Jérémie Zimmermann : « La surveillance est massive et généralisée »
Geek version radicale, Jérémie Zimmermann est l’un des meilleurs connaisseurs des techniques d’espionnage électronique… et des moyens d’y parer.
Toutes nos communications sont-elles aujourd’hui surveillées ?
Jérémie Zimmermann : Difficile de répondre à une telle question, car les programmes de surveillance sont bien sûr confidentiels. Les révélations d’Edward Snowden montrent pourtant trois choses. Primo, la surveillance est massive et généralisée. Vous devez avoir en tête le chiffre de 97 milliards d’éléments d’information collectés en mars 2013 dans le cadre de Prism, qui n’est qu’un des programmes de la NSA. Secundo, cette politique de surveillance est entourée d’une épaisse carapace de secret, puisque les responsables de la NSA sont allés jusqu’à mentir aux sénateurs américains sur la portée réelle de leurs actions. D’ailleurs, quand on voit la taille du datacenter géant que la NSA vient de construire dans l’Utah, qui fait un million de mètres carrés, soit cinq fois le Capitole, armé d’un superordinateur capable de traiter des yottabits de données (soit environ mille milliards de fois plus que le plus vaste des disques durs disponibles dans le commerce), on se dit qu’il y aura, dans ces bâtiments, assez de place pour stocker toutes les communications du monde pendant de nombreuses années… Et on sait déjà qu’en 2006, la NSA a enregistré toutes les communications internationales, entrantes et sortantes, de AT&T, le plus gros opérateur téléphonique américain. Tertio, les révélations de Snowden montrent que nous ne pouvons pas faire confiance aux géants du Web – Google, Facebook, Apple, etc. – pour protéger notre vie privée, car ils participent activement à la surveillance massive.
Cette surveillance est-elle légale ?
Le cadre légal est fourni par le Foreign Intelligence and Surveillance Act (FISA) de 1978. Dans la foulée du 11-Septembre et de la guerre contre le terrorisme, un certain nombre d’amendements au FISA ont été votés, qui ont élargi les pouvoirs des agences de renseignement américaines. Aujourd’hui, elles peuvent intercepter et stocker les communications et les données de tous les citoyens américains, mais ne peuvent utiliser ce matériel qu’à la demande d’un juge. C’est-à-dire qu’on absorbe les données mais sans les exploiter, du moins dans un premier temps – il s’agit d’une mesure prudentielle. Cependant, cette protection ne concerne pas les gens qui auraient la mauvaise idée de ne pas être des citoyens américains. Lisez le paragraphe 1881a de l’amendement de 2008 au FISA : il y est écrit, noir sur blanc, que les services du renseignement américain n’ont rien à demander à qui que ce soit s’ils veulent exploiter les données des Non-Américains. Et si ces données transitent par le territoire américain, ou y sont stockées (via Facebook, Google…), elles sont accessibles. Il y a là quelque chose comme de l’impérialisme numérique.
Et tout ceci se fait via nos smartphones ?
Oui, mais permettez-moi de faire aussitôt une remarque sémantique : finissons-en avec cet affreux terme de novlangue, « smartphone ». Cet objet n’est que très accessoirement un téléphone, et il n’est certainement pas intelligent. Il s’agit en réalité d’un ordinateur de poche, équipé d’une puce permettant, entre autres, la communication audio. Je préfère pour mon compte parler d’« ordinateur mobile ».
Qu’est-ce que ça change ?
Il faut comprendre que nous sommes en train d’assister à l’apparition et à la diffusion massive d’une technologie antisociale et anticitoyenne ! Jusque-là, les ordinateurs étaient des machines plutôt sympathiques. Les PC qui sont devenus accessibles au grand public dans les années 1980 étaient entièrement compréhensibles et programmables par leurs utilisateurs. Ce n’est pas le cas des nouveaux ordinateurs mobiles, qui sont conçus de façon à interdire à l’usager l’accès à un certain nombre de fonctionnalités et de choix. Le problème majeur, c’est la puce dite baseband qui se trouve au cœur de l’appareil. Toutes vos communications avec l’extérieur – conversations téléphoniques, SMS, mails, données – transitent par cette puce. De plus en plus, ces puces baseband sont fondues à l’intérieur même du microprocesseur ; elles font corps avec la puce principale de l’ordinateur mobile. Or, les spécifications d’aucune de ces puces ne sont disponibles, si bien qu’on ne peut savoir ce qu’elles font ni les contrôler. À l’inverse, il est potentiellement possible au fabricant ou à l’opérateur d’avoir accès via ces puces à votre ordinateur.
N’y a-t-il pas ici et là des petits génies de l’informatique qui ont repris le pouvoir sur leur ordinateur de poche ?
Un petit génie ne suffit pas ! Pour parvenir à « cracker » ces puces baseband, il faudrait employer des moyens industriels, qui ne sont à la portée que du crime organisé russe, et encore… Il faudrait découper la puce au laser, puis en relever le plan… C’est un travail titanesque, et aucun geek [passionné d’informatique] n’a jamais pu en venir à bout.
«Il serait temps que les eurodéputés s’activent à défendre les citoyens sur la question des données personnelles»
Jérémie Zimmermann
Vraiment ?
Bon, il y a tout de même une exception : les spécifications de la puce Calypso ont fuité, et certains s’en servent pour élaborer des logiciels libres sur ce support. Seul problème : elle a été retirée du marché. Vous savez, il y a là derrière un enjeu de politique industrielle, mais aussi de géostratégie et de souveraineté. La plupart des puces baseband sont fabriquées en Chine, notamment par l’entreprise ZTE. Les ingénieurs des grandes compagnies américaines, type Qualcomm, envoient les plans de la puce qu’ils veulent faire fabriquer, et les Chinois leur en livrent des millions de pièces. Rien n’empêche de penser que le constructeur, dans cette affaire, introduit parfois, à l’insu du commanditaire, des « portes » dans ces puces, lui permettant à lui aussi de récupérer les données.
Avons-nous le moyen de nous protéger ?
Il y a deux types de protections à envisager, et nous savons que l’une est inefficace sans l’autre. D’un côté, il y a l’instrument politique, la protection légale, et il serait temps que les eurodéputés se penchent sérieusement sur la question des données personnelles et légifèrent. Mais il est aussi nécessaire de mettre en place des solutions technologiques.
Vous-même, par exemple, comment vous protégez-vous ?
Règle d’or : laisser son ordinateur mobile chez soi quand on a un rendez-vous important, car il peut permettre de vous écouter à distance, même quand il semble inactif. Si ce rendez-vous est vraiment confidentiel, on peut le fixer à l’aide d’un code établi lors d’une conversation de visu. Par exemple, quand vous dites midi, cela signifie dix-sept heures, et quand vous dites Café de la Renaissance, cela signifie le Sélect. Ce type de code humain, qui ne passe pas par le calcul, ne peut être cassé par des machines – la bonne vieille méthode reste donc la meilleure.
Et quand on n’a pas de rendez-vous important ?
Pour ma part, j’ai recours à une solution technologique qui permet d’utiliser en quelque sorte Android [système d’exploitation sur téléphone mobile édité par Google, à l’instar de Windows Phone ou d’iOS] sans communication avec Google. Mise à part la puce baseband, qui demeure une boîte noire inviolable, il est possible de « rooter » [modifier les éléments de base] les systèmes d’exploitation des ordinateurs mobiles, afin d’en reprendre le contrôle. De là, vous pouvez installer une alternative au système d’exploitation initial, c’est-à-dire une version recompilée d’Android, qui va, par exemple, ne pas contenir les outils qui se connectent à Google. La version modifiée du système d’exploitation que j’utilise est CyanogenMod ; il en existe une autre.
Vous avez le droit d’apporter ces modifications à votre engin ?
Je l’espère bien, puisque j’ai acheté cet ordinateur ! Le jour où je n’aurai plus le droit d’installer ce que je veux sur mon ordinateur, on aura de gros problèmes. Mais ils y viennent… Cependant, je vais achever cette petite leçon de travaux pratiques. Une fois que j’ai « rooté » mon système d’exploitation, je dois utiliser une alternative à Market, la plateforme de Google qui permet d’acheter ou de télécharger gratuitement des logiciels. Cette alternative existe et s’appelle F-Droid, qui offre des logiciels libres. En me connectant à F-Droid, je peux donc me recréer un environnement qui se passe des outils Google. Ensuite, il est essentiel d’utiliser uniquement des services décentralisés, plutôt que les Google ou les Facebook. C’est pourquoi j’utilise des moteurs de recherche comme seeks-project.info ou duckduckgo.com. Enfin, j’ai recours à divers logiciels de chiffrements de mes communications : Text Secure est un très bon logiciel libre capable de chiffrer ses SMS ; le protocole ZRTP chiffre ses communications audio ; et il existe un système APG, qui permet d’utiliser GPG, pour chiffrer les mails… Vous excuserez, au passage, une telle accumulation d’acronymes barbares. Tout ce que je décris là était considéré comme des armes de guerre il y a seulement vingt ans !
Mais vous pensez vraiment que le grand public va s’y mettre ?
Cela nécessite un peu d’efforts de la part des utilisateurs. Cependant, regardez les choses en face : si vous n’utilisez aucun logiciel de chiffrage, tout se passe comme si vous communiquiez par cartes postales ! Par ailleurs, on pourrait imaginer que les services publics s’en mêlent. En France, après tout, nous avons une institution comme l’Agence nationale pour la sécurité des systèmes d’information (Anssi), qui pourrait prouver son utilité en offrant gratuitement aux citoyens des packages de logiciels libres d'outils simples à installer, permettant de protéger leurs données. Après tout, le monde a évolué, et la notion de service public devrait changer aussi. Il est temps de commencer à envisager une offre de logiciels publics.
Expresso : les parcours interactifs
Voilà, c'est fini...
Sur le même sujet
Les élèves rêvent-ils de professeurs électroniques ?
Dans cette tribune, un collectif de professeurs de philosophie de l’académie d’Aix-Marseille réunis en assemblée générale le 24 juin 2021 explique…
Jérémie Moualek : “Les votes blancs et nuls sont des votes comme les autres”
Partiellement reconnue par la loi en 2014, pour ce qui est du décompte à part du vote blanc, la pratique du vote blanc et nul a de nouveau atteint…
Google Island: l’utopie contemporaine
Larry Page, cofondateur et président des produits de Google, a annoncé mercredi 15 mai vouloir créer son propre pays. Il y instaurerait ses…
La liberté
La liberté est d’abord une notion métaphysique : l’homme est-il libre ou déterminé par des contraintes qu’il ne maîtrise pas ? S’il est la cause première de ses choix, on dit qu’il possède un libre arbitre. Mais un tel pouvoir est…
La Cnil sanctionne Google pour non respect du droit à l’oubli
Contre Google, la commission nationale de l’informatique et des libertés demande l’application du droit de déréférencement à l’ensemble des…
Google fête Nietzsche
Google, le géant d’Internet célèbre avec «un doodle» la naissance de Friedrich Nietzsche né 169 ans auparavant, un même 15 octobre. Un juste…
Le cristal temporel, de Deleuze à Google
Google a récemment annoncé avoir réussi à créer un « cristal temporel », système physique répétant incessamment la même série de…
Proctorio, le pion sans visage
Ce logiciel de surveillance d’examens à distance a été acquis par plusieurs grandes universités américaines. Mais son inflexibilité toute…