Législation : Alors que le gouvernement fait preuve d’une grande mauvaise foi sur le projet de loi sur le renseignement, on peut s’interroger sur l’efficacité réelle des « boîtes noires » censées détecter les terroristes potentiels…

publicité

La contestation du projet de loi sur le renseignement gagne les acteurs économiques

Le projet de loi sur le renseignement, actuellement en débat à l’Assemblée Nationale, a suscité depuis quelques semaines une levée de boucliers d'un grand nombre d'associations et organisations défendant les libertés civiques. La contestation s'étend aux milieux économiques, qui ces derniers jours ont fait part des risques que ce projet de loi faisait peser sur leur activité en France, et sur les emplois qu'ils ont créé et prévoyaient de continuer à créer dans notre pays.

Ainsi des hébergeurs qui comptent, parmi lesquels OVH, Online, Gandi ou encore Ikoula ont publié une tribune titrée « Le gouvernement veut-il contraindre les hébergeurs Internet à l'exil ? » dans laquelle ils expriment clairement en quoi ce projet de loi est nuisible à leur activité.

Philippe Bourcier, animateur de FRnOG, a créé une pétition titrée « Non aux "boîtes noires" dans nos réseaux ! ». Cette pétition vise à regrouper la signature de dirigeants d'hébergeurs, d'opérateurs et startups hébergeant au moins une partie de leur service en France et possédant leur propre AS.

D'autres acteurs de l'Internet se sont fédérés sous la bannière « Ni pigeons ni espions », et sous le hashtag Twitter #NiPigeonsNiEspions, pour expliquer pourquoi cette loi leur semble inutile et dangereuse.



Du coup, alors que ce sujet était jusque là porté au nom du grouvernement de Manuel Valls par Bernard Cazeneuve, ministre de l'Intérieur, il pourrait rapidement devenir interministériel : Axelle Lemaire, la secrétaire d'état au Numérique, a organisé en urgence une réunion demain matin avec Emmanuel Macron, ministre de l'Économie, et des représentant des hébergeurs. Et elle a aussitôt communiqué sur cette réunion via Twitter, probablement pour tenter de calmer la fronde qui prend de l'ampleur :

Rendez-vous demain matin chez le Ministre de l'intérieur avec @EmmanuelMacron et les hébergeurs — Axelle Lemaire (@axellelemaire) 14 Avril 2015

Axelle Lemaire a raison de monter au créneau, car je doute fort que la mauvaise foi du gouvernement contribue à calmer le jeu.





Par ailleurs, je vous ai expliqué récemment que le projet de loi prévoit l’obligation pour les fournisseurs d’installer des « boîtes noires » qui seront utilisées par les services de renseignement pour « détecter, par un traitement automatique, une succession suspecte de données de connexion ».

Mais sur quelles données et/ou métadonnées fonctionneront ces boîtes noires, selon quels algorithmes et pour quel résultat ?



La nature même du web rend cette surveillance automatique et massive assez illusoire

Vous pensez ne pas être concerné ? Erreur !

Vous êtes un(e) honnête citoyen(ne), qui ne visite jamais de sites faisant l'apologie du terrorisme, et vous pensez donc ne rien avoir à vous reprocher ?

Rien n'est moins sûr ! Tout le monde peut être suspecté !



Car, au moment même où vous lisez ce paragraphe, vous avez déjà téléchargé sur le disque dur de votre ordinateur, ou dans la mémoire de votre smartphone ou tablette, une image comprenant le drapeau de DAESH ainsi que les mots « DAESH », « ISIS », « État Islamique », « djihadiste », « terroriste », « attentats », « Syrie », « Irak », et « Lybie ».



Vous ne me croyez pas ?

Vous avez raison de douter de ce que j'affirme, l'esprit critique est plus que jamais nécessaire ;-)

Pour vérifier, recherchez sur votre disque dur ou dans votre mémoire un fichier appelé « DAESH-flag-djihad-attentats-terroristes.jpg »

Indice : il se trouve dans le cache de votre navigateur Internet, que vous pouvez explorer directement pour certains navigateurs en tapant dans la barre d’adresse la commande suivante :

pour Firefox : about:cache



pour Google Chrome : chrome://cache/

Comment est-ce possible ?

Évidemment, du moins je le présume, vous n’êtes pas un potentiel djihadiste en train de préparer des attentats, cible des investigations de nos services de renseignement.

Alors, comment ai-je fait pour implanter cette image dans votre ordinateur, tablette ou smartphone, et à votre insu ?



Très simplement, en utilisant la technique du pixel traqueur inventée par les publicitaires pour vous pister sur le web. J'ai en effet caché dans la page que vous lisez un simple pixel, situé à la fin du premier paragraphe de mon billet, qui provoque le téléchargement d'une image entière au moyen du code HTML suivant :

<img width="1" vspace="0" hspace="0" height="1" align="bottom" src="https://d1fmx1rbmqrxrr.cloudfront.net/zdnet/i/edit/ne/2015/04/DAESH-flag-djihad-attentats-terroristes.jpg" />

Cette image est anodine, mais elle aurait pu tout aussi bien ne pas l'être, vous n'y auriez rien vu.

Imaginons maintenant un scénario catastrophe



Imaginons maintenant qu’un groupe malintentionné prenne le contrôle du site web d’un grand média d'audience nationale, voire internationale. Vous m'accorderez que cette hypothèse n’est pas totalement irréaliste, eu égard à ce qui est arrivé récemment chez TV5 Monde.

Si les pirates, au lieu de bloquer le site ou d'en altérer le contenu, se livrent à la même manipulation que celle que je viens de faire en insérant du code HTML dans toutes les pages du site piraté, alors les millions de visiteurs de ces sites se retrouveront à télécharger à leur insu du contenu potentiellement inquiétant, qui les feront peut-être considérer comme suspects par les les algorithmes des boîtes noires installées chez les fournisseurs d'accès Internet et opérateurs mobiles.

Et si ces boîtes noires déclenchent alors des centaines de milliers ou des millions d'alertes, celles-ci ne pourront évidemment pas toutes donner lieu à des investigations sérieuses des services de renseignement, de sorte que les potentiels terroristes seront noyés au milieu d'une masse de « faux positifs ». Au final, l'éventuelle efficacité de ce dispositif de cybersurveillance sera temporairement réduite à néant.

P.S : Les plus anciens de mes lecteurs se rappelleront que j’ai déjà usé de cette technique dans un billet daté du 20 février 2009 (plus de 6 ans déjà !) et consacré au filtrage d’Internet. Qu’ils veullent bien me pardonner, cette démonstration est faite à nouveau pour la bonne cause…

P.P.S : si vous ne l'avez pas trouvée, voici à quoi ressemble l'image que je vous ai transférée à votre insu :

@PierreCol