wars, épisode III : La Revanche des Sith », source Wikipedia

La surveillance de masse des citoyens par les États est un fait. Auparavant reléguée au rang de crainte émise par des paranoïaques, elle est aujourd’hui cruellement mise au jour par les révélations, entre autres, d’Edward Snowden.
La nécessité de surveillance d’une société par l’État relève du besoin, simple à comprendre au demeurant, de protéger la-dite société. Il s’agit d’un moyen d’assurer la sécurité de la population qui la compose, des dangers et agresseurs intérieurs (ça c’est la police). Il s’agit également de pouvoir retrouver et punir ceux des citoyens qui décideraient de s’affranchir des règles en vigueur (ça c’est la justice). Les dangers extérieurs sont gérés par les forces armées.

Elle relève donc d’un équilibre entre la protection de la vie privée et des libertés des citoyens et la nécessité de donner aux forces de l’ordre les capacités dont ils ont besoin pour assurer leurs missions. Cet équilibre a, toujours, été extrêmement délicat à trouver.

Il faut se souvenir de la redoutable efficacité des services de Joseph Fouché durant le Directoire ou l’Empire pour comprendre que, même avec des moyens « restreints » comme ceux de l’époque, il est possible d’être particulièrement efficace.

Ces moyens ont évolué bien sûr. Nous sommes passés des fiches cartonnées aux ordinateurs et c’est là une partie du problème. Il est non seulement possible de surveiller de manière beaucoup plus efficace, comprendre rentable, mais également de faire des choses jusqu’alors impensables, par exemple croiser les informations très rapidement.
Si l’on considère que l’équilibre entre la vie privée et la nécessaire mission des forces de l’ordre était respecté il y a une trentaine d’années, il convient également de constater que cet équilibre a été rompu depuis, au bénéfice quasi exclusif des forces de l’ordre. Contre cela, pas grand-chose au profit des citoyens.

Par exemple, si l’on savait il y a 30 ans que 2 personnes avaient échangé des informations puis qu’elles s’étaient rencontrées, il était en revanche potentiellement plus complexe d’affirmer l’existence d’un rapport de cause à effet entre ces 2 informations.
Savoir que 2 personnes s’étaient rencontrées nécessitait au mieux d’avoir un indicateur sur place, au pire d’y envoyer quelques personnels de la préfecture de Police ou de la DST (à l’époque).

Aujourd’hui, si l’on détecte un échange de mail et que la géolocalisation de leurs téléphones portables montre que 2 personnes étaient au même endroit en même temps, il est raisonnable de conclure que l’échange de mail pouvait bien concerner le rendez-vous. Ça paraît anodin, c’est au contraire tout:

  • la récupération de l’information est de plus en plus simple et coûte de moins en moins cher. Dit autrement, pour le même prix vous pouvez récupérer et stocker infiniment plus d’informations qu’il y a 30 ans.
  • l’analyse de cette masse d’information est également plus simple et efficace. La puissance des outils informatiques aujourd’hui permet d’obtenir une information en quasi temps réel, chose impensable il y a 30 ans, sauf à disposer d’une troupe nombreuse (la mémoire humaine est stupéfiante en termes de capacité de stockage et de traitement) mais évidemment chère et complexe à organiser.

Bref, la surveillance généralisée est devenue la norme car elle est devenue bon marché.

Suite aux révélations sur l’étendue de cette surveillance par les services secrets Américains, mais également Européens et notamment Français, une solution vite trouvée repose sur l’utilisation massive et généralisée du chiffrement. Le principe est simple: si la population a massivement recours au chiffrement, la surveillance généralisée va prendre du plomb dans l’aile.

La généralisation du chiffrement empêchera les forces de l’ordre de travailler

Aujourd’hui, selon les dires publics du directeur technique de la DGSE, la France joue en première division en ce qui concerne le recueil et l’analyse des métadonnées.
Il n’est pas ici question du contenu des communications, simplement des metadonnées soit: qui communique avec qui, quand et pendant quelle durée.

La généralisation du chiffrement ne devrait pas perturber tant que cela cette capacité. Il y aura néanmoins un impact comme l’explique Stéphane Bortzmeyer: par exemple pour le mail, l’utilisation de TLS masque les adresses mail source et destination. Seules subsisteront encore les adresses IP des machines qui acheminent le trafic.

On sait également que des entreprises comme VUPEN Security font de la recherche de failles de sécurité un business. Elles sont très en pointe dans le domaine, gardent ces failles secrètes, pour les revendre aux services de sécurité, par exemple à la NSA.
Il ne fait aucun doute que les services français ont un accès — contre espèces sonnantes et trébuchantes, business is business — à ces failles « 0-day ». Il est raisonnable de penser qu’ils les utilisent. Ils pourront continuer à les utiliser.

Et, de toute façon, il y a de très grandes chances pour que les vrais méchants utilisent déjà massivement le chiffrement ou d’autres dispositifs de dissimulation.

En passant, suggéreriez-vous de supprimer Tor?
Pourtant c’est du chiffrement, ça fonctionne et c’est utilisé par Silk-Road, que le FBI n’a réussi à stopper qu’après une boulette de son créateur.

Le seul impact vraisemblable d’un chiffrement généralisé serait alors de noyer les communications des méchants dans la masse? Voire, car les principaux services Internet aujourd’hui, de Google à Facebook en passant par Twitter ou Netflix, utilisent déjà le chiffrement.

Ce que l’utilisation massive du chiffrement risque de changer en revanche, c’est que la surveillance généralisée redeviendra non rentable car beaucoup trop chère pour être réellement efficace.
L’utilisation massive du chiffrement provoquera un ré-équilibre des pouvoirs entre État et citoyens.

Jusqu’à ce qu’un jour, l’État obtienne un moyen simple de casser les clefs de chiffrement. On sera alors revenus à la case départ, l’équilibre sera à nouveau rompu jusqu’à ce que l’on trouve une autre solution.

Une réponse technique à un problème politique

Le chiffrement généralisé est en effet une solution non satisfaisante, plus exactement incomplète. Il est a priori nécessaire de compléter la réponse technique par une réponse politique. À mon grand regret cependant, je crains que cette réponse ne soit, au mieux, que partielle.

Entendons-nous: même insuffisants, les garde-fous légaux existent déjà. Sauf que, comme souvent, la tentation est forte de tordre les grands principes pour arriver à ses fins.
Une fois pris, bien entendu, il convient de s’excuser platement, de promettre la main sur le cœur et la larme à l’œil qu’on ne nous y reprendra plus… jusqu’à la prochaine fois…

Ce n’est pas autrement que les différents services, US pour la NSA comme Européens pour la DGSE, parviennent à espionner leur propre population alors que la loi le leur interdit en théorie. Selon la rédaction de Reflets, il existe même de drôles de coïncidences entre les endroits où la France a vendu les systèmes d’Amesys ou de Qosmos et les points d’arrivée des câbles sous-marins d’Alcatel

Au vu de tout cela, et connaissant nos politiques comme on les connait aujourd’hui, croyez-vous sincèrement qu’ils renonceront à pouvoir, un jour ou l’autre, refoutre la main dans le pot de confiture?

Le chiffrement devient de plus en plus une arme de protection massive du citoyen contre son propre État.

L’État a eu en main tous les leviers de contrôle de la surveillance. Il a prouvé n’en être pas digne. Il est temps de lui en retirer une partie.

Chiffrez… tout… en cas de besoin, vous devrez de toute façon donner la phrase de passe de votre clef aux forces de l’ordre lorsqu’elles sont mandatées par un juge et uniquement dans ce cas là.

C’est aussi ça la séparation des pouvoirs. Reprenez le vôtre. La seule réponse à apporter consiste à utiliser les technologies de chiffrement à votre disposition et à expliquer au politique que, si on en est là, c’est de sa faute.