La centralisation de l’Internet a permis une surveillance de masse à moindre coût
Entre deux plateaux de macarons pour les donateurs de la Quadrature, Laurent Chemla nous explique les tenants et aboutissants de son dernier bébé : CaliOpen, dont il espère qu’il pourra changer le rapport du grand public à la vie privée et compliquer la s
L’Informaticien : Pouvez-vous nous préciser ce qu’est CaliOpen ?
Laurent Chemla : CaliOpen. Compliqué à expliquer. Si on veut la résumer en termes techniques, il s’agit d’une plate-forme dans laquelle on accède à toute sa correspondance privée, d’où qu’elle provienne : mails, messages privés Twitter, LinkedIn ou Facebook, conversation texte par Skype et, pourquoi pas, SMS, MMS et autres. Du coup, cela évite d’avoir à se connecter sur 46 services différents pour accéder à ses messages. Ça, c’est le centre du projet, la carotte qui, on l’espère, attirera suffisamment de monde pour faire la différence. L’objectif consiste à attirer le grand public en offrant un service qui n’existe pas, qui propose, en ajoutant son adresse mail, ses identifiants Facebook ou Twitter, d’afficher tous les messages à caractère privé au même endroit, avec une seule liste de contacts, un seul agenda. Et une fois que ces gens viennent, on va leur permettre d’améliorer leur confidentialité. La raison d’être du projet : on considère que la surveillance de masse ne peut être résolue que si suffisamment de personnes chiffrent suffisamment leurs données de sorte que les surveiller coûte trop cher aux États et qu’ils reviennent à une surveillance plus ciblée.
Comment y parvenir ?
L. C. : Pour que ça coûte cher aux États, il faut décentraliser. Quand un État a besoin de n’écouter que cinq ou six GAFA pour surveiller 95 % de la population mondiale, c’est simple. Cela coûte de l’argent mais seulement sur cinq gros silos, on peut le faire assez facilement. Si on décentralise, ce n’est pas juste en se disant qu’« on va créer un Google bis avec du chiffrement en plus ». Si on fait ça, on va attirer un certain nombre de gens, pas mal même : un des plus gros, ProtonMail, doit tourner autour de 250 000 utilisateurs. À côté, Gmail compte 1,2 milliard de comptes actifs. Si on veut parvenir à décentraliser, il faut un service qui va attirer autant de public que tous ces silos, c’est-à-dire qu’on ait une chance sur deux, quand on correspond avec quelqu’un, d’échanger de façon un peu plus confidentielle. On ne peut pas faire ça avec un « Je vais faire la même chose que Google en chiffré », parce que le grand public n’est pas prêt à changer ses habitudes, changer d’e-mail, voire payer un service qui est gratuit aujourd’hui, juste pour être un peu plus sécurisé. Il y aura quelques personnes concernées, on en arrivera à des chiffres de l’ordre du succès de ProtonMail, mais ça ne peut jamais suffire. L’objectif de CaliOpen, c’est d’offrir un service le plus grand public possible pour, ensuite seulement, pousser ce public-là à améliorer sa sécurité, en particulier en lui affichant son niveau de
Une plate-forme de ce type ne pousse-telle pas au contraire à la centralisation, et facilite donc la surveillance généralisée ?
confidentialité en permanence. On ne l’oblige pas, on lui indique seulement ce qui n’est pas sûr, ce qui peut être amélioré… Et par ce biais là on espère pouvoir amener suffisamment de monde à se protéger pour que la surveillance de masse devienne suffisamment chère pour que les États décident de revenir à une surveillance plus ciblée. Ce n’est pas du tout un simple produit de chiffrement, on ne s’adresse pas au même public et on ne résout pas les mêmes problèmes.
L. C. : CaliOpen est avant tout un ensemble de logiciels libre. Dans mon esprit, le service idéal, ce sont 10 000 CaliOpen gérant chacun 100 000 ordinateurs. Ainsi chaque utilisateur individuel, sur son compte CaliOpen, va tout centraliser au même endroit. Mais, au lieu de mettre en place cinq ou six gros micros sur autant de GAFA, il faut en placer 10 000. Ou multiplier par mille les budgets des services de renseignement… Et quand on sait que le budget approximatif de la NSA s’élève à 6 milliards de dollars par an, c’est déjà beaucoup : multiplier par 1 000, c’est impossible. On vise vraiment une équation économique. La décentralisation se fait par ce biais là. Le fait que chaque utilisateur va centraliser ses messages en un point rend, bien sûr, plus facile pour des services d’écouter une personne donnée. C’est de la surveillance ciblée. Le problème, il est dans la surveillance de masse. CaliOpen n’a pas pour vocation de mettre un opposant politique totalement à l’abri de son gouvernement : pour cela, il existe d’autres outils et ce type de personnes saura les utiliser, il en aura le besoin et la volonté. Le grand public, lui, ne veut pas faire ces efforts-là. Centralisation au niveau de l’individu, décentralisation au niveau de la société. Et, si la correspondance privée est réunie au même endroit, on obtient déjà une distinction entre la vie publique, qui va être accessible par n’importe qui, et les échanges privés. Si cette séparation est réintroduite dans l’esprit du public, c’est déjà énorme. C’est quelque chose qu’on a perdu avec Internet, avec le numérique. Cela ne se fera pas du jour au lendemain. Et ce n’est pas non plus blanc ou noir. Ce n’est pas « Si tu vas sur CaliOpen, tout est super confidentiel et chiffré ». Il y aura des niveaux de confidentialité en fonction d’untel qui a écrit depuis Google, un autre depuis une messagerie ultra-sécurisée. Entre
les deux, il y aura des teintes de gris qui feront en sorte que l’on puisse s’améliorer en changeant nos pratiques, en créant des clés publiques, en se déconnectant plus souvent, en ne laissant pas un ordinateur en libre accès, mais aussi à pousser nos correspondants à faire de même. C’est un effet boule-de-neige.
Qu’entendez-vous par niveau de confidentialité ?
L. C. : Le niveau général de confidentialité d’un compte utilisateur va dépendre de tout un tas de facteurs : du terminal qu’il utilise, de son comportement, du niveau de confidentialité de ses contacts… Il peut améliorer ces éléments, par exemple en refusant de recevoir des messages d’utilisateurs dont le niveau de confidentialité est trop faible. Il peut se créer une clé publique, penser à se déconnecter plus souvent… Toute ces choses-là vont augmenter son niveau de confidentialité et, encore une fois, il ne s’agit pas que d’outils techniques. Dans le calcul du niveau de confidentialité, le comportement de l’utilisateur occupe une place importante. Un exemple que j’aime bien : quand, à l’étranger, tu te connectes dans un cybercafé, sur une machine qui n’a pas été déclarée avant, CaliOpen va t’afficher un niveau de confidentialité nul, du niveau du terminal utilisé, pas audelà. Si tu demandes à ton CaliOpen de t’afficher malgré tout des messages dont le niveau de confidentialité est supérieur, ton propre niveau va diminuer, le niveau des messages que tu vas afficher vont diminuer aussi. Tu perds des points et tes correspondants le savent. C’est purement comportemental ce qui permet de s’améliorer, d’arrêter de faire n’importe quoi… de prendre conscience de ce que cela représente. Bien sûr qu’on fournira, à plus long terme, des outils de confidentialité, mais je ne pense pas que la grande majorité du public soit prête à faire les efforts nécessaires pour atteindre ce niveau de sécurité. Mais, déjà, s’il l’augmente un petit peu, c’est déjà mille fois mieux que la situation actuelle. L’objectif n’est pas ponctuel, il est global : il s’agit de défendre la masse. Je ne sais pas si c’est imaginable ou pas mais le fait de travailler dans cette direction-là ne peut faire qu’avancer les choses. Les fondations de CaliOpen, le fait d’afficher un niveau de confidentialité pour chaque contact, chaque message, pour le profil de l’utilisateur, etc., c’est quelque chose dont j’espère, même si CaliOpen n’arrive pas au bout, on arrive à le faire passer suffisamment pour que d’autres projets l’adoptent.
Quand Apple ou Google parlent de chiffrer leurs systèmes, participent-ils à mettre les États en échec ?
L. C. : C’est très bien, cela participe de la même réflexion. Mais il faut comprendre de quoi on parle : chez Google, les données ne sont pas chiffrées server-side, et heureusement ! Sinon on ne peut plus effectuer de recherches dans ses propres données tandis que Google ne peut plus afficher de publicité contextuelle. Si ce n’est pas chiffré de ce côté-là chez un acteur aussi hégémonique que Google, il suffit de mettre un micro chez Google et même si les communications entre Google et, par exemple, Wanadoo, sont chiffrées, cela n’empêche pas la collecte sur les serveurs. La notion de centralisation de l’Internet a permis une surveillance de masse à moindre coût et, en parallèle, une déperdition de la valeur de la vie privée dans l’esprit des gens. Ce sont les deux termes de l’équation qui font qu’on en est là aujourd’hui, et c’est sûr ce point qu’il faut jouer.
Que vous inspirent les récentes lois adoptées en France de la loi de programmation militaire à l’instauration de l’état d’urgence, en passant par la loi Renseignement ?
L. C. : Ce n’est pas agréable de vivre en France en ce moment quand on est un défenseur des libertés. Si on décide de surveiller l’intégralité de la population, c’est que, quelque part, on la considère comme son ennemie… Quand le gouvernement se comporte comme si les citoyens sont ses ennemis, on n’est plus dans une démocratie.
On n’est pas, non plus, dans une démocratie dès lors qu’il n’y a plus de séparation des pouvoirs. Ces lois dont on vient de parler ont tendance à faire disparaître le pouvoir judiciaire, ou du moins à le rendre inopérant sur les décisions du pouvoir exécutif qui maintenant décide de qui il surveille, de quand il le surveille, de qui il censure et de quand il le censure, sans passer par un juge judiciaire. Avec uniquement, a posteriori, une interrogation potentielle d’un juge administratif. Manque de chance, la séparation des pouvoirs est au fondement même de la démocratie. La définition, et je ne parle que de définition, pas de ressenti, se rapproche de ce qu’on appelle un État policier, un État dans lequel l’exécutif peut censurer et arrêter sans décision judiciaire. De mon point de vue, par définition, c’est l’état actuel de la France suite, notamment, à cette succession de lois sécuritaires.
Toujours en France, mais sur un autre sujet… Cette émulation autour de la French Tech, vous la partagez ?
L. C. : Je ne me sens pas concerné. Ce sont des gens que je côtoie depuis vingt ans, qui ne partagent pas ma vision de l’entrepreneuriat. Ils voient l’entrepreneuriat comme soutenu par le public. Pour moi c’est soutenu par le privé. Je ne pense pas que l’État soit le mieux placé pour juger du potentiel d’un projet. Au contraire, je crois que l’État est le plus mal placé, surtout cet État-là qui est analphabète en termes de numérique, on l’a vu de façon flagrante avec le Cloud souverain. Quand il intervient en matière de nouvelles technologies, il a plutôt tendance à se planter. Quand on se réclame de la French Tech, je l’entends comme « je suis tellement incompétent que l’État a accepté de me financer, ou de me faire ma promo ». Maintenant, si ça marche, tant mieux pour eux… C’est un autre monde, un monde étrange de gens qui côtoient des ministres et qui leur demandent des sous. Quand je rencontre des ministres, je leur gueule dessus, donc, forcément, ça marche moins bien ! D’un côté on soutient le numérique et, de l’autre, on fait des lois qui fliquent toutes les boîtes françaises et leur font perdre leur valeur et leur intérêt. Cette contraction entre Axelle Lemaire et Bercy, qui soutiennent le numérique, et Bernard Cazeneuve et Beauvau rend le discours French Tech inaudible.
Justement, comment concevez-vous l’entrepreneuriat aujourd’hui ?
L. C. : Entreprendre juste pour gagner des sous, ce n’est pas mon truc. J’entreprends pour apporter quelque chose qui n’existait pas. Au- delà de la technique pure, quand on essaie de créer des logiciels, des services, on veut qu’ils soient utiles socialement. J’espère que d’autres entrepreneurs du numérique vont y venir petit à petit et arrêter de se contenter de faire des start-up « qui font la même chose que… mais… ». Qui font la même chose que Google mais avec du chiffrement. Qui font la même chose que les taxis mais via une application… À un moment donné, on peut peut-être essayer d’innover et innover socialement, cela peut être utile.
« L’objectif n’est pas ponctuel,
il est global : il s’agit de défendre la masse »