Category Archives: vie privée

Le blocage de site sans juge et le projet PJLSREN du gouvernement

Si vous avez suivi l’actualité Internet de ce week-end, ou bien si vous utilisez l’application de messagerie Telegram, vous êtes peut-être tombé samedi (13 mai 2023) sur la page d’erreur suivante en tentant de lire une page que l’on vous avait envoyée :

Que s’est-il passé ? Cet article du Monde revient sur l’incident ; cet article chez Stéphane Bortzmeyer de l’AFNIC explique les éléments techniques ; ce fil de Cécile d’AtaxyaNetwork sur Twitter est une rapide introduction aux notions de base du DNS. Ajout du 15 mai 2023 : article chez Nextinpact.

La liste de blocage DNS française

Ce système a été instauré en 2014 par Bernard Cazeneuve (cet article parle également des premières bavures en surblocage) pendant le mandat Hollande (avant de voter ce procédé, le PS l’avait lui-même combattu lorsqu’il était proposé lors du mandat Sarkozy). Il s’agissait alors, officiellement, de permettre à la police de bloquer en urgence — c’est à dire sans perdre de temps avec une procédure judiciaire, longue — les faits les plus graves : apologie du terrorisme et images de pédopornographie.

"Control of Internet Speech. How would you like this wrapped ? Anti-terrorism, protect kids..."
Image classique des années 90 sur les prétextes à la censure d’Internet

Les critiques n’ont pas manqué sur les dangers d’un tel procédé :

  1. érosion des garanties démocratiques en supprimant le juge
  2. risques de surblocage en raison du procédé utilisé
  3. risques d’erreurs de manipulation, réduisant la résilience de l’Internet français
  4. opacité, la liste n’étant pas publique
  5. risques d’extension sans fin du système à de nombreux cas d’application bénins

On peut citer cet amendement, rejeté, de Laure de la Raudière et Lionel Tardy (historique plus détaillé ici et ici chez Nextinpact), qui tentait de limiter les dégâts :

Et également cet avis de la CNIL, cité par Alexandre Archambault.

La plupart de ces craintes, balayées à l’époque du revers de la main par le ministre et le législateur, se sont aujourd’hui concrétisées.

Le blocage DNS, comment ça marche ?

L’adresse d’un site web, par exemple https://signal.eu.org/blog/, est appelée une URL. Pour diverses raisons, l’une étant le secret des correspondances au sens du Code des postes et des communications électroniques, une autre étant le déploiement massif du chiffrement suite à l’affaire Snowden pour protéger les utilisateurs contre la surveillance de masse, il n’est possible ni juridiquement ni techniquement de bloquer par le réseau un morceau de site web.

Un autre procédé a donc été mis en place par l’État : bloquer le nom de domaine qui sert à indiquer le serveur de l’URL, ici signal.eu.org.

Pour cela, ses services distribuent à quelques fournisseurs d’accès triés sur le volet une liste secrète des blocages à effectuer au niveau de leurs propres serveurs de noms (serveurs DNS), ceux dont la plupart de leurs clients se servent pour accéder au web ou au courriel.

Cette liste fait donc de ces serveurs des “DNS menteurs”, car ils peuvent donner une information exigée par une administration au lieu de l’information correcte.

Le blocage d’un site bloque le site complet. Il est impossible de bloquer une page seule ou un ensemble de pages. L’administration peut décider de bloquer, à sa convenance, un site complet même si celui-ci ne contient qu’une seule page tombant sous le coup de la loi. Cela pose un premier problème d’appréciation subjective de proportionnalité.

Comment est mis en œuvre le blocage DNS en France par l’État

L’opacité règne, malheureusement, sur les détails de procédure, mais on peut dire sans risque d’erreur que :

  • l’administration édicte une ou plusieurs listes de blocage, suivant les mandats qui lui sont confiés par le législateur
  • les fournisseurs dûment choisis par la puissance publique récupèrent périodiquement (au moins plusieurs fois par jour, voire en continu) et appliquent ces listes pour bloquer les domaines concernés

En mai 2023, les administrations en mesure d’édicter des blocages DNS sans juge sont, sauf erreur ou oubli :

  • l’OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), qui édite la page d’avertissement en début de cet article. 2 autres pages d’avertissement sont : une page sur le blocage de sites faisant l’apologie du terrorisme, une page générique sur les sites illégaux. Cette liste est soumise légalement à un contrôle par la CNIL, et bientôt l’ARCOM à sa place, mais ce contrôle semble s’effectuer a posteriori, après blocage. Ce contrôle n’évite donc pas les bavures. [Mise à jour 19 mai 2023 : les rapports d’activité 2019 2020 2021 de la personnalité qualifiée de la CNIL avant transfert à l’Arcom, rapport 2022 après transfert]
Schéma de procédure extrait du rapport 2021 de la personnalité qualifiée CNIL
  • l’ANJ (autorité nationale des jeux), qui jusqu’en mars 2022 devait passer par le juge, mais cette protection a été supprimée. Désormais, l’ANJ peut de son propre chef faire ajouter un site aux blocages DNS nationaux. La liste ANJ est publique et disponible ici sous forme de fichier CSV, ce qui permet d’avoir une idée de son contenu. On peut l’imaginer proche de celui du fichier OCLCTIC, pour simplifier la vie des fournisseurs devant l’appliquer. À ce jour, elle contient 725 noms.
La page de blocage de l’ANJ

Techniquement, le fonctionnement du blocage est en partie laissé à l’appréciation des fournisseurs, mais les sites bloqués par l’OCLCTIC doivent renvoyer vers les pages explicatives de l’OCLCTIC. Au passage, ces pages incluent des trackers (gardant donc une trace du passage de l’utilisateur), ce qui pose des problèmes de respect du RGPD. Par ailleurs, la généralisation du chiffrement rend ces messages d’erreur largement inopérants, mais il serait trop long de développer le sujet ici.

Un rare épisode de désaccord persistant entre l’OCLCTIC et la personnalité qualifiée de la CNIL, en raison d’appréciations très différentes sur la caractérisation d’un contenu, a eu lieu en 2018-2019 au sujet du site Indymedia, poussant cette dernière à un recours devant le tribunal administratif de Cergy-Pontoise, qui lui a donné raison (jugement complet). 3 articles de Nextinpact à l’époque reviennent en détail sur l’affaire : Blocage administratif : bras de fer entre la personnalité qualifiée de la CNIL et l’Intérieur, Blocage administratif : le ministère de l’Intérieur attaqué par le représentant de la CNIL, Blocage administratif : la personnalité qualifiée de la CNIL fait plier la police devant la justice. Assez curieusement, seules les URL (pages web) sont évoquées, or, comme expliqué ici, les blocages ne peuvent concerner que le nom de domaine en entier, qui ne semble pas avoir été mis en œuvre en réalité.

Extension du domaine de la liste

Ce procédé sans juge de blocage instantané, mis en place en 2014 sur des cas extrêmes, a été progressivement étendu malgré les promesses initiales :

  • à des cas bien plus bénins comme les sites de jeux
  • à un nombre croissant de fournisseurs d’accès, dans des conditions également opaques. La police s’est initialement attaquée aux 4 plus grands fournisseurs français fixe et mobile (Free, Orange, Bouygues, SFR) ; en 2023, de nombreux autres fournisseurs de plus petite taille sont également tenus de mettre en œuvre les blocages. Il est difficile de savoir qui et suivant quels critères ; on peut supposer qu’il s’agit d’initiatives de la police, au cas par cas. L’opacité des blocages OCLCTIC limite fortement la possibilité de disséminer largement la liste chez tous les fournisseurs d’accès : la liste serait rapidement fuitée.

Surtout, un nouveau projet de loi du gouvernement, PJLSREN (projet de loi visant à sécuriser et réguler l’espace numérique), va étendre à nouveau très sensiblement le processus sans juge :

  • extension aux ajouts par la DGCCRF (répression des fraudes : sites commerciaux d’arnaques)
  • extension aux ajouts par l’ARCOM (sites ne procédant pas à une vérification forte d’âge pour l’accès à la pornographie ; sites de propagande étrangère ; possiblement sites de piratage de streams de contenus sportifs)
  • extension aux services DNS ouverts (résolveurs), souvent utilisés comme moyen de contournement des mesures de blocage
  • extension aux éditeurs de navigateurs web, pour afficher une page d’avertissement néanmoins contournable
  • [Mise à jour] et potentiellement, si on en croit l’étude d’impact, d’autres administrations encore, avec un inventaire à la Prévert : l’ANSSI (agence nationale de la sécurité des systèmes d’information), l’ACPR (autorité de contrôle prudentiel et de résolution), l’AMF (autorité des marchés financiers), CyberGend (commandement de la gendarmerie dans le cyberespace), le GIP ACYMA, la mission d’appui au patrimoine immatériel de l’État (APIE), Signal Spam.
Page 95 de l’étude d’impact

L’étude d’impact du PJLSREN ne s’encombre pas d’obstacles techniques, écartant la plupart de ceux-ci d’un rapide revers de main, ce qui ne fait que renforcer le sentiment de flottement (j’en ai parlé sur Twitter ici).

On passe donc graduellement, sous l’égide du gouvernement Macron, d’un système de blocage d’urgence et limité, réservé aux cas les plus graves, à un système administratif de censure instantanée d’Internet, en masse, sans juge. Il est non seulement probable, mais certain, que les mesures ci-dessus seront resserrées et étendues au fil du temps pour criminaliser ou interdire techniquement les contournements, et l’accès élargi à d’autres administrations.

Et les bavures ?

Il est également à craindre que l’extension de l’ampleur du système provoque une multiplication des bavures comme celle concernant Telegram ce samedi, rendant Internet de moins en moins fiable. Il est donc nécessaire de demander de limiter le nombre des catégories de sites concernés, et d’obtenir de la part de l’administration une plus grande transparence sur la procédure actuelle, sur les gardes-fous qu’elle inclut, et sur ceux à y ajouter.

En 2016, le député Lionel Tardy avait posé quelques questions au ministre, hélas restées sans réponse.

Quelques autres questions légitimes à poser, à l’administration comme au législateur, sur le système actuel comme sur ses extensions :

  • par quelle chaîne de décision a-t-on abouti à ce que le domaine t.me soit dans la liste de blocage sans que quelqu’un détecte et élimine l’erreur ?
  • quel est le fonctionnement actuel du système de blocage OCLCTIC ?
  • quelle catégorie d’agent est ou sera habilitée à demander un blocage, sous quelle forme (URL ou nom de domaine) ?
  • où, comment et à quel moment intervient la CNIL — que le PJLSREN compte remplacer par l’ARCOM — ?
  • quelles vérifications et validations, manuelles ou automatiques, sont faites sur la demande ?
  • [ajout le 15 mai 2023] t.me est un usage assez particulier (raccourcisseur avec redirection), quelles dispositions de la procédure permettent ou pourraient permettre de détecter et traiter spécifiquement ce type de nom afin d’éviter un surblocage ?
  • quelles sont les voies de recours rapides pour les sites bloqués à tort ?
  • quelle est la procédure corrective actuelle en cas d’erreur de blocage à corriger en urgence ?
  • comment peut-on éviter de nouvelles bavures similaires à celles de t.me, dans le mesure où le procédé risque d’être substantiellement étendu si la nouvelle loi est votée ?
  • comment une demande de blocage d’URL est-elle convertie en demande de blocage DNS afin de la faire figurer dans la liste envoyée aux fournisseurs d’accès ; quelles précautions sont prises pour éviter un surblocage ?
  • quels critères subjectifs sont et seront appliqués, par exemple pour estimer si un site est, ou non, de nature pornographique ? Un site d’apologie du terrorisme ? Un site d’arnaque ?
  • même question pour déterminer si un site est, ou non, un site de propagande étrangère ?

Le ministre Jean-Noël Barrot a indiqué en effet être prêt à faire bloquer totalement le réseau social Twitter, qui n’est pas un site pornographique, ou d’autres réseaux sociaux qui ne vérifieraient pas l’âge des utilisateurs et n’interdiraient pas la pornographie. La loi souhaite en outre faciliter le blocage de sites d’information sous influence de gouvernements étrangers. On est là au cœur de la problématique de la liberté de communication et d’influence politique de l’État sur son application par des acteurs privés.

Est-ce un incident ponctuel et isolé ?

L’arbre du DNS ne doit pas cacher la forêt : il existe une tendance de fond de l’État et du politique, en France et au delà, à vouloir régenter, censurer et surveiller, non seulement Internet, mais l’ensemble de notre vie privée, à l’aide de nos usages grandissants de la technologie, qui présentent des coffres aux trésors très tentants.

Ainsi, en articulation directe avec le PJLSREN cité ci-dessus et qui est le sujet principal de ce billet, on peut rappeler, entre autres, la loi dite de “majorité numérique” visant à forcer l’ensemble des adultes en France à fournir une preuve d’âge pour se connecter aux réseaux sociaux. Le PJLSREN permet un blocage beaucoup plus radical et rapide des sites qui n’appliqueraient pas avec une diligence suffisante une vérification forte de l’âge des utilisateurs.

Il existe de nombreuses autres lois similaires, en France comme dans d’autres pays, cherchant à s’attaquer à la confidentialité de nos communications privées, etc.

Il ne s’agit pas simplement, comme cela est souvent prétendu, d’appliquer à Internet les mêmes interdictions que dans la vie réelle, mais d’aller beaucoup plus loin grâce à l’utilisation à notre détriment, et sous prétexte de notre sécurité, des moyens technologiques modernes.

La directive copyright est passée près de chez vous, ou : un mariage et deux enterrements de la liberté de communication

Tout a commencé par une modeste vidéo de mariage prise avec mon téléphone ces dernières semaines.

Ce week-end, en une soirée, j’en ai effectué un premier montage rapide avec kdenlive, pour l’envoyer à quelques membres de la famille pour premier visionnage.

Ce qui semblait le plus simple pour leur faciliter la vie était de placer la vidéo sur Youtube.

Les modes de publication sur Youtube

Si vous connaissez la publication sur Youtube, vous pouvez passer directement à la section « Exécution ».

Trois options sont possibles : vidéo privée, non répertoriée, ou publique :

options de visibilité de Youtube

Le mode « privé » ne donne accès qu’aux personnes qui ont un compte Google et qui sont explicitement listées par l’auteur comme autorisées. Ce mode est très peu pratique dans la plupart des cas, soit que l’on ne connaisse pas l’identifiant Google de tous les destinataires, soit que certains d’entre eux n’en possèdent tout simplement pas.

Le mode « public » rend la vidéo accessible à tous et indexée par les moteurs de recherche, donc trouvable à travers eux. Elle est également annoncée dès publication à tous les abonnés de la chaîne.

Le mode « non répertorié », enfin, est intermédiaire. Il rend la vidéo accessible à tous ceux qui en connaissent l’adresse, qui peuvent la transmettre à qui ils le souhaitent, mais la vidéo reste discrète : elle n’est annoncée à personne, ni trouvable par des moteurs de recherche.

C’est ce dernier mode que j’avais choisi, car il semble le plus pratique pour diffuser une vidéo personnelle familiale.

Exécution sans sommation

Avec mon insouciance et mon innocence coutumières, je téléverse donc samedi soir la vidéo sur Youtube.

Le lendemain, je découvre que la vidéo a été bloquée suite à « Réclamation ». Ce n’est pas vraiment une surprise, puisque j’ai déjà abondamment parlé ici de Content-ID et de la directive copyright, le système qui détecte des extraits d’œuvres et rend les intermédiaires responsables des contrefaçons, et que ma vidéo comporte un large extrait filmé de la piste de danse.

Extrait de la page “gérer les vidéos” de Youtube

On peut obtenir la liste des « Réclamations » pour identifier les œuvres à problèmes :

Liste des réclamations d’ayants-droit (2 parties réassemblées)

Ma vidéo a donné lieu à 13 réclamations : 11 d’entre elles sont mineures et m’empêchent de monétiser la vidéo, ce qui n’était de toute façon pas mon intention. Deux sont bloquantes : elles empêchent la vidéo d’être visible par d’autres personnes que moi, y compris en la passant en mode « privé ».

De là, il est possible de voir à quels morceaux de la vidéo s’appliquent les réclamations :

Petits meurtres d’œuvres entre amis

Ensuite, on peut choisir le sort à réserver à chaque passage litigieux :

  • le supprimer purement et simplement
  • remplacer la musique (ce qui pourrait être amusant sur un morceau dansé)
  • couper le son pendant le passage

Le remplacement propose directement une liste de titres gratuits. On peut également, apparemment, placer un morceau que l’on a importé soi-même.

Quant à la suppression du son, il existe deux possibilités : remplacer par un silence, ou tenter d’enlever uniquement le morceau musical contesté, donc supposément en conservant les bruits d’ambiance, par traitement du signal.

J’ai choisi « ne couper que le son du titre », espérant un résultat cocasse où l’on aurait encore entendu des applaudissements, cris et bruits de pas sans la musique, mais ça n’a pas fonctionné : aucun son n’a subsisté. On était prévenu par la mention bêta qu’il ne fallait pas s’attendre à des miracles. De plus, le traitement est particulièrement long et ne peut être réalisé que sur un seul morceau à la fois.

La résurrection

Finalement, de guerre lasse, j’ai mis la vidéo en « non listée » sur ma propre instance Peertube.

Peertube est un logiciel libre qui permet de créer sa propre plateforme vidéo personnelle en évitant les systèmes de censure a priori installés sur les grandes plateformes pour respecter la directive copyright.

Les promesses non tenues des sociétés d’ayants-droit et de la directive copyright

Rappelons qu’à l’origine de toutes ces complications, la directive copyright, pour reprendre les mots d’un ancien ministre de la culture, Franck Riester, serait là pour protéger « les créateurs et la diversité culturelle européenne » :

En parlant de résurrection, j’ai exhumé ces deux affirmations évidemment rassurantes du secrétaire général de la Sacem — une des organisations à l’origine de l’article 17 de la directive, ici en jeu –, David El Sayegh, dans cet article des Échos. Il s’agissait alors, en 2018, d’appuyer le vote de la directive à l’époque incertain en raison d’un premier vote défavorable.

  • cela n’aboutira pas à un filtrage généralisé (si)
  • « vous pouvez vous marier plusieurs fois avec des chansons différentes » (non)

Cette fiction n’a été que de courte durée puisque, dès le vote de la directive, Jean-Marie Cavada, son rapporteur, se félicitait du filtrage automatisé qui serait mis en œuvre.

On voit.

archivé ici https://twitter.com/reesmarc/status/1014540988617056256 (remerciements à Marc Rees)

Boites noires, URLs et poudre de perlimpinpin

En raison de l’actualité — révision de la loi renseignement de 2015 –, on parle à nouveau des boites noires, dispositifs que les services de renseignement ont souhaité installer dès 2015 sur Internet dans l’espoir d’opérer un équivalent des écoutes téléphoniques.

Ce billet se veut une réflexion purement théorique sur les aspects juridiques et possibilités techniques des boites noires [pour les aspects techniques réels voire a-légaux, on peut se référer à cet article de Reflets sur IOL et j’y reviendrai peut-être ; pour le juridique, à cet article très détaillé de Félix Tréguer].

Les boites noires ont été créées, au titre de la loi renseignement votée en juillet 2015, par l’article L851-3 du code de la sécurité intérieure. Extrait :

il peut être imposé aux opérateurs et aux personnes mentionnés à l’article L. 851-1 la mise en œuvre sur leurs réseaux de traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste.

Le législateur ne dit rien ici des moyens à mettre en œuvre. En théorie, il peut s’agir de traitements purement logiciels — utilisant donc les moyens existants de l’opérateur –, ou de matériel dédié à cet usage — ce que l’on entend en général par “boites boires” –.

C’est la CNCTR (Commission nationale de contrôle des techniques de renseignement) qui se charge de la mise en œuvre administrative des boites noires : procédures d’autorisation, etc.

La CNCTR et l’« algorithme »

Dans le rapport d’activité 2019 de la CNCTR, les « boites noires » sont plaisamment baptisées « technique de l’algorithme ». On peut lire page 51 :

“S’agissant enfin de l’algorithme52 sur des données de connexion en vue de détecter des menaces terroristes, aucune nouvelle autorisation de mise en œuvre n’a été sollicitée en 2019. À la fin de l’année 2019 trois algorithmes avaient été autorisés depuis l’entrée en vigueur du cadre légal et continuaient à être en fonctionnement.”

52 – Il s’agit de la technique prévue par les dispositions de l’article L. 851-3 du code de la sécurité intérieure.

À ce stade, avec 3 mises en œuvre en 2019, le déploiement des boites noires semble assez limité. Dans son rapport 2020 qui vient tout juste d’être publié, la CNCTR affirme que rien n’a changé cette année-là : ces mêmes 3 boites noires sont toujours en place.

Malgré de nombreux débats et questions au parlement lors de leur vote, on ne sait rien sur leurs capacités physiques, ni sur les données et algorithmes utilisés, ni sur les emplacements choisis. La raison invoquée est le secret défense.

Sous le capot : les données de connexion

Un rapide détour technique s’impose. Si cela vous ennuie, vous pouvez passer directement à la section suivante.

C’est un document technique, la RFC 791, qui a défini le format des informations échangées sur Internet, autrement le paquet IPv4 (je ne parlerai pas ici du paquet IPv6, mais les principes sont les mêmes). C’est son entête qui contient l’intégralité des données de connexion réellement utilisées par le fournisseur d’accès. On parle aussi de métadonnées. Surlignées en vert, les données indispensables à l’acheminement du paquet : l’adresse source et l’adresse destination. En orange, d’autres données également utiles à l’acheminement. En jaune, on commence à entrer dans les détails des données transmises : il ne s’agit plus vraiment de données de connexion au sens strict.

La RFC 793, quant à elle, définit les informations de l’entête TCP, qui est utilisé notamment pour les connexions http (web), et vient s’ajouter aux données IP précédentes.

TCP définit le port source et le port destination (ici en jaune) : ils permettent en particulier de distinguer une connexion web (port 80 ou 443) d’une connexion de courrier électronique (25, 143, 993, 587, etc, suivant le cas). TCP transporte également les données utiles — l’intérieur de l’enveloppe –, c’est le “data” en rouge en bas du paquet.

L’inspection profonde, ou DPI

On appelle Deep Packet Inspection (DPI), en français « inspection de paquets », l’accès aux données au delà des données de connexion. C’est un procédé beaucoup plus intrusif, et qui sort du cadre de ce qui est permis par la loi même au titre des boites noires.

En matière postale, cela reviendrait à ouvrir une enveloppe pour en lire le contenu, ce qui est formellement prohibé (secret des correspondances).

Le terme de DPI éveille donc l’attention lorsqu’il est utilisé.

Que sont les boites noires et où les met-on ?

Ce point à lui seul mériterait un billet complet. Les questions à se poser sont, notamment :

  • les boites noires contiennent-elles des moyens de stockage ?
  • où sont-elles placées : sur les dorsales de réseaux, aux points d’échange, aux points de raccordement des abonnés, chez les hébergeurs, sur des liens internationaux… liste non exhaustive et non exclusive ?
  • quelles informations pré-triées remontent-elles aux services de police ?
  • quels traitements sont réalisés, dans la boite noire et après celle-ci, sur les informations ?

La nouvelle loi et l’accès aux URL…

D’après Gérald Darmanin reçu par France Inter le 28 avril 2021, la nouveauté sera l’accès aux URL : « La difficulté que nous avions, c’est que nous n’utilisions pas les URL. Là vous utilisez les URL, c’est à dire les données de connexion qui vous permettent de voir quelle recherche exacte vous faites. » (émission ici).

[Mise à jour : Il invoque ensuite — et c’est un sujet légèrement différent, mais connexe et plus inquiétant — la collaboration des plateformes pour accéder à nos messages chiffrés et possiblement aux journaux de connexion, qui permettent de savoir les URL consultées.]

… et pourquoi ce n’est pas si simple qu’à la radio ou au parlement

Cela pose deux problèmes : un de principe, et un technique.

Le problème de principe est simple : l’URL est transportée uniquement dans la partie data des paquets. Si on se limite aux données de connexion, comme l’exige actuellement la loi, il est impossible d’y accéder. En fait, la loi interdit même, en théorie, à la police de distinguer une connexion web d’une connexion de courrier électronique ou d’une requête DNS, puisqu’il faut regarder les numéros de ports, et que ceux-ci ne relèvent pas à strictement parler des données de connexion au sens du fournisseur d’accès.

Pour accéder aux URL, il faut donc exploiter du DPI, mentionné plus haut.

Admettons donc qu’une analyse complète du paquet par DPI soit permise juridiquement.

Aujourd’hui, 80 % des communications de données sur Internet sont chiffrées. C’est ce qu’indique le cadenas dans votre navigateur, désormais présent sur presque tous les sites. [Correction : @cryptopartyrns sur twitter m’indique qu’en 2021 on est plutôt autour des 90-95 %]

Or, il est impossible d’accéder à ces données de manière instantanée. Au mieux, il faut dépenser des semaines ou mois de calcul intensif pour casser le chiffrement (décrypter). C’est évidemment impossible à réaliser sur une proportion significative du trafic Internet : ce type de décryptage, coûteux et lent, n’est effectué que dans des cas rares et limités.

La CNIL dans sa délibération du 8 avril 2021 confirme d’ailleurs que seule l’écoute des URL “en clair” est envisagée à ce stade :

Le chiffrement ne protège pas toutes nos communications

Sans casser le chiffrement, il existe encore plusieurs failles à la confidentialité de notre trafic :

  • les adresses IP source et destination, nécessaires pour acheminer le trafic.
  • les numéros de ports utilisés, qui donnent des indices sur l’activité (web, mail, etc).
  • le DNS, qui circule encore largement en clair aujourd’hui, même si DoH et DoT visent à mettre fin à cette faille. En écoutant le DNS, il est possible de savoir le nom du site auquel quelqu’un accède. Si le site est youtube.com ou facebook.com, cela ne va pas nous en apprendre autant sur le contenu que s’il s’agit de openrailwaymap.org.
  • le chiffrement web, appelé TLS, ne chiffre pas encore le nom du site demandé. On peut donc le connaître également par ce biais. C’est en cours de résolution avec une extension appelée ESNI, dont le déploiement est balbutiant.
  • il existe aussi des failles occasionnelles de sécurité permettant de casser plus rapidement du trafic chiffré. Ces failles sont évidemment corrigées après leur découverte, et tout est fait pour les éviter. Leur exploitation ne peut être qu’aléatoire et temporaire, il n’est pas possible de fonder une stratégie d’écoutes sur elles.
  • il y a enfin la possibilité d’émettre des faux certificats pour écouter le trafic. Ce type d’intervention n’est cependant pas discret, il ne peut donc pas être utilisé à grande échelle sous peine d’être rapidement découvert.

L’existence de très grandes plateformes rend la connaissance du nom de serveur de moins en moins utile : personne ne peut savoir par ce simple nom si la vidéo Youtube ou la page Facebook que je consulte sont celles d’un groupe faisant l’apologie du terrorisme ou d’un club de fondamentalistes des chatons.

Il existe un dernier moyen, plus aléatoire mais plus rapide, de découvrir quel contenu chiffré a été accédé : la connaissance de la quantité de données transférées. Si j’accède sur nextinpact.com ou partipirate.org à une page de 367813 octets, il est relativement facile à partir de cette simple information de retrouver de quelle page il s’agit à partir d’un index du site, tel que les moteurs de recherche peuvent en posséder. Là aussi, des contre-mesures sont envisageables dans le futur proche (bourrage de paquets, ou padding).

Déterminer quelle vidéo a été consultée à partir de la taille transmise est plus difficile, les retours en arrière ou visionnages partiels étant fréquents. En revanche, on peut tenter d’estimer le débit de la vidéo, voire le passage visionné, à partir des intervalles temporels et des tailles de paquets.

L’intelligence artificielle peut-elle aider Gérald Darmanin ?

Probablement : non.

Je suppose que l’on parle ici de la technique particulière de l’apprentissage profond (réseaux neuronaux). L’effet de mode étant patent, le terme d’IA utilisé en tant que poudre de perlimpinpin, comme le secret défense, permet de se dispenser d’argumentation.

Or l’intelligence artificielle — comme l’informatique — a besoin, pour fonctionner, de données concrètes et ne peut pas deviner des données non accessibles, par exemple chiffrées, qui sont majoritaires dans l’Internet d’aujourd’hui.

Supposons malgré cela qu’on ait des données suffisamment « en clair ».

L’intelligence artificielle a en outre besoin d’une quantité suffisante de données : un jeu de données initial, de préférence aussi étendu que possible, fourni avec les « réponses ». Dans le cas de l’apprentissage lié aux boites noires, puisque nous voulons déclencher, ou ne pas déclencher, des alarmes appelant à une investigation plus poussée, il faudrait donc les données suivantes :

  1. des données de connexion anodines ne devant pas déclencher d’alarme
  2. des données de connexion de présumés terroristes déclenchant l’alarme

Si l’ensemble 1 ne pose pas de problème technique pour être obtenu en volume, l’ensemble 2 est moins simple : il existe heureusement peu de terroristes, on ne dispose donc pas a priori de beaucoup de données de connexion en rapport, et les signaux à repérer vont varier dans le temps : nouveaux sites, nouveaux contenus, nouvelles applications.

L’usage de l’intelligence artificielle pour détecter des terroristes ne semble pouvoir mener qu’à une impasse également : les données d’apprentissage ont toutes les chances d’êtres insuffisantes, la cible est rare, et la combinaison de ces deux facteurs va donc produire une quantité élevée de faux positifs. Tous les systèmes de « détection automatique de terroristes » ont ce même problème statistique.

Comment réagir ?

Il est établi que l’accès aux URL n’est pas possible avec le degré et l’utilité que laissent entendre les déclarations de Gérald Darmanin.

Concernant l’usage de l’intelligence artificielle, le ministre cherche manifestement à développer l’industrie des technologies de surveillance par de la subvention déguisée. Autrement dit : chacun sait que cela ne peut pas marcher, mais cela permet d’attribuer de la commande publique à des sociétés bien choisies. Cette intention de soutenir l’industrie de la surveillance a déjà été explicitée par le gouvernement, notamment lors des discussions sur la reconnaissance faciale.

Il est probable que la loi ne va pas changer grand chose à l’efficacité des boites noires. Si la disposition permettant l’accès aux URL est adoptée, elles vont devenir plus intrusives : l’accès au delà des données de connexion est un précédent et supprime une protection notable. Il faut donc nécessairement le refuser, en tant que position de principe.

Mais l’impact de ce renoncement est fortement atténué par le déploiement du chiffrement suite aux révélations d’Edward Snowden concernant la surveillance de masse.

Nous devons donc continuer à privilégier les outils chiffrés de bout en bout, et les informaticiens à les déployer et les développer (je pense à la protection des noms de domaine). Fondés sur les mathématiques plutôt que sur les intentions de nos gouvernants et de nos polices, ils restent le meilleur moyen à ce stade de nous protéger des intrusions à grande échelle dans nos communications personnelles et notre vie privée.

Quant aux intentions exprimées par Gérald Darmanin sur la collaboration des plateformes pour accéder à nos contenus chiffrés en passant par la petite porte, elles sont à suivre avec une grande attention, car elles constituent une autre forme notable d’extension de la surveillance, d’autant plus inquiétante qu’il n’y a jamais de retour en arrière (effet cliquet).

Le rapport du CSPLA sur les outils de reconnaissance de contenu

C’est Nextinpact qui a diffusé le premier ce vendredi (22 novembre 2019) le rapport du CSPLA (en commun avec la Hadopi et le CNC) qui était attendu pour la fin de l’été 2019 sur les technologies de reconnaissance de contenu nécessaires pour mettre en application l’article 17 (ex 13) de la directive copyright, votée cet été au parlement européen, et transposée avec empressement en France. Notre pays en est le principal promoteur, poussé par la forte influence des ayants-droit chez nous.

On ne présente plus le CSPLA (fiche Wikipédia ; conseil supérieur de la propriété littéraire et artistique) : il est le bras armé du ministère de la culture et du lobbying des ayants-droit de l’industrie du divertissement pour proposer des évolutions législatives en leur faveur et faire appliquer les lois votées.

On ne présente plus non plus l’article 17, déjà abondamment évoqué sur ce blog : il s’agit de mettre en place des filtres a priori, automatisés, sur les plateformes en ligne pour interdire la diffusion illégale de contenus sans l’autorisation des ayants-droit impliqués.

Après le vote de l’article 17, le CSPLA a donc été sollicité pour émettre des propositions sur son application.

Pour citer la lettre de mission :

Et, à vrai dire, le résultat n’est pas au rendez-vous. Même si le rapport propose un panorama relativement étendu de la situation existante d’un point de vue juridique et para-technique, il se garde soigneusement d’entrer dans lesdits “points sensibles” et problématiques de mise en œuvre. En ce qui concerne les propositions, il se contente de recommander des “concertations” et la mise en place d’une “gouvernance”. À de nombreuses reprises, le rapport est une publicité pour les efforts des GAFAM, les présentant en référence technique pour l’industrie.

Dès l’introduction, le rapport reconnaît qu’en somme, tout existe déjà sur les plateformes principales. Il se garde cependant d’en déduire qu’il était donc inutile de légiférer. Les mises en œuvre nouvelles concerneront donc essentiellement les plateformes européennes, cible réelle non avouée de cette directive. Sur le plus long terme, il s’agit de démolir le statut d’intermédiaire technique, autrement dit le statut d’hébergeur.

Pour les écueils éventuels, on se reposera sur l’intelligence artificielle, cette technologie magique et fourre-tout :

En matière de panorama technique (sujet que j’avais évoqué longuement ici — l’article 17 s’appelait alors article 13), pourtant, le rapport n’exclut aucune hypothèse, allant jusqu’à réfléchir ouvertement à une exploitation des technologies de reconnaissance faciale utilisées en matière de sécurité publique. Les synergies entre la société de surveillance et la protection des ayants-droit, souvent niées, sont ici exprimées noir sur blanc.

Tout cela n’aidera pas du tout les plateformes chargées de la mise en œuvre technique de l’article 17, car les recommandations pratiques sont inexistantes. Le rapport balaie toutes les objections de coût d’un revers de main, va jusqu’à tenter de nier les investissements faramineux consentis par Youtube pour le développement de Content-Id, un des rares chiffres dont on dispose, mais se garde soigneusement, de son côté, de proposer la moindre évaluation, que ce soit des coûts de développement ou des coûts de licence pour acquisition de technologies tierces.

Youtube a la chance, donc, de bénéficier d’un satisfecit de la part du rapport, sous la forme de nombreux paragraphes louant Content-Id et les efforts faits en faveur des ayants-droit. On se rappellera que, pendant le vote de la directive, le manque de coopération des GAFAM était brandi comme principale motivation pour voter les articles 15 et 17. Apparemment, de l’aveu du CSPLA, tout va bien avec les GAFAM. On peut donc penser que la cible de la directive était autre.

La société française Qwant, quant à elle, en cherchant à se poser en bon élève auprès du gouvernement, a tenté un « coup », sous les applaudissements de la SACEM, en étant la seule (hors ayants-droit) à soutenir la directive en France et en proposant une plateforme communautaire et open-source permettant à l’écosystème français concerné de mutualiser les coûts de mise en œuvre. Des responsables de Qwant ont été audités pour le rapport (quasiment seuls en matière de technique, à l’exception d’un chercheur CNRS et de représentants de Youtube, le reste des audités étant essentiellement constitué d’ayants droit). On en retient (page 42), entre force conditionnels et futurs, que la plateforme de Qwant n’est pas plus avancée qu’au moment des annonces faites par la société cet été :

En matière de reconnaissance de contenu écrit (un sujet cher à la presse et aux éditeurs), le rapport se borne à reconnaître qu’il n’existe actuellement rien, espérant implicitement là aussi que les acteurs qu’il est chargé d’aider ou d’éclairer vont se débrouiller tout seuls.

Enfin, le rapport n’omet pas de décerner quantité de lauriers à la directive, de manière univoque et sans réserve : celle-ci n’a aucun défaut et ne peut avoir aucun effet de bord néfaste.

Bon courage, en conclusion, à ceux qui devront l’appliquer : ils seront — évidemment — seuls pour en surmonter les difficultés. Tout au plus pourront-ils s’aider de l’inventaire commercial que fournit le rapport sur les différents prestataires de services de reconnaissance. Charge ensuite à eux d’en essuyer les plâtres.

Le rapport sera présenté le 28 novembre 2019 au CSPLA.

Copyright Directive Article 13 Flowchart

To get a better idea of how Article 13 of the Copyright Directive (to be voted very soon at the European Parliament) operates, and evaluate how complicated and dangerous it is, I have made the following flowchart. Feel free to share. Comments welcome.

Source text, current article 13 draft: https://juliareda.eu/wp-content/uploads/2019/02/Art_13_unofficial.pdf

See also my analysis about content filtering for article 13.

Article13 Flowchart

Other references with graphs:

https://www.nextinpact.com/news/107705-directive-droit-dauteur-notre-schema-pour-comprendre-larticle-13.htm

https://boingboing.net/2019/03/11/legislative-analysis.html


La démission française sur la liberté d’expression numérique

Un point sur la directive copyright semble utile (j’avais écrit ici une petite introduction précédemment, pour les lecteurs qui ne sont pas au courant de l’article 13 de cette directive).

La nouvelle du jour, c’est qu’après des mois de tergiversations, la position française (totalement acquise aux ayants-droit) semble avoir eu gain de cause, ce qui est inquiétant. Les garde-fous demandés par les défenseurs des libertés en ligne semblent avoir été largement ignorés.

Ainsi, ni PME ni les sites à but non lucratif (ce dernier point ne semble pas certain, mais ce n’est pas encore très clair) ne seraient exclus du champ de l’article 13, ce qui revient à mettre une barrière d’entrée infranchissable à ceux-ci en face des GAFAM puisque ces derniers disposent déjà des technologies de filtrage nécessaires pour être à l’abri de l’article. Et il risque d’en résulter une censure sans subtilité des contenus produits par les utilisateurs, voire disparition pure et simple (ou inexistence) de certains services (voir ici le tout dernier article de Julia Reda, députée européenne allemande, pour les détails).

Revenons sur les facteurs qui font que la position française en la matière est particulièrement extrémiste.

Les institutions françaises et les ayants-droit

Sans revenir en détail sur la situation française autour de l’exception culturelle, un peu de contexte est nécessaire.

Depuis des décennies, la concrétisation de l’exception culturelle est le passage de lois de protection de l’industrie du spectacle, éventuellement au détriment de l’intérêt public.

Il y a ainsi eu les lois cherchant à protéger le cinéma contre la télévision (chronologie des médias), puis le cinéma et la télévision contre la cassette VHS et le DVD, puis les chaînes privées brouillées, puis la VHS et le DVD contre les importations contrariant les exclusivités nationales, puis le CD contre la musique en ligne, puis tout cela contre le piratage. Cette liste n’est, bien sûr, pas exhaustive (des séries de lois similaires existent concernant le livre).

S’y ajoutent les diverses taxes et redevances destinées à soutenir la même industrie : redevance télévisuelle (dont une bonne partie sert à acquérir des droits de diffusion), redevance copie privée (supposée dédommager les ayants-droit pour les copies de sauvegarde des œuvres que vous avez légalement acquises, mais que vous paierez également pour stocker vos vidéos de vacances ou en achetant votre téléphone), droits divers sur votre abonnement Internet, etc.

S’y ajoutent un certain nombre d’instances et d'”autorités administratives indépendantes”, suivant le terme consacré : la Hadopi et le CSA, mais aussi le CSPLA (conseil supérieur de la propriété littéraire et artistique) ou la commission pour la rémunération de la copie privée, qui décide unilatéralement du montant de la redevance copie privée. Toutes ces entités dépendent du ministère de la culture.

Une des missions principales attribuées au ministère de la culture est de réaliser, au niveau français, la législation pour protéger les ayants-droit, et à l’échelle européenne, le lobbying pour légiférer dans le même but, en particulier la directive copyright (dite “directive droit d’auteur” en France) qui nous intéresse en ce moment.

Officiellement, la mission du ministère est de « rendre accessibles au plus grand nombre les œuvres capitales de l’humanité et d’abord de la France ». En pratique, cette mission est interprétée de manière limitative : ne comptez pas sur le ministère pour défendre les licences libres ou le domaine public, car il s’agit d’un casus belli vis-à-vis des industries littéraires et du spectacle, et celles-ci l’ont clairement exprimé à plusieurs reprises.

Enfin, ce panorama ne serait pas complet sans un mot sur la représentation française au parlement européen : elle a été à l’avenant lors du vote de juillet, dans une écrasante majorité en faveur des ayants-droit, sans nuance et tous partis confondus, à l’exception notable des Verts.

Les médias et les ayants-droit

La couverture par les médias généralistes en France de la directive copyright a été quasiment inexistante, sinon pour :

  • accorder des tribunes aux ayants droit, pour défendre l’utilité de l’article 13, en en ignorant les effets néfastes ;
  • s’indigner du lobbying — réel — de Youtube et Google contre la directive, en oubliant totalement que les ayants-droit ne sont pas en reste, loin de là, en matière de lobbying ; et qu’au delà de ces 2 lobbies bien visibles et d’un storytelling binaire mais facile, devrait être évoqué l’intérêt général, celui des citoyens.

En ce qui concerne la presse, la directive prévoit l’article 11, censé obliger les moteurs de recherche à rémunérer les journaux pour le trafic que les premiers leur apportent. Pour en arriver à cette absurdité (qui équivaut à demander une commission à un taxi pour qu’il ait le droit de déposer ses clients à tel hôtel), il faut tordre le droit d’auteur et les usages d’Internet, en piétinant le droit de citation.

Les lobbyistes des articles 11 et 13 sont donc entrés depuis l’été 2018 dans un jeu de donnant-donnant. « Je soutiens ton article 11, en échange tu soutiens mon article 13, et réciproquement ». En effet, le sort de ces deux articles est lié : l’un comme l’autre visent clairement Internet sous couvert de cibler les GAFAM ; l’un comme l’autre sont contestés depuis des mois par les associations de défense des libertés ; et le reste de la directive copyright est relativement consensuel.

Ainsi, les tenants de l’article 11 (la presse) se sont vu reprocher par ceux de l’article 13 (les ayants-droit de l’industrie du spectacle) l’échec du vote de juillet 2018, qui aurait permis une validation accélérée au parlement européen, en donnant mandat au rapporteur Axel Voss pour terminer l’écriture de la directive.

Autrement dit, le sort de la directive copyright repose essentiellement sur le consensus qui sera obtenu sur ces articles 11 et 13 ; et cela traîne, car la position française, totalement calquée sur les demandes des ayants-droit, est loin de faire l’unanimité dans l’Union Européenne.

En France, le sujet ne suscite guère d’intérêt médiatique sinon pour s’indigner épisodiquement de manière pavlovienne de l’hégémonie des GAFAM, comme dans cette récente édition de l’Instant M de France Inter qui, toute occupée à dénoncer l’activisme de Youtube, en oublie accessoirement celui des ayants-droit, mais surtout arrive à faire l’impasse sur le sujet de la liberté d’expression, ce qui est plus gênant.

Précisons que je n’ai rien contre cette émission. C’est simplement l’exemple le plus récent auquel j’ai été confronté, mais il en existe bien d’autres, dans le Monde, dans Les Échos, et ailleurs, sous forme, souvent, de tribunes d’opinion à des collectifs d’artistes, ou d’interviews d’artistes en vue. Ainsi, pour ne citer que Jean-Michel Jarre, dès les titres, la tonalité est claire :

  • Le Monde : Jean-Michel Jarre : « YouTube ne doit pas devenir un monopole »
  • France Info : Jean-Michel Jarre défend les auteurs face aux “monstres d’internet”

On cherchera en vain des articles aussi médiatisés exprimant des positions allant clairement contre les articles 11 et 13 de la directive, ceux-ci étant essentiellement du ressort de la presse spécialisée, ou relégués dans des rubriques “actualité numérique”.

Il faut quand même noter quelques exceptions. J’ai eu la chance et l’honneur d’être sollicité par France 24 pour défendre le point de vue des utilisateurs et hébergeurs Internet, ainsi que pour des articles de BFMTV et Marianne, ce dont je les remercie. J’ai également été invité par l’April à l’émission Libre à vous sur Radio Cause Commune, qui est revenue à plusieurs reprises sur la directive. Enfin, on ne peut oublier la couverture régulière de ces sujets, et de tout ce qui concerne le lobbying numérique des ayants-droit, dans Nextinpact, sous la plume de Marc Rees.

La situation associative française

Plus préoccupant, et plus surprenant, l’une des associations phares de défense des droits numériques en France, la Quadrature du Net, a fait preuve d’un mutisme quasi complet sur le sujet de la directive, hors quelques déclarations de principe contre l’article 13 jusqu’à l’été 2018, suivies de prises de positions niant le danger de la directive pour l’« Internet libre », totalement à contre-courant du sentiment général dans les associations similaires.

La Quadrature n’a pas jugé possible non plus de prendre le temps de signer la lettre ouverte d’EDRI, au contraire de 90 des associations européennes et internationales les plus en vue se préoccupant de droits numériques, dont l’EFF états-unienne.

C’est d’autant plus ennuyeux que la Quadrature du Net dispose, dans le domaine associatif numérique, d’un historique et d’une écoute médiatiques qui n’ont guère d’équivalent en France. Son absence peut en partie expliquer la couverture médiatique univoque observée sur le sujet.

On note un autre absent de marque, le Conseil National du Numérique, qui semble se cantonner désormais aux missions que lui confie le gouvernement Macron.

Les deux principales associations françaises ayant réellement fait campagne contre la directive sont l’April, association de défense du logiciel libre, et Wikimédia, la branche française de la fondation qui édite le bien connu Wikipédia, concerné directement par les articles 11 et 13. On peut citer également le CNLL et Renaissance Numérique parmi les signataires de la lettre ci-dessus.

Un article 13 extrême

Même parmi les ayants-droit, l’article 13 ne faisait pas l’unanimité. Ainsi, en décembre, des ayants-droit du cinéma et du sport se sont désolidarisés de l’article tel qu’il était rédigé, estimant qu’il allait trop loin et ne bénéficierait qu’aux grandes plateformes. C’est également la position des associations.

Un résultat à la hauteur des efforts français

Comme précisé plus haut, il semble qu’après un combat entre la position française et celle d’autres pays, dont l’Allemagne, la directive copyright soit en train de passer avec un article 13 in extenso, minimaliste vis-à-vis de la protection des droits des citoyens et des intermédiaires techniques, la position de la France ayant prévalu. Rien n’étant jamais gratuit dans ces négociations, difficile de dire contre quel abandon réciproque la défense des ayants-droit a été troquée vis-à-vis de l’Allemagne.

Une situation plombée

En France, comme on l’a vu, la situation politique est verrouillée depuis des décennies par les ayants-droit, au détriment de l’intérêt général, et sans espoir ni même volonté d’en sortir.

Par parenthèse, car le domaine de la SVOD (vidéo par abonnement en ligne) est très anecdotique au regard des impacts potentiels des articles 11 et 13, le prochain échec sera celui d’un concurrent potentiel à Netflix, coulé d’avance par une législation et un écosystème hexagonaux hostiles à toute innovation en la matière, et une absence de vision. Ainsi, après avoir plombé molotov.tv par l’accumulation de règles sur les magnétoscopes virtuels, après le quasi échec de Canal Play qui en est réduit à imposer des procédures de désabonnement compliquées pour retenir ses abonnés (on notera que Vivendi n’a pas voulu acquérir Netflix à ses débuts), on nous prépare salto.fr, sur fonds publics, qui croit pouvoir s’imposer par des exclusivités sur les séries de France Télévision (celles-ci seront retirées de Netflix), et qui, inévitablement, rejoindra quelques temps après son ouverture la longue liste de nos échecs de stratégie industrielle et politique.

Et maintenant ?

La première chose à faire, urgente et essentielle, serait de sortir du raisonnement mortifère (et réactif) « ce qui est mauvais pour les GAFAM est bon pour l’intérêt général » qui actuellement motive et oriente l’essentiel de l’action législative française en matière numérique.

D’une part, parce que ce qui semble mauvais pour les GAFAM ne l’est pas forcément réellement pour eux. Ainsi, Google/Youtube dispose déjà de la technologie nécessaire pour appliquer l’article 13, ce qui lui donne une avance considérable sur le reste de l’industrie. Ensuite, on a appris récemment que Facebook, derrière une opposition de façade à l’article 13, poussait discrètement le législateur à l’adopter, parce que Facebook possède également une avance technologique en la matière.

D’autre part, ce qui semble mauvais pour les GAFAM, a, a priori, des chances de l’être également pour des acteurs similaires, les hébergeurs et autres intermédiaires techniques, qu’ils soient à but lucratif ou non, et Wikimédia l’a bien compris. Difficile de se plaindre de la prééminence persistante des GAFAM lorsqu’on a savonné également la planche des services concurrents, à moins que le plan soit de renforcer cette prééminence pour avoir un lieu de contrôle, surveillance et taxation centralisé plus simple à gérer par les états.

Dans un autre registre, on voit déjà dans les tentatives de taxation de Google et Facebook par l’état français que le crayon du législateur peut déborder : il suffit qu’un article de loi soit mal rédigé pour qu’il ait un impact bien au delà de Google ; la loi étant supposée ne pas viser un acteur particulier, ce qui serait discriminatoire, elle doit établir des principes, mais les acteurs similaires (dans le monde publicitaire en particulier) existent et, s’ils sont probablement ravis qu’on taxe Google, ils souhaiteraient éviter qu’on les taxe pour la même activité.

Il suffit de transposer la situation fiscale à celle des articles 11 et 13 pour imaginer les dangers vis-à-vis de la liberté d’expression.

Ensuite, parce que se focaliser sur la lutte contre les GAFAM revient à négliger les citoyens. Ceux-ci auraient du mal à migrer en masse vers d’autres services, même si cela pourrait être souhaitable, à supposer que de tels services existent. Notamment, restreindre par la loi la liberté d’expression sur les GAFAM, même si elle n’y est pas parfaite, revient à restreindre la liberté d’expression tout court.

Enfin, la loi doit poser des principes généraux et fonctionner le moins possible par exceptions. Ainsi, l’article 13 prévoit une liste limitative d’exceptions, qui correspondent à des services déjà existants. Mais l’imagination des développeurs de sites et d’applications est plus fertile que celle du législateur et des lobbies du moment, et les possibilités d’Internet plus larges. Ainsi, si les forges de logiciel ou les encyclopédies en ligne n’existaient pas déjà, avec des acteurs de taille notable pour les défendre, les exceptions correspondantes auraient été tout simplement oubliées.

À côté de quels autres services et usages encore inconnus sommes-nous en train de passer en écrivant la loi contre les acteurs hégémoniques du moment et pour soutenir tel ou tel groupe d’intérêt sur des modèles d’un autre temps qui, tôt ou tard, devront être repensés en fonction des possibilités de la technologie, et non contre celle-ci ?

Et pour revenir à la liberté d’expression : elle est — en partie — incluse dans le paragraphe qui précède, dans ces futurs services, même si elle mériterait un développement. Rappelez-vous du Minitel, un modèle qui a eu son heure de gloire, mais très encadré à tous points de vue, et en particulier pour préserver le modèle de la presse papier. Pensez-vous vraiment que la liberté d’expression y était aussi étendue que sur Internet aujourd’hui ?

Et plus largement, les attaques récentes contre l’anonymat en ligne par le gouvernement, beaucoup de politiques même dans l’opposition, et certains syndicalistes et éditorialistes montrent que la position de la France sur les articles 11 et 13 est loin d’être un accident de parcours.

500 000 doublons sur les listes électorales françaises ; pas grave

[Ce billet étant en grande partie déductif (voire spéculatif), veuillez lire un conditionnel implicite dans tout ce que j’affirme ci-dessous ;  je suis ouvert à toute correction technique sur des erreurs que j’aurais pu éventuellement commettre sur le processus électoral]

Vous n’en avez peut-être pas entendu parler, comme moi, qui l’ai découvert par hasard hier. Je vous invite à commencer par lire cet article du Monde datant du 13 avril 2017. L’article est rempli de petits détails qui comptent :

Vote en 2017 : quelque 500 000 électeurs sont inscrits deux fois sur les listes électorales

500 000 électeurs français environ sont inscrits sur 2 listes électorales, en général suite à déménagement : une fois à leur nouvelle adresse, et une fois à leur ancienne adresse.

Lors d’un déménagement, l’électeur s’inscrit à la mairie, et c’est l’administration, plutôt que l’électeur, qui s’occupe des formalités de radiation à l’ancienne adresse. L’article explique le processus : la nouvelle mairie remonte l’information d’inscription à l’INSEE, qui se charge de transmettre une demande de radiation à l’ancienne mairie.

Or, le processus semble ne pas fonctionner correctement : les radiations ne sont pas toutes actées, pour des raisons obscures. Les mairies accusent l’INSEE, qui assure que de son côté tout est exécuté dans les règles. Le tout circule par… la poste.

Il existe donc à ce jour 500 000 radiations qui n’ont pas été effectuées et qui correspondent à autant de doublons dans les listes.

Et c’est là que la situation, déjà préoccupante en elle-même, devient de plus en plus ubuesque.

Le ministère de l’intérieur, chargé de l’organisation du scrutin et d’assurer sa “sincérité”,  semble tout simplement n’avoir aucune intention de changer quoi que ce soit avant le premier tour du 23 avril (je n’ai trouvé aucun communiqué officiel sur la question).

Si on creuse un peu (il suffit en fait de lire attentivement l’article qui précède), on s’aperçoit que le problème ne date pas de 2017. En 2012 déjà, 400 000 électeurs étaient inscrits en double.

Si on suppose que le volume d’erreur est resté relativement fixe et qu’on extrapole la période 2012-2017 au passé, on peut calculer qu’à raison d’environ 100 000 doublons supplémentaires par période de 5 ans, le problème date d’environ 25 ans, donc remonte à 1992 approximativement, et est connu de l’administration depuis au moins 5 ans — version optimiste ; au pire, 25 ans — plutôt que 2 semaines, et persiste néanmoins aujourd’hui.

Que faudrait-il faire pour y mettre fin ? C’est difficile à dire, car les détails qui filtrent sont rares ; et on nous assure que le problème est très complexe. Apparemment l’INSEE dispose d’une liste nationale (puisque c’est lui qui sait à qui communiquer les radiations), et les mairies disposent évidemment chacune des listes électorales locales, bureau par bureau (puisqu’elles réalisent les inscriptions et radiations).

Il serait possible (mais cela serait étonnant) que l’INSEE ne garde tout simplement pas trace des notifications de radiations proprement dites. Il est néanmoins très probable que l’INSEE conserve un historique des versions successives (au moins sur les années récentes ; peut-être pas sur les années plus anciennes, s’il existe des lois interdisant la conservation longue de ces données de nature très personnelle) du fichier national, dont il est facile de déduire la liste des radiations.

Quelques petites informations supplémentaires sur la procédure sont données dans les interviews de cette vidéo de LCI :

Présidentielle 2017 : 500 000 électeurs inscrits en double, le ministre de l’Intérieur sommé de “faire son boulot” pour éviter des fraudes

Le responsable électoral de la mairie de Paris 17e décrit rapidement ce que j’ai exposé plus haut.

On y entend également un avocat spécialisé en droit électoral nous expliquer que 500 000 doublons correspondent à environ 1% du corps électoral, soit 1% indûment compté en abstention ; ce qui selon lui ne serait pas très grave. Pour un premier tour de présidentielle, c’est relativement exact (hors tentatives d’exégèse du taux d’abstention) ; pour les législatives, où les candidats de second tour doivent obtenir au moins 12,5% des inscrits, cela peut changer significativement les choses.

La raison citée par la place Beauvau pour minimiser la gravité de la situation, et excuser l’absence de mesure avant le 23 avril, est que, de toute façon, la loi punit sévèrement le fait de voter en double : de 6 à 24 mois d’emprisonnement et jusqu’à 15 000 euros d’amende.

Or, retrouver les contrevenants semble quasiment impossible dans le cas général : en effet, pour cela il faudrait, d’abord, effectuer le dédoublonnage — opération dont on nous dit qu’elle est difficile, ce que semble confirmer le fait qu’elle n’ait pas été réalisée depuis 5 ans –, et, en plus, croiser le résultat avec les listes d’émargement bureau par bureau. Les listes d’émargement étant tenues de manière manuelle, puisque c’est la signature du votant qui y atteste de son vote, leur vérification a posteriori ne peut être également que manuelle.

Le plus triste à mon sens est que cette situation touchant un des éléments les plus essentiels de notre démocratie perdure depuis au moins 5 ans et soit minimisée voire ignorée par l’administration dans la plus parfaite opacité.

PS : pendant que ces trous béants persistent, les pouvoirs publics communiquent avec conviction sur les efforts déployés pour sécuriser nos élections contre les attaques informatiques provenant de puissances étrangères hostiles.

Ajout du 23 avril 2017 : on me fait remarquer dans les commentaires que la poste est supposée ne pas réexpédier les cartes d’électeur, et on me dit sur twitter que cela figure même sur l’enveloppe, ce que je n’avais pas remarqué. En effet.

Sécurité des serveurs web avec TLS, petite toilette d’automne 2016

Résumé pour gens très pressés : ce n’est pas si difficile que cela en a l’air.

Résumé pour gens pressés : même sans être un gourou de la cryptographie, il est possible de sécuriser son site au niveau approximatif de l’état de l’art (du moment — ce n’est jamais une tâche définitive) en s’appuyant sur des sites de recommandations réalisés par des spécialistes.

Après avoir passé quelques heures à peaufiner ma configuration, je pense utile de partager ce que j’ai appris pour dispenser autour de moi un peu de bonheur artificiel par l’entremise de la sécurité cryptographique.

L. Hirlimann (@lhirlimann) m’a récemment orienté sur un excellent site de la fondation Mozilla, observatory.mozilla.org,  qui permet de vérifier la configuration sécurité basique de votre site web, à commencer par l’aujourd’hui indispensable TLS, et mutualise également (par défaut, mais c’est débrayable) les résultats des non moins excellents :

1. TLS, les algorithmes cryptographiques

Au-delà de ses origines mathématiques, la cryptographie est une affaire de paranoïaques qui n’ont pas tous exactement le même avis sur ce qui est casher ou pas à un instant donné.  Les audits rapides réalisés par les sites qui précèdent vous en convaincront rapidement.

Ainsi, après quelques premières modifications rapides sur ma configuration TLS, SSL Labs attribuait un A+ à ce site, alors que tls.imirhil.fr l’affublait d’un catastrophique F sous prétexte que l’algorithme DES n’était pas désactivé.

Bien entendu, cela évolue aussi au fil du temps, qui fait qu’un algorithme donné va passer en quelques petites décennies à peine du statut de “sûr” à celui de “passoire”, que ce soit par l’évolution des performances brutes ou par celles de la recherche en attaques cryptographiques.

Par ailleurs, vous aurez éventuellement également le plaisir de vous faire rappeler à l’ordre par ces analyses si votre implémentation TLS comporte des trous de sécurité connus. J’ai découvert qu’il est assez facile de se faire avoir, même avec un système d’exploitation que l’on pensait à jour.

Les “suites” cryptographiques recommandées varient au fil des sites spécialistes que l’on consulte.

Voici, pour ne pas vous faire languir, celle que j’ai concoctée pour satisfaire les sites cités (!) ci-dessus, et qui est certainement sujette à commentaires et critiques (attention, c’est supposé tenir sur une ligne sans retour) :

EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA
-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-S
HA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-
SHA:DHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-
SHA256:AES256-SHA:AES128-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4

N’allez surtout pas croire que j’ai construit ni même analysé en détail ce qui précède : la liste provient à l’origine de https://www.digicert.com/ssl-support/ssl-enabling-perfect-forward-secrecy.htm dont l’objet est d’expliquer la configuration d’un serveur web pour éviter qu’un vol de clé privée permette le déchiffrement a posteriori des communications, une mesure à prendre suite aux révélations de l’affaire Snowden sur les capacités de la NSA, et suite également à l’affaire Lavabit.

J’ai simplement amendé la liste pour y ajouter !DES:!3DES: pour évacuer ce vieil algorithme des choix et passer chez tls.imirhil.fr d’un catastrophique F à un passable B.

Si comme moi vous utilisez Apache, cette liste est à placer dans la directive SSLCipherSuite.

Problème : l’incantation qui précède est difficile à comprendre, et donc à modifier, si on n’a pas lu la documentation. En particulier il ne suffit pas d’ajouter !DES pour se débarrasser également de 3DES. Ce n’est pas facile à découvrir rapidement en passant par les sites ci-dessus, qui pour éviter d’être surchargés ne permettent pas des accès trop fréquents (limite à 5 minutes au mieux).

J’ai donc découvert également l’excellente (tout le monde est excellent ici, vous l’aurez compris) commande :

openssl ciphers "la chaîne"

et son avatar plus bavard :

openssl ciphers -v "la chaîne"

qui permettent de tester la chaîne immédiatement en local pour voir ce qu’elle produit sans avoir à attendre la réponse d’un serveur situé à l’autre bout de la planète.

2. Sécurité “web” :  contenu et entêtes

Ce qui précède ne concerne que la partie TLS, c’est-à-dire la couche de chiffrement.

C’est ensuite que observatory.mozilla.org prend tout son sens, en complétant l’expertise cryptographique avec l’expertise web des auteurs de Firefox par le tableau suivant (exemple pour ce site au jour de la publication de ce billet) :mozJe ne vais pas entrer dans les détails ; chaque point correspond à des catégories particulières d’attaques plus ou moins pertinentes pour chaque site, et comme vous pouvez le voir je n’ai pas encore débloqué tous les trophées. On y trouve des recommandations sur :

  • HSTS (Host Strict Transport Security), permettant au site de s’engager vis-à-vis du navigateur sur la disponibilité de https.
  • Subresource Integrity, pour valider les contenus inclus (en particulier scripts) stockés sur des serveurs tiers ;
  • X-Content-Type-Options, pour interdire au navigateur d’interpréter n’importe quoi (par exemple une supposée image téléchargée par un attaquant) comme un script ;
  • X-Frame-Options, pour bloquer des attaques par détournement de clics (clickjacking) ;
  • les redirections diverses afin d’amener l’utilisateur à un site https même dans le cas où il ne s’y est pas dirigé lui-même initialement ;
  • etc

observatory.mozilla.org vous donne par les liens bleus (dont j’ai recopié certains ci-dessus) toutes les explications détaillées sur les possibilités et le sens de chaque option de configuration.

Sous Apache, cela se configure comme ci-dessous, à condition d’avoir chargé le module mod_headers.

Attention : les options pour mon site ne sont certainement pas exactement celles dont vous aurez besoin ; en particulier vous pouvez facilement vous tirer une petite balle dans le pied et vous retrouver avec Javascript désactivé sur certaines fonctions essentielles. Ce fut mon cas, ce qui m’a fait perdre temporairement l’éditeur Wysiwyg de WordPress, et le problème est encore potentiellement présent dans l’exemple qui suit.

Attention également aux sauts de ligne si vous recopiez.

  # HSTS 366 days
Header set Strict-Transport-Security "max-age=31622400"
# Prevent browsers from incorrectly detecting non-scripts as scripts
Header set X-Content-Type-Options: nosniff
# Block site from being framed
Header set X-Frame-Options "DENY"
# Do the same thing, but with Content Security Policy
# +Disable unsafe inline/eval, only allow loading of resources
# (images, fonts, scripts, etc.) over https (recommended)
Header set Content-Security-Policy "default-src https:; frame-ancestors 'none'"
# Block pages from loading when they detect reflected XSS attacks
Header set X-XSS-Protection "1; mode=block"

Ces recommandations permettent d’élucider le comportement souvent mystérieux des navigateurs en ce qui concerne le contenu sécurisé, dans le but de comprendre comment passer du cadenas https “avec avertissement” c0 au cadenas “vert”c1.

Je n’ai pas encore tout à fait réussi en ce qui concerne la page https://signal.eu.org/osm/, malgré la mise en œuvre de Subresource Integrity.

3. Les cookies

Pour les cookies, c’est encore différent, cela dépend de l’environnement (framework) web que vous utilisez. Concernant WordPress je n’ai pas encore trouvé si/où cela se gérait, pour Django voici ce que j’ai configuré dans le fichiers settings.py :

LANGUAGE_COOKIE_AGE=1209600
CSRF_COOKIE_HTTPONLY=True
CSRF_COOKIE_SECURE=True
SESSION_COOKIE_AGE=1209600
SESSION_COOKIE_HTTPONLY=True
SESSION_COOKIE_SECURE=True

4. One more thing

Enfin, vous pouvez aussi pour tout cela vous faire assister par un autre site proposé par la fondation Mozilla, le générateur de configuration pour serveur web, qui vous conseillera sur la configuration de l’agrafage (stapling) OCSP et certains des points qui précèdent :

https://mozilla.github.io/server-side-tls/ssl-config-generator/

 

 

Nul doute qu’il y a des précisions ou corrections à apporter à ce qui précède, si vous le jugez utile n’hésitez pas ci-dessous.

Mise à jour : @_eric_quinton me signale gentiment sur twitter ce document de l’ANSSI :  Le nouveau (juillet 2016) C’est très complet mais très technique, et cela mixe recommandations à destination des administrateurs de site comme à destination des développeurs de suites crypto, ce qui complique la lecture.

EU.org, les métadonnées et la loi renseignement

Après avoir écrit ce billet sur la surveillance de masse comparée aux écoutes téléphoniques classiques, je ressens la nécessité de revenir en détail sur le communiqué de eu.org, en particulier l’extrait ci-dessous sur ses motifs :

En effet, cette loi — dont le texte doit encore être voté définitivement à l’assemblée le 5 mai 2015, puis au sénat — instaure une surveillance légale systématique du trafic Internet par les services de renseignement français, dans des conditions d’opacité complète, sous la seule responsabilité de l’exécutif, sans contre-pouvoir.

Ce trafic inclut notamment des requêtes de résolution DNS des utilisateurs accédant aux 28 000 domaines délégués par Eu.org.

Eu.org ne peut moralement laisser en toute connaissance de cause le trafic de ses utilisateurs — incluant des sites d’activisme politique dans le monde entier — et, par ricochet, le trafic d’accès de leurs propres utilisateurs, exposé à de telles écoutes.

Ces éléments méritent d’être développés car ils ne touchent pas tout à fait aux mêmes sujets que l’hébergement web proprement dit. Ils concernent :

  • le trafic DNS, et la question de son chiffrement
  • les méta-données
  • la localisation des serveurs EU.org

Elles sont au cœur du projet de loi sur le renseignement.

Sur le trafic DNS

Tout accès à un site web commence par une résolution DNS depuis l’ordinateur du demandeur. Celui-ci demande, en général au serveur DNS du fournisseur d’accès, l’adresse IP (la seule utilisable pour effectuer la connexion) du nom de site désiré, ici par exemple signal.eu.org.

Sur Internet vont circuler des paquets contenant cette demande. D’abord de l’ordinateur initial au serveur DNS du fournisseur puis, si celui-ci ne connaît pas la réponse, du fournisseur aux serveurs de .ORG pour obtenir les adresses des serveurs EU.ORG, puis du fournisseur aux serveurs de EU.ORG pour y récupérer l’adresse de SIGNAL.EU.ORG.

Les réponses suivent le même chemin, en sens inverse.

Ce trafic circule “en clair”, que le site web finalement accédé soit protégé ou pas par du chiffrement, et est donc susceptible de révéler cette tentative d’accès à toute écoute en chemin.

Il n’existe actuellement aucun moyen de chiffrer le trafic DNS de résolution : les serveurs DNS “faisant autorité” (détenant les informations utiles) ne peuvent recevoir et répondre qu’en clair. Des travaux à l’IETF (l’organisation qui travaille à l’évolution des protocoles Internet) sont en cours pour résoudre ce problème.

Ce trafic est donc vulnérable à toute écoute et révèle des informations sur les accès à tel ou tel site, ou l’envoi de mail à tel ou tel serveur, etc. Dans le cas de EU.org, 28 000 domaines sont ainsi concernés, et un nombre inconnu mais probablement beaucoup plus élevé d’utilisateurs accédant à ces sites.

J’aurais pu développer ici également une réflexion sur les résolveurs DNS “personnels” par opposition à ceux du fournisseur, par rapport à la volonté affichée du ministère de l’Intérieur d’identifier les comportements “déviants” comme l’utilisation de chiffrement, de Tor ou de VPN, mais cela rendrait cet article trop long.

Sur les méta-données

Les méta-données sont les données techniques nécessaires à l’acheminement d’une communication.

Dans le réseau téléphonique il s’agit en particulier des numéros de l’appelant et de l’appelé.

Pour un routeur Internet ce sont les adresses IP origine et destination.

Pour un serveur d’application, ce sont les adresses IP, les numéros de port (qui permettent de savoir si la communication est un envoi de message ou un accès web) et le protocole.

Pour un site web cela peut être le nom du serveur, certaines informations sur le navigateur, le type de document consulté (texte, image), etc.

Et le trafic DNS ? Pour le routeur Internet il s’agit d’une donnée. Pour un serveur DNS, il s’agit en partie de méta-données, en partie de données. Pour le site web, il s’agit d’une méta-donnée.

Et pour le fournisseur d’accès ? Bonne question, la réponse n’est pas simple car le fournisseur d’accès gère à la fois des routeurs et des serveurs DNS de résolution.

La loi renseignement et les méta-données

Que dit la loi renseignement ? Dans son texte, rien. Elle ne parle que de données et de données de connexion. Mais ses promoteurs ont plusieurs fois affirmé, pour nous rassurer, que seules les méta-données étaient concernées.

Mais lesquelles ? Comme on l’a vu ci-dessus, la question est très floue puisque la réponse n’est pas la même suivant les équipements ou intervenants à qui on s’adresse.

Et, par ailleurs, pour reprendre un exemple très parlant, si quelqu’un sait que j’ai appelé le numéro d’un centre d’analyses médicales, puis un numéro vert d’information sur le SIDA, puis mon médecin, puis ma mutuelle, il peut avoir une idée suffisante du contenu de mes conversations sans pour autant y avoir accès.

La localisation des serveurs EU.org

Le trafic EU.org circulant en France sera donc sujet à écoute systématique et contient, comme on l’a vu, des informations sur des usages dont certains peuvent être sensibles.

Le chiffrement du trafic DNS de EU.org est actuellement impossible, et cela restera le cas à moyen terme. Même lors du déploiement des protocoles de chiffrement du DNS, leur usage ne sera pas systématique avant des années, voire jamais, comme le montrent l’exemple du web avec https, et celui du courrier électronique…

Par ailleurs, le chiffrement du trafic DNS, comme celui des sites web ou du courrier électronique, ne cacherait pas les méta-données d’acheminement du trafic.

La seule autre solution, celle choisie, est de déplacer les serveurs DNS EU.org dans des pays ne pratiquant pas l’écoute systématique légale.

Cette solution est très imparfaite : le trafic de résolution depuis des utilisateurs situés en France, ou vers des serveurs DNS situés en France, sera toujours sujet à écoute. De même, du trafic transitant par la France (peut-être entre Espagne et Allemagne, ou Royaume-Uni et Tunisie, ou d’autres pays, au gré des variations du routage d’Internet) risquera également d’être écouté.

Néanmoins, le trafic ainsi concerné sera évidemment beaucoup plus réduit que si  les serveurs DNS de EU.org sont situés en France.

Les spécificités de la loi renseignement française

La plupart des pays démocratiques pratiquent des écoutes, mais ce sont généralement des écoutes légales ciblées, sur le modèle déjà évoqué des écoutes téléphoniques, et encadrées par une décision judiciaire préalable.

En aucun cas — dans les pays démocratiques — il ne s’agit, comme le gouvernement souhaite le faire en France, d’écoutes légales et sans autorisation judiciaire a priori et systématiques (en masse), et même destinées à détecter des comportements parfaitement légaux mais “déviants”.

Je parle bien ici de la loi et non des décrets et mises en œuvre techniques, qui promettent à ce jour un cadre plus restreint que ne le permettra la loi elle-même, mais ne disent rien de mesures encore plus intrusives qui pourraient être déployées ultérieurement sans nécessité de retour au parlement.

Il peut exister parfois, n’importe où, et comme l’affaire Snowden/NSA l’a montré, des écoutes illégales ou découlant d’une interprétation très extensive de la loi, contre lesquelles il est difficile de se prémunir.

Mais mieux vaut, à mon avis, risquer ce genre d’écoute dans un pays où elles sont explicitement illégales que dans un pays où elles sont explicitement légales.

Pourquoi la loi renseignement instaure une surveillance de masse

Vous avez sûrement suivi, comme moi, les débats sur la loi renseignement. Et sinon, si vous avez du temps, les vidéos (bittorrent) des débats à l’assemblée sont ici. et ici le texte (en son état actuel, à voter par l’assemblée le 5 mai).

Je voudrais revenir sur un point précis, un parmi de nombreux autres, mais l’un des plus importants.

Bernard Cazeneuve a répété de nombreuses fois que la loi renseignement n’établit pas une surveillance de masse. Il l’a dit à l’assemblée nationale, et également dans des interviews, comme celle-ci à Libération :

http://www.liberation.fr/societe/2015/04/10/parler-de-surveillance-generalisee-est-un-mensonge_1238662

Les mesures proposées ne visent nullement à instaurer une surveillance de masse ; elles cherchent au contraire à cibler les personnes qu’il faut suivre pour mieux protéger les Français. […] Parler de surveillance généralisée est un mensonge ! […] Les groupes ou les individus engagés dans des opérations terroristes ont des comportements numériques caractéristiques. C’est pour détecter leurs complices ou leurs pairs que l’algorithme est prévu.

Les passage en gras sont de mon fait, car j’y reviens ci-dessous.

Comment fonctionne une écoute téléphonique classique ?

Comment monte-t-on une écoute téléphonique ? C’est très simple. On cible une personne particulière, on pose une bretelle sur sa ligne, et on écoute ce qui passe. Autrefois c’était une dérivation électrique sur sa ligne ou au central téléphonique, de nos jours c’est une copie numérique indétectable.

Mais l’idée est similaire : 1) on cible, 2) on écoute, 3) on analyse

Comment fonctionne la « boite noire » Internet ?

Incidemment, il est amusant que le nom de « boite noire », qui provient des éléments de langage du ministère lors de la présentation de la loi pour éviter celui moins glorieux de DPI pour deep packet inspection (inspection de paquets), soit dès à présent tellement grillé lui aussi que son origine est attribuée aux opposants.

La boite noire est placée sur les flux réseau, de manière indiscriminée, et observe tout le trafic qui la traverse. Ou bien on a peu de boites noires placées en cœur de réseau, ou bien on en a beaucoup placées moins au cœur ; l’idée est la même, les boites noires doivent observer un maximum de trafic.

Que fait la boite noire ? Bernard Cazeneuve vient de l’expliquer dans l’interview qui précède et dans les nombreux débats.

Il s’agit de l’article L. 851-4 du code de la sécurité intérieure, qui va être créé par cette loi :

« Art. L. 851-4. ­ Pour les seuls besoins de la prévention du terrorisme, le Premier ministre ou l’une des personnes déléguées par lui peut, après avis de la Commission nationale de contrôle des techniques de renseignement, imposer aux opérateurs et aux personnes mentionnés à l’article L. 851-1, pour une durée de quatre mois renouvelable, la mise en oeuvre sur leurs réseaux d’un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés des seules informations ou documents mentionnés au même article L. 851-1. Dans le respect du principe de proportionnalité, l’autorisation du Premier ministre précise le champ technique de la mise en oeuvre de ces traitements. Cette dernière ne permet de procéder ni à l’identification des personnes auxquelles ces informations ou documents se rapportent, ni au recueil d’autres données que celles qui répondent aux critères de conception des traitements automatisés. Les conditions prévues à l’article L. 861-3 sont applicables aux opérations matérielles effectuées pour cette mise en oeuvre par les opérateurs et les personnes mentionnés à l’article L. 851-1. L’article L. 821-5 n’est pas applicable à cette technique de renseignement.

« Si une telle menace est ainsi révélée, le Premier ministre ou l’une des personnes déléguées par lui peut décider, après avis de la Commission nationale de contrôle des techniques de renseignement dans les conditions prévues au chapitre Ier du titre II du présent livre, de procéder à l’identification des personnes concernées et au recueil des informations ou documents afférents. Leur exploitation s’effectue alors dans les conditions prévues au chapitre II du même titre.

« La Commission nationale de contrôle des techniques de renseignement émet un avis sur le dispositif et les critères des traitements automatisés mentionnés au premier alinéa du présent article. Elle dispose d’un accès permanent à ceux-ci, est informée de toute modification apportée et peut émettre des recommandations. Lorsqu’elle estime que les suites données à ses avis ou à ses recommandations sont insuffisantes, elle peut faire application de l’article L. 821-6. » ;

La boite noire, donc : 1) écoute l’ensemble du trafic, 2) l’analyse de manière algorithmique, 3) y identifie des cibles potentiellement dangereuses pour analyse manuelle par les services.

Vous voyez la différence ? Les écoutes téléphoniques classiques n’arrivent qu’en milieu ou fin de chaîne, lorsque par d’autres moyens on a identifié un suspect, et que l’on veut obtenir des preuves plus précises contre lui.

La boite noire fait l’inverse, elle est là pour détecter des suspects dans du trafic a priori anodin.

Il s’agit donc bel et bien d’écoute en masse, surveillance généralisée, appelez-le comme vous voulez.

CQFD.