Ne pas lâcher le PRISM pour l’ombre.

Bradley Manning est un soldat américain. Qui encourt actuellement la prison à vie pour avoir mis à disposition de Wikileaks, plus de 700 000 documents classés "confidentiel défense". Le code militaire de la grande muette ne permet hélas pas d'être très optimiste sur son sort. Et même s'il a merdé, même si certains des documents ont pu un temps rendre certains dîners diplomatiques assez rock'n roll, même s'il n'est pas avéré que lesdites fuites ensuite rendues publiques par Wikileaks aient compromis ou menacé des vies de soldats américains en opération, il y a de grandes chances pour que l'on ne dispose jamais de la réponse à la seule vraie question de toute cette histoire : comment un soldat lambda, même pas informaticien de génie, peut accéder à 700 000 documents classifiés "secret défense"  ???

Edward Snowden est un civil. Il a 29 ans, est expert informatique et travaillait pour la NSA puis pour divers de ses "sous-traitants". Un genre d'espion avec des horaires de bureau et des missions qui se bornent à infiltrer des systèmes informatiques. Il a diffusé deux documents de la NSA, le premier d'une quarantaine de pages décrit l'opération PRISM et la connivence "contractuelle" entre la NSA et les grandes firmes du web pour l'accès à nos données personnelles et la mise sur écoute de l'ensemble de nos communications, le second est un document powerpoint tout pourri.

Prism-ppt

Pour si pourri qu'il soit, ledit powerpoint n'en est pas moins révélateur, et les deux documents réunis semblent effectivement former "the biggest intelligence leak in a generation", "la plus grande fuite du renseignement intérieur de toute une génération".

Tout oppose Bradley Maning et Edward Snowden. L'un est un militaire, l'autre un civil. L'un est décrit comme un jeune homme timide, introverti, solitaire, idéaliste, "en pleine quête sur son identité sexuelle" (sic), l'autre est un informaticien qui dans l'interview donnée au Guardian s'exprime de manière parfaitement calme, posée, profonde, presque façon "café philo entre amis" alors même qu'il est juste dans le collimateur de la NSA et de l'essentiel des mastodontes américains qui supportent à eux seuls l'économie du web, tout en expliquant qu'il cherche asile en Islande (il est pour l'instant à Hong-Kong), qu'il sait qu'il ne reverra probablement plus jamais sa famille, qu'il pense bien sûr à la prison, et qu'étant lui-même un espion, il n'est pas surpris que d'autres parlent de le faire simplement "disparaître". Ambiance.

Bien sûr, l'administration Obama a déclaré que "mais non pas du tout c'est juste pour surveiller les terroristes". Bien sûr les grandes firmes du web mises en cause nient en bloc (Google et Facebook notamment, peut-être de manière un peu trop prompte et similaire pour être honnête) et déclarent "mais non pas du tout, on donne juste les données sensibles sur des individus suspectés de terrorisme comme la loi nous oblige à le faire, pour le reste, aucun accès direct de la NSA à nos données". Bien sûr tout le monde ment. Car bien sûr, l'exercce est rôdé depuis déjà longtemps et donne d'excellents résultats : la majorité des américains sont prêts à ce que l'on espionne leurs conversations sur mobile si cela permet de lutter contre le terrorisme

Parce que bien sûr la NSA surveille l'ensemble de nos communications. Parce que bien sûr l'administration américaine est au courant de presque tout (sauf des informations qui pourraient être utilisées contre elle en cas de changement de gouvernement – relisez vos classiques d'espionnage). Parce que bien sûr Google, Facebook, Microsoft et les autres, scannent, collectent et archivent l'ensemble de nos communications. Parce que bien sûr la NSA travaille avec Google, Facebook, Microsoft et les autres pour mieux surveiller l'ensemble de nos communications. Parce que bien sûr nous "surveillons" plus ou moins nos communications sur ces réseaux. Surtout si nous sommes de dangereux terroristes ou activistes, parce que sinon, ben en fait, non, nous ne surveillons pas grand chose de nos communications. Parce que ce n'est pas notre travail, parce que nous n'avons pas trop le choix, parce que nous n'avons pas trop le temps. Ce qui est d'ailleurs la différence essentielle entre Google, Facebook, la NSA et nous : ils ont le temps de le faire, ils en ont les moyens, et c'est leur boulot.

Vous voulez un scoop ?

La question (et le débat dans la presse) est actuellement de savoir si cette collaboration est effectivement "contractuelle" ou se fait à l'insu du plein gré des firmes concernées. Et bien sûr on ne tardera pas à découvrir que c'est … un peu des deux.

Comme le souligne de nouveau Danah Boyd, et comme je l'avais également souligné plus modestement à de nombreuses reprises, cette affaire pointe surtout l'impasse dans laquelle nous conduit l'idéologie de la transparence ("si vous n'avez rien à cacher, vous n'avez rien à craindre"), le constant renversement de la charge de la preuve que postule un certain type de société numérique.

On nous cache tout on nous dit rien.

La question de la perméabilité entre des offices de renseignement (y compris de la taille et de la puissance de la NSA) et des firmes industrielles (y compris de la taille de Google et des autres) est un secret de polichinelle : c'est le TRAVAIL de la NSA et des agences de renseignement que d'infiltrer les firmes susceptibles de leur offrir des données sensibles. Et c'est l'intérêt des firmes collectant à tour de bras des données sensibles que d'entretenir de bons et amicaux rapports avec les agences de renseignement gouvernementales. A l'époque où j'étais encore post-doctorant et nonobstant "responsable" du Master – à l'époque on disait encore DESS – Intelligence Economique de l'université de Toulouse 1, j'avais été à deux reprises approché par des officiers de l'ancienne DST (j'ai encore la carte de visite de l'un d'entre eux) qui cherchaient à la fois à recruter des bidouilleurs d'informations sensibles, souhaitaient également suivre de près ce qui pouvait se dire dans une telle formation universitaire, et accessoirement venaient vérifier si je n'étais pas un dangereux activiste formant des phalanges de l'extrême-gauche. Tout ça non pas pour vous raconter ma vie mais pour vous laisser imaginer que si la DST s'intéresse à ce genre de formation universitaire, imaginer que la NSA ne s'intéresse pas aux données sensibles des grandes firmes informatiques et n'ait pas trouvé le moyen – légal ou non, officiel ou pas, en front-office ou en back-door – d'y accéder, est tout simplement débile. 

Deux défauts dans le PRISM.

Donc : La NSA surveille Google, Facebook et les autres. Google, Facebook et les autres nous surveillent. Nous savons vaguement que nous sommes potentiellement surveillés. Mais nous ne surveillons pas pour autant l'ensemble de nos interactions / conversations en ligne. Et ce pour deux raisons (en plus de n'avoir pas que ça à faire).

Composant par défaut. D'abord la théorie économique d'Hal Varian (qui bosse d'ailleurs désormais chez … Google) dite du "composant par défaut" : en gros, la plupart des individus en restent à ce qui leur est fourni en standard sans chercher d'alternatives. Exemple : quand tu veux chercher un truc tu vas sur Google, comme Google en profite pour te proposer de te créer un mail avec une grosse capacité de stockage, et ben tu le fais, comme en créant ton mail sur Google t'es automatiquement inscrit sur le réseau social Google+ ben tu dis rien, etc, etc.

Consentement par défaut. Ensuite, la théorie – de personne en particulier – dite du consentement par défaut. En gros, à chaque inscription sur n'importe quel service en ligne, les fournisseurs dudit service, supposent – parce que ça les arrange – que tu acceptes en bloc et en détail tout un tas de conditions parfaitement aliénantes (les fameuses CGU) qui rendent lesdites compagnies propriétaires de tout ce que tu dis ou raconte sur leur(s) service(s) et que tu acceptes d'être tracé, géolocalisé, que les contenus de tes mails soient scannés, bref, complètement "fliqué façon Orwell" tout en ayant l'impression que tes données personnelles restent "éparpillées façon puzzle".

Ce qui pose donc la question du contrôle.

Ou si vous préférez, la question de savoir pourquoi nous restons dans la matrice. Google, Facebook et les autres "contrôlent" nos communications. C'est à
dire qu'elles disposent de la possibilité (heureusement peu utilisée) de
les "vérifier". La NSA (et d'autres agences de renseignement, parce que
bon faudrait pas croire que y'a qu'aux US que ça se passe comme ça)
contrôle (cette fois au sens de "surveillance") l'ensemble de nos
communications, en s'appuyant donc (c'est l'objet du débat) sur la
capacité de contrôle d'un certain nombre d'autres sociétés commerciales.
Nous n'avons clairement plus le contrôle de l'ensemble.

La question du contrôle au sens cybernétique du terme. Comme cela est très bien expliqué ici :

"La cybernétique se situe comme une approche indépendante de la nature des éléments qu'elle étudie (Ross Ashby). Elle a pour objet principal l'étude des interactions entre "systèmes gouvernants" (ou
systèmes de contrôle) et "systèmes gouvernés" (ou systèmes
opérationnels), régis par des processus de feed-back ou rétroaction"

Les systèmes de contrôle croisés mis en place par chaque acteur (NSA, Google, Facebook, états, etc.) et l'interaction de ces différents systèmes entre eux fait qu'il est de plus en plus délicat, dans une vision globale (holistique) des systèmes eux-mêmes, de déterminer précisément quels sont les "systèmes gouvernants" et les "systèmes gouvernés". C'est aussi cette question là que pose le lanceur d'alerte Edward Snowden : est-ce la NSA qui "contrôle" – et peut accéder à – tout ou partie de la dimension opérationnelle du système Google ? Est-ce Google qui contrôle tout ou partie de la dimension opérationnelle de nos données et de nos comportements connectés ? Quel est le rôle et la place de l'état dans ce contrôle ? Dans ces 3 grands environnements systémiques que sont les agences gouvernementales de renseignement, les états, et les acteurs privés de collecte et de traitement des informations, quel acteur dispose sur les autres d'une main-mise opérationnelle ? Dans quelles proportions ? Selon quelles modalités ?

Si la thèse et les fuites révélées par Snowden sont exactes, alors il est établi que la NSA est le système gouvernant et que Google et les autres sont les gouvernés. Et nous ? Quelle est notre place dans cette systémique du contrôle, dans cette systématique de la gouvernance opérationnelle liée à l'ensemble de nos interactions connectées ?

Des causes systémiques.

<HDR> Le contrôle (politique, social), mis en branle par des agences ou des états (ou des agences au service des états), a toujours existé, y compris dans les sociétés dites démocratiques. Son actuel renforcement, son omniprésence peut être analysé de deux manières.

Primo : la cause conjoncturelle. L'augmentation du contrôle est lié à sa facilitation par les technologies utilisées au quotidien. Ben oui, c'est quand même plus facile (pour les firmes, les états, etc.) d'accéder aux données que nous déposons nous-mêmes sur tout un tas de serveurs/services que d'aller déposer des micros espions dans nos téléphones en bakélite.

Deuxio : la cause structurelle. Ce renforcement du contrôle est le pendant d'une perte de contrôle de plus en plus large des états et des grandes firmes sur un grand nombre de nos comportements sociaux. Paradoxal ? Pas vraiment. Cette perte de contrôle, ou plus exactement ce sentiment de perte de contrôle est né avec la massification du web et l'essor de l'économie du don et du partage en général. Juste quelques exemples : les gens prennent en charge l'organisation de leurs transports, de leurs loisirs, de leur consommation culturelle, etc. Ils le font de manière collaborative, parfois avec leur propre monnaie, sans intervention d'un état régulateur, ou plus exactement sans qu'une régulation de haut-niveau ne soit nécessaire ou ne puisse être mobilisée et donc informée des transactions et des échanges en cours. Ce processus, ces logiques de don et de partage ont elles-même leurs causes structurelles mais elle ne sont aujourd'hui qu'au début de leur montée en puissance. Et états et agences sont, bien au-delà de la problématique "terroriste", désespérément à la recherche d'une reconquête possible du contrôle des masses. "L'affaire NSA / Snowden" n'en est que l'un des syptômes les plus manifestes. </HDR>

Bien-veillance ?

"Don't be evil" fut pendant longtemps le motto de Google. A la question politique du contrôle s'ajoute celle, plus éthique, de la bienveillance. Dans une société au sein de laquelle l'essentiel des écosystèmes informationnels sont consubstantiellement des dispositifs de sur-veillance qui instrumentalisent à leur seul profit des logiques de sous-veillance, la question de la bienveillance dans le pilotage desdits systèmes doit être posée avec force et détermination. Il n'est plus temps de se perdre en conjectures sur la capacité desdits acteurs ou systèmes à réguler eux-mêmes l'empathie ou le respect de la vie "privée" dont ils pourraient nous donner gage.

Fb-cia
Toute confiance concédée ne vaut que crédulité. Ces écosystèmes informationnels sont déjà intelligents. L'intelligence est leur coeur. La capacité de créer littéralement des liens. Ils ont une intelligence systémique auto-renforçante, qui, pour l'immense majorité d'entre eux ne nécessite même plus d'externalités pour produire du sens, pour orienter nos vies. Sans sombrer dans le fantasme, la mythologie, le rêve ou le cauchemar du transhumanisme et autres théories de la singularité, un effet de seuil a été atteint depuis maintenant quelques années ; effet de seuil qui oblige chacun d'entre nous à faire l'effort de se voir comme ce qu'il est : un noeud dans un réseau, une entrée dans un catalogue, une métadonnée de sa propre vie.

"What was clear then, as now, is that metadata (like graph of
people/interactions) is far more valuable than content. But also far
scarier.
" Danah Boyd.

Se penser comme tels pour être capable de dépasser cette seule condition humaine réduite à la somme de nos données collectées.

<Update> Dans son dernier billet sur le sujet, Danah Boyd rappelle que son inquiétude dans cette affaire se porte d'abord sur ses amis "activistes", quelle qu'en soit la cause. Soit l'hypothèse d'un contrôle généralisé de l'ensemble de la population qui serait rendu nécessaire par et "pour" la surveillance de quelques-uns. Ce qui nous rappelle à la problématique très "documentaire" de la question de l'archivage et de l'oubli à l'heure des réseaux : il est nécessaire et plus simple de tout archiver pour pouvoir ensuite effectuer les opérations de tri nécessaires, que d'effectuer la sélection en amont de l'opération d'archivage. Une règle qui s'applique également ici : plutôt surveiller tout le monde et trier après coupables potentiels et innocents supposés que de s'escrimer à déterminer à l'avance qui surveiller et comment. A cette différence près que cette surveillance documentée est clairement anti-démocratique. </Update>

La proie pour l'ombre.

Pour ces firmes, notre nom n'est déjà qu'une variable identitaire parmi d'autres, dont il faudrait être capable de changer comme l'on change de voiture. Les objets non-numériques de notre quotidien sont à leur tour transformés ou travestis, le plus souvent de manière indécelable, en autant de capteurs et d'interfaces. Notre corps lui-même, déjà autant interface (capteurs de mouvement wii, kinect, etc.) qu'interfacé (Google Glasses), devient inexorablement le dépositaire idéal de nos mots de passe en particulier et de notre identification en général, et ce avec des procédés qui relèvent autant de l'ingénierie (puces RFID sous-cutanées) que de la chimie et de la biologie (ingestion de "pilules" libérant une clé d'identification au contact de nos sucs gastriques). Même notre psyché n'échappe pas à ces nouvelles boucles de rétroaction.

Demain les malwares (logiciels malveillants) s'attaqueront également au système bio-informatique que notre corps sera devenu.

Ne pas réfléchir dès aujourd'hui aux moyens de faire de ce "corps interface" un outil au service d'une émancipation plutôt que d'une aliénation serait pure folie.

Il aura fallu les atrocités d'une guerre et d'un génocide pour que la médecine se dote d'un code de Nuremberg. Loin de moi l'idée de marquer un point Goodwin en cloture de ce billet. Mais n'attendons pas d'être face aux premiers cataclysmes que ce contrôle omniprésent ne manquera pas d'occasionner pour réfléchir à ce qui est acceptable et à ce qui ne doit pas l'être. Un code qui offre d'étranges résonnaces à la question de la protection de nos "données" personnelles. Pour mémoire le premier article des 10 que comporte le code Nurembreg commence ainsi  :

"Le consentement volontaire du sujet humain est absolument essentiel.
Cela veut dire que la personne concernée doit avoir la capacité légale
de consentir ; qu’elle doit être placée en situation d’exercer un libre
pouvoir de choix, sans intervention de quelque élément de force, de
fraude, de contrainte, de supercherie, de duperie ou d’autres formes
sournoises de contrainte ou de coercition ; et qu’elle doit avoir une
connaissance et une compréhension suffisantes de ce que cela implique,
de façon à lui permettre de prendre une décision éclairée. Ce dernier
point demande que, avant d’accepter une décision positive par le sujet
d’expérience, il lui soit fait connaître : la nature, la durée, et le
but de l’expérience ; les méthodes et moyens par lesquels elle sera
conduite ; tous les désagréments et risques qui peuvent être
raisonnablement envisagés ; et les conséquences pour sa santé ou sa
personne, qui pourraient possiblement advenir du fait de sa
participation à l’expérience. L’obligation et la responsabilité
d’apprécier la qualité du consentement incombent à chaque personne qui
prend l’initiative de, dirige ou travaille à, l’expérience. Il s’agit
d’une obligation et d’une responsabilité personnelles qui ne peuvent pas
être déléguées impunément.
"

Je vous recommande également la lecture des 9 autres articles. Fort instructive.

Ne pas lâcher le PRISM pour l'ombre.

 

(quelques autres) Sources (que celles sous les liens) :

L'interview (text et vidéo) de Snowden

Portrait du journaliste qui a recueilli les révélations de Snowden et a déjà dévoilé de nombreux autres scandales :

Différents portraits de Snowden :


Sur le traitement de la presse et l'emballement précédant quelques retours en arrière sur la gravité et/ou la véracité des faits révélés :

Sur l'affaire en général (pour les plus pressés)

Et pour en boucher un coin aux grandes oreilles, un tableau avec 2 colonnes 🙂

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles similaires

Commencez à saisir votre recherche ci-dessus et pressez Entrée pour rechercher. ESC pour annuler.

Retour en haut