Alors que le projet de loi sur la sécurité publique et contre le terrorisme débute sa phase d’examen à l’Assemblée nationale, le Conseil national du numérique publie un long plaidoyer contre la justice du soupçon. Il profite de la fenêtre pour rappeler l’importance du chiffrement.
« Prédictions, chiffrement et libertés ». Voilà les trois thèmes dessinés par le CNNum dans son avis, révélé le jour même où le projet de loi anti-terroriste est examiné en commission par les députés.
Cette impression de « spirale infernale », alimentée par ce nouveau texte sécuritaire, le quinzième depuis 2012, suscite une série de commentaires de la part de cette instance consultative. Deux foyers incendiaires : d’une part, Internet qui apparaît dans le discours politique « comme un coupable idéal » ou un « terrain d’expérimentation pour le déploiement dans le droit commun des instruments sécuritaires ». De l’autre, le recul de l’intervention de l’autorité judiciaire.
Le projet de loi, premier texte sécuritaire d’Emmanuel Macron, ne manque pas de respecter cette jeune tradition, en basculant entre les mains de l’autorité administrative nombre de prérogatives qu’on pensait réservées au juge.
Le recul du juge face à l'autorité administrative
« Malgré l’urgence et la complexité technique inhérentes aux affaires antiterroristes, le Conseil tient à réaffirmer son attachement au principe d’une intervention judiciaire lorsque sont mises en cause les libertés individuelles » soutient l’avis, sans détour. « Si le passage par le juge ne constitue pas une garantie absolue, il s’apparente à une garantie nécessaire : contrairement à l’administration ou aux services de sécurité, régis par un pouvoir hiérarchique, le juge est indépendant ».
Et pour cause, avec l’actuel projet de loi, déjà voté par les sénateurs, l’intervention du juge est ou bien accessoire ou bien a posteriori : périmètre de protection, mesures individuelles de contrôle administratif, visites et saisies administratives, fichier des voyageurs, surveillances hertziennes…
Une logique du soupçon
Un autre mouvement se dessine, outre le recul du judiciaire : cette logique du soupçon qui imprègne les récentes législations. À chaque fois, « la notion de comportement tend à se substituer à celle d’activité : au nom d’une conception prédictive de la lutte antiterroriste, des individus pourraient être contraints non parce qu’ils prépareraient des crimes ou des délits, mais bien parce qu’ils seraient susceptibles d’en commettre ».
Les exemples symptomatiques ne manquent pas. Il y a celui dénoncé par le Conseil constitutionnel, relatif à la surveillance des proches d’une personne susceptible d’être en lien avec une menace terroriste. Autre cas, évidemment, celui des boites noires, elles aussi issues de la loi sur le renseignement et déjà déployées à l’échelle internationale.
Ces pratiques de surveillance qui « deviennent permanentes et générales », dopées par « l’augmentation des capacités de calcul, les progrès de l’intelligence artificielle et du deep learning associés » surfent sur la vague des modèles prédictifs. « L’intention est louable et semble frappée au coin du bon sens. Elle soulève néanmoins des considérations bien spécifiques ».
Il y a avant tout un risque de faux positifs d’où découlent des atteintes pourtant directes à la vie privée des internautes. « Malgré les progrès spectaculaires de l’intelligence artificielle, ces algorithmes de traitement de données n’en sont pas moins exempts de biais, notamment sociologiques » ajoute l’avis.
Des risques de biais
Ces biais « peuvent contribuer à renforcer les discriminations dont sont victimes certains groupes d’individus au sein d’une population. Ces dangers, qui commencent à être bien documentés, ont récemment fait irruption dans le débat public autour des questions de police prédictive ».
Pour le CNNum, il n’y a pas mille solutions : « Un chantier doit être ouvert en matière d’explicabilité de ces algorithmes de traitement de données : le contrôleur doit être en mesure d’ouvrir ces boîtes noires, afin de s’assurer de leur équité, pour organiser une voie de retour démocratique et l’effectivité du droit au recours des individus ».
On notera que la Commission nationale de contrôle des techniques du renseignement a déjà le pouvoir d’émettre « un avis » sur la demande d'autorisation visant ces boites noires, ainsi que sur les paramètres de détection retenus.
« Elle dispose d'un accès permanent, complet et direct à ces traitements ainsi qu'aux informations et données recueillies. Elle est informée de toute modification apportée aux traitements et paramètres et peut émettre des recommandations » indique l’article L851-3 du Code de la sécurité intérieure. Mais visiblement ce simple avis n’est pas assez robuste aux yeux du CNNum.
Menace sur le chiffrement
Un autre sujet risque d’être relancé lors des débats à l’Assemblée nationale concerne le chiffrement. Il faut se souvenir du plan présenté par Emmanuel Macron et Theresa May qui rêve de « permettre l’accès au contenu chiffré », prévoyant que « lorsque les technologies de chiffrement sont utilisées par des groupes criminels, voire terroristes, il doit exister une possibilité d’accès au contenu des communications ».
« Cette déclaration peut laisser songeur : comment accéder à des contenus chiffrés dont on n’a pas la clef ? » s’interroge toujours le Conseil qui refuse, comme la CNIL, l’idée de voir implanter des portes dérobées sur ces dispositifs. « Celles-ci auraient pourtant des conséquences dramatiques pour l’ensemble des utilisateurs. Les cyberattaques récentes et massives ne cessent de démontrer le risque que peut faire courir le maintien volontaire de failles de sécurités, par des agences de renseignement à des fins offensives, pour la sécurité des utilisateurs »
En réponse à ce plan May-Macron, l’avis met les points sur les i : « il n’existe pas de technique d’affaiblissement systémique du chiffrement qui ne permettrait de viser que les activités criminelles. Limiter le chiffrement pour le grand public reviendrait alors à en accorder le monopole aux organisations qui sauront en abuser ».
Commentaires (61)
Merci le CNNum
" />
J’aime la dernière citation !
Malheureusement, leur rôle est seulement consultatif…
On en revient toujours au même :
1/ Le gouvernement interdit “ça” parce que ça peut servir à des activités illégales.
2/ La population avait besoin de “ça”, bah tant pis, c’est pour votre sécurité, ils faisaient sans au moyen age !
3/ Les criminels/terroristes/autre les utilisent “ça” quand même, aucun effet n’est constaté sur leurs activités.
Cette impression de « spirale infernale », alimentée par ce nouveau texte sécuritaire, le quinzième depuis 2012
Au pire, un seul texte aurait dû suffire (au mieux zéro : une société bien armée sait se défendre). Mais voilà, la compétence a un prix que les politocards corrompus idiotement élus (ou désignés) et faussement omnipotents ne payeront jamais de leur personne. Quand la compétence est absente, la seule motivation qui reste est la compétition pour répondre aux attentes de la société.
Chiffrement, cryptage, je me suis encore fait avoir
" />
Désolé mes excuses :)
Il a pourtant été prouvé à maintes reprise que la surveillance de masse n’était pas du tout efficace.
Les raisons sont ailleurs.
Encore une fois, le gouvernement préfère affaiblir les droits des citoyens innocents plutôt que de traiter le problème à sa source.
Efficace pour quel objectif ? L’efficacité se mesure par rapport à un objectif/finalité, on ne peut pas être efficace sans contexte.
Tu dis “faux” et tu dis que c’est efficace, je n’ai pas à demander à quelqu’un d’autre que toi que d’essayer d’expliquer ses propres propos. Ta réponse s’appelle de la ventilation et n’apporte rien au débat.
Ils ne pourraient pas renforcer et donner la possibilité à la justice de réagir rapidement en cas de besoin plutôt que la contourner….
Faut aussi savoir ce que l’on veut:
A force de jouer avec les curseurs pour viser un entre deux, on n’a que des mécontents et des râleurs.
Le projet de lois fait très Minority Report non? Philip avait tout prévu
" />
Cela sert peut être à quelque chose ce n’est pas pour autant que c’est efficace tant que tu ne précise pas l’objectif. Et ma question ne suppose rien, elle te demande juste d’expliquer ton affirmation “faux c’est efficace”.
Peux tu donner un exemple dans lequel la surveillance de masse est efficace.
Elle a peut être quelques valeurs dans l’intérêt collectif (et très souvent ce sera un “collectif imposé par un individuel”) mais pose trop de problème pour l’individuel (cf l’article “risques de biais”).
…..un long plaidoyer contre la justice du soupçon….
" />
" />
ça me plait bien !!!
En effet le curseur est le problème, cependant la vie privée est à mon sens sacrée mais pas absolue car de toute façon nous sommes dans une société commune donc pas juste un mur.
Ainsi donc il faut pouvoir justifier à postériori, à la demande de la justice indépendante et pas au préalable par l’autorité administrative.
Si la justice cherche spécifiquement dans un but car il y a un soupson raisonable: OK.
Si l’autorité administrative cherche pour chercher (surveillance de masse) -> dérives et risques
Le souci étant les éléments non vérifiables à postériori pour lequel nous n’avons toujours pas de solution magique (exemple: remettre dés la création ses clefs privées à un coffre fort de la justice fait que le maillon faible de la chaine sécurité est ce coffre)
À moins que @jackjack2 ne soit dans les petits papiers des hautes instances administratives de notre pays, je doute qu’il connaisse la finalité exacte de la chose, mais comme il le dit, s’il y a tant d’insistance pour inscrire la surveillance de masse malgrès la levée de boucliers qu’elle soulève (venant d’expert comme de citoyens lambda), c’est que ce n’est pas juste une lubie comme ca.
Et pour imaginer des réponses qui te satisferont, par exemple anticiper les contestations (manifestations, occupation des lieux de projet controversés (barrage, aéroport))
On va en revenir aux petites annonces dans Le Chasseur Français :
L’écureuil anémique mastiquait des racines.
Toutes ces lois sont efficaces et permettent d’atteindre l’objectif visé, évidemment, sinon ils n’en remettraient pas un couche tous les 4 mois (15 en 5 ans, ça donne ça). Après, comme dit plus haut, ça dépend de ce qu’on en attend. Evidemment, pour lutter contre le terrorisme, ça revient plus ou moins à pisser dans un violon. Le but n’est pas là : d’une, il s’agit de reprendre un peu le contrôle de la “zone de non droit” qu’est l’Internet - rendez-vous compte, un espace libertaire où chacun pourrait agir à sa guise, c’est intolérable !
De deux, et c’est le plus important, ça permet de dire : “regardez, on fait quelque chose”. Au passage en mettant le problème sur le dos de l’Internet (comme dit, un espace libertaire, bref…) et surtout pas sur le dos de choix politiques qui ont pu être faits dans les dernières années. La différence entre prendre ses responsabilités et chercher un bouc émissaire.
en France on a choisi :
on identifiera le terroriste AV. qu’il ne passe à l’acte” !
“le coup de la roulette-russe, quoi !
Je pense que de la même façon que la suppression du cash n’a strictement rien à voir avec le terrorisme ou le banditisme mais plutot avec le controle dans un but fiscal des flux financiers, la surveillance de masse est du même accabit.
" />
Combien de fois voit-on des attentats ou des crimes perpétrés par des personnes connues des services de renseignement ou de police ? ( le sempiternel “connu défavorablement” ou cette personne était fichée S)
Souvent hélas!
Si le but de ces surveillances et de la connaissance des individus concernés était d’empécher des exactions criminelles,on serait à l’évidence capable de se servir de ces données collectées, ce qui ne semble pas le cas.
Mais hélas la démocratie implique des procédures dont le terrorisme ou le banditisme n’a rien à battre.
Par contre cela permet au pouvoir d’affirmer sans fournir aucune preuve que 11 attentats ou 25 tentatives ont été déjouées au dernier trimestre ( enfin un truc du genre) grace à ce système de surveillance généralisée.
Ce qui est navrant c’est que surveiller 99.99% d’une population pour rien ( les gentils) est finalement considéré comme de l’efficacité!
Dans d’autres sphères on penserait à du gachis
Je vois la suppression de la monnaie trébuchante comme un exemple de mon propos (plus haut).
Le but n’est pas la surveillance de masse, mais faire que cela laisse des traces vérifiables et justifiables à postériori. La surveillance de masse est une possibilité offerte par cette trace mais pas une finalité en soi.
@Marc
Bonjour,
Est-ce que tu as connaissance de documents (en Europe et pas aux USA comme souvent) sur la police prédictive ? Tu précises dans ton article qu’il y a maintenant pas mal de documentation, je suis plus qu’intéressé :)
Sur ce strict sujet du prédictif (qu’il soit en matière de police ou de justice), je pense que l’on ne peut pas admettre que les sources des algos ne soient pas accessibles et que l’on ne sache pas de quoi la base est composée, bien que les vendeurs de ces outils ne le souhaitent surtout pas…
L’accès ne peut être en outre limité au CNN, mais plus largement pour la défense de tout justiciable, à défaut on ne pourra plus prétendre à une justice respectant le principe du contradictoire et de l’égalité des armes.
Tout ca c’est surtout une question de confiance dans l’entité à qui on délègue la gestion de la sécurité collective, et donc l’accès aux données personnelles.
On a le choix entre:
Je suis plutôt partisan d’une autorité publique, et réfractaire à la privatisation ou l’individualisation de l’autorité. Mais c’est personnel.
C’est ce qui explique l’existence prolongée de cette structure. Ils en ont rien à foutre de ce que raconte le CNNNUM. Et ils l’utilisent pour dire qu’il y a bien des critiques, et qu’elles sont prises en compte.
Je pense que ce raisonnement est erroné: on peut déléguer la gestion de la sécurité sans donner accès aux données personnelles. UtIliser leur concepts et leurs idées, c’est commencer à leur donner raison
Faut arrêter de gober que les algorithmes et l’intelligence artificielle vont nous sauver. La technologie est une religion conne les autres de ce point de vue : il faut se méfier des faux prophètes et des miracles.
Le point de Ricard c’est surtout que c’est simplement un VPN sur port 443 (SSL), rien à voir avec l’utilisation d’HTTP. Dire qu’il y a du http parce que les proxy routent le traffic SSL directement c’est une mauvaise vision de la chose.
Lorsque tu montes dans ta voiture, tu acceptes le risque d’accident qui accompagne ce geste. C’est pareil pour vivre à côté de ton voisin, il y a un risque, tu l’acceptes ou tu fais appel à Julien Courbet.
Concernant la sécurité, la plupart des gens responsables de ta sécurité n’ont pas le droit de faire tout plein de trucs s’il n’y a pas un OPJ qui les accompagne.
Le risque zéro n’existe pas, tu peux donner toutes les données personnelles de tout le monde, ton voisin pourra toujours être dangereux
Ne pas confondre conséquence et objectif
L’article que tu indique montre un VPN over SSL (il y a une erreur dans les termes utilisés), il n’y a aucune utilisation de HTTP(S) qui serait inutile. Pour faire une liaison HTTPS on passe par d’abord par une liaison SSL. Les proxy ne peuvent pas (à moins d’avoir l’autorité de certification reconnue) briser la chaine de certificat pour analyser le traffic HTTP sousjacent. et donc les proxy se contentent (dans leur majorité) à router le traffic du port 443 vers la cible TCP. Certains proxy arrivent à détecter que ce n’est pas su simple SSL (et le bloquent et il faut alors utiliser quelques techniques d’obfuscation)
Pour faire simple: l’article indique juste comment mettre en place un VPN sur port 443.
Avec un peut être on va pouvoir débattre longtemps (ainsi que de la taille normalisée de la queue des castors).
https://www.nextinpact.com/news/104803-retour-sur-projet-loi-contre-terrorisme-a…
“Nous voulons sortir de l’état d’urgence, mais nous ne pouvons le faire sans adapter notre dispositif de lutte contre le terrorisme ”
Arrêtons le “ils font et on ne sait rien de leur intention” (#illuminati). Les débats qui donnent lieu à ces lois sont dans leur grande majorité accessibles. On ne va pas demander à tout le monde de suivre tout les débats et c’est bien pour cela qu’on apprécie que NXi publie des articles sur le sujet pour que nous soyons “surveillés mais bien informés”
Qu’on ne nous explique pas comment ils ont fait je le comprend et l’approuve
Mais qu’on n’ait aucune trace d’arrestation est un peu plus dur à avaler
11 attentats déjoués dont une personne arréttée à St Ouen qui voulait s’attaquer à des forces de l’ordre me semble un peu succin comme annonce
( surtout qu’il n’y a eu aucune fuite, aucune rumeur et aucune autre trace d’arrestation en cette époque ou tout fuit )
Loin de moi une théorie du complot mais je me réserve le droit d’être dubitatif.
Dans le contexte de cet article, c’est pas du soin, c’est de l’acharnement thérapeutique