La surveillance étatique d'internet inquiète les professionnels du secteur. Pour l'expert américain en sécurité Bruce Schneier, la solution devra passer par la politique.
Expert de renommée mondiale, l’Américain Bruce Schneier se consacre depuis plus de deux décennies au cryptage des données. Ce commentateur des développements techniques et politiques de la sécurité se dit très préoccupé par la surveillance étatique et commerciale d’internet. Et s’inquiète d’une société qui, à force de tout archiver, n’oublie plus rien.
Avez-vous été surpris par l’ampleur de l’espionnage de la NSA?
Oui. Aucun élément en particulier ne m’a surpris, mais l’ampleur et la portée des capacités de la NSA sont incroyables. Ce système de surveillance est très solide sur les plans techniques, politiques et juridiques.
Le programme «Upstream» de la NSA écoute directement les câbles portant le trafic internet. Beaucoup de ces données étant cryptées, est-ce bien utile?
Elles devraient en effet être chiffrées avec le protocole SSL. Malheureusement, une grande partie ne l’est pas.
On peut montrer mathématiquement qu’un bon cryptage tel que SSL est inviolable. Comment la NSA peut-elle décoder des données chiffrées?
Ils trichent. Ils profitent de mises en œuvre inadéquates des systèmes de cryptage, de mauvais générateurs de nombres aléatoires, et de clés de chiffrement faibles ou alors ils les volent.
La NSA a-t-elle réussi à affaiblir les normes cryptographiques?
Les normes de cryptage privées comme celles des téléphones mobiles sont généralement assez faibles. Il n’y a d’ailleurs pas que la NSA: de nombreux pays espionnent les téléphones mobiles et ne veulent pas d’un cryptage fort. Les normes publiques, comme celles du National Institute of Standards and Technology (NIST), sont plus strictes. Je ne pense pas qu’il y ait eu d’affaiblissement des normes de cryptage de NIST, à part un cas portant sur un certain générateur de nombres aléatoires.
La NSA a accès à des serveurs ainsi qu’aux communications internes des plus grandes entreprises internet. Pourquoi ces données ne sont-elles pas cryptées?
Nul ne le sait. Je m’attends à ce que la plupart des entreprises du cloud informatique mettent en œuvre un cryptage fort dans leurs réseaux. Elles ont subi une énorme perte de confiance avec la compromission de leurs réseaux par la NSA. Elles doivent montrer qu’elles prennent au sérieux la sécurité de leurs utilisateurs.
Certaines méthodes, comme PGP, contournent le problème en permettant de crypter toute la communication entre les utilisateurs finaux.
PGP est trop difficile à utiliser pour la plupart des gens. Mais d’autres logiciels sont si discrets qu’on les utilise sans le savoir, comme le chiffrement SSL pour les sites dont l’URL commence par «https» ou celui des téléphones portables qui protège les appels entre l’appareil et l’antenne-relais. Rien ne les protège dans le réseau de téléphonie, mais cela est une autre histoire.
La cryptographie offre-t-elle une réelle protection de notre vie privée?
Le chiffrement fait partie de la solution, mais n’est pas suffisant. Il peut rendre l’espionnage de masse trop cher à effectuer, mais ne nous protège pas de la surveillance ciblée ou de situations où nous ne pouvons pas chiffrer nos données. Sur Facebook, par exemple, les données ne peuvent pas être chiffrées, car sinon nos amis ne pourraient pas les lire. Dans ces cas, nous avons besoin de protections juridiques autant que technologiques.
Les sociétés internet américaines s’inquiètent de perdre des clients européens pour des questions de confidentialité. Leur lobbying aura-t-il plus d’impact sur la protection des données que les efforts des ONG?
A l’heure actuelle, je pense que notre meilleur espoir de brider la surveillance gouvernementale vient de l’opposition des entreprises. Mais pour des changements sérieux, nous devons aussi nous attaquer à la surveillance que mènent elles-mêmes ces sociétés.
Vous dites que la surveillance est le modèle d’affaires sur internet. Pourquoi?
Il s’agit d’un accident dans l’histoire de la technologie. Aux débuts d’internet, il était difficile de faire payer de faibles montants pour des services tels que des recherches ou des articles de journaux individuels. Les entreprises ont adopté un modèle publicitaire, et l’accumulation des données a permis de mieux cibler la publicité. Bien que nous ayons aujourd’hui les moyens de faire payer de petits montants pour des services informatiques voyez le commerce des applis pour smartphones le marché est resté sur ce mode gratuit.
La technologie a-t-elle rendu la vie privée plus difficile à protéger?
L’informatique produit de manière naturelle des données qui peuvent compromettre la vie privée. Le stockage est devenu moins coûteux et ces informations sont collectées, corrélées et utilisées. Il est devenu très difficile de protéger notre vie privée.
Que pouvons-nous attendre des nouvelles technologies?
Elles créeront de nouvelles sources de données, comme avec Google Glass, qui enregistre des vidéos de tout et de chacun, ou encore l’internet des objets, qui capture encore davantage de données. Nous pouvons nous attendre à un renforcement considérable de la surveillance ces prochaines années.
Est-il possible de protéger notre vie privée en ligne ou faut-il en accepter la disparition?
Pour beaucoup d’entre nous, il n’est pas vraiment possible de protéger notre vie privée en ligne. La plupart des sites que nous utilisons pour stocker des informations et communiquer violent régulièrement notre confidentialité, et nous ne pouvons rien y faire à part ne pas les utiliser. Il existe des outils technologiques pouvant protéger notre vie privée dans certains cas, mais beaucoup d’entre eux nécessitent des compétences pointues. A plus long terme, la protection de la vie privée est une question de lois et de normes sociales. Il ne faut pas croire qu’il s’agit d’une notion obsolète, mais réaliser que nous devons forcer un changement politique afin de la récupérer.
La plupart des gens ne semblent pas se soucier beaucoup de confidentialité ils sont heureux de la sacrifier à la gratuité.
C’est un mythe très difficile à dissiper. Les gens se soucient profondément de leur vie privée. Certes, ils n’en parlent pas autant que des questions de santé et sont parfois délibérément manipulés par les sociétés d’internet, mais ils s’en soucient.
La confidentialité des gouvernements est également affaiblie par les fuites et les initiatives de transparence comme l’open data. Cela pourrait-il rétablir l’équilibre?
C’est une question importante, car les gouvernements restent beaucoup plus puissants que les individus. La confidentialité des individus augmente leur pouvoir c’est une bonne chose. Au contraire, la confidentialité des gouvernements accentue cette différence de pouvoir entre l’Etat et les citoyens c’est une mauvaise chose.
Est-ce que davantage de surveillance amène davantage de sécurité?
Absolument pas. Davantage de surveillance signifie simplement davantage de surveillance. Et à voir les sociétés totalitaires basées sur la haute surveillance qui jalonnent notre histoire, il ne s’agit pas d’un environnement très rassurant.
L’internet fonctionne comme une archive géante. La société n’oublie plus rien. Cela vous inquiète-t-il?
Beaucoup. De nombreuses interactions humaines se fondent sur l’oubli.
Un expert écouté
Le spécialiste en sécurité informatique Bruce Schneier a contribué à l’élaboration de nombreux protocoles de cryptage et a fondé la société Counterpane Internet Security, rachetée par British Telecom en 2006. L’Américain est fellow du Berkman Center for Internet and Society à Harvard et fait partie du conseil d’administration de l’Electronic Frontier Foundation. Ses articles sur la sécurité ont paru dans «Wired», «The Atlantic» et «The Guardian». Très critique envers la Transportation Security Administration, il est passé aux points de contrôle des aéroports avec 3 dl de liquide et une fausse carte d’embarquement.
Quand la NSA ciblait WikiLeaks et ses lecteurs
L'Agence du renseignement américaine (NSA) et son pendant britannique GCHQ "ont espionné WikiLeaks et ses lecteurs", a affirmé mardi le site de Julian Assange, citant des documents obtenus par Edward Swowden et réclamant la nomination d'un "procureur spécial" dans cette affaire. Selon l'un de ces documents, la NSA a inscrit depuis 2010 Julian Assange sur "une liste de gens qui doivent être la cible d'une chasse à l'homme, et qui comprend des membres soupçonnés d'appartenir au réseau al-Qaida", a assuré WikiLeaks dans un communiqué.
"La NSA et son partenaire britannique GCHQ ont aussi espionné WikiLeaks et ses lecteurs", a ajouté le site, citant un autre document d'Edward Snowden, ancien collaborateur de la NSA désormais réfugié en Russie. "WikiLeaks condamne fermement le comportement sans foi ni loi de l'Agence nationale de sécurité. Nous appelons l'administration Obama à nommer un procureur spécial pour enquêter sur l'étendue de l'activité criminelle de la NSA contre les médias, notamment WikiLeaks", a réagi Julian Assange dans un communiqué.
RSF indigné
WikiLeaks - site spécialisé dans la publication de documents secrets notamment sur l'armée américaine et sur des télégrammes diplomatiques américains relève que "la NSA et ses complices britanniques ne montrent aucun respect pour la règle de droit". WikiLeaks estime aussi qu'"aucune entité, y compris la NSA, ne devrait être autorisée à agir en toute impunité contre les journalistes".
Dans un communiqué, Reporters sans frontières se dit "[indigné] de l'acharnement manifeste des autorités américaines contre WikiLeaks. Des documents confidentiels publiés par Glenn Greenwald et Ryan Gallagher témoignent de l'instrumentalisation de la NSA et du GCHQ, les agences de renseignement américaines et britanniques, contre le média en ligne et son fondateur, Julian Assange. Ces documents, fournis par le lanceur d'alerte Edward Snowden, démontrent que ces deux agences ont outrepassé leur mission au profit d'intérêts politiques bafouant la liberté d'informer".
WikiLeaks indique avoir demandé à l'ancien juge espagnol Baltasar Garzon, qui assure la défense de Julian Assange et de son site, "de préparer la réponse appropriée".