Y'a comme quelque chose de pourri au royaume du numérique ... Il est devenu anodin de souligner que nos sociétés se structurent de plus en plus autour des nouvelles technologies informatiques et numériques. Ceci implique de grandes transformations dans l'organisation sociale, avec des conséquences qui pourraient bien se révéler désastreuses. Depuis le 11 septembre semble se développer en France une sorte de paranoïa généralisée vis-à-vis d'Internet. Le discours voyant en Internet une sorte de média dangereux devant être contrôlé à tout prix semble avoir gagné peu à peu les institutions françaises. Ainsi, il semble regner une sorte de consensus sur le fait de voir Internet comme quelque chose de nuisible, et qui donc doit être encadré strictement, mis en cage et contrôlé de manière stricte et complète. Ainsi, plusieurs législations récentes sont venues successivement durcir de plus en plus l'arsenal législatif disponible pour prendre des décisions traitant du Net. Entre la LSQ (Loi sur la Sécurité Quotidienne), la LSI (Loi sur la Sécurité Intérieure) et la LEN (Loi sur l'Economie Numérique), c'est à chaque fois un ensemble de moyens de contrôle subtils et puissants qu'a ajouté l'Etat à son sac. Ainsi, la LEN n'a fait que confirmer la responsabilité des hébergeurs sur le contenu qu'ils hébergent, responsabilité qui avait été envisagée de plus en plus sérieusement. Ainsi, les hébergeurs sont aussi tenus de conserver des traces assez complètes de l'activité de leurs clients. On voit donc qu'existe une volonté de traçabilité aussi large que possible des actes de tout un chacun sur Internet. On pourrait arguer qu'une telle traçabilité permet une diminution des actes de criminalité numérique, mais ce serait ignorer un fait majeur: dans l'état actuel des choses, la traçabilité possible sur Internet est largement suffisante pour retrouver les auteurs d'un piratage, par exemple, et ce ne sont pas les nombreux criminels informatiques jugés chaque année qui me contrediront. Et même si elle ne l'était pas , dans quelle mesure est-il bon de sacrifier des libertés (car le fait de pouvoir naviguer librement sur Internet sans être surveillé de toutes parts constiue bien une liberté) pour gagner un peu de sécurité ? D'autant plus que la menace ne s'exerce que sur la sécurité des marchands en ligne (en effet, les attaques informatiques sont généralement dirigées contre les entreprises, l'interêt d'attaquer un particulier étant très faible), qui auraient largement les moyens de se doter d'une sécurité suffisante, et ainsi d'éviter quasiment tous les piratages. Il existe des moyens très simples d'améliorer la sécurité de tout le monde sur Internet (comme par exemple la sensibilisation des particuliers comme des entreprises à l'importance de la sécurité sur le Réseau, il suffirait de populariser quelques gestes simples pour résoudre énormément de problèmes), pourquoi ne pas les utiliser plutôt que de tout de suite se précipiter sur des méthodes liberticides ? On pourra peut-être trouver une explication à ceci si on sort du cadre strict d'Internet pour adopter une vision plus globale de la situation des techologies de l'information. En effet, on assiste actuellement au développement d'un panel large de technologies de surveillance et de gestion des droits. Ainsi, le large consensus industriel régnant autour de TCPA est évident. TCPA est une norme qui a pour objectif de fournir en hardware (et donc d'intégrer aux plateformes matérielles) des possibilités de cryptage, d'authentification et de signature digitale. Ceci permettra de faciliter la création d'une informatique dite "de confiance", et donc de permettre notamment de faciliter la protection numérique des droits. La finalité est donc clairement de permettre de limiter la diffusion de l'information aux seuls ayant-droits, et ainsi de permettre le développement d'un commerce numérique qui serait à l'image du commerce traditionnel, c'est à dire basé sur la rareté et l'impossibilité de la diffusion (vous ne pouvez pas distribuer une chaise à quelqu'un sans la perdre vous même, contrairement à un fichier sur Internet). Ceci permet d'éviter aux marchands d'avoir à adopter une nouvelle approche pour le commerce électronique, celui-ci pouvant continuer à fonctionner comme le commerce traditionnel. Donc, les diverses lois (LSI, LSQ, LEN en France mais aussi DMCA aux USA) et les technologies comme TCPA se rejoignent en un point: elles ont pour objectif de satisfaire les entreprises désireuses de faire du commerce sur Internet à moindre coût. Quitte à limiter ainsi la liberté des utilisateurs, et à nier le caractère spécifique d'Internet par rapport aux autres médias. En effet, Internet depuis son commencement fonctionne sur le principe de la libre diffusion de l'information, de la rapide circulation des données, et c'est d'ailleurs avec cet objectif qu'il s'est développé. Les techologies comme TCPA visent clairement à atténuer cet état de fait, qui est gênant pour développer le commerce en digital, étant donné qu'il est impossible de vendre une information, un fichier, un contenu quelconque s'il est possible qu'il soit reproduit n'importe quand par n'importe qui. Il est actuellement recherché, notamment sous l'impulsion et l'exemple du mouvement du logiciel libre, d'autres méthodes pour développer du commerce digital, des méthodes qui ne seraient pas celles du commerce traditionnel. Mais ces méthodes ne permettront sûrement pas de gagner autant d'argent que la technique commerciale "normale" et demanderont certainement beaucoup d'investissements et d'erreurs avant d'arriver à maturité. Elles sont donc moins intéressantes pour des entreprises en quête de profit rapide. Ainsi, les législations récentes et TCPA convergent de manière assez évidente. Les lois type LSQ permettent aux entreprises de bénéficier d'une sécurité, sans qu'elles aient à investir et à se préoccuper du problème spécifique que pose normalement la sécurité sur Internet, et les technologies type TCPA vont permettre aux entreprises de développer le commerce digital, sans avoir à s'interroger en profondeur sur les spécifités d'Internet, et donc sans investir ni se préoccuper du problème spécifique que pose normalement le commerce sur Internet. La raison souvent invoquée pour justifier TCPA est de permettre une augmentation de la sécurité sur Internet. Or, dans l'état actuel des choses, les problèmes de sécurité sur le Net sont liés aux bugs dans les logiciels ou à des politiques de sécurité inadéquates et/ou insuffisantes. TCPA ne changera rien à tout cela, et donc n'améliorera pas grandement la sécurité sur le net, que ce soit pour les particuliers ou pour les entreprises. TCPA ne sert donc bien vraisemblablement qu'aux technologies de gestion des droits numériques. Ainsi, comme leurs motivations, les conséquences de ces lois et de TCPA convergent: tous les deux vont déboucher sur une limitation des libertés des utilisateurs d'internet. Les lois liberticides vont empêcher les utilisateurs d'Internet de naviguer sans être surveillés, et aussi les empêcher d'accéder à certains contenus, par l'intermédiaire de la censure, quand TCPA va empêcher les utilisateurs de mettre en place des systèmes de partage. Là encore, pour comprendre, nous allons gagner à élargir notre analyse et à mettre tout ce que nous venons de dire en relation avec les pratiques de fichage et de surveillance qui se développent actuellement dans le monde réel, pour obtenir une vision globale plus précise. En effet, dans le même cadre légal de la LSI et la LSQ, un ensemble intéressant de mesures viennent d'être prises concernant les fichiers utilisés par les diverses adminisrations françaises. Légalisant des pratiques courantes depuis déjà fort longtemps, elles permettent une interconnection de plus en plus poussée des différents fichiers dont disposent à la fois la police, la gendarmerie, les différentes caisses de la sécurité sociale, les administrations locales, ... Ainsi, c'est tout un système de vastes fichiers plus ou moins interconnectés entre eux qui est en train de se créer, permettant une caractérisation presque exhaustive de chaque habitant de France. Si l'on y ajoute les nombreux fichiers possédés par les renseignements généraux, on obtient une masse énorme d'informations disponibles sur chaque personne vivant sur le territoire français. Et cette masse ne fait qu'augmenter. Entre l'introduction du relevé d'empreintes digitales pour obtenir une carte d'identité et la création d'un fichier génétique par la police nationale, on voit que les moyens de fichage disponibles pour l'Etat augmentent de plus en plus. Mais l'Etat n'est pas le seul à vouloir augmenter ses capacités de fichage. En France se déroule actuellement l'introduction de l'arlésienne (attendue depuis longtemps) "Moneo", c'est à dire un portefeuille électronique, remplaçant la monnaie, et donc étant utilisable pour des sommes inférieures au seuil autorisé pour la carte bancaire. Les raisons invoquées pour cette introduction sont bien évidemment louables: il s'agit de soulager le consommateur du souci permanent de sa monnaie, facile à perdre, facile à voler, mais aussi d'alléger le traitement humain nécessaire pour les commerçants et les banquiers, et donc de permettre d'automatiser encore plus la chaîne de paiement. Tout ceci permettra des économies pour les banques, ainsi que la résolution (théoriquement tout du moins, si la sécurité des cartes Monéo est correctement conçue, ce qui, compte-tenu des failles diverses des cartes bancaires, semble loin d'être évident) des problèmes de fausses monnaies. Mais un effet de bord intéressant (et les banques sont assez peu loquaces là-dessus) de Monéo combiné à la carte bancaire va être la possibilité de traçabilité complète de tous les actes du consommateur, depuis l'achat du paquet de chewing-gums jusqu'à l'acquisition de son dernier meuble chez Ikea. Car on peut imaginer qu'à la manière du carnet de chèque que les banques sont en train de pousser vers la sortie maintenant que les cartes bancaires sont très bien implantées, la monnaie traditionelle sous forme papier va disparaître dès lors que les technologies types Monéo seront suffisement diffusées. Donc, d'ici quelques années, il paraît réaliste d'imaginer que les paiements se feront par carte bancaire, par Monéo et par des versements directs de compte à compte, et donc que la tracabilité totale de toutes les opérations monétaires sera effective. Ceci permettra ainsi de connaître les habitudes consommatrices et donc les habitudes de vie de tout un chacun, et par conséquent de constituer de formidables fichiers de profils commerciaux, qui pourront être vendus aux entreprises désireuses de faire du marketing ciblé. C'est ce qui se produit actuellement sur Internet avec la vente par à peu près tous les fournisseurs de services des fameux fichiers clients contenant adresses e-mails, coordonnées et autres informations plutôt intéressantes pour les démarcheurs en tout genre. Entre l'Etat et les entreprises, c'est donc le moindre pan de notre vie qui risque de se retrouver cartographié, analysé et recoupé pour le meilleur (bien qu'on ne voit pas bien lequel) mais surtout pour le pire. On voit que les techniques de surveillance et de contrôle de l'information qui se développent sur Internet sont directement reliées à celles qui se développent dans le monde réel. On voit que se développe actuellement sur Internet mais aussi dans la vie "réelle" un ensemble de techniques de surveillance, de fichage, et une accumulation de fichiers en toute sorte, de plus en plus précis dans leurs informations et de plus en plus larges quant à la population fichée. Tout ceci se fait à la fois pour des raisons économiques évidentes, afin de permettre à beaucoup d'entreprises d'augmenter leurs profits, mais aussi pour des raisons politiques dans ce climat de délire sécuritaire. De la même manière que dans les quartiers dits "difficiles", il s'agit de remettre en place un ordre de façade, même si les problèmes demeurent. Il est inquiétant d'imaginer que tout cela puisse déboucher sur une société future complétement vérouillée et surveillée, sans plus qu'aucun interstice de liberté subsiste. Cela peut peut-être passer pour de la science fiction, mais, après réflexion, cela semble malheureusement trop proche, et cela arrive trop rapidement. Car à travers les signes que je viens d'énoncer, mais aussi à travers d'autres (comme la montée en puissance du lobby militaro-industriel dans le monde ou comme l'explosion des dépenses liées à la sécurité, type milices privées ou caméras de surveillance, dans les pays occidenteux) on assiste peut-être à une orientation de plus en plus sécuritaire de nos sociétés, et en cela la technologie peut permettre malheureusement d'arriver à un stade de contrôle social bien supérieur à ce qui pouvait se faire par le passé. Alors que faire ? En tant qu'informaticiens/geeks, nous avons une place privilégiée dans cette orientation que semble prendre le monde: nous avons la maîtrise de l'outil technologique sur lequel se construisent de plus en plus nos sociétés. Nous pouvons donc directement influer sur les directions futures. A ce titre, le mouvement du logiciel libre peut être un espoir fort, par sa puissance et sa persistance dans le temps et par les idées de diffusion des informations et des connaissances qu'il transmet. Et ce mouvement peut servir de base à une lutte contre la société de surveillance qui se prépare. Le logiciel libre peut permettre de populariser l'accès aux nouvelles technologies (puisque le coût financier est bien moindre en passant par du logiciel libre) et aussi d'inciter chaque personne à reconsidérer son rapport à la technologie, à reprendre en main son ordinateur, à le maîtriser, et ainsi à comprendre et à échapper à certaines menaces dans le monde du numérique. C'est par la diffusion des compétences informatiques que l'on pourra peut-être renverser la vapeur, étant donné que le rouleau compresseur actuel avance essentiellement grâce à l'ignorance de la majorité dans ce domaine. A la fois dans le monde réel et dans le monde numérique c'est par la diffusion des connaissances, des informations et des idées que la bigbrotherisation de nos sociétés pourra peut-être être évitée. Quelques liens utiles: - http://www.lsijolie.net : sur la LSI - http://www.lebars.org/sec/tcpa-faq.fr.html : informations sur TCPA et sur Palladium, l'extension de TCPA prévue par Microsoft - http://www.vie-privee.org : la Fédaration Informatique et Libertés regroupant de nombreuses organisations - http://www.cnt-f.org/sii : la section informatique du syndicat CNT. contient de nombreux liens intéressants, des analyses généralement pertinentes et des conseils intéressants sur la sécurisation facile des ordinateurs individuels - http://print.squat.net : collectif de joyeux geeks ayant des idées plus ou moins marquées politiquement - http://security.tao.ca : site de news et d'analyse sur la sécurité informatique