Res the N Une initiative citoyenne protection vie privée 9e 9e Journées Journées l'informatique l'informatique IN2P3- IN2P3- IRFU IRFU 13-16 13-16 octobre octobre 2014 2014 Cu Cu Zurbach Zurbach LUPM
Sommaire Intern Intern un un réseau réseau en en constante constante mutation mutation dans dans sa sa technique technique son son usage usage Anonymat Anonymat vie vie privée privée à à l'ère l'ère surveilnce surveilnce électronique électronique masse masse Lanceurs Lanceurs d'alertes d'alertes leurs leurs motivations motivations leur leur impact impact La La protection protection s s données données au au niveau niveau individuel individuel panacée panacée Res Res the the N, N, un un exemple exemple d'initiative d'initiative issue issue société société civile civile Connaissance Connaissance responsabilité responsabilité 2
Intern Intern un un réseau réseau en en mutation mutation Risque saturation... Incinces du passage en V2... Quelques faits marquants Une explosion s données individuelles avec l'apparition l'intern V2, "colboratif" disposant d'accès individuels rapis (plus d'un milliard comptes Facebook aujourd'hui, 700 millions smartphones connectés, 600 millions blogs...) Des enjeux économiques déterminants aussi du point vue fonctionnel que prospectif Des enjeux dits "sécuritaires" se renforçant proportionnellement au volume données De profons évolutions induites dans les processus cognitifs, voir dans le simple rapport au réel L'apparition constante nouvelles applications liés à masse données, entraînant s évolutions sociales économiques Un développement une amélioration constante méthos outils d'extraction connaissance, sur tous les types médias supports Un réseau qui tend à se transformer en champ bataille où les enjeux sont politiques, économiques militaires. Et malgré ce, un réseau dont les techniques au sens hardware sont basées sur s évolutions majeures remontant à 20, 30, voir 40 ans... dont les infrastructures souffrent aujourd'hui du manque d'investissements publics. Une connaissance qui se perd complexité l'aspect composite du réseau s réseaux est parvenue à un point où maîtrise même l'outil va s'avérer difficile, ou réservée à une élite pas forcément toujours bien intentionnée. 3
Anonymat Anonymat vie vie privée privée Anonymat, protection créativité L'anonymat (qui peut se traduire sur le réseau en pseudonymat) perm communication, colboration avec l'assurance que votre véritable intité est protégée aussi longtemps que vous en déciz ainsi. La volonté s'exposer n'est donc pas incompatible avec celle se protéger. Le choix l'anonymat perm créativité donne un espace liberté. De fait, l'anonymat est inscrit dans loi en ce qui concerne le droit vote, personne n'imaginerait imposer une traçabilité sur vos choix électoraux Pourtant, traçabilité - l'ennemi l'anonymat - reste volontairement mal contrôlée le droit reste ici à construire, malgré quelques décisions justice alnt dans le bon sens aux Etats-Unis ou en Allemagne (ux exemples parmi d'autres). Vie privée Ce concept n'est pas figé il est variable selon les règles qui régissent pce l'individu dans les sociétés humaines. Néanmoins dans notre société, c'est un droit fondamental. "Toute personne a droit au respect sa vie privée familiale, son domicile sa correspondance" (article 8, Convention européenne s droits l'homme) Article 12 Décration universelle s droits l'homme, articles 226-1 à 226-7 du Co pénal, article 9 du Co civil, Loi Informatique Libertés 1978... Nous avons théoriquement le droit en France d'exiger d'un service struction s données nous concernant. La réalité aujourd'hui s données qui sont tracées, saisies, traitées, redistribuées sans que nous soyons à même les effacer, voir d'en être simplement informés. 4
Anonymat Anonymat vie vie privée privée "Je n'ai rien à cacher, alors où est le problème " Argument fréquemment invoqué, facilement démontable. Nous avons toujours quelque chose à conserver à l'abri n'importe quel regard un numéro carte bancaire, un problème santé, s conversations privées, s situations où l'on était pas à son avantage #;-) voir s infractions même mineures. Ce qui est autorisé ou non est à géométrie variable, évolue avec le temps les contextes sociaux, économiques politiques. L'exemple l'ai aux personnes en situation dite irrégulière en est un exemple frappant. C'est aussi prendre le problème à l'envers... C'est justement intolérable d'être surveillé parce que justement nous n'avons rien à nous reprocher! Et d'un point vue plus philosophique les attitus induites par le sentiment d'une surveilnce possible, réelle ou supposée, mènent à soumission au conformisme le plus pt, toutes choses qui empêchent une société d'évoluer. En résumé plus rien ne garantit aujourd'hui que vos données personnelles ne parviennent pas en mauvaises mains, soient mal exploitées dans s contextes forte concurrence (par exemple pour une embauche) ou que dans 10 ans les règles sociales n'aient pas changé. Autant raisons renforcer l'utilisation l'anonymat sur Intern. 5
Lanceurs Lanceurs d'alertes d'alertes leurs leurs motivations motivations leur leur impact impact Le facteur humain Mais machine finit se par gripper... Un dispositif aussi complexe faisant intervenir autant d'individus doit forcément connaître s failles. Intern étant un peu le lieu du "tout n"importe quoi" en termes publication, il ne suffit pas mtre en ligne s documents cssés confintiels impliquant s institutions étatiques ou autres pour que le réseau fasse caisse résonance. Un grand nombre barrages existent. Il est possible csser les "nceurs d'alerte" en ux catégories le phénomène Wikileaks, avec ceux qui diffusent s documents dévoint au grand jour s comportements hautement condamnables (exemple Bradley Manning qui décida rendre publiques certaines s atrocités commises par l'armée américaine en Irak), ceux qui comme Edward Snown veulent dénoncer avant tout s méthos totalement illégales surveilnce électronique masse, plus que divulguer un contenu cibnt un contexte ou une affaire en particulier. Pour ce il importe procér avec métho, en connaissant les rouages presse en sachant anticiper le comportement du réseau. Les motivations d'edward Snown sont explicitées dans l'ouvrage Glenn Greenwald "No Pce to Hi" (titre français "Nulle part où se cacher" paru aux éditions J.C Lattès) 7
Lanceurs Lanceurs d'alertes d'alertes leurs leurs motivations motivations leur leur impact impact Des révétions qui créent le choc Les révétions d'edward Snown, rendues publiques à partir du 6 juin 2013, commencent avec un important volume documents (d'abord estimé entre 15 20 000, chiffre ensuite constamment réévalué à hausse pour atteindre 1,7 million en décembre 2013). Ces documents sont transmis par Edward Snown à ux journalistes, Glenn Greenwald Laura Poitras, progressivement à travers plusieurs titres presse. Ils concernent surveilnce mondiale d'intern, mais aussi s téléphones portables autres moyens communications comme les lignes intercontinentales où transitent l'essentiel s communications mondiales... principalement par National Security Agency américaine (NSA). Ils dénoncent une étroite colboration entre NSA les principales entreprises du Web (Google, Yahoo, YouTube, Skype...) par l'intermédiaire du programme Prism ou US-984XN. Et France n'est pas en reste Le Mon est en mesure révéler que Direction générale sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français l'étranger totalité nos communications sont espionnées. L'ensemble s mails, s SMS, s relevés d'appels téléphoniques, s accès à Facebook, Twitter, sont ensuite stockés pendant s années. " Révétions sur le Big Brother français 4 juill 2013 De plus, tout un arsenal légistif a été voté ces rnières années pour tenter d'étendre légaliser les pratiques s services français du renseignement. 8
La La protection protection s s données données au au niveau niveau individuel individuel panacée panacée Gérer au mieux soi-même confintialité s données Sans attendre solutions collectives à gran échelle, il est possible traiter à son niveau le problème protection s données en faisant le choix au cas par cas d'exploiter une solution cryptage s'appuyant par exemple sur s algorithmes à clefs asymétriques. Le principe s algorithmes cryptographiques à clefs asymétrique repose sur ux clefs. L'une privée (Ks), qui sera l'information secrète. L'autre publique (Kp), que l'on distribue à tout le mon. L'algorithme cryptage est f(m,k)=m' avec K une clef, m un message m' le message crypté." Linux-France.org Autant parler d'une solution éprouvée PGP ou Prty Good Privacy - puisqu'il s'agit celle adoptée par Edward Snown lui-même pour sécuriser ses communications avec les journalistes Glenn Greenwald Laura Poitras. PGP GPG PGP est un logiciel cryptage remontant à 1991 développé par Phil R. Zimmerman puis très rgement distribué sur le réseau. La loi américaine interdisant l'exportation logiciels cryptographiques, ce lui valut une enquête criminelle gouvernementale trois ans. PGP est aujourd'hui distribué par Symantec, en version payante. Ce logiciel est basé sur un cryptage à base clefs asymétriques type RSA, algorithme mis au point en 1977 dont le brev (MIT) a expiré en septembre 2000. GnuPG ou GNU Privacy Guard est une implémentation complète libre droits PGP. GnuPG est une application référencée RFC2440 (OpenPGP), il est compatible avec PGP. Il faut noter que le proj a été soutenu dès 2000 par le gouvernement fédéral allemand. Pour exemple, Ubuntu livre base une version gnupg2, avec différents interfaces graphiques gestion (attention 2 correctifs pour les versions 10.04. 12.04) différents plugins. 10
Res Res the the N N Un exemple d'initiative plus collective issue "société civile" http//resthen.tumblr.com Nous avons technologie nécessaire, l'adoption du cryptage est première étape efficace que tout le mon peut prendre pour mtre fin à surveilnce masse. C'est pourquoi je suis très heureux l'initiative Res the N - qui marquera le moment où nous transformons l'expression politique en actions concrètes, où nous nous protégeons sur une gran échelle. [...] Joignez-vous à nous le 5 juin, ne sollicitez pas pour votre vie privée. Prenez- en main" Edward Snowsn Bien qu'il soit difficile mesurer l'ampleur réelle ce mouvement, plusieurs centaines d'organisations d'associations (essentiellement du mon anglo-saxon) s'y sont associées, en s'engageant à utiliser à promouvoir The Privacy Pack Le Res the N privacy pack est une sélection logiciels conseils adaptés pour les ordinateurs cssiques, les téléphones les tabltes que quiconque peut utiliser. L'objectif est d'offrir ces solutions à tous, ainsi que s outils en bonus s instructions pour les utilisateurs plus avertis. Une fois ces outils généralisés, il vrait être facile pour tout un chacun partager avec les interlocuteurs son choix les données vie privée. Les outils recommandés pour iphone, Android, Mac, Windows GNU/Linux, le tout sous forme logiciels libres Adium Pidgin pour communications sur Gtalk, Facebook, Yahoo, MSN, XMPP/Duck Duck Go d'autres, - TextSecure RedPhone pour Android iphone, pour les SMS les appels vocaux privés - HTTPS Everywhere pour les navigateurs - GPGtools Enigmail en bonus pour les utilisateurs plus techniques) Tor (Onion Routing Project) en bonus pour les utilisateurs plus avancés ou ceux ayant s besoins d'anonymat. 11
Conclusion Conclusion réinvestir réinvestir ses ses connaissances connaissances sur sur Toile Toile Une capacité à comprendre donc à maîtriser l'intern qui risque s'affaiblir La complexité atteinte par le réseau aujourd'hui (protocoles communication plus en plus composites, multiplication s recommandations standards, hétérogénéité s systèmes raccordés s applications déployées...) rend plus en plus difficile maîtrise tout le dispositif. Les ingénieurs techniciens disposant cte connaissance ne vraient-ils pas tous réinvestir partager leurs connaissances sur Toile au profit tous les utilisateurs L'anonymat absolu n'existe pas Nous sommes bien pcés pour savoir qu'il n'est pas d'anonymat absolu sur le réseau, que d'une façon ou d'une autre tout est "traçable". Mais les barrages que nous pouvons mtre en pce pour protéger confintialité s données vraient rendre impossible une surveilnce masse qui nécessiterait alors s ressources calcul inimaginables... Comment choisir ses armes Les outils protection mis en pce doivent être communs au maximum d'utilisateurs (se fondre dans masse), basés sur s solutions libres ou open source (garantie qualité, sans but lucratif). 12