Sécurité des usagers : faut-il avoir confiance dans les acteurs de l'Internet ?

Il y a eu, récemment, entre un blogueur, sur son blog, et moi, sur le mien, et un peu chez Juju, un lourd débat à propos de la sécurité d’Internet et notamment de Google. Sur le fond, nous sommes d’accord, c’est sur l’approche que nous divergeons totalement, ce qui n’est qu’une bricole.

Nous sommes d’accord sur le plus important, je crois : il faut garantir une totale liberté des internautes (d’un point de vue technique, sinon, on doit pouvoir mettre en prison ce qui font l’apologie de la pédophilie, du terrorisme ou d’un tas de machin pas très sympathique) et il faut protéger l’utilisateur qui, par définition ou presque, ne peut pas distinguer le « bien » du « mal » n’ayant pas les compétences.

Je vais donner un exemple. J’ai eu mon premier abonnement Internet il y a onze ou douze ans. Je connaissais déjà assez bien le bazar puisque nous avions déjà Internet au bureau. Quelques jours après, mon opérateur m’a demandé si je voulais créer un site web. Je n’avais aucune connaissance en HTLM et j’ai cliqué sur « oui ». J’ai juste mis une photo et ajouté un titre idiot. J’ouvre mon site. Le tiers droit de l’écran était occupé par un peu de publicité, dont une pour un site porno. J’avoue, j’ai cliqué. Pas par curiosité, malgré les conneries que je peux dire par ailleurs, je m’en fous un peu. J’étais juste intrigué par la pub sur MON site.

La page s’affiche et propose directement plusieurs catégories, dont une « young ». J’ai cliqué, pensant tomber sur des demoiselles d’une vingtaine d’années. Non. Je suis tombé sur des garçons et des filles de 12 ou 13 ans, tous à poil. En deux clics, à partir de MON site. J’étais effaré. Ma réaction a été grotesque, j’ai supprimé mon site (quelques mois plus tard, j’en créais un vrai, en HTML et tout ça, sur un hébergement que je payais, avant de vraiment découvrir les blogs, fin 2005).

Ainsi, je m’étais retrouvé très facilement avec des images pédophiles sur mon PC (je suppose qu’elles sont restées quelques temps mémorisées dans un « cache », donc j’avais vraiment un « fichier physique » dans mon PC). J’étais donc probablement dans la plus grande illégalité sans avoir cherché le mal. Une telle aventure ne pourrait pas arriver aujourd’hui.

Ne rigolez pas ! Vous pourriez vous mettre, vous aussi, dans la plus grande illégalité, si votre môme décidé de télécharger illégalement le prochaine album de Dominique Darcy. C’est la loi Hadopi qui veut ça. A ce sujet, j’ai entendu une rumeur (que je contribue à faire courir), le rapporteur de cette loi lors des débats à l’Assemblée Nationale serait en passe de devenir le porte parole de Nicolas Sarkozy.

Tomber sur un site pédophile et se placer, pour ça, dans l’illégalité ne devrait plus être possible, aujourd’hui. Des gens ont bossé pour : des associations, les fournisseurs d’accès, le législateur, les services de police, …

La polémique que j’évoquais en introduction de ce billet portait sur l’usage que peut faire Google des données privées. Je disais que je m’en foutais que Google dispose de mes données privées, du moment qu’il ne les vende pas nominativement (et je fais confiance à Google pour ne pas le faire : s’il le faisait, il se trouverait au centre d’un scandale très nocif à ses intérêts commerciaux).

Cela dit, je fais confiance aux associations, aux législateurs et à tous les acteurs internet, nous-mêmes, blogueurs, compris, pour améliorer la sécurité et offrir, progressivement, toutes les garanties à l’utilisateur.

Il y a une grosse difficulté : Internet est international et il n’y a pas grand-chose pour agir… Sauf à devoir supporter le FBI qui ferme Megaupload « brusquement », sans se préoccuper des utilisateurs, nous autres, qui plus est Français, donc sans aucune raison de devoir subir les foudres du FBI.

Ma crainte, c’est que les organismes qui interviennent dans cette histoire, et qui ne sont pas sous mon contrôle, arrivent à établir une police du net, un flicage permanent et à contrôler ce réseau. On dit par exemple que les révolutions arabes ont été rendues possibles grâce à Twitter. Comment pourra s’exercer la démocratie si les autorités maîtrisent le contenu de Twitter ? Tiens, avec les blogueurs politique, on se demandait récemment comment faisait Twitter pour fermer les comptes fake de Nicolas Sarkozy…

Prenons Hadopi. Le but est d’empêcher les gens de faire du téléchargement illégal. C’est mal. Mais on s’en fout. Le danger viendrait de serveurs qui permettraient de faire facilement du téléchargement de masse illégalement, ce qui nuirait réellement à l’intérêt des professionnels. C’était le cas de Megaupload. RIP. On peut en discuter, ce n’est pas l’objet du billet : une société a été fermée – dans des conditions qu’on ne peut pas cautionner – parce qu’elle gagnait de l’argent avec du téléchargement de masse (même si ce n’est pas son objet initial qui est uniquement le partage de fichiers).

Hadopi a pris le sujet à l’envers et surveille chacun des internautes. A la limite, je veux bien qu’on surveille que je ne surfe pas sur des sites pédophiles, non pas parce que c’est immoral mais parce qu’en le faisant, j’encouragerais des fumiers à faire du mal à des mômes. Mais je ne veux pas être surveillé parce que je pourrais télécharger un film illégalement (ce que je ne fais d’ailleurs pas), créant ainsi, aux yeux d’un industriels, une perte d’argent (alors que je ne suis pas nécessairement prêt à télécharger un film en payant…).

Ma crainte est qu’en montrant du doigt Google et certains de ces procédés, on encourage les autorités à agir, on fasse passer un message auprès du grand public à propos des dangers d’Internet… et qu’on valide implicitement tous les messages de ces autorités, créatrices d’Hadopi et d’autres horreurs.

Du coup, un candidat à une Présidentielle va dire « je vous protège, faites moi confiance,… » et en guise de protection on se retrouve sous surveillance, comme dans des bonnes vieilles démocraties et leurs fichiers de police dans tous les coins, au nom de la sécurité des citoyens.

Je ne cherche aucunement à créer une polémique. Je disais plus haut : « Cela dit, je fais confiance aux associations, aux législateurs et à tous les acteurs internet, nous-mêmes, blogueurs, compris, pour améliorer la sécurité et offrir, progressivement, toutes les garanties à l’utilisateur. » Je continue.

Moi-même, je travaille dans l’informatique de grandes boites et je vois la manière avec laquelle on travaille, au quotidien, pour assurer la protection des clients. Pour le bonheur des clients, bien sûr ! Mais surtout parce que s’il y avait une faille et qu’on était piratés, le scandale qui s’en suivrait fait qu’on aurait des grandes difficultés à s’en remettre. Les clients iraient tout simplement voir ailleurs et on serait interdits d’activité (les copains qui me lisent et qui savent où je bosse

Alors, on bosse. Pas seuls dans notre coin, on ne s’en sortirait pas et surtout les autorités de tutelles ne nous feraient pas confiance. On bosse avec les concurrents, avec les organismes internationaux du secteur, avec les autorités en question (françaises ou européennes), avec les organismes de normalisation, de notre secteur ou de la sécurité informatique, avec des organismes de certification qui viennent vérifier qu’on applique bien les normes, avec des sociétés de conseils qui viennent nous aide, avec des sociétés d’audit qui viennent nous contrôler, …

Puisque je ne peux pas parler de mon job dans le blog, je vais prendre un exemple au hasard dans un domaine que je ne connais absolument pas…

Imaginez que le régulateur de vitesse d’une voiture devienne fou et qu’une famille se tue. L’affaire fera la une de la presse le lendemain et le constructeur perdra gros : peut-être un procès avec la famille (mais c’est une bricole), une perte de confiance des clients, une grosse chute du chiffre d’affaire, un gros déficit qui le mettra en danger, un écroulement du cours de la bourse.

Aussi, j’ai tendance à penser que les constructeurs de voiture travaillent, un peu comme nous, dans notre domaine, à la sécurité réelle des clients. Ils travaillent avec des autorités (les « mines » qui certifient les voitures), les concurrents, les sous-traitants, les organismes de normalisation, …

Quand je prends une voiture de location, je veille à ce qu’elle dispose d’un régulateur de vitesses, parce que c’est très confortable, c’est sécuritaire (ça empêche de faire des excès de vitesse par inattention) et… ça enlève le risque de se faire flashé pour excès de vitesse !

Imaginez qu’après l’accident de voiture en question, un législateur quelconque se saisisse du dossier et dise : « il faut protéger l’utilisateur ». Il va donc proposer que le régulateur de vitesse soit couplé au GPS pour vérifier la vitesse limite mais aussi relié par un moyen quelconque (3G ?) à des serveurs de sécurité permettant de localiser les voitures susceptibles d’avoir un incident de régulateur pour déclencher toutes les actions de sécurisation possible avec intervention de la police, ouverture des barrières de péage et tout ça…

Au nom de notre sécurité, hein ! Au bout de quelques temps, les autorités auront les moyens de savoir en permanence où se trouve chaque véhicule. Et ils vous vendront des avantages collatéraux, comme la lutte contre le vol des voitures. Ils pourront déclencher des prunes automatiques pour des petits excès de vitesse.

Sans compter le prix du bazar, outre l’équipement de la voiture qui sera à la charge du consommateur, le système d’informatique centralisé sera payé par une taxe sur l’essence et les péages d’autoroute.

Pourtant, quand je prends ma voiture de location en vérifiant le régulateur de vitesse, je ne pense pas à ça, à tous les efforts que font les constructeurs pour équiper leurs voitures de machins avec lesquels je ne risque pas trop de me tuer. Tout au plus, je me réjouis de le voir les régulateurs largement répandus, ça diminue le prix unitaire et ça améliore la sécurité de tout le monde.

Quand un usager utilise les moyens que je mets professionnellement à sa disposition, à peu près quotidiennement, il ne pense pas aux gens qui travaillent dans l’informatique de la boite à laquelle j’appartiens. Tout au plus pense-t-il au commercial qu’il rencontre périodiquement et à la marge que ma boite – ou les concurrents – fait sur son dos.

Moi, locataire de voiture, et l’usager en question ne pense pas non plus au travail fourni par ses représentants comme les élus, mais aussi les associations de consommateurs, les bénévoles qui connaissent le sujet et les blogueurs qui n’aiment pas spécialement les loueurs de voiture, les fabricants de voiture, mon entreprise et ses concurrents, …

Quand un internaute utilise Google, le moteur de recherche ou un des produits de cette firme, comme tout autre service sur le web, il ne pense pas nécessairement à tout ce qu’il y a derrière. Il n’a même pas l’idée de s’y intéresser, comme je ne m’intéresse pas du tout à la manière dont fonctionne un régulateur de vitesses…

Juju, dans le commentaire qu’elle laissait dans mon blog, me disait : « mais tu n’es pas le grand public. » Certes, j’ai cinq blogs dont quatre très actifs, dont trois depuis six ans. J’ai cinq comptes Twitter, un compte Facebook (et six pages, je crois), trois comptes Google+ (ça brouille les pistes) et une page. J’ai été spécialiste de la sécurité informatique dans un domaine précis et je bosse plus ou moins dans ce domaine.

Mais en tant que blogueur, j’essaie d’être grand public. Avez-vous déjà vu un truc vraiment technique dans ce blog ? Mon blog a-t-il une tronche de blog geek (pourtant, il est dixième, chez Ebuzzing, …) ? Non. Ca ne m’intéresse pas. Je fais assez de technique dans mon job pour éviter d’en faire dans mes loisirs…

Quand je publie un truc dans un de mes blogs, quand je recherche un truc sur le web, quand j’envoie un mail par gmail ou avec une des messageries attachées à un de mes noms de domaine, déposé chez Google (donc avec des machins Google Apps), je ne pense pas à ce qu’il y a derrière. Comme je ne pense pas à mon régulateur de vitesse. Pourtant, je suis un informaticien, je pourrais comprendre comment ça marche, je pourrais comprendre les mécanismes de conception et de certification.

Le monde de l’informatique évolue.

Tiens ! Le Cloud va monter en charge. Les fichiers ne seront plus stockés sur votre PC mais sur un serveur quelque part, plus ou moins sécurisé. Par exemple, je prends une photo avec mon iPhone. Dès que j’arrive à la Comète (ou je me connecte en Wifi), la photo part dans « iCloud » par je ne sais pas quel miracle et je le retrouve dans mon iPad sans rien avoir demandé.

Ca représente l’avenir, c’est le progrès. Pensez donc, c’est vachement bien ! Vous avez une idée pour le boulot en rentrant à la maison, vous modifiez un fichier Word sur votre iPad et vous le retrouvez, le lendemain, sur votre poste de travail, au bureau, ou chez votre mère en Bretagne (ou autre !) pendant les week-ends.

Pourtant, c’est vachement dangereux ! Vous ne savez pas où sont les fichiers, vous ne savez pas si les serveurs sont sécurisés, vous ne savez pas s’ils sont secourus, vous ne savez pas ce que pourraient faire des hackers.

J’ai confiance dans les acteurs derrières, j’ai confiance dans les industriels, j’ai confiance dans les autorités, j’ai confiance dans les associations de consommateurs, j'ai confiance dans les professionnels de la sécurité informatique, les organismes de certification, de normalisation, les chercheurs, …

J’ai confiance dans les blogueurs vigilants…