PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Google et le « bug » des photos

mercredi 15 juillet 2015 à 10:08

Ce billet fait suite à une information de janvier qui parlait du forcing de Google sur son application « photos ».

Petit résumé. Au mois de janvier 2015, Google décidait de mettre à jour son application « Photos » afin de la lier à « Google+ », obligeant au passage à activer ladite application, sans pour autant avoir besoin d’un compte sur le réseau social.

Suite à de nombreuses remarques, au mois de mai de la même année, Google dissociait l’application « Photos » de son réseau social, sans changer réellement son fonctionnement. L’application se connecte toujours au Cloud de Google et héberge toujours les photos et vidéos du téléphone.

Lorsqu’on installe et active l’application, il y a donc synchronisation de vos contenus sur le cloud de Google…. tout fonctionne normalement, tout est merveilleux.

Le hic ?

C’est que l’application « Photos » synchronise à la perfection vos photos et vidéos… même quand elle est désactivée ou supprimée.

Dans la logique des choses, on se dit « si je désinstalle ou désactive l’application, la synchronisation s’arrête », j’ai le plaisir de vous annoncer que non. Un journaliste du Nashville Business Journal (EN) en a fait la mauvaise expérience.

Mieux ! La synchronisation fonctionne toujours en désactivant Google+ et même Google Drive, qui gère pourtant la connexion du téléphone au cloud Google.

Résumons à nouveau : si vous avez, un jour, installé l’application « Photos », qu’elle soit maintenant désinstallée ou désactivée, il est possible que vos photos et vidéos soient encore synchronisées sur le cloud de Google, bref, sur l’ordinateur de quelqu’un d’autre sur lequel vous n’avez aucun pouvoir.

Google répond qu’il suffit de désactiver la synchronisation des photos depuis son compte Google, ce qui semble effectivement fonctionner, mais qu’en est-il des contenus déjà récupérés par les services de la firme ?

Qu’en est-il du traitement et de l’exploitation des données récupérées « à l’insu » de l’utilisateur ?

Enfin, qu’est-ce qui me confirme que c’est réellement supprimé ? Ce n’est pas parce que cela n’apparait plus sur mon espace de stockage que cela n’existe plus, l’expérience Facebook l’a démontré : lorsque vous supprimez un message privé, il n’est pas réellement supprimé, vous ne pouvez plus le voir mais il reste stocké sur les serveurs de Facebook.

Google semble déclarer qu’il s’agit d’un bug mais – même si je suis conscient d’être un peu parano – qu’est-ce qui me dit que c’est réellement un bug ? Combien de contenus ont été récupérés ainsi ? Combien d’utilisateurs sont au courant de ce problème ?

Prenons un exemple tout con : le sexting. Combien de photos intimes, partagées dans une sphère privée, ont été récupérées par Google sans l’accord desdits photographiés ?

Et ne me dites pas « ils n’avaient qu’à pas le faire », ce n’est pas une réponse acceptable.

Comme en janvier, ce n’est pas dans mon intérêt que j’écris ce billet mais dans l’intérêt du plus grand nombre, j’ai la connaissance suffisante pour éviter ces problèmes, comme je le disais…

« De ceux qui n’ont peut-être pas la connaissance nécessaire pour réaliser l’opération? De celles et ceux qui ne sont pas des petits geeks et qui peuvent se sentir mal à l’aise avec un téléphone ? »

Nous retombons dans ce cas précis. Un utilisateur « lambda » pensera que désinstaller une application suffit à stopper son fonctionnement, dans une période où la protection des données personnelles est de plus en plus présente, il n’est pas acceptable que Google, une énorme société disposant de moyens colossaux, laisse trainer un « bug » comme celui-là.

Vie privée : que devient votre ordinateur une fois HS ?

mercredi 8 juillet 2015 à 11:44

C’est une question qui mérite d’être posée selon moi. Lorsque vous confiez votre ordinateur portable ou fixe à un réparateur informatique et que ce dernier préconise le remplacement de la machine, qu’est-ce qui se passe ?

Est-ce que l’ordinateur est simplement jeté aux ordures ? Détruit ? Démonté pour récupérer les quelques pièces encore fonctionnelles ?

Et si c’est un PC portable, qu’est-ce qui se passe ?

Dans la théorie

De nombreuses entreprises font appel à des sociétés de collecte de matériel, chargées de récupérer et gérer ce qui doit être détruit ou jeté.

N’étant pas expert du domaine, je ne sais pas s’il existe une législation spécifique à la collecte, l’enlèvement d’équipements, au traitement et à la destruction de ces derniers.

Dans la pratique

Comme c’est très souvent le cas, la pratique est un peu éloignée de la théorie. Certaines entreprises, afin d’éviter des frais supplémentaires, préfèrent tout « balancer » sans se soucier des conséquences liées à ces actes, tant sur le plan environnemental que sur le plan des données récupérables.

Dans d’autres cas, c’est la société de collecte elle-même qui ne s’ennuie pas à démonter, gérer et traiter les déchets, tout termine dans une déchetterie est rien n’est correctement séparé.

Expérience personnelle

Le hasard fait que j’ai été mis en contact avec une personne qui a récupéré un ordinateur en provenance d’un stock de matériel informatique à jeter. Ce stock venait d’un SAV. Je n’ai volontairement ni pris connaissance du nom du SAV, ni de celui de la société de collecte de matériel qui aurait dû jeter l’ordinateur mais qui a préféré le récupérer car l’ordinateur semblait encore utilisable.

Ayant connaissance de ma sensibilité aux données personnelles, mon interlocuteur m’a contacté pour faire le point sur l’ordinateur et surtout sur les données contenues.

NDLR : Je tiens à préciser que tout ce qui suit a été réalisé dans l’unique but d’écrire ce billet, aucune donnée n’a été copiée, sauvegardée ou déplacée. L’acte pourra vous sembler « malsain », j’en suis désolé, j’ai estimé qu’il était nécessaire pour la suite.

J’ai donc démarré l’ordinateur, qui n’était protégé par aucun mot de passe. C’était un ordinateur relativement classique, d’un utilisateur relativement classique.

Sans outils de récupération quelconque, voici ce que j’ai pu retrouver :

  1. Des données de connexion à certains comptes de réseaux sociaux (Facebook par exemple)
  2. Des données de connexion Skype
  3. Le profil Firefox en entier, favoris, historique, mots de passe enregistrés
  4. Un certain nombre de documents, stockés dans « mes documents »
    1. des factures
    2. une carte grise
    3. des tableaux Excel contenant des données financières
    4. des données professionnelles
    5. des données intimes (images à caractère explicite, je n’ai pas fait de recherche spécifique dessus, tout était dans le même dossier) et le nom des personnes aux données intimes.

En recroisant quelques données, je suis donc en capacité de

  1. savoir à qui appartient l’ordinateur
  2. savoir quelles sont les personnes liées au propriétaire
  3. connaître une partie des activités du propriétaire
  4. connaître le travail du propriétaire
  5. récupérer des documents internes à son entreprise
  6. récupérer un certain nombre de documents très personnels, parfois extrêmement explicites
  7. d’usurper une identité en ligne (je rappelle que c’est un délit, cf. Article 226-4-1 du Code Pénal – crée par la LOPPSI II en 2011).

Evidemment, je n’ai rien fait de tout ceci mais j’imagine ce qu’il est possible de faire si ces données tombent entre de mauvaises mains.

Une question de confiance

Les questions soulevées par cette situation sont nombreuses.
Est-ce un cas isolé ? Rare ?
Peut-on avoir confiance dans un service après-vente et dans ses procédures, si procédures il y a ?
Peut-on avoir confiance dans une société de collecte de matériel ?
Existe-t-il des précédents avérés liés à ce genre de situation ? Une usurpation d’identité ? Un chantage pour récupérer de l’argent ? De la revente de données personnelles ? Une « effraction numérique dans l’intimité des personnes » ?

La fin de vie d’un ordinateur est un aspect très souvent négligé, cela ne devrait pas être le cas. J’espère que cet humble billet fera prendre conscience de l’importance de cette étape à certains.

« Nos agences se sont clairement égarées »

mardi 7 juillet 2015 à 11:30

Tels étaient les mots prononcés par Eric King, le directeur de Privacy International, une Organisation Non Gouvernementale (ONG) espionnée par le GCHQ, équivalent britannique de la NSA américaine ou de nos services du renseignement, dans cette bonne vieille France.

Mercredi dernier, l’IPT (Investigatory Powers Tribunal), un tribunal britannique chargé d’enquêter sur la légalité des pratiques des services du renseignement, admettait que certaines ONG étaient illégalement surveillées, Amnesty International faisant partie des ONG espionnées.

Retour sur les faits

Mercredi donc, le président de l’IPT a envoyé un mail à Amnesty International, mail dans lequel il explique que des documents ont été portés à sa connaissance depuis le premier jugement et qu’ils viennent modifier ladite décision du Tribunal, rendue le 22 juin 2015.

La première décision rendue par le tribunal faisait suite à une plainte déposée par dix ONG, où le tribunal, dans sa décision initiale, déclarait que deux ONG étaient illégalement surveillées : L’Egyptian Initiative for Personal Rights et le Legal Resources Centre in South Africa.

Dans sa seconde décision, celle du 22 juin, le tribunal déclare qu’il s’est trompé et que ce n’est pas L’Egyptian Initiative for Personal Rights qui était illégalement surveillée, mais bien Amnesty International.

Le GCHQ garde sa ligne de communication

Du côté du GCHQ, la communication ne bouge pas : il n’y a surveillance que lorsque qu’il y a une menace sérieuse sur le pays, la surveillance ne sert qu’à cette finalité, dans le respect de la loi.

On peut se demander en quoi une organisation comme Amnesty International représente une « menace sérieuse pour le pays », leurs méthodes sont éloignées de toute forme de violence, ils préfèrent l’échange et la communication et c’est tout à leur honneur.

La réponse est apportée par la décision du Tribunal : rien ne justifie la surveillance d’Amnesty International, puisque le Tribunal juge cette dernière illégale.

La réaction d’Amnesty

Elle est assez vive, comme vous pouvez l’imaginer : « Il est inacceptable de constater que ce qui est présenté comme étant du domaine des dictatures puisse exister sur le sol anglais, instauré par le gouvernement anglais. »

Au-delà de la vive réaction d’Amnesty International, ces révélations pourraient avoir un impact très négatif sur les relations qu’entretient l’ONG avec d’autres organisations et d’autres individus.

« Comment mener à bien un travail crucial, à travers le monde, si les défenseurs des droits de l’Homme et les victimes d’abus encourent le risque de voir nos échanges confidentiels tomber dans les mains du gouvernement ? »

Le fonctionnement de l’IPT

Les copains de Next Inpact l’expliquent très bien : « Le tribunal n’a l’obligation de révéler une surveillance donnée à la personne morale ou physique que s’il conclut au caractère illicite du processus. »

En résumé : si le GCHQ n’a avait pas commis des erreurs, constatées ensuite par l’IPT, les ONG n’auraient jamais été informées qu’elles étaient sous surveillance et que cette surveillance n’était pas légale et cela aurait perduré, des années qui sait.

Sans sombrer dans la paranoïa, on peut tout de même imaginer que d’autres personnes, d’autres groupes ou ONG sont également surveillées. Que cette surveillance est tout autant illégale que la surveillance d’Amnesty International, à la différence que le GCHQ n’a pas fait la même erreur.

Qu’est-ce qui me prouve que le GCHQ n’espionne pas d’autres personnes ou d’autres ONG ? Rien.
Nous savons qu’Amnesty International était espionné à cause d’une erreur et j’imagine que des erreurs, c’est rare.

On peut imaginer que la Fédération Internationale des ligues Droits de l’Homme (FIDH) est espionnée, que RSF l’est, que n’importe quelle organisation l’est, en fait.

Les déclarations du GCHQ sont des mensonges, comment leur faire confiance pour la suite ?

Et en France ?

La loi sur le renseignement est actuellement au conseil constitutionnel pour une quadruple saisine (Assemblée Nationale, Président du Sénat, Président de la République et AFDEL) mais, dans les finalités de ladite prochaine loi, des choses similaires au fonctionnement du GCHQ existent.

Ainsi, il n’est pas inconcevable d’imaginer que les services du renseignement français se mettent à espionner une ONG. Si ce n’est pas une organisation terroriste, il n’en reste pas moins que certaines ont une influence politique. Il suffira de dire que telle ONG est surveillée pour tel motif afin qu’elle n’en sache jamais rien et que tout ceci soit jugé conforme à la loi.

ONG, membres d’associations, sortez couverts.

GoLeaks : les leaks de l’Ouest.

jeudi 2 juillet 2015 à 12:03

J’ai décidé de vous parler de GoLeaks, une plateforme de leaks comme son nom l’indique, suite à une conférence très intéressante lors du festival « Pas Sage en Seine 2015 », où j’ai rencontré @Datapulte, hacker en charge de la partie technique du projet.

Le projet semble bien parti, solide et pas décidé sur un coup de tête. Les personnes qui vont s’occuper du projet sont fiables et de confiance.

La première plateforme régionale de récolte et de diffusion d’information, de « leaks », par des sources anonymes, va donc prochainement voir le jour.

Petit tour d’horizon de GOLeaks.

Le GO, c’est pour Grand Ouest, les leaks porteront sur l’ensemble de la Bretagne et on peut déjà imaginer des leaks en lien avec Notre-Dame-des-Landes par exemple, mais pas que. De la fuite très locale, du village à la ville, de l’élu local à beaucoup plus, il y a là, à mon avis, beaucoup de choses à récupérer.

Ce sont ces raisons qui ont entrainé la création de GOLeaks.

Le projet

Le besoin est le suivant : partager une information sensible ou compromettante, une information qui mérite d’être connue du grand public. Cette information, en raison de son caractère sensible, ne peut pas être partagée via des outils « classiques », par mail, SMS, au téléphone …

Il faut être capable de protéger et d’anonymiser au maximum la source de l’information, clef de la réussite des sites de leaks. Nous reviendrons sur ce point un peu plus loin dans le billet.

Protection des sources, travail avec les journalistes et les maisons de presse, gestion des échanges entre source et journaliste pour sécuriser au maximum la source, telles sont les ambitions du projet.

Techniquement

La plateforme est découpée en deux parties, l’une servant de vitrine, l’autre étant la réelle plateforme d’échange.

« Les deux sites sont séparés et hébergés à des endroits différents, chez un opérateur de confiance, afin de sécuriser au maximum les plateformes. S’il y a une faille de sécurité sur un site, elle ne permettra pas de remonter jusqu’à l’autre », m’explique @Datapulte, hacker en charge du projet.

Sur le site web « classique », on découvre les raisons du projet ainsi que ses ambitions. D’ici à son lancement, la vitrine de Goleaks changera, pour indiquer aux utilisateurs qu’il faut un protocole de connexion et de contact spécifique pour déposer une information sur la plateforme.

La plateforme centrale sera un service caché dans le réseau TOR (avec une adresse qui se termine en .onion pour faire plus clair). De facto, il faudra obligatoirement utiliser TOR afin de pouvoir envoyer une information au site, @Datapulte m’explique…

« on ne veut pas mettre en danger une source, nous allons donc forcer l’utilisation de TOR pour sécuriser un peu plus les échanges. Notre but est de servir de plateforme de leaks mais pas n’importe comment et surtout pas en compromettant des sources désireuses d’échanger des informations sensibles ».

Qu’on se le dise, @Datapulte sait où il veut mener le projet, ce qui est très rassurant aux vues du projet.

Une fois un leaks déposé sur le site, il sera mis à disposition de journalistes afin qu’ils puissent traiter l’information, nous y reviendrons. Les échanges avec les journalistes exigeront le même protocole de connexion que celui des sources : TOR.

GOleaks permettra aussi l’envoi de mails chiffrés, à la source et au journaliste, en servant d’intermédiaire. « Nous avons choisi d’être l’intermédiaire entre une source et un journaliste pour sécuriser au maximum les échanges. Une source souhaite contacter un journaliste, un mail chiffré est envoyé par Goleaks au journaliste, qui doit passer par la plateforme d’échange afin de pouvoir répondre à la source. ».

Pourquoi servir de plateforme centrale et incontournable ?

A cette question, @Datapulte me répond « nous pensons qu’il est préférable qu’un journaliste et une source ne soient pas directement en contact. En procédant ainsi, s’il y a un problème, la source ne met pas en danger le journaliste et vice-versa. Dans le pire des cas, si une source est grillée ça ne pourra remonter que jusqu’à Goleaks, idem si c’est un journaliste, la piste ne pourra remonter que jusqu’à Goleaks. Nous sommes conscients de notre rôle de fusible ».

Je trouve ce point très positif, dans les explications fournies, je sens réellement la volonté de minimiser les risques et dangers, « le risque zéro n’existe pas, mais on cherche à s’en approcher le plus possible ».

Rajoutons que Goleaks tourne sous Globaleaks, une plateforme open-source dédiée aux leaks. Globaleaks est développé par “Hermes Center for Transparency and Digital Human Rights”, Globaleaks est, par exemple, utilisé par « Le Monde » via https://secure.sourcesure.eu.

C’est un projet très suivi, régulièrement mis à jour et assez sécurisé, considéré comme une excellente initiative par de nombreux journalistes et hackers, comme ceux du CCC ou Jacob Applebaum par exemple.

Serveurs séparés, hébergés chez un acteur de confiance, passage par TOR requis, mails chiffrés, plateforme qui s’impose un niveau de sécurité élevé… les outils ne manquent pas pour faire de Goleaks une réussite.

Reste le problème des sources et de l’utilisation des outils, parfois compliquée pour des utilisateurs néophites.

A nouveau, @Datapulte a les idées claires sur le sujet : « concernant les leaks, nous pensons qu’il peut y avoir beaucoup d’informations, si nous arrivons à faire connaître le projet, clef de notre réussite. Côté formation, nous avons déjà des contacts avec des journaux locaux pour les former à utiliser TOR et nous allons mettre, sur la vitrine publique du site, des informations et explications claires pour pouvoir déposer un leak ».

Le traitement de l’information sera assuré par les journalistes, « nous travaillons déjà avec des journalistes afin d’établir des partenariats. Lors du dépôt d’un leak, le lanceur d’alerte pourra choisir à qui envoyer l’information. Goleak enverra une alerte aux journalistes choisis, qui devront passer par TOR et un lien à usage unique afin de récupérer l’information transmise. »

On s’y met ?

« Pour l’instant, tout n’est pas encore prêt et nous avons besoin de soutiens et de visibilité avant de nous lancer. »

Je ne sais pas de quoi l’avenir est fait, mais Goleaks possède les clefs pour qu’il soit bon.

En revanche, je sais qu’ils auront prochainement besoin d’un financement pour faire tourner la plateforme, @Datapulte m’informe « qu’une campagne de financement verra prochainement le jour, d’ici septembre. »

Souhaitons-leur bon courage.

Vous pouvez retrouver toutes les informations de Goleaks à cette adresse https://goleaks.org/, @Datapulte sur Twitter et @R0aming_, un rédacteur en chef Web, lui aussi impliqué dans le projet Goleaks.

Vous pouvez également retrouver GOLeaks sur Twitter : http://twitter.com/goleaks_

Retour de #PSES2015 : ma conférence « 2.0 »

vendredi 26 juin 2015 à 13:19

Le festival Pas Sage En Seine s’est déroulé du jeudi 18 juin au dimanche 21 juin 2015.

Lors de l’évènement, j’ai tenu une conférence intitulée «La vie privée et la loi sur renseignement », initialement intitulée « Vie privée est loi sur le renseignement, pourquoi cela ne fonctionne pas ? »

S’il vous vient l’envie de regarder cette conférence, sachez que c’est par ici que ça se passe, ou par ici si vous ne disposez pas de Flash Player, sinon, c’est juste en dessous pour récupérer ça chez Youtube :

Le but de ce billet est de revenir un peu sur ma conférence et de rajouter des éléments que je n’ai soit pas eu le temps de présenter, soit que j’ai simplement oublié lors de ladite conférence.

Premièrement : le « buzz » sur le projet de loi.

Mon premier objectif était de « briser notre bulle », sortir de notre zone de confort où beaucoup pensent que tout le monde a déjà entendu parler de la loi sur le renseignement, ce qui est malheureusement faux.

Dans les faits, une grande majorité de la population n’en a pas entendu parler du tout. Si nous avons l’impression que c’est plutôt l’inverse, c’est parce que la quasi totalité de notre petit monde en parle, que des journaux en parlent, que quelques gus sont invités dans des émissions pour en parler mais, au final, cela ne touche que notre monde et peut-être une infime partie des quelques personnes plus ou moins sensibles aux questions que nous nous posons déjà sur cette loi, votée depuis peu à l’Assemblée nationale.

On me dira que pour ACTA, il y avait du monde, beaucoup de monde : c’est vrai. Mais c’était un « concours de circonstances » : Megapuload venait de tomber, les Anonymous étaient de la partie et ACTA arrivait en même temps. Pour la majorité des personnes à l’époque, les manifestations n’étaient pas contre ACTA mais pour Megaupload, au moins en partie. Je ne remets pas en cause la très belle victoire hein, mais je garde quand-même la tête froide.

Second temps : changer d’approche.

Le texte de loi est clairement mal rédigé. Ce constat n’est pas de moi, il est, à l’origine, d’un juriste que je connais et qui m’a déclaré « il va me falloir plus de paracétamol que d’habitude ». Le texte est donc mal rédigé, du moins, encore plus mal rédigé que d’habitude quoi.

NDLR : au premier ou à la première juriste qui viendra me déclarer : « oui mais s’il y a le métier de juriste ce n’est pas pour les chiens, laisse la loi à ceux qui comprennent », je vous conseille de venir avec des protections parce que ça va faire très mal et cela commencera par : « Laisse l’informatique à ceux qui comprennent et ferme-là alors . » et je déteste profondément cette vision.

Je pense que c’est assez clair, cet argument est complètement con.

Donc, constat : un texte très mal rédigé, assez flou alors que la loi, en France, est généralement très précise et… pour ne rien arranger, nos explications peinent à convaincre celles et ceux étrangers à notre monde de geek, bidouilleurs et hacktivistes.

Nous avons donc un double problème initial : un texte mal rédigé et de mauvaises explications, dans le sens où elles ne sont pas du tout adaptées au public que nous visons. Elles sont trop lointaines, floues, ne concernent pas directement le public à qui nous tentons de nous adresser et, de facto, semblent tellement lointaines qu’elles ne représentent pas, dans l’esprit des gens, une réelle menace.

Ce problème se retrouve dans les crises humanitaires ou vis à vis de la famine par exemple : c’est loin, donc cela ne nous regarde pas. De récentes campagnes de communication visuelles jouent d’ailleurs sur ces aspect là pour éveiller les consciences.

Troisième temps…

Tenter de trouver des éléments plus percutants pour faire prendre conscience aux gens qu’au final, ils sont bel et bien concernés par la loi sur le renseignement.

Là, je vous invite , à nouveau, à visionner ma conférence.

Les rajouts :

Je profite de mon billet pour rajouter le plus d’éléments possibles, ainsi que les sources dont je me suis servi :

La déclaration de Jean Jacques Urvoas : « Toutes les conversations seront écoutées mais toutes ne seront pas enregistrées » a eu lieu à la radio, sur RMC, vous pouvez retrouver un résumé de cette interview ici (RMC est lié à BFMTV, désolé).

Les éléments qui me poussent à dire qu’il sera bien question d’analyse de réseaux sociaux, ou ARS.

  1. INRIA sur Le Monde
  2. La déclaration de Jean-Yves le Drian qui souhaite retrouver les auteurs et lecteurs de vidéos de décapitation, pour croiser les données il faudra forcément faire de l’ARS.
  3. La façon dont cela va fonctionner, comme l’explique l’INRIA,les experts de l’ARS, ainsi que les experts dans le secteur informatique.

Les éléments qui me poussent à dire que le « boites noires » vont travailler sur de l’analyse de profils.

La déclaration de Bernard Cazeneuve lors des séances à l’Assemblée nationale :

« Mes services de renseignement ont pu, par des échanges d’informations, savoir que des terroristes procédaient, sur le darknet, à des communications cryptées donnant des éléments précis sur leur intention de commettre des actes terroristes. […][Les terroristes utilisent] une multitude d’adresses IP qui se masquent les unes les autres, à partir de messages postés depuis différentes boîtes situées partout sur la planète. » – source

Les éléments qui me poussent à dire que le gouvernement est inspiré du Patriot Act.

http://web.archive.org/save/http://www.senat.fr/rap/r14-388/r14-3886.html

http://web.archive.org/save/http://www.senat.fr/rap/r14-388/r14-3886.html

Dans le lien précédent, on découvre une source d’inspiration de la loi sur le renseignement, j’ai nommé le Patriot Act. Le morceau de texte choisi dit, en résumé, que le Patriot Act c’est mal… mais qu’en même temps cela a crée beaucoup de choses positives donc il serait bon de s’inspirer pour la prochaine loi sur le renseignement. J’ai mis le lien du rapport du Sénat sur archive.org pour être certain de le retrouver sans mal.

Les divers échanges lors des débats à l’Assemblée Nationale et au Sénat n’ont fait que confirmer mes impressions, malgré les déclarations des ministres et du rapporteur Jean-Jacques Urvoas, combinées aux liens précédents et à l’analyse de certains juristes. Il me semble cohérent de déclarer que la loi sur le renseignement est directement inspirée du Patriot Act, pourtant fortement critiqué par les défenseurs du texte de loi français.

Enfin, pour clôturer

La loi sur le renseignement n’instaure pas une surveillance généralisée mais une surveillance de masse, la différence est importante.

La surveillance généralisée surveille absolument tout le monde, la totalité de la population française par exemple. Ce n’est actuellement pas possible, tant pour des raisons matérielles que financières, sans oublier que la surveillance de toute une population est strictement interdite par l’Europe et que je vois mal la France déclarer « oui, nous allons surveiller tout le monde ».

La surveillance de masse, c’est une surveillance dont le fonctionnement ne repose pas sur un individu mais sur « un profil ». Je vous invite, à ce sujet, à lire un autre article publié sur Le Monde, par un Directeur de recherches à l’INRIA.

Pour faire plus simple : on ne surveille pas Mohamed Merah car c’est Mohamed Merah, on le surveille car les outils et moyens qu’il utilise correspondent au profil recherché. Le problème c’est que les outils de Merah sont potentiellement utilisés par d’autres. Partant de ce postulat, on comprend facilement le danger : j’utilise les mêmes outils, des activistes aussi, des journalistes également…

Basculer d’une surveillance qui surveille des personnes à de la surveillance de profils, c’est extrêmement dangereux.

Si vous avez vu ma conférence et que vous souhaiter en parler, n’hésitez surtout pas, ici ou ailleurs.