La plus grande confusion semble régner autour de la dérive « sécuritaire » orchestrée par maintenant deux gouvernements évidemment suspects de phobie d'Internet. Nous nous étions inquiétés dans cette chronique (à plusieurs reprises) des effets de cette dérive sur la libre circulation des idées sur le Net, mais, sujet tout aussi préoccupant à notre sens, sur la mise en place insidieuse des dispositifs privés de « Nouvelle surveillance ».
Le 10 juin dernier, le Conseil constitutionnel a censuré le texte de la loi Hadopi, lui ôtant sa partie portant sur les sanctions, que le gouvernement, piqué au vif, a choisi en urgence de reformuler. C'est ce nouveau texte qui crée aujourd'hui la polémique. Selon La Tribune, le Conseil d'Etat y aurait détecté de nouveaux risques d'inconstitutionnalité, faisant peser le risque d'une nouvelle censure par le Conseil constitutionnel.
Le texte original de la loi Hadopi, directement inspiré du rapport Olivennes, présentait notamment la procédure dite de « riposte graduée » — déjà abondamment critiquée par la Commission européenne à l'automne 2008 — qui, de toute évidence, a coûté son maroquin à Mme Albanel. (Quel splendide isolement du Conseil régional de l'Île de France et de la Mairie de Paris ces vingt dernières années, pour que l'ancienne nègre de Jacques Chirac déclare avec une charmante naïveté : « Internet, c'est compliqué, c'est tout nouveau » ?) Le principal reproche de la Commission portait sur le fait qu'une autorité administrative, et non judiciaire, puisse être à l'origine de ces poursuites contre les internautes.
Le projet initial du rapport Olivennes prévoyait également qu'un spyware, dûment estampillé « sécurité nationale » fut installé sur les machines des internautes pour en collecter les informations de trafic et de flux. Illustration parfaite de la Nouvelle surveillance : il était alors envisagé de sous-traiter ce logiciel à AdVestigo, l'une des startup essaimées de l'INRIA — d'ailleurs quelle preuve plus irréfutable d'objectivité dans cette conjonction favorable de l'excellence académique et universitaire française (que le monde entier nous envie, doit-on le rappeler ?) avec les liens anciens et tenaces au complexe militaro-industriel hexagonal ? En mars dernier, Hologram Industries, coté au Nouveau marché — maintenant Eurolist C — depuis 1998, annonçait le rachat de AdVestigo pour 4,5M Euros en numéraire.
C'est le même principe de spyware que celui retenu par l'administration chinoise pour « Green Dam Youth Escort » dont une directive du Ministère de l'industrie et des technologies de l'information exigeait qu'à partir du 1er juillet 2009 il fut installé sur tous les PC vendus en Chine, y compris ceux importés de l'étranger. (Notons que l'utilisateur n'était pas dans l'obligation de faire tourner le logiciel espion, mais de l'avoir installé, ou reçu pré-installé sur sa machine.) La justification — légitime — évoquée par le gouvernement chinois est la protection de la jeunesse et le contrôle parental ; l'inquiétude évidemment soulevée par le public, les éditeurs de logiciels et les constructeurs devant la matérialisation possible d'une censure bien plus radicale d'Internet a pour l'instant eu raison de l'initiative que le gouvernement chinois a retiré la veille de son entrée en vigueur — mais pour la remettre sine die.
On ne sait pas encore si ce retrait est définitif, la conviction que Green Dam pouvait présenter un danger technique ayant prévalu ou bien qu'il ne se soit agi, au final, que d'un coup d'essai destiné à jauger les réactions à une gouvernance plus explicitement totalitaire d'Internet en Chine. Dans « Réformons notre étude », en mai 1941, Mao déclarait : « Nous devons procéder à des enquêtes et des recherches systématiques et minutieuses sur la réalité environnante en appliquant la théorie et la méthode marxiste-léninistes. Dans notre travail ne nous fions pas à notre seul enthousiasme, mais agissons en unissant l'élan révolutionnaire et le sens pratique comme le dit Staline ».
En France, Green Dam s'appellerait plutôt LOPPSI 2. LOPPSI 2 contient une série de dispositions qui concernent aussi bien la vidéo-surveillance que la lutte contre l’insécurité routière, la protection des agents de renseignement ou encore la réforme de la compétence du préfet de police de Paris. Pour ce qui concerne la lutte contre la cybercriminalité (chapitre II), l’objectif de LOPPSI est de bloquer le contenu des sites pédo-pornographique. Le filtrage des sites sera mis en place par les fournisseurs d’accès à Internet sur la base de listes noires de sites interdits communiquées sous la forme d’un arrêté du ministère de l’Intérieur. La loi ne précise ni les modalités d’élaboration de la liste (administration, autorité indépendante, cabinet du ministre ?), ni les éventuelles possibilités de recours pour un site qui serait bloqué injustement. Les mêmes inquiétudes que celles soulevées par Green Dam devraient certainement agiter le public, les éditeurs de logiciels et les fournisseurs d'accès.
Le deuxième volet de la loi concerne le renforcement de la lutte contre la criminalité (chapitre V) en permettant la surveillance à distance des ordinateurs. L’objectif de cette mesure est de permettre la captation des données informatiques à distance. Concrètement, cela va permettre aux enquêteurs de capter en temps réel les données informatiques telles qu’elles s’affichent à l’écran d’un ordinateur ou telles qu’elles sont contenues dans le disque dur. Cette surveillance pourra s’effectuer à distance, à l’aide d’un logiciel mouchard. (« Art. 706-102-1. Lorsque les nécessités de l'information concernant un crime ou un délit entrant dans le champ d'application de l'article 706-73 l'exigent, le juge d'instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères. Ces opérations sont effectuées sous l'autorité et le contrôle du juge d'instruction »)
Si c'est bien l'autorité judiciaire qui contrôle ici la mise en place et l'exploitation du dispositif —
Pace Bruxelles — on peut cependant s'interroger sur la nature et le fournisseur du fameux « dispositif technique ». Impossible d'imaginer un spyware d'origine autre que française pour cette délation en peer-to-peer généralisée : ce serait faire le lit de l'étranger ! Mais, d'un autre côté, le moindre soupçon de compromission d’un éditeur de produits de sécurité peut rapidement se traduire par une sérieuse perte de chiffre d’affaires. (C'est ce qui se produisit il y a quelques années lorsque Symantec déclara ne pas filtrer l'hypothétique spyware Magic Lantern, attribué au FBI.) Pas fameux, ni pour les filiales françaises des géants américains des logiciels de sécurité, ni pour nos fragiles startups nationales tentant de survivre dans leur ombre étouffante.
Les technophiles imaginatifs échafaudent que les réactions aux premières rétorsions d'Hadopi 2 — Mme Albanel voulait du chiffre, 1 000 sanctions par jour, une toutes les 86 secondes 4 dixièmes ! — pourraient provoquer un recours massif au chiffrement systématique qui, à son tour, augmenterait singulièrement la difficulté à faire fonctionner le « dispositif technique LOPPSI 2 ». En stigmatisant une petite délinquance (celle du téléchargement) avec des moyens disproportionnés - -à supposer qu'ils soient effectifs —, Hadopi pousse les téléchargeurs et surtout les non-téléchargeurs (qui sont, aux termes de cette loi, responsables techniques et pénaux de leurs installations) qui prendraient soin de s'informer, à renforcer leurs protection et donc noyer les services d’écoutes sous un déluge de bruit crypté. Il y aurait un « avant Hadopi » où l’on pouvait distinguer les communications protégées des entreprises, des services d’Etat (aisément identifiables) et les autres, suspects par nature — comme c'est le cas aujourd'hui. Il y aurait, d'après cette argumentation, un « après Hadopi », où la confusion technique provoquée par la surprotection des informations interdirait alors toute discrimination des flux à surveiller, et renforcerait ainsi le camouflage des réseaux contre lesquels on voulait initialement lutter.
Malheureusement, à l'examen, ce scénario ne paraît pas très vraisemblable aujourd'hui. Le catastrophisme élevé au rang de science exacte qui sert d'alibi pour obtenir l'obéissance des foules, a le vent en poupe par les temps qui courent. Distillé abondamment dans tous les médias aussi bien qu'en ligne il n'éveille tout au plus qu'une vague confusion chez l'internaute-citoyen, tout affairé qu'il est à poster les photos de son dernier binge drinking sur Facebook. Bien moins en tout cas que l'interdiction de fumer dans les cafés ou que la baisse de la TVA sur le plat du jour. Il y a deux semaines encore, Vinton Cerf, l'un des vénérables pères fondateurs d'Internet, mythe vivant du réseau des réseaux, excellait dans cet exercice imposé : « Internet est incomplet, il lui manque la sécurité » proféra-t-il devant un auditoire gagné et durablement soumis. Maintenant avocat infatigable du projet de réinvention d'Internet Clean Slate (Table rase) — initiative opportunément bienvenue, très généreusement sponsorisée à Stanford par Cisco, Docomo, Deutsche Telekom, NEC, Ericsson, Xilinx et la NSF, tous grands dépositaires de la neutralité politique et industrielle que l'on imagine — Vinton Cerf est aujourd'hui employé de... Google. Capitalisme libéral 1 — Mao 0.
En attendant ces jours meilleurs, Rod A. Beckstrom vient d’être nommé Président de l’Icann (Internet Corporation for Assigned Names and Numbers), un des principaux organismes de gestion et de régulation d’Internet et notamment des grands « top level domains ». Beckstrom était précédemment cyber-patron du Department for Homeland Security, le DHS américain, puis directeur du National Cyber Security Center. Sa nomination a été saluée en termes dithyrambiques par Eric Schmidt et Vinton Cerf.