Cloud, vie privée et surveillance de masse - Tristan Nitot

Titre :
Cloud, vie privée et surveillance de masse
Intervenant :
Tristan Nitot
Lieu :
Rencontre Nationale des Directeurs de l’Innovation
Date :
Juin 2015
Durée :
47 min 15
Licence :
Verbatim

Pour visualiser la vidéo

Transcription

Je vais me présenter très brièvement, je m’appelle Tristan Nitot, j’ai quarante-huit ans, je suis un citoyen français. Je suis Chief Product Officer chez Cozy Cloud [1], une startup française. Je suis membre du Conseil National du Numérique, et je travaille sur un livre [2] que je publie, au fur et à mesure, sur mon blog, sur la problématique de vie privée, surveillance de masse et la problématique du cloud. Donc, en gros, vous allez avoir accès, en partie, à ce contenu, à ce livre, sachant que, normalement, en septembre, si tout se passe bien, il existera en version papier.
Comme c’était, quand même, une longue journée, on va commencer par un tout petit peu d’exercice, et je vais demander aux utilisateurs de Facebook, de Google Search, les recherches Google, ou d’un service Yahoo de se lever. Donc si vous utilisez un de ces services, merci de vous lever. C’est bienvenu un peu d’exercice ! Restez debout ! Hou là là, attendez, l’exercice n’est pas terminé. Je vois qu’il y a des personnes qui n’ont pas compris les instructions, ou qui n’écoutent pas. Il y a un monsieur qui est au téléphone, que je dérange beaucoup visiblement, là. Restez debout ! Maintenant, ceux qui utilisent ces services sans payer, peuvent se rasseoir
Public : Sans payer ?
Tristan Nitot : Sans payer. Si vous ne payez pas pour ces services, rasseyez-vous. Voilà. D’accord donc il y a quand même, monsieur hésite, est-ce qu’il a payé ? Vous avez envoyé votre chèque à Facebook le mois dernier ou pas ? Non, finalement il se rassoit. Bon d’accord ! Il y en a quatre qui n’ont pas compris les instructions, même pas. Bon ! Tout le monde peut se rasseoir maintenant. Merci. Non, mais il y a un monsieur qui a compris les instructions, mais il veut rester debout. Voilà.
Cet exercice est intéressant, c’est qu’on utilise tous ces services, peut-être qu’il y a une exception, sans payer, c’est-à-dire Google Search vous ne payez pas, Facebook vous ne payez pas, Yahoo vous ne payez pas. Il y a un adage qui dit : « Si c’est gratuit, c’est vous le produit ». Effectivement ! Donc vous voyez, là c’est une ferme industrielle de cochons, et on ne comprend pas toujours très bien, mais le cochon, je vous le dis tout de suite, le cochon n’est pas le client du fermier. Il y a un moment où il faut revenir sur la base. C’est-à-dire que le cochon, il est nourri gratuitement, il est logé gratuitement, mais aucun de nous, d’ailleurs nous ne sommes pas des cochons, donc on peut avoir une certaine distance vis-à-vis du sujet, nous savons, indéniablement, que le cochon n’est pas le client du fermier. Le client c’est celui qui mange le saucisson. Il y a un parallèle intéressant, d’ailleurs, entre le cochon et nous, utilisateurs du numérique, je n’ai pas dit clients du numérique, mais utilisateurs du numérique, c’est que, finalement, on va peut-être finir en saucissons.
Pourquoi, au-delà de cet exemple qui est un peu amusant, il y a une problématique à comprendre, c’est que les données c’est le pétrole du 21e siècle. Ça c’est Los Angeles en 1908 et, au milieu des pavillons, c’est bourré de derricks. Pourquoi il y a ces derricks qui pompent du pétrole comme on le faisait il y a presque 110 ans en Californie ? Eh bien, je vais vous donner un exemple. Ça c’est l’application de Facebook que j’ai commencée à installer sur mon téléphone Android. Finalement, je n’ai pas accepté. Parce que ce n’est pas acceptable, d’après moi, que Facebook, pour que je puisse m’en servir et lui donner mes données, il me demande d’avoir accès à tous mes SMS, mes photos, ma position par GPS, la liste de tous mes contacts, mon agenda, et l’historique de l’appareil des applications que j’utilise, autres que Facebook. Donc ça, vous voyez, ça c’est un derrick dans ma poche. En fait, les sociétés, les grandes sociétés du numérique aujourd’hui, Google, Facebook, Yahoo, etc., et Microsoft, ce sont des gens qui viennent mettre des derricks dans nos jardins, c’est-à-dire qu’ils viennent pomper nos données.
Alors, là on va dire : « Il a une dent contre Facebook ». Non, pas du tout ! Enfin si, mais pas seulement. Ça, ce sont des informations que j’ai trouvées sur un serveur de Google. Un serveur de Google, donc ce n’était pas dans mon ordinateur. C’est un serveur de Google. Si vous utilisez Google Maps et que vous avez, comme tout le monde, lu les conditions générales d’utilisation, je ne vous fais pas lever, tout le monde les a lues les conditions générales d’utilisation de Google Maps, je ne vais pas vous faire cet affront, évidemment. Je lisais d’ailleurs récemment que, en fait, si on lisait toutes les conditions générales d’utilisation de tous les services en ligne qu’on utilise, il faudrait des dizaines d’années, à raison de huit heures par jour, pour les lire et les analyser. Vous voyez ! Donc on ne le fait pas, forcément. Eh bien donc, en utilisant Google Maps, Google Maps collecte des données sur mes déplacements. Et c’est ainsi qu’on voit que le 2 décembre 2014, je me suis promené, je suis allé faire un tour dans le 16e, je suis allé faire un tour du côté du canal Saint Martin, et du côté du boulevard Montmartre. Et quand ça fait des lignes droites, c’est que je prends le métro et il ne peut pas me repérer par GPS. Et ça, ces données, elles sont envoyées automatiquement à Google. Alors du coup, je me suis dis, je vais désactiver le GPS et la géolocalisation. Et là, il me dit, vous pouvez désactiver le GPS et la géolocalisation, et le Wi-Fi, mais sachez quand même qu’on va détecter les bornes Wi-Fi autour de vous, et on va les stocker pour plus tard. Vous pouvez aller, c’est très compliqué, les chercher dans les préférences, l’endroit où vous pouvez désactiver ça. Et puis, forcément, votre téléphone marche beaucoup moins bien après, donc, non, on ne le fait pas. Donc c’est ça, c’est : « Je pompe tes données ou tu crèves, quoi, ou, en tout cas, ça ne marche ! »
Donc voilà pour Facebook, voilà pour Google. Je ne vous les fais pas tous, je crois qu’on a compris le système. Et évidemment, les grands services nous disent : « Ah non, mais ne vous en faites pas, les utilisateurs sont extrêmement conscients de ça, ils sont ravis d’échanger des données personnelles contre des services gratuits ». Ils ont des services de relations presse et relations publiques, qui expliquent ça, à longueur de journée, comme quoi c’est un très bon accord.
Moi, en fait, ça m’évoque plutôt l’accord, où c’est comme quand qu’on achetait des esclaves contre des verroteries. Vous voyez ! C’est un bon accord. On allait en Afrique, on donnait des verroteries et on embarquait des esclaves. Et les gens étaient contents, regardez des verroteries. C’est vrai que des verroteries, quand vous vous étiez en Afrique occidentale, vous n’en voyiez pas beaucoup, il y a deux siècles, et on était content de faire des échanges. C’était quand même une arnaque. Ou, des Indiens d’Amérique, à qui on achetait des terres en échange de verroteries, parce que pour eux le notion même de propriété de la terre leur était impossible, et on les arnaquait de la même manière. Donc c’est exactement le même genre d’arnaque, et je pense que, dans quelques dizaines d’années, on regardera la période d’aujourd’hui avec effroi, en disant « mais comment les gens ont-ils pu donner des données personnelles en échange de services aussi bon marché ».
Parce que j’ai fait le calcul. Si vous regardez les comptes, la comptabilité de Facebook, qui est en partie publique, parce que, évidemment, ils sont cotés en bourse, vous regardez qu’un utilisateur Facebook, pendant un an, ça coûte cinq euros : pour faire fonctionner Facebook pour une personne, cinq euros. Donc en fait, vous échangez toutes vos données dans Facebook pour un service qui vaut cinq euros. En gros pour le prix de deux expressos au comptoir, vous avez donné toutes vos données personnelles. J’aime beaucoup le café, mais à ce prix-là, je préférerais payer directement Facebook, que avoir cet échange de dupes. D’ailleurs ça a commencé à se voir. Il y a un rapport qui est sorti, il y a une dizaine de jours, qui s’appelle The Tradeoff Fallacy, qui explique que, en gros, il y a l’immense majorité, plus des deux tiers des gens trouvent que c’est une arnaque. C’est-à-dire que les sociétés internet en savent trop sur nos données, mais, de toutes façons, comme on ne peut absolument rien faire genre Google Maps, genre Facebook, autant en tirer un service gratuit. Donc, bon an, mal an, un peu déçus par ce procédé pas très loyal, tant qu’à se faire pomper les données, autant avoir un service gratuit en échange.
[Si vous permettez, je vais chercher une petite bouteille. Excusez-moi pour cet intermède.]
Après, il y a une problématique, aussi, c’est que toute cette collecte de données, elle n’est pas neutre pour les individus, c’est le moins qu’on puisse dire, elle n’est pas neutre pour les entreprises, non plus. Je suppose que vous avez tous entendu parler d’Uber qui dit, j’ai fait un copié-collé de leur site web tout à l’heure, « Uber révolutionne le monde du transport ». Donc cette fameuse société, qui a quelques concurrents en France, qui permet de faire une alternative aux taxis. Et Uber révolutionne le monde du transport en mettant en relation utilisateurs et chauffeurs. Donc, ils sont en train de concurrencer les taxis, au point que les taxis font grève, bloquent la circulation, que la police s’en mêle, qu’on change la loi, etc. C’est un gros, gros changement. Ce qui est juste dingue c’est que le taxi qui est physiquement à Paris, il est à quelques centaines de mètres de moi, eh bien un type, en Californie, avec son application, a réussi à s’intercaler entre le taxi qui est dans la rue et moi. Ça a donné un nouveau mot qui s’appelle « l’ubération », c’est-à-dire se faire disrupter, c’est-à-dire perturber, grâce à cette mise en relation, que j’ai mis en gras, parce que c’est ça, ils commencent à s’insérer en tant qu’intermédiaire, entre la grande société du CAC 40, établie, etc., et l’utilisateur final, le client final. Ils viennent, en fait, perturber cette relation.
Donc, ce n’est pas juste les individus qui sont touchés, ce sont aussi les grandes entreprises. Alors il y a des prises de conscience de ces choses-là, qui sont épisodiques, des histoires horribles qui frappent les esprits. Ça c’était l’été dernier, en août, où un certain nombre de starlettes qui avaient pris des photos avec leur iPhone, la plupart du temps, des photos extrêmement intimes, et ces photos ont terminé sur internet. C’est-à-dire que ce qui était extrêmement paradoxal, c’était le fait qu’elles avaient toujours leur téléphone à la main, il n’avait pas disparu leur téléphone, on ne leur avait pas volé le téléphone. Mais les photos prises étaient sauvegardées dans le cloud. Alors le cloud, je précise pour ceux qui ne savent pas, le cloud c’est l’ordinateur de quelqu’un d’autre. C’est juste un joli mot qui raccourcit et qui donne un côté vaporeux et sympathique, mais, littéralement, le cloud c’est un ordinateur, c’est l’ordinateur de quelqu’un d’autre. Et donc, effectivement, leurs photos extrêmement intimes, mises sur l’ordinateur de quelqu’un d’autre, lequel avait été piraté, s’est retrouvé, le contenu, sur internet, ce qui est extrêmement gênant. Moi, je suis allé me documenter, effectivement, j’aurais été embêté de me retrouver avec des photos comme ça, de moi ou de ma femme, sur internet. Donc c’était une grande prise de conscience :« Mais en fait, même si on ne me vole pas mon téléphone, on peut me voler mes photos ! » C’est quand même très bizarre.

Edward Snowden

Il y a eu une autre prise de conscience, qui était un an plus tôt, juin 2013, Edward Snowden. Edward Snowden étant un lanceur d’alerte, qui travaillait pour la NSA, qui est donc les agents secrets américains, et Edward Snowden est parti avec des dizaines de milliers de documents, qui sont encore en train d’être épluchés, deux ans plus tard, par des journalistes, pour comprendre tout ce qu’il y a. Et, en gros, c’était sympa parce que c’était les diapos qui étaient remises à l’état-major de la NSA et on expliquait qu’ils voulaient écouter tout le monde, tout le temps : le téléphone, l’internet, tout, tout le monde, tout le temps, parce que ça peut valoir quelque chose, on ne sait pas. On se dit : « Oui, bon, c’est surtout pour les militaires, les terroristes, tout ça ». Non, non, pas du tout. Il est aussi expliqué, dans les mêmes slides, que les clients de la NSA c’est le ministère du Commerce, le ministère de l’Agriculture, des Transports, etc., c’est-à-dire des civils, qui font de l’intelligence économique sur la base de ce que pompe la NSA, sur nos données.
Alors quel rapport entre Edward Snowden et ce qui nous intéresse, parce qu’Edward Snowden nous dit : « Mais vos données, elles sont pompées, en tout cas la NSA veut les pomper ». Et elle a des budgets énormes, mais quand même pas au point de mettre sur écoute trois milliards d’internautes, avec trois milliards de capteurs dans chacun des trois milliards d’ordinateurs et de smartphones des trois milliards d’internautes, ça coûterait trop cher. Alors qu’est-ce qu’ils font ? Eh bien tout simplement, ils vont mettre des micros chez Google, Facebook, Apple, etc., Yahoo, Microsoft, et vous mettez une bonne douzaine de gros micros, des micros virtuels, vous allez pomper les données dans ce qui est, finalement, un paquet de silos. Et donc, au lieu d’aller surveiller des individus, chacun chez soi, vous allez surveiller quelques gros géants, ici Google, Facebook, Yahoo, Microsoft. Il y en a d’autres, mais je n’ai trouvé qu’une photo avec quatre silos. Je suis passé devant, il y avait quatre silos. Bon, peut-être qu’ils en ont mis plus depuis, mais, il n’y a pas que eux.
Donc voilà le problème, c’est que cette centralisation des données, dans les grands silos, elle rend économiquement possible la surveillance de masse. C’est-à-dire que si on était chacun chez soi, ça serait très compliqué de nous surveiller, mais comme on met toutes nos données au même endroit, ça devient, finalement, trivial. D’autant que, en fait, ces données elles sont aussi analysées par Google, Facebook, etc., pour nous vendre de la publicité ciblée et nous profiler. Donc en fait déjà, sans le voir, ces géants de l’internet nous profilent, et la NSA n’a plus qu’à prendre les fruits qui tombent de l’arbre.
Là où c’est dramatique, c’est qu’en France, ça c’est une photo du Sénat, qui n’est pas très loin, a été voté, donc au Sénat la semaine dernière, et puis la commission mixte paritaire entre l’Assemblée nationale a voté aussi un texte de loi, le projet de loi renseignement, où, en France, au nom de la modernisation de la loi des services de renseignement, on autorise la surveillance de masse. Si vous demandez à Manuel Valls ou à Bernard Cazeneuve s’il fait de la surveillance de masse il vous jurera que non, que cette histoire de boîte noire ce ne sont que des illuminés comme moi qui vous racontent des histoires. Le fait est c’est que, en gros, dans la loi, il y a des provisions pour mettre des équipements sur le réseau internet, en vue de surveiller des pans entiers de l’internet français, pour détecter des mouvements suspects.

Moi j’ai commencé à communiquer sur la chose, en tant que membre du Conseil National du Numérique, en disant « écoutez, là, je n’ai pas dit là vous yoyotez, mais c’est ce que je pensais, ça ne va pas, la surveillance de masse, ce n’est pas une très bonne idée », parce que je suis resté poli, quand même. J’ai été convoqué à Matignon. On m’a expliqué que je n’avais rien compris, mais dès que je posais une question on me répondait : « Je ne peux pas vous répondre, c’est secret défense ». Donc on ne sait pas ce que c’est que les algorithmes des boîtes noires, on ne sait pas sur quoi ça porte. Le code source, évidemment, n’est pas ouvert. À quoi ressemble un mouvement suspect, je n’en rien. Je leur ai dit : « Mais alors, je vais chercher Djihad, sur Wikipédia, c’est un mouvement suspect ? ». « Ah, euh ». Ils ne répondent, mais enfin, bon, ils font des mines et tout, genre « arrêtez de me prendre pour un con ». Et je dis : « Mais alors dans la foulée, je vais prendre, je ne sais pas moi, je vais prendre un voyage en Turquie. Je regarde Djihad et je vais faire un week-end en Turquie. Et là, c’est bon ? Je suis dedans ou je ne suis pas dedans ? ». là Ils font moins les malins, quand même. Et on ne sait pas. Et c’est un vrai problème de ne pas savoir ce que c’est qu’un comportement suspect, parce que, du coup, on se dit : « Ah non, je ne vais pas regarder Djihad sur Wikipédia ». Si on commence à se dire qu’on ne peut plus regarder Wikipédia partout sans être, éventuellement, fliqué par des barbouzes, ça commence à être gênant. Si quand je prends un billet d’avion pour Istanbul je me dis « eh, c’est peut-être suspect, etc. » C’est une vraie intrusion, en fait, dans nos libertés.

Rien à cacher ?

Alors on dit : « Oui, mais vous n’avez rien à cacher, M. Nitot. Vous n’avez rien à cacher ! ». Eh bien si, j’ai des trucs à cacher et je parie que vous tous, dans la salle, vous avez des choses à cacher. On ne va pas refaire l’exercice de vous faire lever, mais qui n’a pas de loquet à ses toilettes ? Dénoncez-vous, levez la main. OK. Il y a un monsieur qui se lève. Alors monsieur, c’est très bien d’être innovant dans sa vie sexuelle, mais ça ne nous intéresse pas. Donc on a tous des loquets à nos toilettes, parce que c’est important d’avoir des moments d’intimité. Et ce n’est pas illégal d’avoir un loquet dans ses toilettes. Et je ne pense pas que vous ayez, chez vous, dans vos toilettes, une activité illégale. Alors peut-être, parfois, on s’enferme dans les toilettes, on fume des trucs pas autorisés, mais c’est vraiment la limite, quoi. Normalement ce n’est pas illégal.
Deuxième exemple. Moi, j’ai une famille, une femme, deux enfants, je ne vais pas rentrer dans le détail, j’en suis très fier, mais on a fait des enfants, ma femme et moi, et on va s’arrêter là. D’accord ? Je suis marié, j’ai bien fait tout dans les règles, seulement j’ai mis des rideaux à ma fenêtre, parce que je n’ai pas très envie que les gens sachent comment je fais les enfants avec ma femme. Et c’est même recommandé de faire des enfants, parce qu’on en a besoin, mais ce n’est pas illégal. Et pourtant, c’est secret. Enfin, il y a des gens, je ne sais pas si vous en faites partie monsieur qui n’avez pas de loquet, après vous pouvez vous filmer aussi, si vous voulez, mais ce n’est pas obligé. Moi je préfère ne pas filmer.
Et puis j’ai changé d’employeur il n’y a pas longtemps et évidemment, j’ai envoyé des CV, et je n’avais pas envie qu’ils sachent, c’était secret, mais ce n’était pas illégal, parce si changer de boulot devient illégal, là, on est mal. Donc, vous voyez, des tas de choses qui sont secrètes et qui ne sont pas, pour autant, illégales. Je vais vous donner un dernier exemple, quand je suis sous la douche je chante atrocement faux, mais alors, atrocement faux. Et c’est parce que je suis tout seul. Mais si j’entends la porte de l’appartement claquer, ma femme qui rentre des courses, là ça coupe tout, net quoi ! Parce que je ne peux pas chanter aussi faux que ça, parce que, objectivement, c’est ridicule, j’ai même un peu de mal à vous en parler maintenant, mais je n’ai pas envie qu’on m’entende être aussi mauvais que ça. Voilà. Et pourtant j’ai le droit de chanter sous la douche, c’est important pour moi, ne serait-ce que pour un jour, peut-être, j’oserai prendre le micro dans un karaoké, et chanter moins faux que si je ne m’étais pas entraîné avant sous la douche. Donc on a tous quelque chose à cacher.
Ce que vous voyez ici c’est une prison, à Cuba, une prison dite modèle, qui est bâtie sous le format de la prison panoptique, inventée par les frères Bentham au 19e siècle. Alors, que je vous explique un peu, la pauvre elle est désaffectée, mais normalement il y a des barreaux, et c’est un bâtiment circulaire. Les cellules sont à l’extérieur et, au centre, il y a une tour, vous voyez, avec des meurtrières. Et dans la tour il y a le gardien. Et donc le gardien on ne le voit pas parce qu’il regarde juste dans les meurtrières. Et le gardien est susceptible de surveiller tout le monde, à tout instant. Mais évidemment, le gardien il a des yeux devant mais pas derrière ni sur les côtés, donc il ne peut regarder qu’une toute petite partie des prisonniers à un instant T. Mais tous les prisonniers savent qu’ils sont surveillés, et qu’ils sont peut-être surveillés là, maintenant. Et du coup, le prisonnier se tient à carreau. Donc ce modèle de la prison panoptique, où il y a zéro, absolument zéro intimité, les Bentham étaient deux frères, et il y en a un qui a inventé la prison panoptique, l’autre a fait : « C’est génial, je vais inventer l’usine panoptique ». Déjà, limite perturbant. C’est-à-dire qu’on ait envie de faire subir des choses à des prisonniers, c’est une chose, la même chose à des ouvriers, moi je le sens moins bien. Et les frères Bentham quand ils allaient voir différents hommes politiques, à l’époque, pour leur vendre les concepts du panoptisme, ils disaient : « Regardez, c’est génial, parce que vous avez un seul gardien qui surveille absolument tout le monde, c’est super. Et même quand il s’absente pour aller déjeuner, eh bien personne ne moufte, parce que tout le monde se sent surveillé ». Donc je veux dire, même en n’étant pas surveillé, mais en étant potentiellement surveillé, on va changer son attitude pour être conforme. Et d’ailleurs, Michel Foucault, le philosophe, dans les années 70, a publié Surveiller et punir sur le thème du panoptisme. Et il explique qu’en gros, en fait le panoptisme, la surveillance, c’est une façon d’imposer un comportement à une masse de personnes, pas nécessairement juste à des prisonniers.
Et donc c’est important aussi pour nous, pour être une société libre, de ne pas être dans un modèle panoptique où on est potentiellement surveillé. Parce que quand on grandit, quand on passe de l’état d’enfant à celui d’adulte et de citoyen, il faut être capable d’essayer d’inventer des choses, d’être créatif. Après tout, on parle d’innovation aujourd’hui. L’innovation c’est toujours un moment où on crée quelque chose qui a l’air complètement stupide. Tout à l’heure, les bouées dérivantes, au moment où l’idée est venue, je suis sûr qu’il y a des gens très bien pensants, très bien, qui ont fait : « C’est n’importe quoi ! » Bon, en l’occurrence ce n’était pas une super idée parce que ça n’a pas marché. Mais si vous n’avez pas assumé la volonté de faire quelque chose qui est potentiellement débile et que vous avez validé que ce n’était pas une super idée, mais, en fait, si, parce que avec des jets d’eau sur le côté, finalement, vous arrivez à faire quelque chose qui fonctionne, eh bien vous avez été débile à un moment et vous avez été brillant la semaine d’après, ou un an après. Donc c’est ça, si on veut être créatif, si on veut être innovant, il ne faut pas être surveillé.

Quelle efficacité pour la surveillance de masse ? Quasiment aucune...

Alors la cerise sur le gâteau, c’est que l’efficacité de la surveillance de masse est quasiment nulle. Pourquoi ? Parce que, vous voyez, en bas j’ai mis trois logos. Ce sont trois systèmes de cryptographie, de chiffrement, le premier à gauche c’est Tor, c’est un navigateur qui est basé sur Firefox de Mozilla, qui permet de passer inaperçu sur internet.
Public : Inaudible.
Tristan Nitot : Pardon ? De passer inaperçu sur internet, donc on va naviguer sur internet sans être surveillé. Ce qui est extrêmement drôle c’est que c’est, au départ, utilisé par l’armée américaine pour aller surveiller des sites ennemis, mais qu’ils ont besoin qu’il y ait beaucoup de gens qui s’en servent. C’est utilisé et recommandé par des organisations comme Reporters sans Frontières, pour que des activistes, dans des pays dictatoriaux, puissent communiquer et s’informer sans laisser de traces. Donc c’est très important pour la liberté de parole et liberté de la presse. Et aujourd’hui, sur les sites djihadistes, il y a déjà des tutoriels qui expliquent comment utiliser Tor pour ne pas se faire attraper par les boîtes noires du projet de loi renseignement.
GnuPG, et Protomail, sont deux systèmes qui sont faits pour protéger sa correspondance e-mail. Et il y en a d’autres. Il y a des choses qui s’appellent OTR, Off the Record, qui sert à la messagerie instantanée. Il y a des systèmes du type VPN qui permettent aussi de chiffrer tout le trafic internet depuis votre ordinateur vers un lieu extérieur.
Donc, aujourd’hui, quiconque a envie de se cacher peut le faire. Et donc surveiller toute la population française, potentiellement, ne servira pas à attraper le moindre terroriste qui est décidé et pas totalement stupide. On peut arrêter des terroristes crétins, mais ce ne sont pas les gens dangereux, non plus. On a bien arrêté un type qui a essayé de mettre le feu à sa semelle dans un 747. Voilà, c’est ce genre de mec qu’on va arrêter, mais ce ne sont pas les dangereux. Mais le prix sociétal de la surveillance, il va être payé par tous.

Que faire ?

Alors, qu’est-ce qu’on fait ? Moi je suis informaticien, je suis entrepreneur, j’ai des idées et je me dis : « Mais je ne vais pas rester comme ça ». Alors j’ai bien essayé d’expliquer au gouvernement qu’il faisait des bêtises. Tous les gens à peu près censés l’ont fait. Il y a une liste, longue comme ça, d’organisations qui ont expliqué au gouvernement, qui ont pris position clairement contre la loi renseignement, ça ne les a pas empêchés de s’enferrer dans ce cul de sac qui ne sert à rien. Alors puisque expliquer aux politiques que ça ne marche pas, et ça ne servira à rien, et que c’est coûteux, ne fonctionne pas, qu’est-ce qu’on fait ? Évidemment, on pourrait débrancher internet. Ce n’est pas mon choix. Qu’est-ce qu’on peut faire, ou en tout cas se débrancher, chacun, de l’internet. Bon, en même temps, c’est un peu fichu. Même si vous avez un téléphone qui n’est pas Smart, sachez que vous êtes repérable à tout instant parce que le système GSM, de téléphonie mobile, il est obligé de savoir où vous êtes, dans un certain rayon, de façon à savoir où router les appels. Donc même si vous dites : « J’ai juste un vieux Nokia 8210, des années 90, je suis tranquille ! », eh bien non, même pas ! Donc, il faut appeler depuis les cabines téléphoniques, mais je ne sais pas si vous avez remarqué, il y en a de moins en moins.

Inventer le futur qu’on veut, pas celui qu’on voudra bien nous laisser...

Alors que faire ? Eh bien je vous propose, simplement, d’inventer le futur qu’on veut. C’est-à-dire un futur où on a le contrôle de nos données, pour qu’elles ne soient données ni aux géants de l’internet, ni aux espions.

S.I.R.C.U.S. Systèmes d’Information Redonnant le Contrôle aux UtilisateurS

J’ai inventé le concept de S.I.R.C.U.S. L’acronyme, il vaut ce qu’il vaut. C’est un Système d’Information Redonnant le Contrôle aux UtilisateurS. Eh ouais, je fais ce que je peux. Et il a sept critères pour définir ce que c’est qu’un SIRCUS.

Se débarrasser de la publicité ciblée

Premièrement, première étape : accepter de se débarrasser de la publicité ciblée, qui est la source de tous les maux en termes de ciblage. C’est le business modèle dominant, actuellement, sur internet, c’est « je collecte des données, je sais tout de vous et, en sachant tout de vous, je vais vous afficher de la publicité ciblée, qui ne rapporte quasiment rien, mais bon, c’est mieux que rien ». Regardez, tous les titres de presse ont un mal fou à survivre, malgré les tonnes de trackers qu’ils nous mettent dans leurs pages. Ça se compte par dizaines. Si vous allez sur la page du Figaro ou du Monde, vous avez des dizaines de sites tiers qui essayent de savoir où vous vous promenez sur internet, et ça ne rapporte pas suffisamment, ça ne rapporte pas de quoi faire un journalisme de qualité. Disons que si vous regardez les comptes du journalisme, vous vous rendez compte que ça ne va pas bien.
Le problème, c’est que les individus ont une fascination pour la gratuité. Je ne vais pas rentrer dans le détail, mais il y a des gens qui l’ont fait, en l’occurrence des économistes du comportement, behavioral economics, qui ont fait des études sur le sujet et que quand c’est gratuit, entre un truc vraiment d’excellente qualité, pas cher, et un truc pourri, encore moins cher, on prend celui qui est d’excellente qualité. Mais dès que celui qui est vraiment pourri, il est gratuit, on prend le pourri, au lieu de prendre l’excellent qui n’est vraiment pas cher. C’est juste « si c’est gratuit, je ne peux pas me tromper ». Eh bien non. Il l’a fait avec des chocolats, eh bien à chaque fois les gens prennent les mauvais chocolats au lieu de prendre… Non, c’est super drôle, il s’appelle Dan Ariely, c’est une super lecture.
Il faut donc se débarrasser de la publicité ciblée, ça veut dire qu’il faut accepter de payer. Pas très cher : regardez, Facebook, cinq euros par an. Si on pouvait avoir l’alternative à Facebook pour cinq euros par an, ça vaudrait tellement le coup. Mais il faut accepter de mettre en jeu cinq euros, et c’est dur. Mais il faut comprendre que sinon c’est un accord de dupes.

Utiliser du matériel que l’on contrôle

Deuxièmement. Utiliser du matériel qu’on contrôle. Celui-là, je sais, c’est une diapo qui est petit peu flippante, je suis désolé, j’aurais dû vous prévenir, mais ça c’est un ordinateur, ça s’appelle un Cubietruck [3], maintenant on en fait des beaucoup moins chers et des aussi performants que ça. Ça vaut quelques dizaines d’euros, maintenant, l’équivalent de ce genre de choses, avec un disque dur derrière. Et ça c’est mon cloud, à moi, que je peux mettre chez moi, physiquement chez moi. On le devine derrière, il y a un disque dur, la barre noire derrière, c’est le disque dur où sont stockées mes données. Et donc c’est possible d’avoir du matériel que je contrôle. Alors tout le monde n’a pas envie de mettre ça dans sa box, ou à côté de sa box ADSL, et de la connecter avec un câble Ethernet, ça peut faire, peut-être, un petit peu peur.
Une alternative qui est tout à fait acceptable c’est de se dire, en fait, je veux un ordinateur que je vais louer, à un hébergeur, et cet hébergeur va s’occuper de tout. Il va s’occuper de la connexion internet, il va s’occuper de payer l’électricité. Ça, ça consomme quelques watts donc ce n’est pas la problématique. Il va s’occuper du refroidissement de la chose. Il n’y a même pas besoin de ventilateur, mais bon, on ne sait jamais. Il va s’occuper de tout, et puis si jamais un jour ça casse il s’occupe de le remplacer, et moi je vais lui louer un service pour ça. Donc ça, aujourd’hui, ça n’existe pas encore de faire un SIRCUS hébergé, mais chez Cozy Cloud, on y travaille.

Utiliser du logiciel libre

Troisièmement. Sur cet ordinateur que l’on contrôle, qui vaut quelques dizaines d’euros, on va mettre du logiciel libre. Brièvement, pour ceux qui ne savent pas bien ce que c’est que du logiciel libre, on appelle souvent ça aussi de l’open source, c’est du logiciel qui est développé de façon ouverte et souvent collaborative. Le code, la recette, le fonctionnement interne, il est ouvert, visible, compréhensible par tous, ou du moins tous ceux qui veulent s’en donner la peine et, du coup, il est auditable. C’est-à-dire qu’on est sûr que le logiciel fait ce qu’il dit qu’il fait, et que s’il y a des données qui fuitent de ce logiciel, ça va se voir. Et s’il n’est pas libre, ce logiciel, eh bien on ne peut pas avoir confiance en lui. Donc c’est important pour qu’il soit auditable et transparent.

Utiliser le chiffrement

Il faut utiliser du chiffrement. Le chiffrement, c’est ce qu’on appelle, à tort, le cryptage. Ça n’existe pas, en vrai, « cryptage », sauf dans le dictionnaire québécois, ce qui nous met un peu en difficulté, évidemment, mais bon, les Québécois n’ont pas toujours les meilleures pratiques de la langue française. Le chiffrement ça consiste donc à chiffrer, à utiliser la cryptologie, pour que les messages qu’on envoie ne soient pas compréhensibles par quelqu’un qui écouterait la conversation. Aujourd’hui, comme je vous l’ai expliqué plus tôt, ce sont des technologies qui fonctionnent, et on sait que les espions, et Edward Snowden, le lanceur d’alerte de la NSA, l’a très bien démontré. Il a expliqué qu’il y a des trucs dans le chiffrement qu’il ne faut pas utiliser, parce que ça a été piraté, cracké par la NSA, mais il y a des tas de choses qui existent et qui sont solides, en termes de chiffrement. Donc, utiliser le chiffrement, mais c’est simple, c’est dans le logiciel qu’on va mettre sur cet ordinateur, il faut qu’il n’accepte que des données chiffrées en entrée et en sortie, et ça va fonctionner.

Ergonomie avancée

Cinquième principe, il faut une ergonomie avancée. C’est-à-dire que, alors là je vous ai fait un petit peu peur en montrant mon ordinateur dans son boîtier de plexiglas, c’était un peu hardcore. Ce n’est pas quelque chose qui donne envie à la ménagère de moins de cinquante ans ou à M. et Mme Michu, parce qu’on se dit : « Ah ! c’est compliqué, etc. » Non, il faut quelque chose de hyper, hyper simple, qui soit un délice à utiliser, sinon, déjà qu’on a la barrière du prix à franchir, mais si, en plus, c’est rébarbatif, ça ne va pas fonctionner, c’est sûr.

Interopérabilité grâce aux standards

Il faut que ces systèmes ils fonctionnent entre eux grâce à des standards. C’est ce qu’on appelle l’interopérabilité, pour que je sois capable d’échanger des fichiers avec des gens qui utilisent des systèmes comparables, mais d’une autre marque.

Une killer feature

Et enfin, ce qu’on appelle dans le jargon des startups, une killer feature, ou une killer app, c’est-à-dire le truc, l’application qui tue ou la fonctionnalité qui tue, le truc qui donne envie à l’utilisateur d’avoir ce système-là. Il faut que ça soit absolument unique. Il faut qu’il n’y ait que là que ça fonctionne. Alors ça peut être le respect de la vie privée et de l’intimité numérique. Ce n’est pas assez concret. Il faut être capable de rendre un service qui saute aux yeux, qui fait : « Ah ouais, qu’est-ce que je suis content d’avoir déboursé tant d’argent soit en abonnement auprès de mon hébergeur, soit tant d’argent pour mettre cette box chez moi et m’embêter à la brancher ». Alors ça, ce n’est pas simple, mais si vous voulez on va explorer cette partie-là, si vous le voulez bien.
Je vais vous montrer, j’espérais faire une démonstration de Cozy Cloud, donc le produit sur lequel on travaille, il y en a d’autres, aussi, sur le marché. C’était trop compliqué, etc., donc j’ai fait des copies d’écran successives, et on va imaginer que je suis en train d’utiliser mon ordinateur. En fait, je l’ai utilisé hier après-midi, à chaque fois que je faisais un truc, je faisais une copie d’écran.
Donc là, je me connecte sur, on voit un petit peu, tristan2.cozycloud.cc, qui est le nom de mon serveur à moi, voilà, il est là, et donc il sait que c’est moi. De toutes façons, à cet endroit-là, c’est un cloud personnel, c’est là où sont mes données à moi, il y a un seul utilisateur de ce système, et si on s’y connecte, c’est forcément moi. Donc il me dit : « Bonjour Tristan ». Il ne sait pas qui je suis, mais si je connais le mot de passe, c’est que c’est moi.
Je tape mon mot de passe, je clique sur le bouton bleu Sign in, ça existe aussi en français aussi, mais bon, j’ai fait les copies d’écran en anglais, et, voilà, je suis connecté, et voici ce que je vois : des applications, ça ressemble un petit à un smartphone sauf que c’est sur l’écran de mon ordinateur, ou c’est sur l’écran de mon smartphone aussi, évidemment, ça fonctionne sur un smartphone, et je vois des applications de base, le calendrier, donc l’agenda, les contacts, les e-mails, les fichiers, les photos. J’ai rajouté des applications de prises de notes, de listes des choses à faire, on a appelé Tasky, le rond vert avec la coche, et en bas à gauche, la gestion de ma banque ou de mes comptes bancaires.
Alors je vais cliquer sur le calendrier. Voilà. Ça c’est mon calendrier, sauf que les données elles sont chez moi, et elles ne sont pas sur Google Calendar et, évidemment, je peux les avoir aussi sur mon téléphone. Je reviens à la page d’accueil et je vais maintenant cliquer sur les contacts. Voilà mon carnet d’adresses, avec la liste des personnes, je n’en ai que trois, mais c’était pour la démo. Là c’est mon application fichiers, où j’ai la liste de mes fichiers, dont certaines occurrences sont des photos, etc. Donc je vais stocker des fichiers dans mon serveur personnel, dans mon cloud personnel, et je vais pouvoir y accéder aussi depuis mon téléphone ou depuis mon navigateur.
Et enfin l’application banque que voici. Les chiffres sont fictifs, je n’ai pas près de trois cent mille euros sur mes comptes et je n’ai pas de compte à la Deutsche Bank, non plus, je ne fais pas d’évasion fiscale, mais j’ai la liste. Donc, sur un de mes comptes, en l’occurrence à la Caisse d’Épargne, Checking account à gauche, eh bien il m’affiche le relevé bancaire et en particulier, vous voyez, la première ligne c’est SNCF. Et, à droite, il y a un coût de quinze euros, et c’est un lien bleu. Et comme c’est le Web, je sais que je peux cliquer dessus, et quand je clique dessus apparaît le document PDF qui est dans mes fichiers, et qui est mon billet de train. Évidemment, puisque sur cet endroit, qui est mon cloud personnel, où je stocke mes fichiers, mon agenda, etc., comme je peux tout stocker, eh bien je peux faire des liens entre eux. Et c’est peut-être ça, en fait, la killer feature, l’application, ou l’utilisation qui tue. La capacité, en fait, de croiser des données, qui sont mes données, qui viennent de sources différentes.
Souvenez-vous comme le pétrole du 21e siècle, eh bien ce sont les données, on voit que toutes les entreprises essayent de se les accaparer, et du coup, elles refusent de partager ces données entre elles. Un cas extrêmement concret. Prenons le cas de l’énergie électrique en France. Vous avez un énergéticien, il aimerait beaucoup avoir accès à des données du type thermostat Nest, qui sont les nouveaux thermostats à la mode en Silicon Valley, rachetés par Google. Google sait, du coup, quelle est la température, quel est le nombre de personnes présentes, qui est présent, qui est absent, quand est-ce que la maison est vide, etc., ils savent un nombre de choses, mais incroyable sur vous, juste parce que vous avez payé très cher un thermostat que vous avez mis chez vous. C’est fort, c’est un business modèle de dingue. C’est-à-dire que vous payez le truc, vous payez le derrick, en fait, vous payez le derrick qui va siphonner vos données. Et évidemment, ces données ils refusent de les communiquer à qui que ce soit d’autre, sauf à vous, parce que ce sont quand même vos données.
Donc en tant qu’utilisateur, on peut accéder aux données qui sont capturées par le Nest, on peut récupérer les données du compteur électrique, c’est un compteur EDF blanc, numérique. Vous savez qu’il y a deux bornes en dessous, sur lesquelles on peut connecter un module pour récupérer toute la consommation. Et on peut commencer à croiser les données. Et cet endroit, le cloud personnel, c’est le seul endroit au monde où on peut le faire, parce qu’en tant que client EDF, j’ai le droit d’avoir accès à ces données, et physiquement, accès au compteur, et en tant qu’acheteur du Nest, j’ai le droit, aussi, d’accéder à ces données. Et je peux commencer à les croiser. Et on peut imaginer des tas de choses extraordinaires sur la base du croisement de ces données, à cet endroit unique, qui est le cloud personnel, et qui permet de tirer la valeur de la donnée pour l’utilisateur et pas pour n’importe qui.

Que faire maintenant ?

J’en suis arrivé là. J’ai fini sur les SIRCUS. La question est qu’est-ce qu’on peut faire maintenant ? Alors ça dépend qui on est, ou dans quelle casquette on est. Est-ce qu’on est un utilisateur final ? Premièrement, pour moi c’est une évidence, il faut chiffrer nos communications. Ceux qui utilisent Firefox, mais je crois que ça marche aussi dans Google Chrome, on peut utiliser une extension qui s’appelle HTTPS Everywhere. Le S de HTTPS, dans http:www. va la, eh bien là c’est S comme sécurité, donc c’est chiffrage, enfin chiffrement, pardon. Eh bien, si on met HTTPS Everywhere, dès qu’on va sur un site, on va se connecter sur le site de façon chiffrée, sans rien faire. On installe l’extension, on n’y touche plus jamais, et automatiquement, à chaque fois qu’il y a une version chiffrée du site, on va sur la version chiffrée du site, et s’il n’y en a pas, on va sur la version non chiffrée, plutôt que ne pas accéder du tout au site. Moi je m’en sers depuis des années et donc moi, toutes mes connexions, par exemple sur Wikipédia, eh bien elles sont en HTTPS. Donc c’est une première façon de faire.
On va pouvoir aussi éviter de centraliser des données chez Google, Facebook et Yahoo. Alors ce n’est pas toujours facile, sur Facebook, pas facile, parce qu’il faudra trouver une alternative et, aujourd’hui, ça n’a pas complètement émergé. Par contre, sur la messagerie, on peut très bien sortir de Gmail et aller, il y a une société française qui s’appelle Gandi, qui vend des noms de domaine et qui, pour douze euros par an, par exemple je suis propriétaire de nitot.com, donc si vous m’écrivez tristan chez nitot.com, je vais recevoir vos e-mails. Je paye quelques euros par an, en l’occurrence c’est douze euros chez Gandi, et pour ce prix-là, ils hébergent mon mail, et j’ai, en gros, les mêmes services que Gmail, sauf que Gmail ne lit pas mes courriers.
On sait que Gmail lit les courriers. On le sait, c’est marqué dans les conditions générales d’utilisation que personne n’a lu sauf moi, où, très clairement, noir sur blanc, ils disent : « Nous lisons vos e-mails pour savoir de quoi vous parlez et comme ça on va vous proposer des publicités qui vont vous rendre service ». On sait à quel point maintenant ! Et ce qu’on ne sait pas, c’est qu’ils lisent aussi les pièces jointes. On se dit : « Ouais, c’est trop compliqué lire les pièces jointes, les images ». Imaginez le nombre d’images qui circulent, etc. Eh bien si ! Il y a un pédophile qui en a fait la malheureuse expérience, je suis très content que ce type soit derrière les barreaux, mais le jour où ce type a été arrêté, on s’est rendu compte qu’en fait Google lisait les pièces jointes de tout le monde et avait vu que ça c’était une photo de fillette et donc, pan, dénoncé aux flics. Alors, encore une fois, je suis très content qu’il soit sous les barreaux, mais là c’est tout de même, « Ah oui, en fait ils lisent aussi les pièces jointes ». Ah ouais !
Facebook a dénoncé Jean-Luc Lahaye qui échangeait des messages privés avec des jeunes filles. Moins de quinze ans et trois mois, paf ! Un an de détention avec sursis. C’était des messages privés. Ils n’avaient rien demandé. Les parents des enfants ni les filles elles-mêmes, n’avaient porté plainte. Personne. Juste Facebook a pris la décision de le faire. Encore une fois je n’ai pas une grande sympathie pour ce genre de choses. Mais tout d’un coup on s’est dit : « Ah oui, les messages privés de Facebook, en fait, ils les lisent aussi et s’ils ne sont pas d’accord, ils nous dénoncent aux flics ». Bon c’est une nouvelle prise de conscience. Donc si on veut éviter de revenir dans cette société de surveillance, eh bien il faut reprendre le contrôle et acheter notre nom de domaine pour échanger des e-mails qui ne soient pas lus par tout le monde, eh bien, c’est la première des étapes.
Avec Cozy Cloud, on est encore au début de cette aventure. C’est une jeune startup. Les produits ne sont pas encore utilisables par tout le monde. Mais si vous avez envie de nous aider à tester, améliorer, encore mieux écrire des applications ou écrire des connecteurs, ces connecteurs qui vont, par exemple, rapatrier les billets SNCF, ou rapatrier les factures de votre opérateur de télécoms ou autres, eh bien on est preneur parce qu’on a besoin de ça pour nourrir le cloud personnel qui vous appartient, avec vos données.
Si vous êtes un utilisateur moins avancé, il faudrait juste que ça marche, il va falloir patienter un petit tout petit peu. Désolé pour la mauvaise nouvelle, mais on y travaille, d’arrache-pied. Et alors, si vous êtes une entreprise qui redoute l’ubérisation, eh bien venez nous voir, on a peut-être une solution pour vous aider à éviter l’ubérisation. Dans Les Échos, cette semaine, il y avait un article où EDF expliquait comment, avec Cozy Cloud, ils sont en train de préparer, enfin essayer d’éviter l’ubérisation. Parce que même EDF est susceptible d’être ubérisé.
Il y a des choses totalement improbables. Par exemple, SFR qui a une relation avec vous, vous avez un téléphone SFR dans votre poche, ou Orange, ou quoi que ce soit d’autre, il vous donne les cartes SIM, eh bien Apple a annoncé qu’ils allaient faire des cartes SIM virtuelles, et le jour où vous voudrez changer d’opérateur, vous irez directement sur le site apple.com, pour changer la case à cocher en disant : « J’en ai marre d’Orange. Hop, je passe chez SFR, ou chez Bouygues », et là, pouf, ubérisé. C’est-à-dire que toutes les boutiques qu’on voit partout, qui essayent de vous vendre des téléphones, c’est cuit à partir du moment où c’est l’iPhone, parce qu’ils se seront faits ubérisés, alors qu’il est difficile d’ubériser, pourtant, ce qu’on pensait être le mobile, où il y a une telle relation clientèle.
Eh bien voilà. Écoutez, je crois que j’ai terminé. Il nous reste cinq, dix minutes pour des questions, si vous avez un peu le temps ou pas.
Public : Tout à fait. Merci beaucoup.
Applaudissements
[footnotes /]

Références

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.