Décryptualité du 20 novembre 2017

Titre :
Décryptualité du 20 novembre 2017
Intervenants :
Luc - Manu - Nico
Lieu :
studio d’enregistrement April
Date :
novembre 2017
Durée :
15 min
Écouter ou télécharger le podcast

Revue de presse de l’April pour la semaine 46 de l’année 2017
Licence de la transcription : Verbatim
NB : transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l’April.

Description

Cette semaine, on creuse un peu le sujet des boîtes noires.

Transcription

Luc : Décryptualité.
Nico : Le podcast qui décrypte l’actualité des libertés numériques.
Luc : Semaine 46, année 2017. Salut Manu.
Manu : Salut Nico.
Nico : Salut Luc.
Luc : Pas de podcast la semaine dernière. Qu’est-ce qui s’est passé ? Moi je n’étais pas là.
Manu : Plein de maladies. Plein !
Nico : Des malades, des absents.
Manu : C’est terrible. C’était terrible !
Luc : On est revenus d’entre les morts, pour une nouvelle revue de presse. Qu’as-tu dans les tuyaux Manu ?
Manu : Ça a bien marché cette semaine, il y a eu pas mal d’articles, mine de rien.
Luc : Factor Today, « Richard Stallman and the Vanishing State of Privacy », un article de la rédaction. Donc une interview en quelque sorte, en anglais.
Manu : Oui, qui parle de Stallman et de la surveillance, très intéressant. Allez jeter un œil, l’article n’est pas mal fait.
Luc : C’est traduit, c’est ça ?
Manu : C’est moi qui ai fait le petit bout de traduction au début dans notre revue de presse, mais vraiment ça parle de bonnes choses et Stallman est toujours intéressant.
Luc : Rue89Lyon, « Eau, logiciels libres et monnaies locales : 5 choses à savoir sur les communs », un article de Philippine Orefice.
Manu : Là aussi des choses intéressantes qui nous bottent. Ça aborde notamment le logiciel libre comme un des exemples de ce que sont les communs et les communs ça touche tout le monde, donc allez jeter un œil là aussi, ce n’est pas mal.
Luc : Un article en cinq machins qui vont vous étonner mais voilà, quand même intéressant. estrepublicain.fr, « Ville numérique : quelles économies ? », un article de Ghislain Utard.
Manu : Donc là c’est la ville de Nancy qui se met au logiciel libre, notamment pour des raisons économiques, mais pas que. Donc il parle d’innovation, de plein de trucs intéressants pour les citoyens, nous on adore.
Luc : ZDNet France, « Linux domine totalement les supercalculateurs », un article de la rédaction.
Manu : J’ai été étonné. On en discutait même avec Nicolas un peu avant.
Luc : Ça a toujours été le cas ? Non ?
Manu : Alors oui. Mais là c’est une domination totale, monsieur. C’est-à-dire que les 500 supers ordinateurs les plus puissants au monde tournent tous sur un noyau Linux. Et il y avait encore deux ordinateurs qui tournaient sur autre chose, on ne sait pas trop.
Nico : Du AIX [1] ou HP [2], mais les Windows étaient giclés depuis deux/trois ans déjà et puis, maintenant, il n’y a même plus de Windows.
Luc : J’ai vu des articles où il y a plus de temps que ça où on disait qu’il n’y avait plus rien en Windows.
Nico : Il n’y avait plus de Windows, mais il restait quelques HP, AIX et d’autres technos, en fait.
Manu : Propriétaires en général.
Nico : Propriétaires, plutôt BSD [3] ou des choses comme ça et puis maintenant il n’y a que du GNU.
Manu : Et une des raisons pour lesquelles les supers calculateurs utilisent des logiciels libres c’est parce qu’ils peuvent les adapter à leur envie, à leurs besoins, et c’est quand même utile quand tu fais ça. Donc on peut dire aujourd’hui que le noyau Linux est utilisé par les plus gros ordinateurs du monde mais aussi par les plus petits, par exemple nos téléphones portables dans nos poches.
Luc : Libération, « Surveillance : la première boîte noire est née », un article de Pierre Alonso et Amaelle Guiton.
Manu : Là c’est le gros sujet de la semaine on pourrait dire.
Luc : Et c’est là-dessus qu’on va s’étendre.
Manu : Donc on reprend après.
Luc : La gazette.fr, « Mounir Mahjoubi : « Le numérique doit libérer les agents de tâches inutiles », un article de Delphine Gerbeau et Romain Mazon.
Manu : Là aussi ce n’est pas mal. Quelque part, ça continue cette discussion sur Nancy, mais là c’est au niveau de l’administration française en général et ça parle d’innovation, notamment. Il y a un bon point de vue sur les logiciels libres. Ils disent : « l’État, oui, peut se mettre au logiciel libre, mais il faut que ce soient des logiciels libres maîtrisés, il faut que l’État s’implique dedans » et normalement, la France a les moyens de faire ça.
Luc : Developpez.com, « Qu’advient-il du code open source après le décès du développeur ? », un article d’Olivier Famien.
Manu : Et effectivement, c’est une vraie problématique qu’on rencontre de plus en plus, parce que les développeurs vieillissent et, de temps en temps, il y en a qui meurent. Si. Si, si ça arrive !
Luc : C’est du droit d’auteur, non ? C’est ça ?
Manu : C’est du droit d’auteur et justement, il est question de comment est-ce qu’on peut essayer de récupérer les choses quand les gens meurent. Ce sont des problématiques qui commencent à être réfléchies.
Nico : Et puis il n’y a pas que des problèmes de droit d’auteur, mais aussi de logistique puisque, quand une personne décède, malheureusement, eh bien on n’a pas ses identifiants par exemple pour pouvoir reprendre la suite derrière. Il y a eu le cas d’une bibliothèque, en fait, qui a été bloquée comme ça parce on ne pouvait plus publier de nouvelle version parce que le développeur n’était plus là.
Luc : Donc, le sujet dont on veut parler cette semaine ce sont les boîtes noires. Les boîtes noires, pour revenir là-dessus, c’est un dispositif de surveillance qui a été décidé dans la loi qu’on a appelée loi de surveillance, qui avait un nom un peu plus vendeur, je crois, en 2015.
Nico : Il y avait la loi de programmation militaire et après la loi de renseignement qui était arrivée, suite aux différents attentats en France.
Manu : Qui a dû être votée il n’y a qu’un an.
Luc : Oui. Peut-être 2015/2016.
Nico : Ça avait traîné à être voté ; il y avait eu pas mal de remous et puis le temps qu’ils se mettent d’accord.
Luc : Donc les boîtes noires c’est un des dispositifs qui est prévu dans cette loi et donc ce sont des dispositifs techniques, noirs parce qu’on ne sait pas trop comment ça fonctionne.
Manu : On ne connaît pas la couleur !
Luc : Voilà. Et qui permettent de surveiller ce qui passe sur Internet et qui sont installés chez les fournisseurs d’accès ou chez les hébergeurs, pour en gros ?
Nico : On ne sait pas trop, en fait, parce que c’est un peu le problème de ces boîtes noires.
Luc : La loi dit, en fait, que c’est quand même chez ces deux types d’acteurs.
Nico : Mais tout le reste est classé secret Défense, donc on ne sait absolument pas comment ça marche, où c’est posé, comment ça fonctionne, qu’est-ce que ça récolte ou pas. Et donc ça pose plein de problèmes puisque c’est quelque chose qui est assez attentatoire aux libertés individuelles puisqu’on parle d’écouter la population, ni plus ni moins, et d’aller trouver, d’aller essayer d’identifier qui est un terroriste ou qui ne l’est pas pour déclencher, après, les actions judiciaires ou vous interdire les accès ou, etc.
Luc : Dans le principe, en théorie, ces boîtes noires devraient pouvoir surveiller, une fois qu’elles seront répandues partout, 100 % du trafic internet en France.
Nico : En théorie, c’est ce qu’ils veulent faire. En pratique, ils vont avoir du mal, je pense.
Manu : C’est compliqué parce que tout le monde utilise Internet de manière massive, mais ce n’est pas forcément compliqué quand tu as les moyens d’un État et que tu peux imposer ça aux entreprises.
Luc : Et l’idée c’est qu’elles sont chez les fournisseurs d’accès, donc c’est quand même très centralisé.
Manu : Au niveau des serveurs DSLAM, notamment, c’est le point de connexion au réseau. Là tu peux mettre et tu peux forcer les entreprises à installer des boîtes d’une autre couleur que noir parce que ça m’énerve que ce soit noir, des boîtes rouges. Et ils vont installer ça un peu partout et ils vont installer ça chez OVH, chez Gandi, chez les gros hébergeurs. Pareil, là aussi, ils vont en installer quelques-unes à l’entrée des data centers j’imagine.
Nico : On sait que potentiellement c’est faisable, effectivement, mais après il y a tellement de trafic à passer, il y a tellement de paquets à traiter, il y a tellement de routeurs dans tous les coins, qu’en fait, stocker tout c’est physiquement impossible. On n’a pas les machines pour ça, on n’a pas les bandes passantes pour ça.
Manu : Il n’est pas question, justement, on en a parlé, il n’est pas question de stocker !
Luc : Le fond du problème c’est qu’on ne sait pas comment ça marche puisque c’est totalement obscur.
Manu : Ce sont des boîtes noires !
Luc : Donc on ne peut faire qu’essayer de deviner, en fonction des informations qu’on a, qui sont peut-être fausses ou pas respectées.
Nico : Et de ce qu’ils veulent atteindre surtout.
Luc : Et de ce qu’on veut atteindre. Il y a une notion qui est souvent utilisée qu’on va voir dans la presse et qui n’est pas nécessairement expliquée, ce sont les signaux faibles. C’est-à-dire que c’est la surveillance pour détecter des signaux faibles. C’est quoi ?
Manu : Oh là, là !
Nico : Eh bien on ne sait pas. C’est assez peu défini, c’est assez flou, mais pour résumer un peu…
Manu : Pour détecter des terroristes, toujours, on est d’accord !
Nico : Voilà, on est dans la détection du terrorisme pour prévenir des attentats. Et, en gros, l’idée derrière les signaux faibles c’est de dire on va essayer de détecter les gens avant que quelque chose se passe. Si la personne est en train de poster un message en disant « je vais faire un attentat là », ce n’est pas un signal faible, on est dans les signaux forts. Les signaux faibles, c’est la personne qui va commencer à se radicaliser, qui va commencer à aller voir des sites internet qui sont catalogués comme dangereux par l’État. Il n’y a rien d’illégal en soi, il n’y a rien d’interdit, mais ça va être des bouts de pistes, des petits voyants qui vont s’allumer à droite, à gauche.
Manu : Un faisceau de présomptions.
Nico : Voilà !
Manu : C’est de ça dont il s’agit.
Luc : Par rapport aux boîtes noires ils disent : « Dans nos boîtes, il y a des supers algorithmes, supers intelligents, tout ça, qui prennent plein de critères ensemble et paf ! Ils trouvent des terroristes potentiels. Alors on a quelques points de comparaison avec ce qui s’est fait aux États-Unis puisqu’il y a un système de surveillance PRISM [4], dont on parle régulièrement depuis plusieurs années maintenant.
Manu : Révélé par Snowden.
Luc : Quand il y avait eu des attentats au marathon de Boston, je crois, la bombe qui avait été placée était avec une cocotte-minute ou une bonbonne de gaz, je ne sais plus, dans un sac à dos. Et il y a un couple qui a eu le malheur d’acheter, dans le même week-end, un sac à dos et une cocotte-minute ou une bouteille de gaz et qui a eu le FBI qui a débarqué en masse chez eux.
Manu : Ben oui, hein ! Normal !
Luc : Parce qu’ils étaient dans les clous. Nicolas tu avais une autre histoire toi.
Nico : C’était un scénariste de Cold Case, en fait.
Luc : Cold Case c’est une série.
Nico : C’est une série policière, forcément il y a beaucoup de meurtres, d’attentats, de trucs comme ça. Et le scénariste, forcément, il a besoin de chercher des idées et il est allé chercher sur Internet « comment on tue sa femme ».
Manu : Le fou ! Le fou !
Luc : « Comment faire disparaître le corps ».
Nico : « Comment faire disparaître le corps », des trucs comme ça et forcément, eh bien ça a attiré aussi l’attention et tout le monde commençait à paniquer à voir des requêtes comme ça.
Manu : Et donc là, toc, toc à la porte, c’est le FBI. Monsieur pouvez-vous nous montrer votre femme ? Mais je n’ai pas de femme ! Ah, non ! Il s’en est déjà débarrassé !
Nico : C’est ça. C’est le problème, en fait, de ces outils-là et ce sont malheureusement des lois mathématiques qu’il y a derrière avec des probabilités ou autres qui montrent que même avec un fort taux de succès.
Manu : C’est-à-dire avec un algorithme qui soit très bon.
Nico : Avec un algorithme qui soit très bon, même 99,99 %, on va avoir des centaines de milliers de faux positifs, de personnes qui vont être détectées alors qu’elles ne sont pas concernées normalement.
Luc : Les faux positifs c’est, en gros, il y a une alerte qui se lève en disant « attention, il y a tel problème » alors qu’en fait ce n’est pas le cas. On a la même notion en médecine. On va faire un examen médical et tous les tests pour détecter les maladies, ils ont ce problème-là, c’est qu’il faut qu’ils soient performants pour détecter la maladie, mais il faut également qu’ils soient performants pour ne pas dire il y a une maladie quand il n’y en a pas. C’est le même principe dans ce cas-là.
Nico : Et surtout que c’est un paradoxe, c’est assez difficilement compréhensible pour un être humain normal. Si on vous pose la question, les probabilités vous allez avoir l’impression que c’est très fiable. Et en fait, eh bien non, ça donne des chiffres qui sont complètement bidons.
Luc : Parce que les terroristes sont extrêmement minoritaires ; c’est peut-être une personne sur 500 000 ou un truc comme ça.
Manu : Ils avaient l’air de dire qu’en gros la cible c’était quelque chose comme 3 000 personnes qui étaient 3 000 personnes dangereuses ; ils savent qu’il y a une sorte de nœud de 3 000.
Luc : Sauf qu’il s’agit bien d’une boîte noire qui surveille tout.
Manu : Qui surveille, ah mais bien sûr !
Luc : Ce qu’ils surveillent, ce qui est dit dans les articles qui sont passés, c’est que notamment ils veulent accéder à ce que les fournisseurs d’accès archivent et qu’ils gardent pendant un an en accord avec la loi. Donc c’est quoi au niveau des fournisseurs d’accès ?
Nico : Au niveau des fournisseurs d’accès, en gros, c’est tout ce qui va concerner votre connexion internet vis-à-vis de votre fournisseur. Donc c’est votre numéro d’abonné, c’est l’adresse IP qui vous est assignée, donc le numéro de votre ordinateur qui est assigné par votre fournisseur d’accès, et de telle heure à telle heure. Donc ça stocke, théoriquement, pas plus que ça.
Manu : Et c’est tout ?
Nico : Et c’est tout.
Manu : Mais ça paraît peu !
Nico : Ça paraît peu. Aujourd’hui c’était utile parce qu’on peut s’en servir, en fait, si jamais on arrive à faire tomber, par exemple, un site illégal chez un hébergeur, du coup comme on a les logs de connexion de l’hébergeur.
Manu : Si c’est un hébergeur français.
Nico : Un hébergeur français, bien sûr, après il peut y avoir de la coopération.
Luc : Ou on l’a piraté à l’étranger aussi.
Nico : Ou piraté. Mais du coup on est capable, à partir de cet identifiant qui a été connecté sur la machine en face, on est capable d’aller voir l’opérateur et de lui dire : « Qui était derrière cette adresse IP ? » Et il ressort son contrat.
Luc : Dans ce cas-là la boîte noire ne sert à rien puisqu’on montre que ça peut se faire.
Nico : Et voilà, et c’est déjà opérationnel aujourd’hui.
Luc : Des boîtes noires, il peut en avoir aussi chez les hébergeurs ?
Nico : Les hébergeurs. Du coup ce sont les logs de connexion : quels sites, quelles pages vous avez visités avec quelle adresse IP et l’heure et la date associées.
Manu : Ça paraît quand même très faible comme données récoltées et utilisées pour faire ces analyses. Ces supers algorithmes qui vont être mis à jour régulièrement, il y a toute une commission qui va être derrière, ça paraît faible de juste stocker l’IP, c’est-à-dire l’ordinateur qui s’est connecté et à quel moment il s’est connecté. Ça ne me paraît pas grand-chose, pas suffisant, en tout cas, pour détecter une cocotte-minute, par exemple, que tu aurais achetée.
Nico : C’est même pire que ça puisqu’en fait, aujourd’hui avec le cloud, la concentration sur Internet où il y a quelques gros opérateurs, Google pour les plus connus, mais il y a aussi plein d’opérateurs techniques, ce qu’on appelle les CDN, les opérateurs de contenu, ça va être Cloudflare, ça va être Cedexis.
Manu : Des sortes d’intermédiaires qui permettent de distribuer plus facilement le contenu.
Nico : Du coup, si on s’en tient à l’adresse IP uniquement, on voit juste quelqu’un accéder à un contenu chez Google, mais lequel ? On ne sait pas. Est-ce qu’il a été relever un mail ? Est-ce qu’il a été voir une vidéo YouTube ? Est-ce qu’il a fait une recherche Internet ? On ne sait absolument pas ; on sait juste qu’il a été voir quelque chose chez Google, mais on n’a pas l’info.
Manu : D’après ce qu’on sait de ce que doivent conserver les fournisseurs d’accès en tous cas.
Luc : Mais sur ce que stockent les hébergeurs, on peut avoir plus de données ?
Nico : Oui. On a plus de données si les hébergeurs stockent ça. Après, la problématique, on a effectivement des données à la fois chez l’hébergeur et chez l’opérateur, par contre, pour aller recroiser tout ça.
Manu : Tu as tes fameuses boîtes noires ! Les boîtes noires, tu les mets des deux côtés. Les boîtes sont intelligentes quoi !
Nico : Par exemple les boîtes noires on en a une chez Orange, mais par contre est-ce qu’on va aller en poser une chez Google ?
Manu : Mais oui monsieur, il faut !
Nico : Ça risque d’être compliqué parce que tout le trafic américain, de toutes façons !
Manu : Le plus compliqué c’est si ton site terroriste il n’est pas hébergé en France.
Nico : Aux pays-Bas ou voilà, des choses comme ça.
Manu : Là effectivement, la boîte noire française, tu vas avoir du mal à aller l’installer, il faudrait la mettre à la frontière.
Nico : C’est ça. Et de toutes façons, même en termes techniques aujourd’hui, on n’est pas capables de faire l’association entre les deux de manière suffisamment rapide et fiable, parce qu’on a quand même du délai entre les deux, et pour recroiser l’info, ce n’est quand même pas évident.
Luc : Donc du coup, tu penses que ce qui a été publié n’est pas suffisant et, qu’à priori, ce sera plus ?
Manu : C’est ce que pensent aussi certains experts, j’anticipe, mais il semblerait qu’il y a plus. Oui.
Nico : Aujourd’hui, c’est un peu le consensus là-dessus, c’est qu’on sait que s’ils veulent avoir un système qui est fiable, il va falloir qu’ils descendent beaucoup plus bas, donc qu’ils commencent à analyser qu’est-ce que vous êtes en train de faire réellement.
Manu : Quels sites on consulte, quoi !
Nico : Quels sites on consulte, ce qui s’appelle faire du DPI, du deep packet inspection, donc une inspection profonde de paquets, pour essayer d’avoir plus d’informations comme quel est le site que vous avez visité, quelle page que vous avez visitée, quel mail vous consultez, et avec ça, du coup effectivement, on peut commencer à faire des choses intéressantes puisqu’on sait que vous avez visité telle page de Wikipédia ou tel site internet ou consulté telle vidéo. Mais c’est super attentatoire aux libertés individuelles puisque, du coup, on est capable d’avoir accès à toute votre vie ; il n’y a plus aucun secret pour l’État.
Manu : Mais là tu es en train de dire que l’État a menti puisque eux ils insistent, depuis le début, ils disent bien : « Nous n’utiliserons pas le DPI, le deep packet inspection » ; ils l’ont dit plusieurs fois, plein de fois.
Luc : Ils sont censés être contrôlés par une commission qui s’appelle la CNCTR.
Manu : Si tu arrives à prononcer tout ? Non !
Luc : C’est une commission nationale de contrôle de quelque chose [Commission nationale de contrôle des techniques de renseignement, NdT], du renseignement, avec un t au milieu, mais bref ! Donc là-dedans on retrouve deux députés, deux sénateurs, deux personnes au Conseil d’État, qui étaient au Conseil d’État. On retrouve également quelqu’un qui est envoyé par l’ARCEP [Autorité de régulation des communications électroniques et des postes, NdT] comme expert technique, deux magistrats également.
Nico : Toutes ces personnes-là sont à peu près aux mains du gouvernement ; elles peuvent décider ce dont elles ont envie et il n’y a pas de mandat ou d’enquête.
Luc : Normalement les députés, ne sont pas, en théorie, aux mains du gouvernement.
Manu : Voyons, voyons !
Luc : La question ça dépend comment elles sont désignées ?
Nico : En tout cas il n’y a pas de juges, enfin des vrais juges, tels qu’on les connaît, qui vont pouvoir dire « OK, on y va ». Ça va être vraiment des décisions administratives.
Luc : Cette commission est censée, notamment, lever l’anonymat. C’est-à-dire que quand ils vont regarder ce qui se passe chez le fournisseur d’accès, ils n’ont pas, en théorie, le nom des gens et ils doivent dire à la commission « est-ce qu’on peut avoir le nom de cette personne ? », sauf s’il y a urgence absolue, auquel cas ils peuvent se passer de l’avis de la commission. Mais au final c’est un système totalement obscur, donc on ne sait pas trop…
Manu : C’est le principe des boîtes noires. Donc ils n’ont pas menti !
Luc : En tout cas, une première boîte a été mise en œuvre. Il y avait, dans la loi, prévu le fait qu’en 2018 on allait faire, en gros, un examen pour voir si ce système était valable et s’il fallait le faire et, en septembre dernier, ça a été reporté à 2020. Donc déjà on a reporté cette échéance-là.
Manu : Je rajouterais, si je peux me permettre, vraisemblablement dans le passé tous les actes terroristes qui se sont déroulés n’auraient pas été empêchés, de ce qu’on sait, par ce genre de boîtes noires et, dans la plupart des cas, ce sont des gens qui communiquaient de manière qui était hors Internet, par exemple.
Luc : Hors système.
Manu : Hors système et donc ces systèmes-là ont été inventés et imaginés après coup, bien sûr, mais pas pour répondre aux cas.
Luc : Aux États-Unis, ils n’ont chopé personne.
Nico : Onze ans d’espionnage par la NSA ils n’ont juste arrêté aucun terroriste et aucun attentat.
Luc : La surveillance ciblée fonctionne, mais le truc où on lance les grands filets n’a pas marché avec la NSA qui a des moyens infiniment supérieurs à ceux de la surveillance française. Donc !
Manu : Je pense qu’on pourra en reparler, reparler des effets que ça a sur les individus. Savoir qu’on est tous observés en permanence, surveillés en permanence, parce qu’en fait ça n’a pas l’air d’avoir d’effets sur le terrorisme à notre connaissance, mais à quoi ça sert d’autre ? C’est bizarre !
Luc : Voilà. On va s’arrêter sur cette petite note paranoïaque et on se retrouve la semaine prochaine.
Manu : À la semaine prochaine.
Nico : Bonne semaine à tous.
Luc : Salut.

Références

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.