Insomni’hack, le rendez-vous Genevois de la sécurité, tourne de plus en plus au cas de conscience. Déjà , l’an passé, le succès de cette manifestation avait contraint les organisateurs à créer deux trains de sessions simultanées. Cette année, trois conférences se déroulaient en même temps, plongeant les participants dans des situations cornéliennes : suivrais-je les propos de Nicob ou ceux de Sébastien Bombal ? Adam Laurie ou Bruno Kerouanton ? Nul ne pourra donc résumer tout ce qui s’est dit avec impartialité, chacun aura le regret d’avoir « manqué » quelque chose, tant les sujets abordés étaient aussi intéressants les uns que les autres
C’est Mikko Hyppönen qui ouvre la plénière en tirant sur tout ce qui bouge, et plus particulièrement sur Google et sur la récupération d’Internet par les agences de renseignement des Etats-nations. «Nous souhaitions un formidable outil de communication et de transparence » explique Hyppönen, « nous ne nous doutions pas que le mot transparence servirait à annihiler la fois tout (ou presque) ce qui constitue notre vie privée et une grande partie de ce qui fait notre richesse professionnelle, et cela en moins de 10 ans». L’internaute, personne privée ou entité professionnelle, est pris entre le marteau des collecteurs de données dans la course au Big Data et l’enclume des partisans d’un internet policé et parfois policier.
Existe-t-il alors un moyen de retrouver un minimum de sécurité ? Peu probable estime le patron de la recherche F-Secure. Outre l’alliance objective qui lie la NSA et les grands éditeurs US (eux ou leurs failles si opportunément exploitables), l’on doit ajouter les attitudes « patriotiques » qui gangrènent plusieurs acteurs du monde de la sécurité. Interrogés sur leur capacité à bloquer des virus « d’agences à trois lettres », plusieurs d’entre eux (dont McAfee et Symantec) ne souhaitent pas répondre. Déjà , au tout début des révélations Magic Lantern (il y a de cela 13 ans), le patron de Symantec avait affirmé sa volonté de «collaborer avec les autorités de son pays et ne volontairement pas souhaiter détecter des armes numériques d’espionnage diffusées par son propre gouvernement». Cela n’a pas franchement, d’ailleurs, modifié les habitudes d’achat des entreprises Européennes… pourquoi en serait-il autrement de nos jours ?
Mais qui doit-on craindre le plus ? Poursuit Mikko Hyppönen. Les barbouzes des pays étrangers, qu’ils soient Chinois ou nord-Américains ou celles de nos propres pays, qui, pour beaucoup, ont signé des accords occultes avec la NSA. Si l’on excepte quelques protestations de pure forme émises au moment des révélations Snowden, peu de choses ont changé. Tout au plus la Maison Blanche a promis de mieux règlementer les écoutes envers ses propres citoyens… le reste du monde demeure encore sous la menace de cette inquisition permanente. Internet s’est transformé en un panoptique policier, et rares sont les pays d’Europe qui en réchappe. La Finlande fait figure de thébaïde, elle qui ne fait partie ni des five eyes de l’alliance originelle UKUSA, ni des nine eyes englobant la Norvège, la France, la Hollande et le Danemark, ni les 14 eyes, qui comptent dans leurs rangs l’Allemagne, la Suède, l’Espagne, la Belgique et l’Italie.
Et cela n’est rien comparé à l’espionnage permanent et « très près du corps » auxquels s’adonnent les géants d’Internet. Hyppönen enchaîne : « … Et Google en particulier, entreprise qui n’est ni un prestataire de services internet, ni un diffuseur de logiciels, ni un moteur de recherche… c’est la plus grande agence de publicité au monde, c’est de là que vient sa fortune. Cette entreprise n’existe que par la vente de réclames visant un public ciblé. Et les méthodes utilisées par Google pour profiler ses cibles sont de plus en plus sophistiquées, de plus en plus performantes, à tel point qu’elle peut, aujourd’hui, se moquer totalement des précautions d’anonymisation et des outils de masquage d’identité. La puissance de ses outils dépasse l’entendement. Rendez-vous compte que la facture annuelle d’électricité de Google est de 100 millions de dollars. Oubliez les investissements en développement, en achat de plateformes de traitement, en recherche, en marketing, ne gardez à l’esprit que ce chiffre : 100 millions de dollars d’électricité par an. Et nous utilisons leurs services logiciels, Google Analytics, leur moteur de recherche, leurs navigateurs qui, tous, sont gratuits. Du moins c’est ce que nous imaginons. Quelle entreprise peut dépenser des milliards de dollars en frais de fonctionnement et survivre en diffusant des produits totalement gratuits ? Mais rien n’est gratuit chez Google. L’entreprise déclarait un chiffre d’affaires de 60 milliards de dollars l’an passé. Leurs bénéfices atteignaient 17 milliards de dollars. Si l’on rapporte ce chiffre au nombre d’usagers des services, j’en conclus que chacun d’entre nous « pèse » 17 $ de bénéfice net pour Google. Il n’y a donc rien de gratuit, certainement pas leurs services. Et encore dois-je préciser que ces grands moissonneurs de données et spécialistes du profilage publicitaire (Google, Facebook, Twitter, Yahoo…) ne sont pas, et de loin, les plus intrusifs, car ils savent les limites à ne pas franchir, celle qui, une fois dépassée, provoquera le départ de l’usager. D’autres, moins connus, moins scrupuleux, et ce particulièrement dans le monde des applications mobiles, obtiennent des profils encore plus précis. De géopositionnement en appliquettes communautaires (voir communautaristes), ces diffuseurs de quasi spywares sociaux pour accro de la mobilité finissent par tout connaître de vous, votre religion, vos habitudes de déplacement, votre métier, vos loisirs, certaines de vos opinions ou actions les moins avouables que même vos proches ne soupçonnent pas.
Le milieu mafieux profite également, et probablement plus encore, de ces nouvelles technologies. Les « mining trojans, banking trojans » et autres malwares non seulement vous profilent mais volent votre argent, vos données, ou les prennent en otage, moyennant rançon. Il est, dois-je préciser, que leur degré de fiabilité et d’honnêteté est très élevé lorsqu’il s’agit de fournir la clef qui déchiffrera les documents chiffrés par leur soin. Leur expertise en matière de profilage également, car plus que toute entreprise de sécurité, ces filières mafieuses savent mieux que quiconque que les victimes les plus vulnérables, les plus promptes à payer sont les entreprises, plus que les particuliers. Des entreprises qui ne possèdent que très rarement des sauvegardes, les pirates d’Internet le savent pertinemment.
Ce qui rend la situation insupportable n’est pas la prétendue découverte de cette délinquance sur Internet. Elle existe depuis longtemps, elle s’adapte techniquement à son environnement, exploite la peur des gens, profite des attitudes et des décisions légales irréfléchies des politiques (combien de virus « chiffreurs » se réclament qui de l’Hadopi, de la police de tel ou tel pays ou de telle célèbre agende de renseignement). Ce qui exaspère le plus les usagers c’est que l’on puisse imaginer que nos propres services de police puissent utiliser les mêmes méthodes que celles employées par ces réseaux mafieux sous le seul prétexte et avec la seule justification que cela est techniquement possible. Une surveillance générale d’autant plus facilité que toutes nos communications s’effectuent « on line » désormais. Nous n’avons pas construit Internet pour qu’il se transforme en un outil de surveillance permanent entre les mains des Etats. Et c’est ce qu’il est devenu. La situation n’est pas Orwellienne, Car Orwell, en écrivant 1984, n’imaginait rien de pire qu’une télévision examinant les spectateurs lorsque ceux-ci regardaient la télévision. Si la surveillance tant des Google, des Etats, des services de police, des organisations mafieuses se limitaient à ça, la vie serait bien plus agréable et nos libertés individuelles bien moins menacées. Pour Orwell, le danger se limitait à la surveillance et à la connaissance des actes des citoyens. Avec les outils d’analyse de données massives, les entreprises et institutions qui exploitent ces outils de surveillance d’Internet parviennent collecter ce que nous pensons, les interrogations que nous nous posons. Le moindre problème personnel ne se résout plus en allant consulter les anciens du village ou quelque parent, mais en posant directement la question à quelque chose « who’s name begins by Go… and who is not God ».