Internet, un espace totalement surveillé ?

Article publié dans le numéro 7 du bimestriel d’information locale La Trousse Corrézienne.

Dans le dernier numéro de La Trousse, il était question du fonctionnement d’HADOPI, l’usine à gaz qui traque les pirates s’échangeant des films et de la musique sur Internet. À la base de la procédure, une société privée sonde les réseaux d’échanges « pair à pair » (P2P) et relève les adresses, les fameuses adresses « IP » qui servent plus ou moins de plaques d’immatriculation sur les autoroutes de l’information. Ces adresses sont indispensables dans le fonctionnement d’Internet. C’est une trace qu’on laisse nécessairement dans son sillage. Une trace parmi d’autres. Une trace qu’on peut escamoter.

Lorsqu’on circule sur Internet, on laisse tout un tas de traces sur notre passage. Des traces plus ou moins appuyées dans le sol, des traces plus ou moins identifiantes. Parfois tout un ensemble de traces permet même de dessiner une empreinte unique nous désignant à coup sûr. Il serait tentant de glisser dans la paranoïa et de penser que nos moindres faits et gestes en ligne sont soumis à une surveillance globale, à un œil tout puissant. En réalité, il est indispensable de relativiser tout ça, de comprendre comment ces traces sont exploitées ou non, à quel point elles sont parfois éphémères. De comprendre qu’il n’y a pas une surveillance mais des surveillances, avec des intérêts divergents. Pour y voir plus clair, sortons donc notre loupe et observons quelques exemples.

Big Gogol is watching us

Quand on fait une recherche sur le célèbre moteur en ligne qu’on va surnommer par la suite « Gogol », on lui dit en fait beaucoup plus de choses que la simple question qu’on lui pose. En plus de savoir qu’on cherche la recette du clafoutis aux cerises, Gogol sait au moins quel navigateur on utilise (Firefox, Chrome, etc) et quel est notre fournisseur d’accès à Internet. Étant donné que Gogol est utilisé par énormément de sites web pour faire des statistiques de visite (via son service Analytics), Gogol sait également quels autres sites vous avez visité, les pages que vous avez consulté, le temps que vous y avez passé, etc etc. Une somme d’informations colossale. Et dans tout ça, Gogol ne sait peut-être pas qui vous êtes, votre état civil. Au fond, Gogol, ça ne l’intéresse pas cette information là, il peut s’en passer. Il sait déjà beaucoup de choses sur vous, sur votre profil. Et c’est ce même profil qu’il va pouvoir monnayer en offrant la possibilité de vous proposer une publicité ciblée, ajustée sur mesure. Et pour cela, il y a de la demande.

Pour échapper à Gogol, on peut utiliser d’autres moteurs de recherche, comme Startpage ou Duckduckgo. On peut également installer des extensions pour son navigateur web qui bloquent les publicités et autres traqueurs : uBlock Origin, Privacy Badger par exemple. Une autre extension recommandée : HTTPS Everywhere. Elle permet d’établir systématiquement une communication « chiffrée » et donc privée entre le navigateur et le site web qu’on visite, si celui-ci le propose.

Et le fournisseur d’accès à Internet dans tout ça ?

Pour pouvoir chercher la recette du clafoutis aux cerises sur le Web, encore faut il avoir un accès à Internet. Ça, c’est le job du fournisseur d’accès (FAI). C’est lui qui achemine tous vos échanges sur Internet. C’est le tuyau dans lequel toutes vos communications passent à un moment ou un autre. La conséquence directe, c’est qu’il peut tout voir, en théorie. Je dis bien « en théorie » car en pratique, il lui est interdit de le faire. C’est un principe vieux comme la Poste : le secret des correspondances. Le FAI achemine donc vos communications de la manière la plus simple qui soit, en les aiguillant de proche en proche vers la destination. Tout comme La Poste n’a pas besoin d’ouvrir votre courrier pour le livrer dans votre boite aux lettres, mais simplement de savoir qui est le destinataire, quelle est sa ville, sa rue, etc. C’est interdit, il n’ pas besoin de ça pour que ça fonctionne … mais tout de même, c’est un peu embêtant de se dire que le FAI peut voir tout le contenu de nos discussions et de nos recherches de recettes de cuisine.

Le Web, réseau de cartes postales

Quand le Web est né, il s’agissait de publier des documents et ainsi de les rendre accessibles au plus grand nombre. Ainsi, les universités pouvaient partager leurs travaux très rapidement. Elles pouvaient publier à moindre coût. Le Web a été inventé dans cet esprit là : le partage d’informations publiques. De véritables cartes postales. Le contenu est lisible par n’importe qui se trouvant entre l’expéditeur et le destinataire. Quid des échanges privées du coup ? Quid des messages que l’on a envie de s’envoyer sans pour autant que ça soit public, ou sans qu’un individu mal intentionné puisse les lire au passage ? Et bien, de la même manière qu’on peut mettre la carte postale dans une enveloppe pour en cacher le contenu, on peut s’assurer que la communication entre nous et un site qu’on visite est bien privée. Pour cela, on utilise, souvent sans le savoir, un protocole nommé « HTTPS », symbolisé généralement par un petit cadenas vert. De plus en plus de sites web le proposent. Les premiers étaient évidemment les banques et les commerces en ligne.

Et l’État ?

Et bien, côté surveillance, l’État s’est doté ces dernières années de l’arsenal législatif nécessaire pour faire de la surveillance de masse, au travers de la loi Renseignement. Elle prévoit notamment que les FAI peuvent se voir imposer l’installation de boîtes noires au sein de leur réseau. Ces boîtes inspectent tout ou une bonne partie du trafic échangé et sont censées détecter des « signaux faibles » (sic) liés au terrorisme. On a donc la mise en place de dispositifs très intrusifs, qui inspectent les échanges de tout le monde sans discrimination. Ces technologies et leur emploi par les services de renseignement ont été révélées au grand jour en 2013 par l’analyste américain Edward Snowden. Travaillant alors pour un sous-traitant de la National Security Agency (NSA), il avait dénoncé la surveillance de masse pratiquée par l’agence de renseignement. Le débat qui s’en est suivi a donné lieu à deux rapports demandés par le président Obama sur l’efficacité des techniques employées. Les deux rapports ont conclu à l’inefficacité totale de ces dispositifs par rapport au but recherché. Aucun attentat n’a été déjoué aux États-Unis grâce à cette intrusion généralisée dans la vie de tout un chacun. Le débat en France est toujours ouvert, de nombreux recours juridiques sont intentés et la Cour Européenne des Droits de l’Homme bientôt saisie. Ici, point d’extension dans votre navigateur à vous conseiller. En revanche, on ne peut que vous recommander d’aller en discuter avec vos élus. Et là, pas besoin de cadenas ou d’enveloppe. Plus c’est public, mieux c’est.