Par Guillaume Nicoulaud
La surveillance de masse d’internet, en matière d’antiterrorisme, ça ne marche pas. C’est aussi simple que ça.
Au-delà de la répulsion légitime que nous inspire l’idée que notre gouvernement puisse surveiller toutes nos activités sur internet, au-delà des problèmes de droit et de philosophie politique que de telles pratiques posent, l’argument selon lequel ce type de techniques permettrait d’identifier plus efficacement des terroristes potentiels que les bonnes vieilles méthodes de terrain est tout simplement faux.
Ça ne fonctionne pas et ça ne fonctionne pas pour au moins deux raisons parfaitement identifiables.
D’abord, il y a le problème des données. Lorsque Google construit votre profil à partir des informations dont il dispose, vous ne faites rien, ou très peu, pour lui cacher vos centres d’intérêts. Mais dans le cas d’un terroriste qui, par hypothèse, préparerait un attentat sur internet, c’est exactement le contraire : il va tout faire pour être aussi discret que possible et ce, d’autant plus qu’il sait pertinemment que la NSA est dans le périmètre. Concrètement, ça signifie que notre hypothétique terroriste est caché derrière un VPN, qu’il ne surfe qu’en utilisant TOR et que toutes ses communications sensibles passent par des systèmes cryptés comme Cryptocat ou Surespot. C’est une évidence, les seules « données de connexion » que votre système de surveillance captera seront celles d’internautes qui n’ont aucune raison particulière de se cacher.
Ensuite, il y a le problème de traitement des données, les fameux algorithmes. Lorsque Google établit votre profil pour mieux sélectionner les publicités qu’il vous mettra sous le nez, il peut se contenter d’informations partielles (Google se fiche éperdument de qui vous êtes concrètement) et surtout, il peut se permettre de faire des erreurs. En matière d’antiterrorisme, c’est très différent. Pour bien comprendre, chiffrons un peu. Supposez que sur une population de 37 millions d’individus, on estime que 3 000 sont des terroristes potentiels (0,008%). Un système de détection fiable à 99% (ce qui serait miraculeux), signifie qu’il va identifier 2 970 de ces terroristes et en laisser filer 30 mais cela signifie aussi qu’il va accuser à tort 369 970 innocents. Pour éliminer ces faux positifs qui représentent, mine de rien, plus de 99% des alertes de votre système, il va falloir diligenter pas moins de 372 940 enquêtes approfondies ; autant vous dire que nous sommes très loin de pouvoir nous le permettre.
Ça ne fonctionne pas. Même avec des moyens considérables et des pouvoirs très étendus, le Big Data appliqué au terrorisme ou à la criminalité fait d’excellents scénarios de fiction mais dans la réalité, cela ne donne rien du tout. Typiquement, le fameux programme PRISM dont l’existence nous a été révélé en 2013 par Edward Snowden, et qui coûtait à lui seul 20 millions de dollars par an est, c’est désormais acquis, un échec total : sur 227 condamnations liées au terrorisme entre 2001 et 2013, la New America Foundation en a trouvé une seule qui puisse être portée au crédit des programmes de surveillance de la NSA1. Tous les autres dossiers sont essentiellement le fruit de méthodes d’investigation classiques, le bon vieux travail de terrain.
Seulement voilà, le Big Data, les algorithmes et les métadonnées, ça fait rêver et ça fait en particulier rêver ceux qui, parmi nos décideurs, n’ont pas la moindre notion de ce que sont ces étranges choses auxquelles ils prêtent des vertus presque magiques. Écoutez notre ministre de la Défense nous parler des fameuses boîtes noires prévues à l’article L.851-4 du projet de loi sur le renseignement et vous aurez comme moi le sentiment qu’il récite de mémoire un discours auquel il ne comprend absolument rien. Monsieur Le Drian a sans doute bien des compétences mais je vous fiche mon billet qu’il n’a qu’une très vague idée de ce qu’est un algorithme et qu’il ne sait absolument rien du type de données qu’on peut trouver sur les serveurs d’un fournisseur d’accès à internet.
C’est sans doute la meilleure façon d’interpréter l’épais mystère qui entoure ce système : eux-mêmes n’en savent rien. Vous riez à gorge déployée quand Monsieur Urvoas, rapporteur du projet de loi, propose d’obliger les « fournisseurs de services cryptographiques » (entendez les VPN et les systèmes de messagerie cryptée) à livrer leurs clés de chiffrement aux services de renseignement mais lui, de toute évidence, il y croit. C’est un problème générationnel, un problème de culture : ces gens ne comprennent rien à internet, perçoivent cette chose comme une menace d’autant plus terrifiante que, justement, ils ne la connaissent pas et sont prêts à acheter n’importe quelle potion magique au premier charlatan venu pourvu qu’ils croient qu’elle tienne la bête infâme à distance.
On en est là, et pendant ce temps, les terroristes, les vrais, doivent hurler de rire en se racontant des histoires de français sur Surespot.
—
Sur le web.
- Peter Bergen, David Sterman, Emily Schneider, Bailey Cahall, New America Foundation Do NSA’s Bulk Surveillance Programs Stop Terrorists ? (Janvier 2014). ↩
Parceque vous avez cru un seul instant que cette surveillance généralisée avait pour objectif de lutter contre le terrorisme ?
Tous le monde connait la stupidité de la méthode…
C’est un peu comme les radars automatiques sur nos routes…. cela ne protège en rien des chauffards, et oblige tous le monde à s’équiper de détecteurs
finalement , les térroristes sont loins d’être des imbéciles avec un QI de 80 comme on n’a voulu nous le faire croire ; nos décideurs ne comprennent rien à internet , les térroristes sont jeunes et comme on dit , ils sont nés dans le monde d’internet et connaissent bien cet outil ; et je gage qu’ils n’hésiteront pas à s’en servir pour mettre une belle pagaille ; reste à savoir au bout de combien de temps ( perdu ) va mettre l’état pour comprendre à qui ils ont réelement à faire ;
Mais ils ont déjà gagné, sans avoir besoin d’être des génies : souvenez-vous comme c’était facile de prendre l’avion dans les années 80-90. Souvenez-vous comme internet était facile et utile avant 2015 !
Oh si, l’anti-terrorisme de masse appliqué à Internet, ça marche très bien : ça permet de dire à ces français qui n’y connaissent rien (et qui, malheureusement, sont les plus nombreux, bien qu’étant par nature sous-représentés par ici…) que le gouvernement agit pour les protéger.
Et si en plus ça permet de légaliser les écoutes qui pourront flinguer un futur opposant politique (est-ce que quelqu’un a rappelé à monsieur Nicolas S. que ses histoires de prendre un pseudo et un faux téléphone pour appeler son avocat, c’est compris dans le package surveillé spécialement…? Pour lutter contre les « terroristes », hmmm…?), et ça, c’est tout bénèf’ !
on nous raconte n’importe quoi. Cependant les coups de fil anonymes au nom de société dont on ne connait leur existence se developpe à une rapidité fulgurante. Attention au contenu de la réponse. Ce sont des sociétés d’espionnage qui travaillent pour le commerce.
C’est du harcèlement et personne ne fait rien.Les politiques n’en n’ont rien à faire.
va ton vers une mort annoncée de l’humanité ?
Il n’est même pas possible de revenir en arrière. De vivre comme avant.
Bien sûr que les politiques utilisent le numérique. Ils sont protégés eux.
Ca veut dire quoi… une « société d’espionnage qui travaille pour le commerce » ?
ce sont des gens qui appellent votre numéro qui demandent « êtes vous propriétaire, avez vous une mutuelle, c’est la prévoyance, c’est Edf qui demande la dernière facture Edf,etc….. »
c’est bien de l’espionnage commercial ?
Et moi je ne suis pas un standard téléphonique. Pour des raisons tout à fait personnelles je ne suis pas sur liste rouge.
La liberté ça existe par le paiement de mon abonnement téléphonique.
la lutte anti terroriste rend les terroristes plus intelligents (sélection naturelle) …c’est donc un combat qu’ils savent perdu d’avance…m’enfin , lorsque l’on voit le profil de ces terroristes , ils sont loin d’être des inconnus du système ..complot ?
dans ce cas, la vie elle même serait un immense complot ?
La société informatique qui va signer le contrat pour mettre en place ce truc là va devenir une pestiférer sur la place publique… Ils sont mort de chez mort et je leur souhaite bien du courage pour recruter des gens compétents…. Encore un nouveau fiasco annoncé et un gouffre à pognon…
Le fait que Tor soit financé par le gouvernement américain ne le rend-il pas a priori suspect ?
Il est bien évident que crypter ses communications rend suspect et il est connu que les américains ont implanté des failles partout où ils le pouvaient. Les gens qui ont réellement quelque chose à cacher et ne sont pas des amateurs ne vont pas tomber dans ce panneau. Ils utiliseront des moyens plus discrets pour communiquer.
En revanche, tous les systèmes de sécurité n’ont jamais empêché les malfrats d’opérer grâce à des complicités internes. De plus quand j’entends qu’on implante des virus pour espionner les gens, je crie carrément au sabotage. Cerise sur le gâteau, j’ai réussi pour ma part à planter un coeur de réseau (gros bug et gros malaise) en activant ses fonctions de rapport des matrices de connections. C’est de toute façon un classique quand vous mettez un sytème en debug ou en trace et qu’il fait une indigestion.
En effet, la surveillance ne vise pas les terroristes.
Je me permet néanmoins de donner un peu de crédit à l’idée que la terreur de la surveillance est une technique de type panoptique (comme chez Bentham ou dans les prisons cubaines) : très peu de moyen de surveillance effectifs, une grosse population à surveiller, mais un effet psychologique non négligeable.
Bonjour, je me permets d’intervenir car vous faites là une petite erreur méthodologique.
Lorsque vous parlez d’un système de détection fiable à 99% vous ne pouvez pas en conclure qu’alors 1% des non terroristes seront suspectés à tort.
Je chipote mais la distinction n’est pas souvent bien faite.
Votre chiffre hypothétique de 99% correspond à la probabilité de détection d’un terroriste. Pour savoir combien de faux positifs vous aurez il vous faut définir la probabilité de détection d’un non terroriste, qui n’est pas nécessairement de 99%. Cela a rapport avec les notions de probabilité conditionnelle. Je vous invite à consulter cet article : http://fr.wikipedia.org/wiki/Test_d%27hypothèse .
Je suis d’accord. Il semblerait qu’une hypothèse (implicite) de distributions de probabilités symétriques ait été posée.
Vous n’avez rien compris !
On cherche depuis le début dans quel intér^t les députés vont voter cette loi !?
C’est pour réduire le chômage !!!!
Il en faut du monde pour réaliser ces 372 940 enquêtes approfondies
Bientot, il n’y aura plus qu’un seul Watson pour faire le taf.
D’autant plus que quand on connaît la source de recrutement de la plupart des SSII françaises officiant en matière de sécurité informatique. Un grand nombre de ces ingénieurs sont issus du maghrébine, beaucoup sont assez « intégristes » pour respecter le jeûne du ramadan et pour critiquer ceux de leurs « coreligionnaires » ou considérés comme tels qui ne les suivent pas. Combien de terroristes potentiels ou de complices en charge de prestations de sécurité informatique au sein des structures publiques, de sociétés du sud 120?
La NSA n’est utile qu’à … l’espionnage économique … ou pour certains à savoir quand vous êtes dans les WC …
Pour le reste, comment faire avec un VPN non publié … comment décoder des messages dont on ne connait pas la clef … Mais soit-disant, impossible n’est pas français
Tout comme la prohibition des armes désarme les innocents, la surveillance du net ne surveillera que les innocents…
Mettre régulièrement en examen 650 000 français, même si cet examen reste administratif, permet, au nom de la lutte contre le terrorisme, un contrôle social insidieux d’une ampleur inédite, au-delà des fantasmes les plus fous des pires dictateurs. Il ne manque plus que le renversement de la charge de la preuve (scandale judiciaire déjà à l’oeuvre dans certains domaines, notamment en matière de fiscalité), voire la rétroactivité des lois (au moins aussi scandaleuse), pour aboutir à un assujettissement complet de la population.
« Si vous n’avez rien à vous reprocher, vous n’avez rien à craindre » prétendent-ils : précisément, c’est quand vous n’avez rien à vous reprocher que vous avez le plus à craindre les intrusions des institutions illégitimes et immorales dans la vie privée.
La logique de pouvoir absolu de l’Obèse omnipotent ne s’interrompt jamais. Toujours plus ! D’abord l’argent (le propriété privée), puis la liberté, et rapidement la vie elle-même. Le véritable ennemi de l’Etat n’est pas le terroriste mais la population qui refuse de se laisser mener vers sa ruine sans protester. La démocratie n’est pius qu’une illusion lorsque l’Etat est obèse. Un Etat qui méprise les droits fondamentaux n’a plus de Constitution. Il n’a donc plus de loi, ni d’objet.
Le préalable a cette loi est bien évidemment, en matière de logiciel, de procéder a une phase de Beta-Test en grandeur Nature, un peu à la manière d’une autorisation de mise sur le marché d’un médicament.
Je propose que cette expérimentation soit effectuée en ne reniflant que les politiques et administratifs de tous poils, qui pourront ainsi vérifier les bienfaits et la qualité des livrables de leur surveillance algorithmique, avant de l’appliquer au reste de la population.
Une fois cette phase de validation d’un an ou deux effectuée, on verra s’ils sont toujours aussi convaincus par leurs boites noires 🙂
La stéganographie (messages cachés dans des images) est une arme quasi absolue de discrétion pour les terroristes. Envoyer une photo de bébé jouant avec des lettres formant un message, c’est indétectable de façon automatique. Facile également d’être déceptif pour que ça ne soit pas trop flagrant à un œil humain de routine.
Pour un état dictatorial, pas besoin de surveiller tout le monde. Il suffit d’en surveiller 1 sur 1000 aléatoirement pour que chacun se sente menacé de l’être et s’auto-censure par peur, comme au bon vieux temps de la Securitate de Caucescu. Mais les dégâts collatéraux, en terme de confiance et de communication standard (professionnelle par exemple) sont énormes. L’efficacité économique en prend un coup.
Ce gouvernement n’aura aucun mal à recruter des garde-chiourmes. Les dictatures n’ont jamais manqué de serviteurs zélés, y-compris des informaticiens hautement qualifiés. Là aussi, chacun va se méfier de tout le monde, y-compris dans sa famille. La qualité de vie chute gravement.
Bref, cette loi est fortement contre-productive. Encore une, hélas.
Vous faites l’hypothèse dans votre raisonnement que le taux de faux positif et de vrai négatif sont les mêmes, ce qui n’est pas correct. La non détection d’un terroriste et la détection à tort d’un innocent sont sont deux problèmes différents avec des probabilités différentes.
Des radiations, les téléphones portables, les OGM, et maintenant Internet…
Ceux qui n’y comprennent rien veulent néanmoins tout « réguler ».
Il faut rappeler aux gens que le terrorisme fait moins de morts en Occident que les accidents du travail ou les intoxications alimentaires. Ça n’est que du grand banditisme, nous ne sommes pas en guerre comme disent certains.