Il est l’une des voix les plus audibles en matière de défense de la vie privée. Ce qui a le don de prodigieusement agacer les autorités de son pays... L’Américain Christopher Soghoian, chercheur en sécurité informatique et spécialiste des questions de surveillance, se décrit comme quelqu’un qui débusque ce que les gouvernements veulent taire. Pour, ensuite, porter ces secrets sur la place publique.
Depuis 2012, il mène ses enquêtes au sein de l’une des plus prestigieuses associations de défense des libertés au monde, l’American Civil Liberties Union (ACLU). « Mon patron est l’avocat d’Edward Snowden », glisse-t-il fièrement lors de notre rencontre au Forum international de la cybersécurité, à Lille.
Chiffrement, maman, services de renseignement et secrets en pagaille... Il nous explique ici son travail, et les grands enjeux qui se présentent aujourd’hui, à un monde toujours sous surveillance.
Rue89 : En quoi consiste votre boulot ?
Christopher Soghoian : Mon boulot consiste à trouver les secrets des gouvernements ; j’essaie de comprendre comment ils espionnent pour ensuite le faire savoir au grand public. Ma chance, c’est de pouvoir expliquer des choses très complexes avec des termes plus faciles à comprendre.
Après un doctorat sur la manière dont les entreprises collaborent à la surveillance d’Etat, je suis rentré à l’ACLU, où je travaille avec des avocats pour les aider à constituer des plaintes solides.
Normalement, quand tu décroches ton doctorat, tu deviens un expert mondial d’un sujet très, très précis, qui est le plus souvent ennuyeux. J’ai beaucoup de chance, parce que le sujet pénible que j’ai choisi intéresse en fait pas mal de gens !
Donc votre boulot est d’énerver le FBI ?
Pas les énerver, non ! Les énerver est un effet secondaire. Le but est de ne pas les énerver, mais de savoir ce qu’ils font.
D’accord. Comment vous faites alors pour le savoir ?
Il est très difficile de garder quelque chose caché en 2016 : il y a un petit bout ici, un petit bout là... Je commence par comprendre des rapports déjà publics. J’ai aussi recours aux requêtes FOIA [voir encadré, ndlr].
C’est quoi le FOIA ?
Le FOIA, ou Freedom of Information Act, est un texte de loi américain qui autorise n'importe qui à demander des documents à l'administration américaine. Dont font évidemment partie les agences de renseignement : FBI, NSA et toutes leurs copines.
Néanmoins, cette transparence est limitée, notamment quand les requêtes portent sur le secret défense...
Et puis, comme un journaliste, j’ai un carnet d’adresses. Je m’entends bien avec certaines personnes qui, après trois-quatre verres, commencent à dire des choses qu’elles n’auraient peut-être pas dites autrement... Et puis, beaucoup d’entre elles ont aussi mauvaise conscience.
Après les révélations de Snowden, voyez-vous un changement dans la façon dont les gens appréhendent leur vie privée ? Ils s’en soucient ou ils s’en fichent, selon vous ?
Dire qu’ils s’en fichent n’est probablement pas la meilleure manière de présenter les choses. Je pense simplement que beaucoup de personnes ignorent ce qui se passe.
Beaucoup de gens ont une vie très chargée, surtout dans cette situation économique : certains ont deux voire trois jobs et ont donc d’autres priorités. Nourrir leur famille, leurs enfants, avoir un meilleur boulot... Ils n’ont pas le temps de consacrer douze heures à la façon dont on surveille sur Internet !
Et par ailleurs, ce n’est pas si facile de saisir tout ça. Il y a eu tant de révélations Snowden ces trois dernières années, qu’elles forment une image un peu floue dans l’esprit de la plupart des gens. S’ils ont entendu parler de Snowden, ils savent qu’il a révélé quelque chose sur la surveillance, mais les détails spécifiques, ils les ignorent.
Donc je pense qu’à long terme oui, il y a eu une petite prise de conscience sur l’espionnage, mais pas sur ses modalités précises.
En revanche, la communauté qui bosse sur ces sujets technologiques s’est énormément renseignée sur la question. Or l’un de ses principaux enseignements est que l’espionnage gouvernemental a été en grande partie rendu possible parce que la sécurité n’était pas très bonne. Les entreprises ont été fainéantes. Elles n’ont pas chiffré leurs données quand elles le pouvaient. Elles ont utilisé de vieilles versions de logiciels quand elles pouvaient en avoir de nouvelles, plus sécurisées.
On s’est rendu compte de l’état de la sécurité au sein de ces sociétés un peu comme si on avait fait un tour dans la cuisine de son resto favori, pour s’apercevoir que c’était pas super propre !
Par ailleurs, il y avait aussi une forme de honte personnelle dans les équipes. Ils voulaient réparer ce qui avait foiré.
Donc pour moi, voilà le plus gros impact des affaires Snowden : les grosses boîtes dont tout le monde utilise les services ont été forcées à davantage de sécurité.
Donc quand Google, Facebook et Yahoo affirment, par exemple après l’affaire Prism, qu’ils n’ont pas aidé la NSA à surveiller tout le monde, vous les croyez ?
Techniquement, c’est vrai : ils ont aidé le FBI, qui a ensuite donné les infos à la NSA. Ils n’ont jamais nié cela.
L’affaire Prism n’était pas super : c’est l’une des premières histoires à sortir, avec des documents qui contiennent tous les noms de ces grandes entreprises... Mais la manière dont cela a été raconté dans la presse n’a pas été totalement exacte au départ.
Du fait de ces quelques erreurs, les entreprises ont pu nier avec franchise. Le gouvernement aussi ! Et ce, même si 77 % de l’histoire était juste !
Il y a six ans, le FISA Act a autorisé le gouvernement à demander aux entreprises américaines des informations sur des citoyens non américains. Cette loi était très claire. Ce n’était pas une surprise pour les juristes.
Quand l’affaire est sortie, les deux dénis des entreprises étaient les suivants : un, nous ne partageons pas les données avec la NSA – ce qui est vrai, vu qu’ils les refilaient au FBI. La distinction est stupide mais ça leur a permis de nier. Deux, nous ne donnons pas tout.
L’idée qu’il n’y avait pas un accès direct aux données ?
Oui, l’idée qu’ils n’ont filé que des données précises, sur quelques centaines de milliers de comptes. C’est beaucoup, mais de leur point de vue, ils peuvent dire que ça reste peu par rapport aux millions de comptes enregistrés.
Donc l’histoire Prism est vraiment compliquée, parce que chaque côté pouvait dire ce qu’il voulait et que c’était trop embrouillé pour une personne moins impliquée de saisir la vérité.
Que répondez-vous aux personnes qui affirment ne rien avoir à cacher ? Et qui disent être très contentes des services offerts par Facebook, Twitter et compagnie ?
Déjà, ces services sont avant tout publics. Ensuite, tout le monde a des secrets.
Par exemple : combien d’argent gagnez-vous ? Quels médicaments prenez-vous ? Avec qui avez-vous couché ? Et puis, pourquoi portez-vous des vêtements ? Je veux dire, ce n’est pas simplement parce qu’il fait froid... Même chose avec les rideaux : si vous n’avez rien à cacher, baladez-vous à poil devant vos fenêtres ! Bon, certains le font... mais pas tout le monde ! Nous avons tous des choses à cacher.
Après, je pense que c’est faux de dire que si on utilise Facebook, alors on abandonne toute vie privée. On peut au contraire s’en soucier, par exemple en choisissant ce qu’on partage sur le site. Ou en faisant le choix de ne croire que certaines entreprises : le simple fait de faire confiance à une société ne veut pas dire que tout le monde a le droit de mettre son nez dans vos affaires !
Quand vous allez voir votre médecin, pour une démangeaison ou je ne sais quoi, vous confiez à quelqu’un d’autre quelque chose de privé. Vous comptez sur lui pour qu’il le garde secret.
Donc on devrait pouvoir attendre la même chose de Google et Facebook ?
Oui. Après, ces sociétés peuvent respecter ou non la vie privée – c’est une autre histoire – mais cette exigence ne me paraît pas déraisonnable.
Et vous pensez que les gens sont prêts à changer leurs habitudes sur Internet, à apprendre à protéger leurs communications, par exemple en chiffrant leurs e-mails ?
Non. Mais c’est surtout parce que la plupart des gens sont occupés. Combien de personnes changent leurs habitudes alimentaires pour être en meilleure santé ? Combien vont aller faire du sport alors même qu’on sait que l’exercice nous procurera certainement une vie plus saine et plus longue ?
Les recherches en sciences sociales nous ont appris que la plupart des personnes ne bousculent pas leurs habitudes. Donc si on veut avoir une meilleure sécurité, attendre que les gens changent n’est pas la solution. Les technologies que nous utilisons, en revanche, devraient être plus sécurisées.
Par exemple, aujourd’hui, des services comme WhatsApp utilisent un chiffrement résistant. Et vous n’avez pas à l’activer : la sécurité est déjà là !
Donc les utilisateurs n’ont pas à configurer, à apprendre comment se faire une clé PGP...
Oui, PGP, c’est beaucoup trop de boulot ! Si on reste réaliste, je doute qu’une majorité de personnes chiffrera ses mails dans le futur.
Le problème, c’est qu’aujourd’hui des agences de renseignement, des représentants des forces de l’ordre, des politiciens du monde entier s’en prennent à ces mêmes applications chiffrées, affirmant qu’elles les empêchent d’attraper les « méchants » !
Ces personnes sont hypocrites : elles sont les premières à utiliser le chiffrement !
Oui, mais eux se présentent comme les « gentils » !
Oui, c’est chiffrement pour nous, mais pas pour vous ! Tous les Etats utilisent le chiffrement, pour que leurs voisins n’entendent pas ce qu’ils disent.
Vous savez, quand vous demandez aux gens s’ils devraient être capables d’appeler leur médecin, leur psychiatre, ou leur prêtre en toute discrétion, ils répondent : « Oui, bien sûr ! » Un individu lambda est favorable à cela ! Bien sûr, on est tous d’accord pour dire que les méchants ne devraient pas avoir ces outils... Mais quand vous téléchargez une application, elle ne peut pas vous demander : « Hey, êtes-vous sûr de ne pas être un criminel ? »
La question est donc la suivante : voulons-nous, en tant que société, que ces outils demeurent disponibles pour tous ? Et je pense que de manière générale, la réponse positive est plus bénéfique.
Mais y a-t-il un moyen de contenter tout le monde : chiffrer les communications de chacun, tout en donnant, quand c’est nécessaire, justifié, et de façon très encadrée, un accès aux informations de criminels ?
Quel est le niveau de compétence technologique de la police française ?
En France ? Ça dépend, il y a beaucoup de services...
Donc la police française n’est pas unanimement reconnue pour sa compétence technologique. Et malgré tout, vous placeriez votre confiance dans cette police en lui donnant les clés permettant de déchiffrer vos communications ?
Donc il n’y pas de solution ?
Il n’y a aucun moyen de concevoir un outil de communication offrant un accès uniquement aux gentils.
Est-ce si difficile de casser le chiffrement aujourd’hui ? Parce que c’est l’un des arguments des forces de l’ordre : par exemple, certains disent que le chiffrement de Daech est trop puissant et ne peut être cassé.
Ça peut l’être oui. Mais bon, il n’est jamais impossible pour eux d’obtenir ce qu’ils veulent. La DGSE a des outils pour pirater des téléphones, même s’ils sont chiffrés.
Vous savez que la France a été touchée par des attentats terroristes cette année. Le gouvernement y répond en adoptant des lois qui renforcent les outils technologiques de surveillance...
En novembre, lors de la deuxième attaque, vous aviez déjà renforcé la surveillance, non ? Donc le problème vient-il de là ou du fait qu’ils ont échoué à connecter les indices à leur disposition ?
L’une des réponses apportée a été que la loi sur le renseignement n’était pas appliquée à ce moment là...
Mais les Belges savaient, non ? Le problème est peut-être dans le manque de coordination.
Oui, et vous n’êtes pas le seul à le dire. Mais pourquoi alors les gouvernements, ici, au Royaume-Uni ou aux Etats-Unis, répondent toujours au terrorisme en renforçant ces outils de surveillance technologiques ?
Chaque attaque terroriste est une opportunité pour les services de renseignement d’obtenir ce qu’ils veulent. Si vous demandez à un enfant s’il veut plus de chocolat, sa réponse sera toujours « oui » ! Les pouvoirs de surveillance sont comme du chocolat pour les agences de renseignement. Elles en veulent toujours plus, même si ce n’est pas efficace.
Vu que le terrorisme n’est pas prêt de disparaître, ça veut dire que le monde est de toute façon voué à être de plus en plus massivement surveillé ?
Ce que les Américains, les Anglais, les Français ont créé, c’est une société où les gouvernements peuvent scruter ce que vous faites, le tout alimenté par la peur du terrorisme. De quel type de société s’agit-il ?
Mais existe-t-il un moyen pour en sortir ?
Oui : le chiffrement ! Si les Etats échouent à protéger les droits de leurs citoyens, la seule chose qui demeure possible, c’est qu’eux-mêmes se protègent.
Oui, mais je ne suis pas sûre que ma mère, par exemple, voudra chiffrer toutes ses communications...
Est-ce que votre mère a un iPhone ? Est-ce que vous utilisez FaceTime de temps en temps ? Si c’est le cas, utilisez FaceTime pour des discussions un peu sensibles !
Mais Apple ne peut pas y accéder ?
Apple ne peut pas casser FaceTime. C’est du chiffrement de bout en bout.
Source : http://rue89.nouvelobs.com