Si vous me suivez ou lisez ce blog, vous savez que le projet de loi sur le renseignement a, hier dans l’après-midi, franchi une première étape : celle de l’Assemblée Nationale.

Ils étaient 438 pour, 86 contre et 42 abstentions. Je ne reviendrai pas sur les raisons qui font que je trouve cette adoption parfaitement inadmissible.

…que vais-je faire …

C’est simple : surtout, ne pas perdre sa motivation. Si vous arrêtez de vous battre pour des causes qui vous semblent justes, c’est perdu d’avance car personne ne le fera pour vous. Certains attendent que le temps change, d’autres le saisissent avec force et agissent.

La vraie question est : où vous plaçez-vous, du côté de celles et ceux qui attendent que les choses changent « comme ça, par magie », où du côté de ceux qui essayent, encore et encore, même si cela ne fonctionne pas ou pas toujours ?

de tout ce temps…

Car c’est le seul véritable problème : le temps.

Que va-t-il se passer maintenant ?

Pour commencer, le texte va filer au Sénat, où les sénateurs et sénatrices seront mené.e.s à se positionner sur le texte.

La suite des évènements dépendra des décisions du Sénat, s’il vote le texte parfaitement identique à la version de l’Assemblée Nationale ou non.

Ce qui veut dire que nous disposons encore de temps pour agir, il faut donc agir, continuer le travail de fond avec les sénateurs et leur expliquer les réels dangers de cette loi et les enjeux techniques, parfois bien compliqués à comprendre pour des personnes dont ce n’est pas le coeur de métier.

que sera ma vie ?

Personnellement, j’ai déjà commencé à alerter les sénateurs, depuis quelques semaines.

Comme dit, certains attendent que le temps change, d’autres le saisissent avec force et agissent.

Moi j’ai décidé d’agir. Et vous ?

On pourrait penser que c’est sous l’énervement, ou que je ne pèse pas mes mots mais hélas non. Je suis étrangement calme et trouve que le mot «traîtres » est juste, adéquat.

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Ces traîtres, ce sont celles et ceux qui ont voté le projet de loi à l’Assemblée Nationale, censée faire office de « représentation nationale ».

Comme indiqué plus haut, jusqu’à il y a quelques heures, j’attribuais à la stupidité les actes et réponses de nos élus, ce n’était pas grave, la stupidité ce n’est pas une maladie, du moins, l’éducation et la pédagogie sont de bonnes réponses à ce problème.

Alors c’est ce que j’ai fait, par des billets de blog, par de nombreux mails à un très grand nombre de députés, des échanges avec certains, des heures et des heures de travail à mon tout petit niveau.

Beaucoup plus pour d’autres, comme la Quadrature du Net ou Next Inpact que je remercie infiniement. Je remercie d’ailleurs Marc Rees, le rédacteur en chef, pour les jours (et les nuits) à analyser le texte afin de le mettre à la portée de plus de monde.

De pédagogie, je ne manque pas, mon métier consiste à former des gens à longueur de journée. De courage non plus et de motivation à faire que « tout aille dans l’intérêt général » encore moins.

Depuis déjà des années, via ce blog, puis celui d’avant, via des journaux, interviews, rencontres, conférences, j’ai pris le temps de vulgariser des concepts qui ne sont pas forcément simples. Comme beaucoup d’autres, n’allez pas croire que je suis une exception, j’en fais même très peu, mais là n’est pas la question.

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Au total, cela fait presque 10 ans que je traite du numérique au quotidien, de par mon métier et avec mes convictions. En 10 ans, j’ai vu l’évolution sécuritaire au travers des différentes lois proposées.

Mais, naïvement peut-être, j’ai continué à informer, tenter d’aider, j’ai dis et redis des centaines de fois les mêmes choses sur le DPI, la surveillance généralisée…

Puis est arrivé le projet de loi sur le renseignement. De loi, je n’ai jamais lu un texte aussi compliqué que ce dernier, mal rédigé, mal pensé à la base.

Mais soit, j’ai fait avec. J’ai repris mon bâton de pèlerin, mes mails, mes appels, mes échanges avec la « classe politique », peu importe la couleur ou le parti, tout le monde peut apprendre en s’en donnant les moyens, afin de sortir de cette « stupidité » numérique dans laquelle sont nos députés.

Mais ça n’a pas fonctionné. Aujourd’hui, à l’Assemblée Nationale, 438 députés ont voté pour le projet de loi sur le Renseignement. 86 contre, 42 abstentions.

438 députés. 438 traîtres.

Des traîtres, d’abord parce qu’ils « savaient », les débats sur le projet de loi ont été nombreux et un peu partout sur Internet, dans les échanges avec les députés, hors d’Internet également avec au moins 2 manifestations d’ampleur à Paris.

Des traîtres ensuite parce que de nombreuses voix sont sont élevées contre le projet de loi ou ont émis de fortes réserves :

• L’ARCEP
• Le Conseil National du Numérique
• La Commission nationale consultative des droits de l’homme
• Le Conseil de l’Europe
• La CNIL
• Le Défenseur des droits, Jacques Toubon
• Aides
• Act Up
• Access France
• Acrimed
• AFDEL
• Amnesty International
• ASIC
• L’Association Française des Victimes du Terrorisme
• la CGT Police du 75
• La FIDH
• La Fédération des Unions de Jeunes Avocats
• le Genepi
• l’INRIA
• La Quadrature du Net
• Human Rights Watch
• la Ligue des Droits de l’Homme
• L’observatoire des Libertés et du Numérique
• Mozilla, célèbre pour son navigateur Firefox
• L’ordre des Avocats de Paris
• L’ordre des médecins
• Reporters Sans Frontière
• Le Syndicat des avocats de France
• l’Union syndicale des magistrats
• Le Président de la CNCIS, le « garde fou » actuel des services de renseignement
• Marc Trévidic, le juge du pôle antiterrorisme de Paris
• Le Commissaire honoraire de la Police Nationale
• Des membres du Front de Gauche, du Parti Communiste français, du parti « Nouvelle Donne » et du Parti de gauche
• Le Syntec numérique

Je ne vous cite pas tout le monde mais les principaux, recensés sur le site de la Quadrature du Net et ailleurs.

Le gouvernement ainsi que les députés ne pouvaient pas l’ignorer, à titre informatif, de nombreux députés se servent des arguments qu’ils peuvent récupérer ça et là, d’autres se servent des arguments d’experts, comme Isabelle Attard, qui consciente « qu’Internet ce n’est pas vraiment son truc », préfère demander l’avis des « sachants », des experts du réseau, de ceux qui travaillent avec Internet, de ceux qui « fabriquent » Internet, du moins qui viennent connecter des gens comme vous et moi à Internet.

Les députés ne pouvaient pas ignorer ces avis, cette contestation. Mais certains, dont Jean Jacques Urvoas, député, président de la commission des lois à l’Assemblée Nationale, ont préféré reléguer ces avis d’associations, d’experts, de citoyens à de simple « affabulations qui n’ont aucun rapport avec la réalité ».

Dire à des gens qui « font » Internet qu’ils ne le comprennent pas, vous avouerez, il faut avoir un sacré culot.

Mais, tous ensemble, nous avons continué d’avancer, tous avec le souhait de faire avancer les choses, convaincus que l’intelligence collective que nous représentons pouvait faire bouger un peu les lignes.

Puis est arrivé le vote, 438 pour. Malgré les critiques, malgré les dangers. Malgré l’avis des associations, malgré les manifestations. Malgré des doutes au sein même des instances du gouvernement.

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Le problème que j’ai, c’est que je crois que ce n’est plus de la stupidité, les députés ont voté ce texte « en leur âme et conscience »

Alors si ce n’est pas de la stupidité, c’est quoi ? Si ce n’est pas de l’ignorance, c’est quoi ?

Je vous laisse répondre à cette question, en ce qui me concerne, je ne peux pas travailler avec des gens qui n’ont pas envie d’écouter… et manifestement ils sont au moins 438, que vous pouvez retrouver ici.

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.

Non, ce n’est pas le taux d’alcoolémie des créateurs du projet de loi sur le renseignement, même si on peut se poser la question.

4.74, c’est le « degré de séparation » entre vous et n’importe quel individu qui utilise Internet.

Si vous préférez : vous connaissez quelqu’un, qui connait quelqu’un, qui connait quelqu’un qui connait quelqu’un.

Cette théorie date de 1929 et s’appelait à l’époque la théorie des six poignées de main.

4.74, c’est en prenant Internet et les réseaux sociaux en compte, Internet ayant le pouvoir de rapprocher des gens sans qu’eux-mêmes le sachent.

Si cette théorie vous semble folle, elle est pourtant bien réelle, Facebook ou LinkedIn en sont de parfaits exemples.

Le projet de loi sur le renseignement indique que des écoutes – au sens large, il ne s’agit pas uniquement d’écoutes téléphoniques – pourront concerner les personnes « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de cette dernière ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation. »

Vous êtes médecin et un de vos patients est une cible ? Vous entrez, aux yeux du projet de loi, dans ce rôle d’intermédiaire.

Chauffeur de taxi ? Vous aussi, un de vos passagers est peut-être une cible.

Vous connaissez quelqu’un qui est médecin et qui a un patient ciblé par le renseignement français ? Vous entrez, aux yeux du projet de loi, dans ce rôle d’intermédiaire.

Vous connaissez quelqu’un qui connait quelqu’un qui connait quelqu’un qui connait quelqu’un qui est médecin et un des patients est ciblé par le renseignement français ? Vous entrez, aux yeux de la loi, dans ce rôle d’intermédiaire.

Le projet de loi sur le renseignement ainsi que ses défenseurs s’évertuent à déclarer que seuls les « méchants », les « bad guys » pour reprendre une expression d’un membre du cabinet de Manuel Valls, seront traqués…

… et les personnes pouvant jouer le rôle d’« intermédiaire, volontaire ou non », puisque le projet de loi le stipule.

Selon-vous, qu’est-ce qui arrive lorsqu’on mêle la théorie des 4.74 degrés de séparation au projet de loi sur le renseignement ?

La réponse, qui n’engage que moi, est relativement simple : un risque de surveillance massive, surveillance opérée par des algorithmes et rapidement contrôlée par des humains en nombre insuffisants.

Chers représentants, représentantes, députés,

D’ici quelques jours, vous serez amenés à vous prononcer sur le projet de loi sur le renseignement et je souhaite, avant l’ouverture des débats, que vous preniez la mesure de ce que vous allez voter.

Pour commencer, j’ai conscience de n’être qu’un « simple citoyen », de ne pas disposer de la science infuse, d’être peut-être « à côté de la plaque ».

Eux en revanche, ils ne le sont pas :

1. Amnesty International
2. La Quadrature du Net
3. Alain Marsaud, ancien juge du terrorisme
4. Le Conseil National du Numérique
5. La CGT Police
6. Reporters Sans Frontières
7. Le Syndicat de la Magistrature, qui estime que ce projet de loi « « installe un dispositif pérenne de contrôle occulte des citoyens dont il confie au pouvoir exécutif un usage quasi illimité. Il est à ce titre inacceptable. Seul un véritable contrôle a priori de techniques de renseignement proportionnées et visant un objectif strictement défini relevant de la sécurité nationale, restera respectueux des droits fondamentaux. »
8. Marc Trevidic, l’actuel juge antiterrorisme
9. Le président de la CNCIS lui-même
10. La CNCDH (Commission consultative en charge des droits de l’Homme)
11. La Ligue des Droits de l’Homme
12. L’Union des Syndicats de la Magistrature
13. La Fédération Syntec
14. Le commissaire des droits de l’Homme du Conseil de l’Europe
15. La CNIL
16. Human Rights Watch

Que faites-vous de ces avis ? Considérez-vous ces gens comme des « paranos » ?

Pour continuer, je ne suis ni votre ennemi ni celui de la protection de la nation, de ses intérêts, du peuple, de ses enjeux et j’en passe. S’il vous plaît, ne tombez pas dans la logique binaire actuelle : ce n’est pas parce que je m’oppose au projet de loi du renseignement que je suis pour le terrorisme, ce sont deux choses différentes, la vie n’est pas blanche ou noire. Vous le savez j’imagine…

Vous êtes des représentants de la nation et, à ce titre, vous avez choisi de représenter le peuple français, quelles que soient vos convictions, vos couleurs et votre appartenance politique, je ne vous demande qu’une chose : représenter le peuple français. J’ai aussi conscience qu’ici, je ne m’exprime qu’en mon nom, rassurez-vous, j’ai les pieds sur terre.

Nous sommes tous d’accord : ce qui s’est passé au mois de janvier est horrible, immonde, inhumain… faut-il pour autant céder à la dérive sécuritaire actuelle ?

Mesdames et messieurs les députés, notre pays repose sur deux piliers : la séparation des pouvoirs et une devise, inscrite partout : Liberté, Egalité, Fraternité.

Le projet de loi sur le renseignement est diamétralement opposé à cette liberté, c’est une menace pour nos libertés individuelles. Mesdames et messieurs les députés, ce projet de loi sur le renseignement est une boite de Pandore que je vous invite à ne pas activer, à ne surtout pas ouvrir.

Ce projet de loi s’oppose à la séparation des pouvoirs, véritable socle de nos démocraties occidentales. Cette séparation des pouvoirs, vous savez, cette chose théorisée par Montesquieu, ce qui est devenu par la suite le socle absolu de notre démocratie. Montesquieu a simplement déclaré qu’il n’était pas possible de laisser tous les pouvoirs entre les mêmes mains.

En choisissant de se passer totalement de l’autorité judiciaire, le projet de loi sur le renseignement détruit le fragile équilibre entre ces pouvoirs. Vous pourrez rétorquer qu’un juge est prévu, mais c’est un juge administratif et non un juge judiciaire, seul garant des libertés individuelles.

Mesdames et messieurs les députés, généraliser le recours administratif, c’est tuer les fondements de notre démocratie. De la même manière, l’instauration de « boites noires », vous le savez, vous l’avez forcément lu, vu, entendu quelque part, c’est se doter d’un système de surveillance généralisée, ce qui va à l’encontre de la démocratie et, d’un point de vue légal, des dispositions européennes.

Vous déclarerez ne pas vouloir l’utiliser ainsi. Vous déclarerez vouloir nous protéger, comme la NSA l’a fait aux Etats-Unis d’Amérique.

Je pense que vous connaissez la suite…

Mesdames et messieurs les députés, je pense que, quoi que je dise dans cette lettre, cela ne changera pas votre décision.

Souvenez-vous seulement que, lorsque vous voterez ce texte, ce sera en votre âme et conscience.

Malgré l’avis des ONG.

Malgré les nombreux avis d’experts.

Malgré les avis de deux juges de l’antiterrorisme.

Malgré l’avis de la CNCIS.

Malgré l’avis de la Ligue des Droits de l’Homme

Malgré les avis de nombreux citoyens.

Malgré l’avis de tant d’autres….

Mesdames et messieurs les députés, n’ouvrez pas cette boite de Pandore.