L’indispensable souveraineté numérique

Le contexte

Pour un pays, la souveraineté est synonyme de pouvoir et de moyen de revendiquer son indépendance et sa reconnaissance au niveau international.

La problématique

Pour un pays, être souverain, c’est être autonome et en mesure de construire, maintenir et défendre son autonomie stratégique, économique et industrielle afin de de pouvoir, même en situation de crise, être en mesure d’agir, c’est à dire être en capacité de prendre des décisions. C’est en fait, avoir le choix.

Désormais tout cela n’est pas possible sans le recours à des infrastructures numériques, mais qui les maitrise ? Quelles entités maitrisent les données, les logiciels et les matériels informatiques et de télécommunication indispensable à la souveraineté des pays?

Force est de constater que :

  • Sans souveraineté numérique, un pays peut-il encore disposer des moyens suffisants et nécessaires pour protéger ses intérêts ?
  • Sans souveraineté numérique, un pays peut-il encore être en situation de pourvoir exercer sa souveraineté économique et industrielle ?
  • Tout état indépendant peut-il être souverain sans souveraineté numérique ?

Des réponses convaincantes devraient être apportées à ces questions avant qu’un pays s’engage, en toutes connaissances de causes et d’effets y compris sur le long terme, dans le choix de solutions Cloud basées sur des fournisseurs étrangers.

Un Cloud étranger n’est jamais neutre

L’évolution technologique est la résultante de choix politiques et économiques.

Les nouvelles technologies sont au service d’une vision du monde et de ceux qui le dirigent. La technologie n’est pas neutre, elle modifie profondément notre manière de vivre aux niveaux individuel et collectif, des organisations publiques et privées et des pays.

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Elle enlève le pouvoir à certains pour le donner à d’autres en changeant la réalité pour tous.

Le problème n’est pas ce que permet de faire la technologie ni ce qu’elle peut apporter, mais il relatif la manière dont elle le fait, à son prix et à la dépendance développé à son égard et envers ses fournisseurs.

Dans l’agriculture intensive, ce n’est pas le concept d’agriculture qui est en cause, mais la façon dont elle est réalisée et ses impacts négatifs. Toujours par analogie, ce n’est ni l’électricité, ni le gaz, ni le pétrole qui posent problèmes, c’est la surconsommation et les dépendances à ces énergies et à leurs pourvoyeurs qui sont devenues problématiques. C’est la même chose avec l’informatisation de la société basée sur la dépendance grandissante aux plateformes numériques d’origine étrangère. Elles appartiennent à une poignée d’acteurs hégémoniques qui imposent leurs règles aussi bien au niveau local qu’international.

Le 21ème siècle est celui de la plateformisation du monde qui impose que la majorité des services numériques soient accessibles uniquement en passant par des plateformes qui concentrent données et traitements et qui contrôlent l’accès aux mondes numériques.

Comme pour la pandémie Covid ou le conflit en Ukraine, qui constituent des révélateurs de nos interdépendances complexes à effet systémique qui affectent tout un chacun dans son mode de vie et son pouvoir économique, la manière de réaliser la transition numérique de la société fondée sur des plateformes numériques que nous ne contrôlons pas, complexifie la maitrise des risques informatiques et en génère de nouveaux.

Des solutions sont possibles

Choisir des acteurs locaux permet une meilleure maîtrise technologique tout en stimulant l’économie locale (emploi, réseau de partenaires, fiscalité,…). Les données stockées et traitées par des logiciels et des infrastructures du pays permet l’application du cadre juridique du pays et de s’assurer par l’usage de technologies « open source », qu’il n’y a pas de point d’entrée cachée exploitée par un fournisseur étranger ou les autorités dont dépendent ce fournisseur. Des Lois extraterritoriales existent comme par exemple le Cloud Act (The Clarifying Lawful Overseas Uses of Data Act (USA, 2018)) qui autorisent certaines autorités à accéder aux données partout dans le monde. C’est pour cela qu’il n’est pas suffisant que les données soient localisée dans un territoire national, il est désormais impératif qu’elles soient traitées par des infrastructures numériques qui permettent que le For juridique du pays puisse s’appliquer afin de contribuer à assurer la cohérence technique et juridique. Cela doit aussi être pris en compte lors de choix des prestataires de cloud computing. Il est crucial de se poser la question de l’origine des logiciels qui traitent les données. Par ailleurs, les bases juridiques sont de plus en plus questionnées comme en témoigne par exemple le fait que le Tribunal administratif fédéral suisse devra statuer prochainement sur le projet de cloud public de la Confédération.

Maîtriser toute la chaîne de valeur du numérique passe aussi par la maitrise non seulement, des données, des traitements et des réseaux mais aussi par la maitrise de l’ensemble des éléments constitutifs de la chaîne de production et de distribution de ces technologies et de leur cybersécurité. Cela comprend par exemple la fabrication des processeurs et des systèmes d’intelligence artificielle. A défaut, la souveraineté numérique revient en réalité à réduire et à maitriser les dépendances stratégiques dans le domaine du numérique.

Un cercle vertueux

Comme pour l’autosuffisance alimentaire, disposer d’une certaine autonomie numérique est possible en s’appuyant notamment sur des solutions de Cloud souverains et sur celles permettant la maitrise de la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie,…).

Assurer des niches d’autonomie, initialiser un cercle vertueux, le développer pour grandir en souveraineté demande une volonté et des actes en cohérence qui consiste dès que faire se peut d’utiliser des solutions qui sont conformes à la définition de la souveraineté numérique et de contribuer à tous les niveaux de développer les capacités et compétences humaines nécessaires.

Cette démarche peut s’inscrire dans une stratégie numérique « responsable et durable » et intégrer divers volets de la numérisation qui pourrait concerner entre autres : la numérisation de la santé ou celle des collectivités territoriales.

En Suisse par exemple, comme dans bien d’autres pays européens, le tissu économique dispose des entreprises possédant un réel savoir-faire dans ce domaine, pourquoi ne pas collaborer avec elles de manière plus soutenue ? Pourquoi ne pas les faire collaborer pour réaliser des mesures concrètes soutenant une vision politique assumée de la souveraineté numérique ?

Cela permettrait d’obtenir une meilleure maîtrise des infrastructures numériques du pays par le fait même que les entreprises partagent les mêmes intérêts et le même cadre juridique avec des relations de proximité durables favorisant la réalisation de solutions sur mesure, indépendamment d’éventuelles pressions exercées par des fournisseurs étrangers.

Cela pourrait également s’inscrire dans une démarche plus efficace de cybersécurité et de protection des données. D’autant plus que des solutions multi-cloud telles que celles retenues par la Confédération helvétique, sont susceptibles d’engendrer une complexité opérationnelle et des défis de sécurité additionnels.

à suivre …

 

***

Au sujet de la souveraineté numérique par Solange Ghernaouti

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données.

Blog Cybersécurité. Le Temps. 10 juillet 2022

https://blogs.letemps.ch/solange-ghernaouti/2022/07/10/pour-une-obligation-dannoncer-dans-quel-cloud-se-trouvent-nos-donnees/

Économie numérique et transhumanisme.

Interview AntiThèse. 7 juin 2022

https://www.antithese.info/videos-antithese/solange-ghernaouti

La souveraineté numérique passe aussi par la sobriété.

The Conversation. 15 Décembre 2021.

https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

Cybersécurité et souveraineté numérique : réponses aux questions que nous recevons avec Solange Ghernaouti. Infomaniak. 7 mars 2022.

https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

Souveraineté numérique.

Interview Radio Libre. 26 février 2022

https://radio-libre.ch/podcast/souverainete-numerique-avec-prof-solange-ghernaouti-le-live/

Cyber allégeance, la triple peine

Blog Cybersécurité.  Le Temps. 19 décembre 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/12/19/cyber-allegeance-la-triple-peine/

Cloud et souveraineté numérique, quelles conséquences ?

Blog Cybersécurité. Le Temps. 23 juillet 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/07/23/cloud-souverainete-numerique-quelles-consequences/

Perte de souveraineté numérique, la faute de trop

Blog Cybersécurité.  Le Temps. 10 juillet 2021.

https://blogs.letemps.ch/solange-ghernaouti/2021/07/10/perte-de-souverainete-numerique-la-faute-de-trop/

Priorité à la défense du vivant et des territoires numériques

Blog Cybersécurité.  Le Temps. 26 aout 2020

https://blogs.letemps.ch/solange-ghernaouti/2020/08/26/priorite-a-la-defense-du-vivant-et-des-territoires-numeriques/

Mobilité 5 G, reprendre le contrôle

Blog Cybersécurité.  Le Temps. 1 février 2019

https://blogs.letemps.ch/solange-ghernaouti/2019/02/01/mobilite-5-g-reprendre-le-controle/

Des espions chinois dans nos machines ?

Blog Cybersécurité.  Le Temps. 17 décembre 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/12/17/des-espions-chinois-dans-nos-machines/

Souveraineté numérique et dématérialisation au Congo-Brazzaville

Blog Cybersécurité.  Le Temps. 19 septembre 2018

https://blogs.letemps.ch/solange-ghernaouti/2018/09/19/souverainete-numerique-et-dematerialisation-au-congo-brazzaville/

Cybersécurité : 5 questions vitales

Blog Cybersécurité.  Le Temps. 16 mai 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/05/16/cybersecurite-5-questions-vitales/

Cybersécurité : l’intérêt collectif est l’intérêt particulier

Blog de l’Académie suisse des sciences techniques (SATW). 20. juillet 2017

https://www.satw.ch/fr/blog/cybersecurite-linteret-collectif-est-linteret-particulier

Cybersouveraineté

Octobre 2017. Mon journal de la Cybersécurité — Saison 1 Cyberconscience. Éditions ISCA Livres, 2022.

https://shop.isca-livres.ch/isca/1075-book-mon-journal-de-la-cybersecurite.html

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données

Au sujet de la souveraineté numérique

Constat

Bien des entreprises comme des administrations publiques (hôpitaux, universités, etc.), qui jusque dans un passé récent, stockaient les données de leurs clients et usagers (c’est-à-dire, les nôtres) dans leurs propres infrastructures (on premise), les ont transférées, dans des infrastructures de cloud étrangères.

Sommes-nous informés que nos données sont passées dans un cloud étranger ? Généralement pas.

Une exigence de transparence

Le passage en mains étrangères de nos données pourtant confiées à des prestataires suisses, notamment à des acteurs publics suisses, devrait faire l’objet d’une obligation de transparence et d’information. Nous devrions savoir dans quel cloud nos données sont stockées, et par quelles entités nos données sont susceptibles d’être traitées.

Dans bien des cas, lorsque de tels transferts de données sont effectués, les organisations se contentent de mettre leurs clients et usagers devant le fait accompli, par exemple en leur transmettant de nouvelles conditions générales. Cette information a posteriori est louable, mais elle ne saurait remplacer une information juste, si ce n’est un accord à priori. Bien souvent, les conditions générales sont souvent rédigées dans des termes complexes et tellement génériques que le client signe une sorte de chèque en blanc à l’entreprise.

Un exemple suivre

La SUVA (Principal organisme d’assurance-accidents obligatoire en Suisse)[1] a consulté le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) concernant « L’externalisation de données personnelles par la Suva vers un cloud de Microsoft ». Les organisations qui externalisent nos données devraient s’inspirer de cette démarche et de la réponse donnée par le Préposé. Son communiqué publié le 13 juin 2022 informe: «En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft. »[2].

Cet exemple emblématique appelle plusieurs réflexions. D’abord, la nécessité absolue de valider avant toute externalisation de données personnelles vers un cloud étranger la réalité de la protection des données dont elles bénéficieront une fois le transfert effectué. Ensuite, la nécessaire information des intéressés, qu’ils soient clients ou citoyens, par rapport au transfert effectué, au prestataire choisi et aux garanties apportées par rapport à la protection des données transférées.

Avant chaque passage vers des solutions cloud, il est impératif d’en questionner les conséquences sur la protection des données personnelles et sur la manière dont cette dernière sera assurée par le nouveau prestataire. De plus, disposer de serveurs et de centres de données (data centers) en Suisse ne suffit pas. En effet, comme je le précise dans une interview de mars 2022 « La nationalité du prestataire de service et du développeur des logiciels qui traitent les données est encore plus importante que celle de la localisation géographique des serveurs. L’argument tentant de justifier la sécurité par le fait que les serveurs sont en Suisse est souvent d’ordre marketing et publicitaire. Il induit un sentiment de sécurité non fondé. Les lois extraterritoriales comme les lois Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) américaines, s’appliquent aux fournisseurs de logiciels (Microsoft, Amazon, Oracle, Google, …) qui stockent et traitent les données hébergées en Suisse. Être un partenaire ou intermédiaire suisse ou européen de plateformes américaines ou chinoises ne suffit donc pas à réaliser la cybersouveraineté. »[3].

Par ailleurs le rapport 2022 sur la sécurité des données dans le Cloud de la société Netrix[4] rapportait que 53% des organisations consultées avaient subie des cyberattaques sur leur infrastructures cloud dans l’année écoulée. Cela a conduit pour 49% d’entre elles, à des coûts supplémentaires de sécurité pour résoudre les problèmes.

Proposition concrète : l’obligation d’annoncer

Au regard de la réalité des cyberattaques, des incidents de sécurité et des pertes de maitrise des données et des fuites de données, il est non seulement urgent d’en comprendre l’ampleur et également de connaitre les responsabilités des acteurs impliqués.

A ces fins, il devient nécessaire d’imposer une obligation d’annoncer auprès d’autorités compétentes et des personnes concernées dans quel Cloud leurs données (les nôtres) sont stockées. Comme cela devrait être d’ailleurs fait dans tous les cas de cyberattaques et d’incidents de sécurité conduisant à des pertes de données, cela doit s’appliquer à toutes les organisations concernées et pas seulement à celles liées à des infrastructures critiques.

C’est cela aussi la transparence et le début de la reconquête de la souveraineté numérique.

 

Notes:

[1] https://www.suva.ch/fr-ch/assurance/assurance/l-assurance-accidents-selon-la-laa

[2] https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-591498255

[3]Solange Ghernaouti  https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

[4] Cloud Data Security Reports 2022 : https://www.netwrix.com/2022_cloud_data_security_report.html

 

Guerre & Paix

En octobre 2019, la Fondation Martin Bodmer[1] inaugurait une exposition intitulée « Guerre et Paix » organisée en partenariat avec le Comité international de la Croix-Rouge (CICR) et l’Organisation des Nations unies (ONU), pour apporter des éléments de réponse à la question « Comment penser et limiter la guerre, comment construire la paix? »[2]. Un magnifique catalogue l’accompagnait, publié dans la collection « Beaux livres » de Gallimard[3].

La quatrième de couverture présente l’ouvrage en ces termes :

« Cet ouvrage, vise à retracer le dialogue immémorial entre la nature guerrière de l’homme et son profond désir de paix. Depuis l’Antiquité, l’homme n’a jamais cessé de penser, de justifier, de conduire et de glorifier la guerre, mais il s’est aussi toujours attaché à vouloir limiter ses pires abus, à la condamner pour ses ravages, et à imaginer et travailler à la construction d’un monde plus juste et plus pacifique. Cette dialectique se prête aux éclairages pluriels de la littérature et des beaux-arts, de l’anthropologie, de la philosophie et de la psychanalyse, du droit et des sciences politiques. Œuvres littéraires, affiches de propagande, enluminures et gravures dialoguent avec des documents d’archives, à travers trois sections assorties d’essais des meilleurs spécialistes : la genèse de la guerre, le temps de la destruction, le pari de la paix. »[4] .

Après m’être demandé ces deux dernières années comment être en santé dans un monde de malades ? je me pose la question de savoir comment être en paix dans un monde en guerre ? mais est-ce réellement une bonne question ?

Un enfant me demanderait sans doute « Pourquoi la guerre ? » comme il aurait pu me demander « Où va la musique quand elle s’arrête ? »

Que répondre ? sinon par une autre question « Pourquoi n’avons-nous pas appris de l’Histoire ? »

Aujourd’hui le titre du roman de Tolstoï m’interpelle toujours. J’ai contribué à l’ouvrage collectif « Guerre et Paix » de la Fondation Martin Bodmer – Gallimard, par un chapitre intitulé « De l’énergie informationnelle à la cyberguerre » (p.141 – 147) afin de trouver dans l’histoire des deux derniers conflits mondiaux et à travers du prisme de la maitrise de l’énergie, des clés pour comprendre le monde dans lequel nous vivons. Comprendre les enjeux et défis de l’énergie numérique et ceux géopolitiques, sociaux, culturels et économiques associés est indispensable, me semble-t-il pour penser la cyberpaix.

En voici un extrait :

…En grec energeia signifie “force en action”. Dans son acception courante l’énergie fait référence à la force, au pouvoir, à la vigueur, à l’efficacité. Depuis, la maitrise du feu, le monde s’est façonné autour du contrôle de l’énergie, des sciences et techniques et des moyens de communication. Au 19ème siècle, le transfert d’énergie et sa compréhension physique sont à la base de la révolution industrielle et de l’industrie de l’armement. Cela marque le début de la transformation de l’art de faire la guerre et celle du champ de bataille.

Lors de la première guerre mondiale, l’énergie chimique fait son apparition sur le champ de bataille via les gaz de combat. De nouveaux moyens de transport (voitures, camions, tanks, sous-marins et aéronefs) permettent de se déplacer, de soutenir la logistique, de projeter de la force, d’observer et de renseigner.

Les travaux du mathématicien anglais Alan Turing durant la Seconde Guerre mondiale ont permis l’essor du codage et du décodage de l’information, de la programmation et des ordinateurs. La maîtrise de l’atome, avec l’explosion en 1945 des premières bombes atomiques au Japon, marque une rupture dans l’expression du pouvoir de destruction. L’énergie physique devient un instrument de destruction totale effaçant de facto les frontières traditionnelles du champ de bataille et celles entre les populations civiles et militaires. La destruction potentielle de toute vie humaine a contribué à l’émergence d’une guerre improbable, mais pas impossible, et a conduit à la guerre froide (1947 – 1991).

Durant la guerre froide et de manière concomitante à la conquête de l’espace[5], le réseau Internet naît d’une initiative du département de la défense des USA (DoD)[6] et marque le début du développement des autoroutes de l’information et de l’énergie informationnelle. Désormais, l’information et le code informatique sont des armes pour faire la guerre par d’autres moyens et projeter du pouvoir hors de ses frontières. …

La suite de ce chapitre sur la conquête de l’espace extra-atmosphérique et du cyberespace, sur l’infoguerre et la cyberguerre et sur l’invention de l’internaute -soldat, de la guerre banalisée et globale est à lire dans la version de 2019 de Guerre et Paix.

L’histoire se répète.

Déstabiliser, dominer, soumettre, détruire, contrôler, la guerre même au 21ème siècle et à l’heure de la cyberguerre, reste une guerre, une violence imposée par certains à d’autres semblables.

N’avons donc rien appris des conflits précédents ?

Serons capables d’arrêter la spirale de la violence partout où elle s’exprime de quelle que manière que cela soit ?

Serons-nous capables de faire vivre un esprit de fraternité qui l’emporterait sur l’esprit de défense collective au cœur du traité fondateur de à l’OTAN[7] et qui rendrait ce dernier inutile?

Si nous considérons que nous sommes l’avenir de l’humanité, est-il si difficile à comprendre que sans fraternité au sens large (ce qui inclus le respect de notre environnement et de tous les autres) nous n’avons pas d’avenir ?

Pouvons-nous grandir en sagesse, nous individuellement et collectivement ?

Dans l’impossibilité de répondre à la question « Pourquoi la guerre ? », peut-être faut-il saisir l’opportunité de questionner notre hyperconnectivité sous l’angle de l’interdépendance pour comprendre que ma cybersécurité dépend de celle de mon voisin, que l’effet  papillon  concerne aussi la guerre et la paix et que finalement le slogan de la contreculture américaine des années soixante « faites l’amour, pas la guerre f» est toujours d’actualité.

***

Notes:

[1] https://fondationbodmer.ch

[2] https://www.bilan.ch/opinions/etienne-dumont/la-fondation-martin-bodmer-se-penche-sur-la-guerre-et-la-paix

[3] Édition publiée sous la direction de J. Berchtold, N. Ducimetière, P. Hazan et C. Imperiali. Albums Beaux Livres Gallimard, 2019. 332 pages. https://fondationbodmer.ch/product/guerre-et-paix/

[4] https://www.gallimard.fr/Catalogue/GALLIMARD/Albums-Beaux-Livres/Guerre-et-Paix#

[5] Mission du programme spatial américain Apollo 11, le 20 juillet 1969 l’astronaute américain Neil Armstrong marche sur la lune.

[6] Dans les années 60s dans le cadre de l’Agence pour les projets de recherche avancée de défense (DARPA).

Le système de positionnement géographique par satellites (GPS) a été aussi conçu par le DoD à des fins militaires dès 1973, complètement opérationnel en 1995 et ouvert aux applications civiles en 2000.

[7] Organisation du traité de l’Atlantique Nord (OTAN / NATO) “une attaque contre un membre de l’Alliance est considérée comme une attaque dirigée contre tous les Alliés”

https://www.nato.int/cps/en/natohq/topics_110496.htm?selectedLocale=fr

 

Cyber allégeance, la triple peine

Le contexte

L’allégeance est une obligation de fidélité et d’obéissance qui a pour corolaire la soumission.

La cyber allégeance est celle faite aux plateformes numériques auxquelles personnes et organisations publiques et privées sont devenues dépendantes.

Première peine :  Dépendance & Rente à vie

Dans mon article « La souveraineté numérique passe (aussi) par la sobriété »[1], je relève que la dépendance instaure une asymétrie du pouvoir entre utilisateurs et pourvoyeurs d’infrastructures et de services. Ces derniers peuvent à leur gré, selon les circonstances et en fonction de leurs intérêts, modifier leurs conditions d’utilisation et leurs coûts. C’est une logique d’abonnement à des services qui s’est mise en place en même temps que la plaformisation informatique. Ainsi, opter pour des solutions « Cloud » (ce qui constitue un choix généralement irréversible), contribue aussi à renforcer une économie du numérique basée sur la rente. Cette économie de rente profite à ceux qui l’imposent. Le prix de la dépendance est celui de la rente à vie pour certains et des coûts structurels pour tous les autres dont leurs propres données ne leur appartiennent plus dans la mesure où elles sont dépendantes de la location d’outils détenus par des tiers pour les accéder et les manipuler.

Deuxième peine : Insécurité & Défiance by design

Désormais, du fait de la réalité des cyberattaques, il est impossible d’ignorer que tout ce qui est connecté est piratable et que l’ampleur de la cybercriminalité et de ses impacts sur la société ne cessent d’augmenter. La surface d’attaque s’étend avec le nombre de personnes, de systèmes et d’objets connectés à Internet. Plus il existe de connectivité et d’informations échangées, plus le nombre de cibles croit, plus les opportunités de cybermalveillance s’amplifient, grossissant de facto, le nombre de victimes et d’institutions touchées.

Force est de constater qu’il est difficile de mettre les cyber risques sous contrôle. Dans son rapport « The global risk report de 2021”[2], le World Economic Forum identifie le défaut de cybersécurité, comme constitutive de la 4ème des menaces critiques. De facto, la cybersécurité, telle qu’elle est pratiquée est insuffisamment efficace. Elle l’est d’autant moins depuis les affaires « Solarwind » (2020)[3], « Kaseya »[4] et « Log4shell »[5] (2021) emblématiques de la confiance définitivement perdue dans les produits et les capacités des fournisseurs impliqués respectivement dans les chaines d’approvisionnement de la sécurité, dans la gestion des infrastructures IT et dans ce qui a trait à la journalisation des informations. Ces trois cas sont en lien direct avec la manière de réaliser la sécurité informatique. En outre, et pour ne citer que deux exemples, des défauts de sécurité dans des protocoles cryptographiques SSLv3[6] (2014) ou dans des processeurs[7] (2018) sont connus et pourtant nous continuons à les utiliser. Dans ces conditions, est-il encore possible d’obtenir une assurance raisonnable d’une sécurité effective ?

Nous acceptons le numérique, son écosystème, son économie, ses usages positifs mais aussi ses dérives, ses vulnérabilités, et le fait qu’il instaure un nouvel ordre du monde basé sur la normalisation des comportements, la transparence totale des êtres, le contrôle et la surveillance permanence. Le numérique permet de gérer et de piloter une société, une ville, les espaces publics et privés, un hôpital ou encore par exemple, une école, comme une entreprise, selon des critères de rationalité et de performance économiques. Le big data et l’intelligence artificielle permettant plus de rationalité économique, d’automatisation, de prédiction et de contrôle algorithmique, ont facilité le renversement de paradigme qui consiste à considérer tout le monde comme coupable par anticipation. Ce qui justifie de disposer de toujours plus de surveillance et de contrôles.

La surveillance de masse qui procure un faux sentiment de sécurité mais qui est efficacement redoutable du fait de l’intrication des mondes physique et cyber et de l’omniprésence du numérique dans tous les aspects de la vie (QRCode, reconnaissance faciale, achat, …), porte atteinte aux droits humains fondamentaux[8] et par conséquent, à la sécurité des personnes.

Depuis longtemps déjà, la possible manipulation cognitive via la désinformation est incarnée au travers d’Internet. Au-delà de la publicité et des influenceurs de toutes sortes, des fake news, des deep fakes, des opérations de manipulations de personnes et de l’opinion publique, à des fins commerciales ou politiques, existent. Personne n’échappe à différentes formes de propagande et d’endoctrinement habilement organisées et parfois, personnalisées ou travesties sous couvert de divertissement.

L’impossibilité de distinguer le faux du vrai est un facteur d’insécurité et de défiance généralisée.

Troisième peine : Impossibles réparation & réversibilité

La troisième peine découle des deux premières. Il s’agit de l’irréalisable possibilité d’une quelconque forme de réparation pour les victimes de cybernuisances et de cyberviolences dans la mesure où elles n’ont pu être évitées et que la « Justice » est rarement opérande. De plus, comme pour le climat, les choix technologiques effectués engagent également les générations à venir. Les conséquences du « tout numérique » notamment en termes environnemental (épuisement des ressources naturelles) et sociétal (dépendance au numérique) sont irréversibles, sinon peut être, en dehors d’un effondrement généralisé, du fait notamment, de l’incapacité potentielle à éviter des ruptures d’approvisionnement en électricité.

Perspective faustienne

Parfois, dans la littérature l’allégeance peut faire référence à l’allégement, à l’adoucissement, au soulagement, à l’atténuation, mais aujourd’hui, la seule référence littéraire à laquelle l’allégeance me fait penser est liée à Goethe et à Faust.

Faust pactise avec Méphistophélès qui lui promet jeunesse et jouissance en échange de son âme. Faust accepte sans illusion.

Comme Faust, nous pactisons.

Comme Faust, sans illusion.

 

***

Références

[1]Article du 15 décembre 2021 qui analyse les conséquences de la dépendance numérique tout en faisant le lien entre les problématiques environnementale, de cybersécurité et de cybersouveraineté, disponible sur le site The Conversation https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

[2] https://www.weforum.org/reports/the-global-risks-report-2021

[3] https://www.schneier.com/blog/archives/2020/12/how-the-solarwinds-hackers-bypassed-duo-multi-factor-authentication.html

[4] https://www.reuters.com/technology/kaseya-ransomware-attack-sets-off-race-hack-service-providers-researchers-2021-08-03/

[5] Faille Log4J https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

[6] Faille Poodle https://cert.ssi.gouv.fr/alerte/CERTFR-2014-ALE-007/

[7] Failles Spectre et Meltdown https://www.kaspersky.fr/blog/35c3-spectre-meltdown-2019/11315/

 

How Digital Ecosystem and Practices Increase the Surveillance System’s Performance and Generate New Risks for Human Rights

J’étais enfant au temps des nanotechnologies et de la surveillance de masse

Fable de l’ère numérique

 

J’étais enfant au temps des nanotechnologies, c’était juste après la première grande pandémie.

Des promesses avaient été faites sur les bienfaits des nanotechnologies permettant de créer aussi bien des matériaux intelligents, que des habits, des médicaments ou des vaccins, capables d’être au service de la santé personnalisée des individus, de la construction, de l’isolation thermique, de la production d’énergie renouvelable ou d’eau potable, comme aussi de la dépollution par exemple.

Petits et grands rêvaient de l’arrivée de cette ère ultra technologisée pour sortir de l’impasse environnementale qui avait été créée par la surconsommation des ressources de Dame Nature par les générations antérieures. Ils pensaient que les nanotechnologies allaient remplacer et pallier les ressources épuisées – qui faisaient défaut – en créant de nouvelles ressources artificielles bio-inspirées, en abondance.

Beaucoup croyaient que les dégâts environnementaux créés par le pouvoir de la science et des techniques, allaient être réparés avec toujours plus d’innovations technologiques. Une fuite en avant technologique en a résulté et les promesses d’hier se sont transformées en un enfer quotidien.

Personne alors, ne pensait à la catastrophe écologique due à la fabrication et à l’usage des nanotechnologies et à leurs déchets non recyclables auxquels nous sommes encore confrontés aujourd’hui. Ainsi, force est de constater que les nano et bio technologies, que l’informatique et les sciences cognitives (ils les appelaient dans ce temps-là, les NBIC), ont résolu certains problèmes, seulement au prix de l’épuisement de certaines ressources et du déplacement des effets négatifs.

En effet, à l’endroit où les nanotechnologies étaient consommées, tout semblait à très court terme, aller au mieux mais les effets rebonds des usages et fabrication extensive des Nano-Trucs ont eu des conséquences dramatiques sur le monde hyperconnecté et globalisé alors en place et les NBIC ont au final contribué à accentuer le manque de matières premières.

La Science et la Technique avec leur cohorte de gourous, d’économistes, de communicants (alors qualifiés de pédagogues) et promoteurs divers, soutenus par des personnes en charge de l’Administration Globale et du Contrôle Intégré (l’AGCI) furent de véritables illusionnistes. Ils opéraient comme le font les magiciens, en détournant l’attention de la population sur ce qui était délibérément rendu visible pour mieux opérer à l’insu de tous. Dans ce temps-là, tout le monde était fasciné par le progrès technique, comme pouvaient l’être les petits enfants qui croyaient au Père-Noël, au 20ème siècle.

La miniaturisation des équipements électroniques, véritable prouesse technologique, a donné naissance à la nanoélectronique dont les composants de l’ordre de grandeur du nanomètre, peuvent facilement être ingérés où insérés par simple piqûre relativement indolore, dans les corps des organismes vivants.

Cette méthode consistant à injecter dans le corps des composants électroniques avait commencé avec le puçage des animaux sauvages – pour mieux les suivre à la trace – mais aussi avec celui des animaux domestiques comme les chiens par exemple, dont l’identification par puce électronique était devenue obligatoire au début du 21ème siècle. A l’époque, ma grand-mère Germaine, se souvenait que personne n’y avait trouvé à redire, bien que personne ne sût ni à quoi cette innovation servait en pratique, ni ce qu’elle apportait de plus aux chiens, ou à leurs propriétaires dont personne n’avait d’ailleurs sollicité l’avis. « Pas de puce électronique, pas de chien ! ». Cela concernait tous les chiens, petits ou grands, chiens d’aveugles y compris. La liberté d’avoir un chien passait impérativement par la non-liberté d’avoir un chien sans une puce électronique dans le cou.

C’est comme cela que tout a commencé disait Germaine, à qui voulait l’entendre, avant que le Nouveau Contrat Social (NCS) soit imposé, d’abord aux professeurs (avant que leur métier disparaisse), puis à toute la population, à l’exception des Agents de la Force Spéciale de l’AGCI, avant donc qu’elle ne puisse plus s’exprimer à cause du système à points du Control Social Sécurisé (CSS) qui permettait ou non, d’accéder à des facilités indispensables à la vie de tous les jours.

Au début, s’autorisait-elle parfois à se rappeler à elle-même en marmonnant, lorsqu’elle pensait être hors des yeux et des oreilles des assistants domestiques électroniques (les désactiver étaient devenus progressivement impossible et les détecter également du fait de leur miniaturisation et de leur présence insoupçonnable dans toutes sortes d’équipements), Germaine se disait donc, qu’avant, personne n’aurait pu croire que le VPP, le Vital Pass Personnalisé –systèmes d’accès à base de QRCode – allait devenir l’Instrument de surveillance du CSS et du contrôle de tous les faits et gestes de chacun, et cela en permanence.

Graduellement, aucun comportement, aucun déplacement, aucun contact, aucune activité ne pouvait plus se réaliser sans un enregistrement dans la base de données contrôlée par l’AGCI. Personne ne connaissait la vie cachée de ces données enregistrées, ni ne savait quels traitements informatiques étaient appliqués. En revanche, tous savaient que de leur comportement et du nombre de points associé à leur profil, dépendraient des autorisations pour accéder à des services, des lieux, des moyens de transport. Même le droit d’accéder à l’éducation ou au travail en dépendait.

Tout un système de bons points et de mauvais points avait été élaboré et mis en place pour « normer » la vie des individus, pour leur sécurité et leur bien-être.

Complètement obscur, le barème des bonus/malus pouvait changer en fonction des circonstances et des personnes. C’était un système agile et dynamique s’adaptant en temps réel aux exigences de l’AGCI et des personnes ciblées, notamment celles identifiées par les Agents et leurs systèmes d’intelligence artificielle, comme étant des personnes à risques.

C’est à cette époque également, que les nanoparticules de silice, de carbone, de fer, d’or et d’argent, de tungstène, de dioxyne de titane, d’oxyne d’aluminium ou de zinc, par exemple, pouvaient servir d’additifs à toutes sortes de produits (peinture, objets du quotidiens, habits, cosmétiques, crèmes solaires, aliments…). Leur dispersion dans tous les environnements était censée augmenter le confort et la santé des personnes, mais aussi leurs prouesses physiques, psychiques et physiologiques. Ainsi, avec les nanomatériaux, tout devenait intelligent : emballages, poubelles, déchets, crèmes réparatrices, lessives et détergents, denrées et arômes alimentaires…. Le règne des poussières intelligentes devait enfin permettre d’accéder au bonheur technologique et faisait rêver les mêmes qui croyaient au Père-Noël mais aussi ceux persuadés que l’humanité aurait tout à y gagner, y compris l’immortalité, en passant du stade de l’Anthropocène à celui du Robotocène.

Réduire la taille des composants pour les rendre invisibles fut concomitant à la dématérialisation de toutes les activités humaines, par le traitement et la communication de données informatiques ; même les échanges, quelles que soient leurs finalités, étaient devenus d’une certaine manière, invisibles car numériques et par certains côtés, immatériels. Ils étaient des flux de données informatiques entre ordinateurs. L’automatisation et la virtualisation furent les deux faces indissociables de la rupture numérique et de la plateformatisation de la société axées sur la performance et la rentabilité économique pour certains.

Aujourd’hui, moi qui vous parle, je suis un vieillard, alors que le livre de science-fiction Soleil vert[1] paru il y a une éternité (interdit depuis longtemps par le CSS) est devenu notre réalité, à nous les vieux qui tentons désespérément de dérobotiser les activités, de les ré humaniser, de créer des emplois locaux pour que la créalisation[2] des biens et des services se fasse, par des humains, au plus près de ceux qui en ont besoin. Depuis plus de vingt ans les seuls emplois disponibles sont ceux liés à la maintenance des systèmes informatisés qui consistent à appliquer des procédures dictées et contrôlées par des logiciels. Toutes les personnes dont les métiers étaient liés à l’accueil et aux services furent systématiquement remplacées par des automates et robots de toutes sortes, ou encore par des télétravailleurs situés dans des pays où la main-d’œuvre et la matière grise coûtaient moins cher. Ainsi les métiers qui avaient échappé à la mécanisation, à la robotisation, à la machinisation informatique ont été externalisés dans des pays tiers, cela concernait tous les domaines d’activités, tous les services, tous les professionnels (juristes, comptables, médecins, coachs, …). Les connaissances étant devenues disponibles à un plus grand nombre, partout dans le monde, du fait de la mise en réseau des logiciels d’apprentissage.

Maintenant que ma vie sur Terre est en passe de devenir un souvenir pour ceux qui l’ont partagée et qui me survivront, je m’emploie avec beaucoup d’autres, à réinventer le concept de dignité humaine et à montrer la voie d’une civilisation soutenable d’un point de vue technologique. Se débrancher et se déconnecter sont devenus une évidence et pas seulement pour pouvoir voire les étoiles la nuit.

Nous tentons de réinstaurer la robustesse et la simplicité des objets du quotidien et des outils, pour les faire durer et pouvoir les réparer si nécessaire.

Nous ne mettons en œuvre et nous n’utilisons que des systèmes techniques que nous maitrisons complètement, c’est-à-dire durant tout leur cycle de vie et dès leur conception.

Nous luttons, ayant compris les limites du recyclage et de la logique « du tout jetable », contre l’obsolescence programmée des êtres, des choses et des territoires.

Nous oublions la recherche de la performance à tout prix et faisons-en sorte que le beau et l’esthétique ne soient pas au service du consumérisme qu’il soit de la culture ou de la mode par exemple.

Nous œuvrons à ce que l’économie ne soit plus basée sur la création infinie de nouveaux besoins et désirs, mais sur la manière de répondre aux besoins fondamentaux par un minimum de ressources.

Je suis convaincue que Germaine aurait apprécié cette démarche de sobriété technologique heureuse, car assumée, alors qu’elle n’a connu, me semble-t-il, que des choix technologiques imposés par les autorités, puis dictés par la pénurie des ressources. En fait, celle-ci fut essentiellement engendrée par l’épuisement relativement rapide, à l’échelle de la planète, des composants comme les terres rares[3], nécessaires à la fabrication des équipements électroniques.

En quelques années, la demande infinie de nouveaux équipements électroniques et usages informatiques, avec des besoins énergétiques toujours croissants, a dû être limitée, et certains services et facilités ont même dû être d’abord restreints puis carrément interdits. Ainsi par exemple, la raréfaction du Lithium qui fut surexploité pour fabriquer des batteries pour trottinettes, vélos, voitures et autres moyens de locomotion qualifiés d’écologiques au début du 21ème siècle, parce que ne libérant pas de CO2 là où ils sont utilisés (mais engendrant des problèmes de pollution liés à l’extraction des matières premières nécessaires à leur fabrication, puis liés à leurs déchets, c’est-à-dire, ailleurs), aura eu comme avantage d’empêcher entre autres, la fabrication des drones de surveillance et de coercition opérant sur terre, sous la mer et dans les airs ; ce fut le début de la fin de la surveillance de masse, ce qui pour certains était une catastrophe, pour d’autres, une opportunité d’agir pour que demain soit différent mais en mieux.

Notes

[1] Soleil vert, Harry Harrison 1966 (film au nom éponyme inspiré du livre de Richard Fleischer, 1973).

[2] Néologisme inventé par ma grand-mère à partir de création et réalisation

[3] Terres rares : Matières minérales (regroupant le scandium, l’yttrium, et quinze lanthanides (Lanthane, Cérium, Praséodyme, Néodyme, Prométhium, Samarium, Europium, Gadolinium, Terbium, Dysprosium, Holmium, Erbium, Thulium, Ytterbium, et Lutécium)) considérées comme stratégiques car utilisées dans des produits de hautes technologies.

Cloud et souveraineté numérique, quelles conséquences ?

La souveraineté numérique est synonyme d’indépendance, pour un État mais aussi les organisations et les individus. Or, la dépendance en matière de « cloud » à des fournisseurs étrangers posent en particulier trois types de problèmes :

Premièrement, pouvoir impérativement s’assurer d’avoir la possibilité de vérifier précisément ce que deviennent données et traitements confiés à une plateforme. Obtenir les logs (les enregistrements de toutes les opérations effectuées) et pouvoir auditer les environnements sont nécessaires. Cela est rarement possible ou alors à des prix exorbitants additionnels (ces facilités ne sont généralement pas incluses dans le contrat initial). Il est de plus, parfois impossible à postériori, de savoir comment les données sont traitées, qui les a accédées, ce que font les traitements notamment lorsqu’ils sont réalisés par des applications propriétaires dont le code source n’est pas accessible.

Le deuxième point est lié au droit applicable à la plateforme. Avoir la maitrise de la dimension juridique échappe à l’État qui utilise des fournisseurs émanant de certains pays étrangers qui ont imposé des lois extraterritoriales permettant à leurs autorités d’accéder aux données.

Le troisième problème est lié à la pérennité et aux coûts engendrés par l’asymétrie de la relation entre utilisateurs et fournisseurs de Cloud qui peuvent à leur gré, imposer, modifier des conditions d’utilisation, augmenter leurs tarifs mais aussi éventuellement empêcher l’accès aux services Cloud. Comment être sûr sur le long terme de la stabilité de l’environnement alors que le retour arrière comme la migration vers d’autres plateformes sont généralement impossibles ? La non-réversabilité des choix est réelle (car techniquement très difficile et économiquement pas soutenable), ce qui de facto dissuade et empêche le passage à la concurrence en la rendant infaisable.

En bénéficiant d’une position dominante, les géants du Net peuvent faire pression sur les prix pour capter des clients et s’imposer sur un marché. Ils savent également proposer des offres intégrées de services et applications qui peuvent être alléchantes. Ils jouent avec les moyens que leur procure leur taille, une palette étendue de services, leur capacité monétaire et leur position hégémonique.

Le recours que Google a notifier à la Confédération helvétique[1] contre l’adjudication rendue le 24 juin 2021 pour son Cloud, s’inscrit dans une logique de compétitivité extrême que se livrent les multinationales du numérique. Cela est emblématique de l’importance des enjeux pour gagner la bataille du Cloud et est révélateur de la puissance et des avantages stratégiques que peut procurer un marché étatique. Tout cela se réalise à la barbe de la population, sur le dos des contribuables et au regard des entreprises régionales du numérique, témoins démunis de la bataille des géants.

La souveraineté numérique devrait être au cœur des décisions politiques car le numérique constitue un levier de la souveraineté étatique et est indissociable de l’économie et de la vie de tous. Cela devrait se décliner non seulement dans des toutes les politiques (comme celle de politique de sécurité pour ne citer qu’un exemple) et devrait être aussi matérialisée par une action publique cohérente de soutien à l’écosystème numérique local. Cela devrait contribuer à son développement et à mieux protéger les données, les territoires numériques, la propriété intellectuelle, les savoir-faire, les capacités à développer de nouveaux services ou encore les emplois dans le pays. Pour faire ce type de choix, il faut consentir sans doute à ne pas privilégier des critères de performances et de prix et à ne pas succomber aux sirènes de la facilité.

Choisir des multinationales hégémoniques, c’est peut-être avoir l’illusion de faire des économies à très court terme et de pouvoir se rassurer en arguant avoir choisi les meilleurs acteurs du moment, même si les problèmes surviennent ultérieurement. Ce faisant, la dépendance envers ses fournisseurs et pays desquels ils sont des champions nationaux (soutenus eux, par leurs gouvernements respectifs) ne fait que croitre. Ces derniers ayant bien compris que maitriser les solutions « Cloud » et de les imposer est le meilleur moyen de s’approprier la richesse numérique ainsi que les moyens de la produire et de la faire fructifier.

Penser la souveraineté numérique (et la réaliser) est désormais un enjeux stratégique majeur.

Choisir des acteurs étrangers, c’est choisir à qui être inféodé. C’est aussi renoncer à contribuer à développer une souveraineté numérique aux services de ses citoyens, ce qui impacte nécessairement les capacités de cyberdéfense et d’autonomie stratégique d’un pays dans tous les domaines, y compris dans celui de l’intelligence artificielle.

Le retard pris ne se rattrape jamais comme nous le rappelle Jean de La Fontaine dans sa fable Le lièvre et de la tortue « Rien ne sert de courir ; il faut partir à point ». La véritable innovation technologique ne serait-elle pas d’arrêter de perdre du temps en réalisant de mauvais choix stratégiques ?

Notes

[1] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84506.html

Perte de souveraineté numérique, la faute de trop

En 2021 la Confédération helvétique choisi des services Cloud fournis par des acteurs hégémoniques de l’Internet dont quatre sont américains (Amazon, IBM, Microsoft et Oracle) et un chinois (Alibaba). Dans ces conditions, la souveraineté numérique de la Suisse, n’est pas possible.

Le fait d’être dépendant de ces fournisseurs, qui deviennent indispensables au bon fonctionnement de la société, et qui par conséquent fait perdre la maitrise de nos territoires numériques, peut être considéré comme une faute stratégique.

Ce faisant, nous continuons à augmenter notre dépendance informatique envers ces géants du numérique, tout en renforçant à notre détriment, leur pouvoir et leur puissance. Chaque renoncement dans ce sens, chaque nouveau contrat passé, augmente notre soumission et notre incapacité à développer nos propres solutions ou à renforcer celles existantes y compris celles européennes. De ce fait, les acteurs locaux sont affaiblis et l’émergence d’acteurs nationaux et leur développement est illusoire.

Aucun discours vantant la Suisse digitale, sa « Trust Valley », la qualité de sa formation, ses centres de compétences, ses incubateurs de start-ups, ainsi qu’aucune action promotionnelle de l’écosystème numérique suisse, ne peuvent pallier la réalité de l’abandon stratégique de nos données et traitements, ni pallier celle de notre soumission volontaire aux géants du Net.

Cette mise sous tutelle additionnelle, contribue à faciliter les écoutes et la surveillance numérique. Ainsi les capacités d’espionnage, qui sont également mises au services agences gouvernementales des pays de ces fournisseurs, affaiblit nos actions dans les domaines économique, politique, diplomatique et militaire. Choisir ces acteurs, c’est leur offrir le moyen de saboter nos infrastructures dépendantes de leurs services et de leur bon vouloir.

En leur donnant un avantage stratégique concurrentiel de première importance et un levier d’influence géopolitique et économique, a-t-on au moins négocié des contreparties intéressantes ?

En acceptant la dépendance technologique, nous acceptons également celle économique, normative et juridique qui en découle. Ainsi va la souveraineté nationale de la Suisse, un bien bel exemple pour le reste du monde.

 

 

QR Code, de quoi es-tu le nom ?

Du code-barres au QR Code

Ce petit pictogramme qui envahit nos espaces et nos vies, que nous utilisons souvent sans vraiment le connaitre, est pour certains une véritable œuvre d’art porteuse d’informations codées aux design et graphisme esthétiques, pour d’autres, un moyen commode d’effectuer un service. Pour la majorité des usagers de la téléphonie mobile et de l’Internet, il est juste une pratique numérique devenue banale pour notamment accéder, consommer, payer, échanger, se déplacer et activer automatiquement des applications par exemples. Il s’inscrit dans l’évolution du code barre qui fut inventé aux USA, vers la fin des années 1940, commercialisé – avec ses lecteurs de code, une vingtaine d’années plus tard, afin de gérer, contrôler, suivre des entités.

 

De l’usage militaire à sa banalisation dans le civil

Depuis 1981, le DoD (Département de défense nord-américain) a intégré le code à barres comme moyen de gestion de la logistique des équipements militaires, le suivi et le contrôle des déplacements via le système LOGMARS (The Logistics applications of automated marking and reading symbols[1]) devenu une référence du domaine.

Une fois de plus en technologies de l’information, des applications civiles des avancées militaires se sont développées en même temps que le monde des affaires se les ont appropriées. Le dispositif du code-barres pour le marquage et le suivi d’entités dans une logique de contrôle, de performance et d’optimisation est alors devenu incontournable. Cela permet de mettre en œuvre des fonctions d’identification, de surveillance, de gestion et de contrôle. Le marché de l’utilisation et des équipements de lecture des codes-barres (scanners), n’a eu de cesse, depuis, de progresser et de s’amplifier.

A partir des années 2000, outre la banalisation de l’usage du code à barres pour les produits du quotidien, pour le client afin de payer ce qu’il consomme ou pour le commerçant, gérer ses stocks, les individus se sont habitués à cette manière d’être identifiés et contrôlés, en particulier lors de leurs déplacements en avion, par l’usage de cartes d’embarquement, le code-barres permettant sans ambiguïté d’identifier parfaitement une personne et ses caractéristiques de vol.

 

Spécificités du QR Code

Pour pallier les limites du nombre d’entités à coder par l’usage de barres et étendre le nombre de possibilités de codage et donc de représentations d’informations différentes, un ingénieur japonais eut l’idée, dès 1997, de coder l’information de marquage, non plus sous forme de barres, mais d’une matrice de points, le pictogramme. Trois ans plus tard, la norme internationale (ISO/CEI 18004)[2] qui définit et spécifie la symbolique du QR Code et les caractéristiques de la technologie d’identification automatique et de capture des données, existait. Les premiers usages le furent dans le contexte de l’industrie automobile, pour le traçage et le suivi des équipements notamment dans des chaines de montage.

Les téléphones mobiles ont largement contribué à rendre courant l’usage de symboles représentés selon le format QR Code, et leur lecture intégrée (du fait de la caméra qui se substitue à un scanner particulier), dans tous les domaines d’activité, que cela soit dans des contextes professionnels ou privés.

Le QR Code est une représentation d’une information qui n’est pas compréhensible par un humain, mais qui l’est par une application capable de déchiffrer les données codées dans l’image symbolique.

 

Le laisser passer (ou non)

Le QR Code est un certificat numérique qui permet de coder toutes sortes d’informations (géolocalisation, codes WiFi, Bitcoin, contacts de messagerie, de téléphonie, Zoom, …). Il n’y a pas de limite à la nature des informations et donc aux usages possibles (activation automatique d’une application de navigation, d’un service de messagerie, d’un texte, …).

Le QR Code constitue un passeport numérique permettant d’identifier une entité et un service avec des éléments qui les caractérisent, pour être utilisé par d’autres entités.

En scannant un QR Code (sur un produit, une porte, un document, un site web, un écran…) via son téléphone, la personne autorise « son téléphone » à envoyer au fournisseur de service qui a proposé le QR Code toutes les informations contenues dans le QR Code ainsi que l’identification du téléphone.

Selon les cas et la finalité du QR Code et de son application, sur réception des données, le fournisseur de services peut les stocker pour un traitement ultérieur (durée et traitements inconnus de l’usager) ou les exploiter directement dans une procédure de contrôle d’accès invisible à l’utilisateur.

Le problème n’est pas le QR Code, qui permet d’accéder à une prestation (la partie visible de l’iceberg), mais l’opacité des traitements des données personnelles qui peuvent en découler et le manque de garantie de leur protection et de l’intimité (privacy) des utilisateurs (la partie invisible de l’iceberg).

L’économie numérique est basée sur la collecte massive des données et de leurs traitements. Nous savons déjà depuis deux décennies, que plus l’individu est dépossédé de ses données, plus il devient transparent et plus l’exploitation de ses données (stockage, traitements et acteurs en charge) sont obscures.

 

Le visible et l’invisible

Depuis plusieurs années déjà, le QR Code est un levier d’une nouvelle « expérience client » à des fins commerciales comme artistiques d’ailleurs. Il contribue à offrir de nouvelles facilités ainsi qu’à façonner des comportements en modifiant les us et coutumes. Les QR Codes peuvent faire l’objet d’échange dans des réseaux sociaux, être associés à des contacts, à des photos, des cadeaux ou de l’argent entre internautes. Imprimer sur des vêtements et accessoires (casquettes, chaussures, …), le QR Code peut contribuer à la mode, à leur promotion tout en permettant d’identifier les personnes – ou groupe de personnes, qui les portent.

Associé à l’usage permanent du téléphone, le QR Code fait le lien entre l’environnement physique réel où il est omniprésent et le monde du traitement de l’information. Il permet par exemples d’activer des services, de se déplacer, manger, gérer des documents, consulter son compte en banque, réaliser des transactions commerciales et des paiements, se connecter à d’autres utilisateurs, partager de l’information, faire du marketing et promouvoir des offres.

Le QR code constitue un pont entre les activités off line et on line assurant la continuité du traçage des individus. Il est alors un véritable outil au service du monde des affaires et un catalyseur de l’efficacité d’actions commerciales. Les plateformes numériques l’ont bien compris et intègrent les usages du QR code dans leurs services.

L’aspect instantané, rapide et facile du QR Code est exploité pour engager l’usager dans une transaction sans qu’il s’en rende vraiment compte, selon un geste reflexe, qui ne favorise pas le temps de la réflexion et annihile de facto toute velléité d’effort nécessaire à la lecture de conditions générales pour contribuer à un consentement éclairé.

 

La Chine, le pays où l’on ne vit pas sans QR Code

Outre toutes les applications liées à chaque instant de la vie et à toutes les activités, le QR Code est devenu en Chine, le moyen pour satisfaire tous les besoins des individus et des entreprises[3]. La lutte contre la pandémie passe également par l’usage du QR Code[4]. Entre autres applications, il sert à suivre l’état de santé de ses habitants dans le cadre de procédures de contrôle d’accès et de mise en quarantaine. C’est également dans ce pays, que le concept de « Crédit social » s’est développé depuis 2014. Le comportement des personnes, les données des téléphones et des applications mobiles, couplées à celles issues des caméras de vidéo surveillance et de reconnaissance faciale, des réseaux sociaux et des activités en ligne (divertissements, achats, …), permettent de noter les personnes (et les entreprises) et de leur accorder des bonus ou des malus en fonction de la note, censée refléter le degré de confiance dont elles seraient dignes[5].

Ce type de dispositif à points et de système de notation, est déjà mis en œuvre partout dans le monde, par toutes les plateformes numériques, notamment sous couvert de notation et d’évaluation de la réputation. Par ailleurs, en France, depuis 1992, le permis de conduire est aussi basé sur un système à points dont le nombre initial de 12 décroit avec les infractions constatées.

Outre les usages du QR Code répandus en Corée du Sud comme à Singapour, le marché du QR code est mondial et sans limite.

 

Le QR Code, au-delà du contrôle

Le QR Code fait partie de la panoplie d’outils mis à disposition par des organisations, qui engendrent des pratiques au service d’une vision de société soutenue par les gouvernements. Cela interpelle la société civile sur leurs intérêt, validité et finalité et l’incite à regarder derrière le miroir sans tain des justifications commerciales, sanitaires et sécuritaires avancées.

Tous les dispositifs numériques que nous utilisons, contribuent à la mise en place d’un système global de surveillance de masse des comportements, des activités, des déplacements, qui en plus, impose des comportements normés selon des critères définis par ceux qui maitrisent les dispositifs techniques et ceux qui les exigent. Le QR Code, n’échappe à cet objectif. Il va bien au-delà de la surveillance et du contrôle. Il contraint insidieusement les individus à se conformer à des règles définies et imposées, comme cela est illustré par le système du crédit social chinois, pour gagner des points ou les garder.

 

Le QR Code au service de la liberté ?

Le QR Code est désormais présenté, dans le contexte de la pandémie, comme une solution « miracle » et hygiéniste – du fait de son côté « sans contact ». Il peut se décliner à l’infini dans des lieux publics (cafés, restaurants, lieux d’hébergement, sportifs, touristiques ou culturels, transports communs, etc.) avec un argumentaire faisant référence généralement à la notion de « retour à la normale » et « liberté ». Mais de quelles normalité et liberté s’agit-il ?

Est-il possible qu’il s’agisse toujours de liberté lorsque les personnes sont contraintes d’utiliser un QR Code ?

Reste -t-il une place pour la liberté et le libre arbitre lorsque le choix doit s’opérer entre accepter d’investir dans un smartphone, de télécharger des applications, être suivi à la trace et être contrôlé par un dispositif technique et organisationnel et entre devoir renoncer à accéder à des services et infrastructures qui ne sont plus accessibles autrement ?

Aurions-nous oublié que la normalité n’est pas d’être mis sous tutelle numérique et en posture permanente de surveillé ?

Renonçons-nous à l’espoir d’une liberté numérique possible parce qu’elle demande un effort, un engagement pour défendre les droits humains ou parce qu’elle est incompatible avec la manière dont l’économie numérique se développe ?

Aurions-nous oublié le long poème « Liberté, j’écris ton nom » que Paul Eluard écrivit en 1941 pour le mouvement de lutte pour la libération et pour raviver l’espoir de tous ?

« Sur mes cahiers d’écolier / Sur mon pupitre et les arbres / Sur le sable sur la neige / J’écris ton nom/ … Sur les routes déployées…/ …Sur les objets familiers / … J’écris ton nom / … Et par le pouvoir d’un mot / Je recommence ma vie/ Je suis née pour te connaître / Pour te nommer/ Liberté ».

 

Esprit de liberté et de libération qu’es-tu devenu ?

QR Code et passeports numériques de toutes sortes, de quoi êtes-vous réellement le nom ?

 

 

Notes

[1] https://www.barcodefaq.com/1d/code-39/logmars/

[2] ISO/IEC 18004:2015 ; Technologies de l’information — Technologie d’identification automatique et de capture des données — Spécification de la symbologie de code à barres Code QR (la version de 2015 a été révisée en 2021). https://www.iso.org/fr/standard/62021.html

[3] https://marketingtochina.com/the-ultimate-guide-to-qr-codes-in-china/

[4] https://www.cnn.com/2020/04/15/asia/china-coronavirus-qr-code-intl-hnk/index.html

[5] https://www.rfi.fr/fr/asie-pacifique/20200102-chine-2020-notation-citoyens-entreprises-occident-credit-social

https://linc.cnil.fr/fr/le-credit-social-chinois-et-le-dilemme-ethique-de-la-confiance-par-la-notation

L’ère de la Post-Confiance

Le mot confiance est dérivé du vieux français « fiance », c’est-à-dire « foi ».

D’après le dictionnaire, la confiance est le fait de croire, d’avoir foi en quelque chose. L’assurance qui en découle peut-être un sentiment de sécurité ainsi que la possibilité de se fier à une entité.

Lorsque que nous réalisons des activités en ligne, sommes-nous en confiance, en sécurité et en mesure de développer un sentiment d’innocuité ?

Pour apporter des éléments de réponse à cette question, qui en fonction de l’expérience de chacun peut avoir diverses résonnances, revisitons quelques constats.

Vols massifs de données

Depuis le début de ce siècle, les fuites et les vols massifs de données sont devenus habituels et n’ont fait que s’amplifier à partir des années 2010. Ce sont plusieurs dizaines et centaines de millions de comptes utilisateurs qui sont régulièrement siphonnés des serveurs des fournisseurs de services. Tous sont concernés, y compris les plus grands et ceux qui font le numérique (Sony PlayStation, JP Morgan, RSA Security, Dropbox, Adobe, eBay, Yahoo, mySpace, LinkedIn, Uber, Facebook, Equifax, Marriot, Tinder, British Airways, Easy Jet, SITA, Verisign, etc.[1]). Ainsi par exemple, les informations relatives à 533 millions de comptes Facebook incluant entre autres identifiants Facebook, numéros de téléphone, noms, adresses, date de naissance, biographies se trouvent, depuis 2019, à disposition de la cybercriminalité à des fins d’usurpation d’identité, d’ingénierie sociale et de fraudes[2]. Chaque année, le nombre cumulé des fuites de données s’exprime en plusieurs milliards de comptes utilisateurs.

Espionnage structurel omniprésent et marché de la surveillance

En 2013, Edward Snowden[3] révélait au monde l’ampleur des écoutes et de la surveillance des télécommunications et de l’Internet par les agences de renseignement nord-américaines. En parallèle se développait la surveillance, basée sur la collecte massive des données et leur exploitation sans limite. Cette dernière est devenue le moteur de l’économie numérique, mais aussi du développement des pratiques numériques, de l’intelligence artificielle, ou encore du déploiement de la 5G.

La dématérialisation des services, la géolocalisation, les services personnalisés, la connectivité permanente, les capteurs de données, les drones, les objets connectés, les caméras de vidéosurveillance, l’usage des réseaux sociaux et des plateformes numériques, génèrent des flux et des traces numériques. Ces derniers constituent un gisement informationnel exploitable tant par des entités publiques que privées, tant par des acteurs licites qu’illicites[4].

La donnée est un bien tangible commercialisable, source de valeur à qui sait la collecter, la stoker, la transformer, la transmettre, la maitriser. Le commerce des données, y compris des données personnelles et de l’identité numérique, est au cœur du capitalisme numérique néolibéral[5]. Il est indispensable à la croissance numérique, à l’économie de l’attention et à celle concomitante de la surveillance[6]. Ainsi, toutes restriction, protection, limitation d’usage des données, constituent un frein au développement de l’économie numérique.

Dès lors peut-on encore s’étonner que le capital informationnel des individus et des organisations publiques et privées puisse être convoité par des acteurs de l’économie licites et de l’économie souterraine ?

 Vulnérable et piratable par conception

Force est de constater que des produits insuffisamment robustes et sécurisés sont utilisés comme l’a démontré, pour ne donner qu’un seul exemple, les vulnérabilités d’un des systèmes de messagerie électronique les plus utilisés de par le monde (Microsoft Exchange) révélé en mars 2021[7]. Même si des rustines de sécurité ont également été publiées, le délai écoulé entre les découvertes des vulnérabilités, le développement des mesures d’atténuation, l’installation des « rustines » de sécurité et la mise à jour de tous les systèmes concernés, offre aux cyberattaquants, une fenêtre d’exploitation des failles suffisamment longue pour être mise à profit. Cela permet d’exfiltrer des données, de détourner les capacités de traitement, de pénétrer des systèmes d’information et d’y progresser ou encore d’installer des programmes malveillants et avoir le contrôle distant des environnements infectés.

Par ailleurs, la vulnérabilité conceptuelle du cœur de tous les équipements électroniques, que sont les processeurs, est connue depuis 2018[8]. Il s’agit des failles de sécurité dénommée « Spectre » et « Meltdown », qui depuis 1995 concernent les processeurs Intel, AMD et ARM et qui, si elles sont exploitées, permettent des accès aux données et rendent vulnérables les systèmes d’exploitation exécutés par ces processeurs (Windows, MacOS, iOS, Android, etc.). Depuis, de nouvelles vulnérabilités liées à l’architecture des microprocesseurs, sont régulièrement annoncées pouvant provoquer par exemple des dénis de service à distance, permettant exflitrer des données confidentielles ou encore faire de l’élévation de privilèges pour s’introduire et naviguer dans des systèmes d’information[9] ou encore permettant d’injecter du code à distance[10] .

A cette problématique de défaut de conception des processeurs s’ajoute celle des portes-dérobées (backdoors) expressément conçues et intégrées dans les matériels et logiciels par les fournisseurs, pour en prendre le contrôle à l’insu des propriétaires légitimes[11].

Enfin, nul ne peut plus ignorer que les solutions de sécurité peuvent posséder également des failles de sécurité (failles Poodle ou Heartbled[12] par exemples des solutions qui permettent de réaliser des mécanismes de chiffrement et de mettre en oeuvre des fonctions de sécurité).Lorsqu’il est difficile d’être sûre de la sécurité de la sécurité, alors un faux sentiment de sécurité se substitue à celui de confiance dans la sécurité.

Ces quatre cas emblématiques, illustrent qu’il est difficile de croire avec assurance dans la qualité, la fiabilité, la sûreté et la sécurité des environnements informatiques. De facto, « par conception », il est difficile d’avoir naturellement confiance dans les infrastructures numériques mises à disposition des usagers.

Chaines d’approvisionnement logiciels compromises et programmes malveillants

Les logiciels ont aussi leurs chaines d’approvisionnement et celles-ci peuvent être utilisées pour réaliser des cyber-attaques. Jusqu’à présent les utilisateurs faisaient confiance à leurs fournisseurs, les autorisant pour certains à installer automatiquement les nouvelles mises à jour, ce qui parfois peut entrainer l’installation de programmes malveillants.

Ainsi par exemple en 2019 l’opération ShadowHammer[13] était rendue publique. Le détournement du logiciel ASUS Live Update Utility d’installation des mises à jour logicielles du constructeur Taiwanais de matériel informatique ASUS a permis d’infecter plusieurs dizaines de milliers d’ordinateurs de par le monde et d’installer des Chevaux de Troie, véritable porte dérobée permettant la prise de contrôle à distance des systèmes et l’injection de codes malveillants.

La majorité des plateformes logicielles font l’objet de détournement et de compromission de leur relations privilégiée avec leurs clients pour abuser les protections en place (notamment les antivirus) et faire installer des points d’entrée dans les systèmes qui permettent l’installation de programmes malveillants à la place ou en même temps que des mises à jour légitimes (exemple opération Kingslayer[14] qui ouvre les portes des systèmes infectés). Ce mécanisme d’attaque contre les chaines d’approvisionnement logiciels qui exploite le vecteur des mises à jour légitimes a été utilisée contre la firme SolarWinds et ces clients dont notamment de nombreuses agences gouvernementales d’Amérique du Nord (Département d’État, de la sécurité intérieure, de l’énergie, du Trésor…) ou encore l’entreprise américaine de sécurité FyreEye par exemple[15]. Le logiciel CCleaner (censé optimiser les performances d’un ordinateur sous Windows ou Mac OS, libérer de l’espace mémoire, d’effacer des traces de navigation web, …) a aussi été affecté par ce type d’attaque  en 2017, touchant plusieurs millions de systèmes et d’utilisateurs[16].

Les mises à jour logicielles signées par des certificats volés ou falsifiés pour leurrer systèmes et personnes permet d’installer des logiciels malveillants dans des systèmes cibles qui ensuite les propagent. Cela conduit à de l’espionnage, des vols de données (exfiltration de données) ou encore au chiffrement des données et le cryptoblocage des systèmes à des fins de chantage et de demande de rançons[17]. Cela permet également de réaliser attaques en déni de services.

Ainsi l’acte recommandé pour des raisons de sécurité, de mettre à jour ses systèmes, devient de manière perverse et insoupçonnable un vecteur d’intrusion très efficace d’installation et de distribution de virus informatiques.

IL s’agit d’une ultime rupture de confiance, puisque le modèle économique de la sécurité est basé sur la distribution de rustines de sécurité à installer régulièrement.

De manière plus classique et depuis plus d’une vingtaine d’années ce sont des pièces jointes et des fichiers bureautiques compromis (Word, Powerpoint, Adobe, Excell, …) transmis par des messages électroniques, qui peuvent participer à la diffusion et à l’installation de virus. Le virus I Love you[18] en mai 2000 est à ce titre, un cas d’école. Le programme malveillant BlackEnergy[19], véritable Cheval de Troie qui existe depuis 2007 et dont la version 3 qui circule depuis 2014 a permis notamment de cyberattaquer des infrastructures industrielles en Ukraine en 2015 en ciblant, entre autres, son infrastructure d’approvisionnement en électricité et en rendant les systèmes inopérables[20].

Les applications mobiles ne sont pas épargnées et des attaques diffusant des logiciels malveillants sur des téléphones intelligents peuvent se réaliser via Google Play Store ou l’App Store d’Apple par exemples[21]. D’apparence légitime, les applications téléchargées compromises comme illustré par l’Apps “Lovely Wallpaper” et sa déclinaison en « ExpensiveWall »[22], permettent non seulement de voler des informations mais de modifier les paramètres du téléphone et de facturer des services non souhaités et utilisés par l’usager ou encore de réaliser des écoutes. Les outils logiciels de développements d’Apps (Software Development Kits) peuvent être également détournés pour injecter des programmes malveillants dans des Apps apparement saines.

Si les chaînes d’approvisionnent logiciels sont compromises, dès lors comment installer, en toute confiance, des logiciels, y compris de sécurité ? Difficile dans ces conditions, de corriger les vulnérabilités et d’améliorer la sécurité des produits tout au long de leur cycle de vie.

Les capacités des personnes en charge de la sécurité des systèmes dépendent de la confiance envers les chaînes d’approvisionnement logiciel, envers lesquels la confiance est difficile à construite, à vérifier et à valider.

L’incapacité à faire confiance à des programmes supposés être de confiance, rend difficile la maitrise des cyberrisques. Cette double problématique de sécurité et de confiance dans les mécanismes de sécurité fait peser une menace systémique sur la confiance et sur sa matérialité.

Ainsi, après les faits alternatifs, il existe désormais une confiance alternative qui dépend de l’incertain et de l’invisible pour les personnes en charge de la gestion de la sécurité informatique, c’est-à-dire de facteurs hors de leur contrôle.

En 2017, suite à des vulnérabilités de produits Microsoft[23] à partir desquelles des programmes malveillants longtemps exploités discrètement par la NSA mais qui ont finis par échapper à leur contrôle[24], permirent au rançongiciel Wanacry de faire la démonstration mondiale de la possibilité et de l’efficacité d’une diffusion de crypto virus pouvant affecter toutes les infrastructures, tous les pays. Depuis ce jeu d’essai concluant, ce genre de cyberattaques (verrouillage par chiffrement des ressources et demandes de rançons) est devenus courant et a révélé toute sa puissance et sa nuisance notamment durant la pandémie de la Covid 19[25].

Désinformation et deep fakes

La désinformation ou la propagande ont toujours existé. Comme la publicité, cela contribue à convaincre, à manipuler, à orienter, à piloter et faire réaliser des actions spécifiques. Avec Internet, ces phénomènes sont faciles à concrétiser de manière massive et rapide mais aussi de manière personnalisée en fonction des cibles et des résultats escomptés.

De vraies-fausses informations ou de fausses-vraies informations circulent et sont amplifiées par les caisses des résonance que constituent les réseaux sociaux.

La réalité virtuelle et les capacités technologiques issues de l’intelligence artificielle pour créer et modifier à l’infini la réalité, permet d’obtenir une réalité parfois plus réelle (et souvent plus belle) que la réalité[26].

Quelles relations de confiance envers la réalité perçue à travers des écrans peut-on développer alors qu’il est difficile, voire impossible, de distinguer le vrai du faux et d’authentifier un contenu et son origine ?

Une logique d’informatisation questionnable

Le manque de sécurité n’est-il pas consubstantiel aux produits et services de l’informatique ?

Les modèles économiques des mises à jour sécuritaires pour combler les vulnérabilités des produits conçus de manière insuffisamment robuste et sécurisée est très rentable et sans fin. Cela est justifié par le besoin réel d’être en sécurité et en confiance, alors que le numérique ne le permet pas par conception. En effet, les choix technologiques, basés sur une rationalité économique, répondent à une politique de développement particulière. Ce n’est pas par hasard que les concepts de « Security by design” et de « Privacy by default » sont rarement instanciés dans des produits. 

Apporter des réponses à des défauts de sécurité est bien, mais pas suffisant. Plus il y aura de systèmes, d’objets, d’organisations et des personnes connectés, plus il y aura des problèmes de sécurité. Il s’agit d’un cercle vicieux, il manquera toujours des compétences, des ressources, des solutions de sécurité. Une possibilité de sortir de cet engrenage est de changer de paradigme, et de remettre en cause les modèles d’affaires et de profitabilité du développement du numérique et de la cybersécurité.

Augmenter les contraintes juridiques, les moyens de les faire respecter et les pénalités en cas de non-respect, lutter contre la cybercriminalité et les usages abusifs et détournés, est bien mais toujours pas suffisant. Que des responsabilités soient assignées à tous les acteurs et que ceux-ci les assument en cas de défaillance à la hauteur des risques qu’ils font porter à la société, contribue à une meilleure prise en compte des besoins de qualité, de fiabilité et sécurité. Toutefois, cela ne répondra pas au problème fondamental qui réside dans la réalité de l’économie du numérique basée sur l’exploitation des données, de toutes les données, des traces et des flux numériques. Le respect du droit à la vie privée et à la protection des données personnelles est encore aujourd’hui considéré comme un frein au développement numérique.

Peut-on avoir confiance dans des mesures de protection des données alors que les modèles d’affaires de l’économie numérique sont basés sur l’exploitation des données ?

Lever cette contradiction ontologique, repenser les fondements de l’économie numérique, questionner sa finalité, investir dans la maitrise des risques pour véritablement profiter des opportunités technologiques et faire de l’écologie numérique respectueuse des droits humains devrait contribuer à une société plus résiliante aux cyber nuisances.

Tant que la majorité des solutions de cybersécurité consiste à boucher, les trous d’une casserole conçue comme une passoire, bien que le contexte aurait exigé de disposer d’un récipient sans trous, robuste et fiable ;

Tant qu’il n’y a pas de remise en cause du fait que la casserole a été conçue comme une passoire à trous plus ou moins nombreux et larges (modèle économique du numérique et de la sécurité et vulnérabilités matérielles et logicielles) ;

Tant que la cybersécurité est abordée uniquement sous l’angle de la conquête de marché et de la profitabilité (vendre des rustines de sécurité pour boucher des trous sans pour autant boucher tous les trous), la cybersécurité ne sera pas très efficace. En revanche, le commerce de la cybersécurité, qui s’inscrit dans la durée, est très rentable (besoin constant de toujours plus de rustines, nouvelles rustines et remplacement des plus anciennes, réalisation de rustines de rustines, etc.) ;

Tant que les produits sont commercialisés avec des vulnérabilités ou des portes dérobées;

Alors, il est difficile d’avoir pleinement confiance dans l’écosystème numérique et ses produits. Ainsi, il est plus aisé d’inventer l’ère de la post-confiance.

Penser le contraire que ce que l’on voit, appauvrir les mots et construire des vérités alternatives

Le numérique et la profusion d’initiatives traitant de confiance numérique, contribuent à donner vie au concept de confiance alternative et à l’ère de la post-confiance, à l’instar des concepts de post-vérité et de faits alternatifs inventés par le 45ème président des États-Unis d’Amérique afin de masquer et de dénaturer la réalité a son propre avantage. Le jeu de dupe consiste alors à truquer le langage et les mots pour accréditer une vérité alternative.

Au regard de la réalité des défauts de sécurité, parler de confiance à l’ère numérique c’est recourir la novlangue  pour créer une illusion de confiance, à la manière de George Orwell, qui dans son roman «1984», invente la «novlangue» comme instrument de pouvoir, dont le but est l’anéantissement de la pensée et la destruction de l’idée de vérité afin de rendre le mensonge crédible.

Aujourd’hui, est-il encore possible de désirer développer des mesures de cybersécurité qui permettent de construire la confiance ou est-ce simplement impossible, voir absurde ? 

Sans disserter sur l’humain, comme être de raison et de désir, insistons sur le besoin et sur la volonté raisonnable d’être en sécurité et en confiance dans le cyberespace et dans le monde physique qui doivent être satisfaits au risque de voir s’effondrer la société du numérique.

Selon Descartes – “Il vaut mieux changer ses désirs que l’ordre du monde”[27] pour le paraphraser, “Il vaut mieux changer la manière de concevoir le numérique et son économie que d’imposer un nouvel ordre du monde fragilisé par le numérique”.

Est-ce impossible ? Peut-être, mais il n’est pas absurde de désirer l’impossible.

En attendant, imaginons, avec Albert camus, Sisyphe heureux[28].

 

Notes 

[1] https://optimumsecurity.ca/21-biggest-data-breach-of-21-century/

[2] https://www.businessinsider.fr/us/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

[3] Edward Snowden ; « Mémoires vives », Seuil, 2019 (version française du livre « Permanent record », Metropolitan books (Macmillan).

[4] Solange Ghernaouti ; « La cybercriminalité, le visible et l’invisible » ; Collection Le savoir suisse, 2009.

[5] Cédric Durand, « Technoféodalisme, critique de l’économie numérique » ; Zones, 2020.

[6] Shoshana Zuboff « L’Âge du capitalisme de surveillance » ; Zulma, 2019, traduction française de « The age of surveillance capitalism » ; Profile books 2019.

[7] Multiples vulnérabilités dans Microsoft Exchange Server (mars 2021)

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/

Bulletin de sécurité Microsoft du 02 mars 2021 : « On-Premises Exchange Server Vulnerabilities Resource Center » Microsoft Security Response Center, March 2, 2021

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Patch de sécurité concernant les versions 2013, 2016 et 2019 de Microsoft Exchange server Released: March 2021 Exchange Server Security Updates (3 mars 2021)

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

[8] https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

[9] Multiples vulnérabilités dans Intel CSME, Intel SPS, Intel TXE, Intel DAL et Intel AMT 2019.1 QSR

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-210/

[10] Load Value Injection, CVE-2020-0551

https://businessresources.bitdefender.com/hubfs/Bitdefender_Whitepaper_LVI-LFB_EN.pdf

[11] A titre d’exemple de produits concernés :

https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/

[12] SSL 3.0 Protocol Vulnerability and POODLE Attack

https://us-cert.cisa.gov/ncas/alerts/TA14-290A

“Heartbleed” OpenSSL Vulnerability

https://us-cert.cisa.gov/sites/default/files/publications/Heartbleed%20OpenSSL%20Vulnerability.pdf

[13] https://www.kaspersky.fr/about/press-releases/2019_operation-shadowhammer-new-supply-chain-attack

[14] Porte dérobée Kinkslayer

https://www.rsa.com/en-us/blog/2017-02/kingslayer-a-supply-chain-attack

[15] https://www.reuters.com/article/us-usa-cyber-treasury-exclusive/suspected-russian-hackers-spied-on-u-s-treasury-emails-sources-idUSKBN28N0PG

https://www.sans.org/blog/what-you-need-to-know-about-the-solarwinds-supply-chain-attack/

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

[16] https://thehackernews.com/2018/04/ccleaner-malware-attack.html

[17] Rançongiciels et cyberattaques : comment ça marche? https://www.youtube.com/watch?v=PbQe5gyY-Vw

[18] https://www.lemonde.fr/pixels/article/2020/05/04/vingt-ans-apres-le-createur-du-virus-informatique-i-love-you-temoigne_6038636_4408996.html

[19] https://attack.mitre.org/software/S0089/

[20] https://www.kaspersky.fr/resource-center/threats/blackenergy

[21] https://www.zdnet.com/article/open-source-spyware-makes-it-on-the-google-play-store/

[22] https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/

23] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144

[24] https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[25] https://www.europol.europa.eu/activities-services/staying-safe-during-covid-19-what-you-need-to-know

[26] https://www.rts.ch/info/culture/12033222-pourquoi-les-videos-deepfake-de-tom-cruise-sontelles-si-flippantes.html

[27] René Descartes, « Discours de la méthode », 1637.

[28] Albert Camus, « Le mythe de Sisyphe », Gallimard, 1942.

Pourquoi il n’y a pas (beaucoup) de femmes en Cyber

Réflexions pour la journée internationale du droit des femmes du 8 mars 2021

La question de savoir pourquoi il n’y a pas beaucoup de femme dans les métiers de la cybersécurité m’est souvent posée. La réponse est sans doute à trouver dans notre culture, dans la construction sociale des inégalités, dans une répartition inégale des rôles, dans la difficile émancipation des femmes ou encore dans un certain refus de l’égalité entre tous les individus, indépendamment de leur sexe, de leur couleur de peau ou encore de leur origine.

 

Revisiter le passé, comprendre le présent, inventer l’avenir

The Atlantic titrait son dossier spécial de l’été 2010 « The end of men ». Ce numéro portait sur la manière dont les femmes ont mieux traversé la dernière crise économique et a mis en évidence, que les entreprises les plus en difficultés sont celles qui comptaient le moins de femmes dirigeantes, que l’économie post-industrielle était plus adaptée aux femmes et que cela sonnait la fin de l’âge de la testostérone. Serait-ce aussi la fin du monde ? Non car l’avenir de l’homme, c’est la femme écrivait Aragon en 1963, en écho à la célèbre phrase de Marx l’homme est l’avenir de l’homme. Mais qu’en est-il réellement en 2021 ?

Revisiter le passé pour comprendre le présent et contribuer à inventer l’avenir devrait nous permettre de considérer l’Égalité des chances comme un droit, pour que l’égalité des droits deviennent une réalité et non une utopie ressassée.

 

Un rapport de force construit par la société, un modèle idéal demeuré « masculin »

Il semble toujours que la réalité des femmes qui travaillent relève encore de la course d’obstacles. Dans les conditions actuelles de travail que les femmes cumulent la plupart du temps avec les tâches domestiques, il ne leur apporte pas les mêmes gratifications qu’aux hommes. Le modèle qui prévaut encore chez beaucoup, est que le destin domestique des femmes est donné à voir comme l’essence naturelle de la femme. Comment expliquer que des femmes puissent adhérer implicitement à cette différenciation inégalitaire résultant d’un rapport de force construit par la société, sinon que par le fait que lorsque deux castes s’opposent, nous rappelle Simone de Beauvoir, il se trouve toujours dans la plus défavorisée, des individus qui par intérêt personnel s’allient avec les privilégiés. De plus, la femme parfois se valorise à ses yeux et à ceux de l’homme en adoptant le point de vue de l’homme. Lorsque la femme se plie à l’ordre normalisateur, qui ne manque pas de la récompenser, elle contribue à entretenir la conformité au modèle dominant existant. Le modèle idéal demeure encore masculin. Tout un chacun a acquis des habitudes de pensée, un système de référence et de valeurs dont il est devenu prisonnier.

Les propos du livre de Simone de Beauvoir « Tout compte fait » sont toujours d’actualité. Ils avaient le mérite de s’opposer à ce que Henri de Monterland prêtait, cette même année 1972, à un de ses personnages dans ses Jeunes filles : «  … elle a le tort d’être intelligente ; ça la rend laide » et cela 23 ans après la publication du Deuxième sexe.Cette Misogynie de salon à l’humour déplacé, quand bien même spirituelle ou auto-dérisoire, est regrettable. Rieuses et rieurs participent alors à la misogynie et l’entretiennent.

 

« Les hommes possèdent le monde », les femmes le nettoient

Aujourd’hui encore, qualifier quelqu’un de féministe est souvent insultant. Cela reste un préjugé dévalorisant qui s’inscrit dans la continuité de l’énergie dépensée pour convaincre la femme que le destin singulier et spécifique qui lui est imposé est celui de tenir sa maison, de faire des enfants et de les élever. Ainsi les hommes possèdent le monde, comme le souligne Gide dans Les nourritures terrestres, on pourrait avoir envie de rajouter, les femmes le nettoient …

Il ne s’agit pas de polémiquer autour de la question de l’existence d’une nature féminine mais de constater que le carcan des traditions est bien lourd. La nature féminine est un mythe inventé par les hommes pour enfermer les femmes dans des activités essentiellement définies par des hommes, les astreignant souvent à la soumission.

 

Une entreprise de destruction massive à l’œuvre

L’inégalité s’apprend dès l’enfance, absorbée à dose quotidienne, elle est facilement assimilée, comme sont acceptées les règles du jeu qui permettent de devenir des êtres soumis, voire de bonnes perdantes, à qui l’on peut faire croire que l’humiliation et la violence sont des pratiques normales et légitimes. Je reprends ici les propos de Benoîte Groult dans son magnifique ouvrage Mon évasion : « Les dés sont pipés, les mailles du filet que sont les lois, les interdits, les traditions religieuses les injonctions morales sont fortes. Il est difficile d’envisager de passer au travers des mailles du filet tant que les femmes sont persuadées que cela serait douloureux, voire dangereux de s’en dégager. Le seul avantage de l’inconscience et de la docilité, c’est qu’elles permettent de vivre à peu près n’importe quoi sans trop de dégâts ».

 

Dépasser l’universel masculin

La culture, la science, les arts, les techniques, l’ingénierie, ou encore les lois, les politiques de développement, etc. ont été majoritairement et de manière relativement exclusive, en tous les cas jusqu’à un passé récent, définis par des hommes, puisqu’ils représentaient l’universalité et l’université.

Il y a plus de deux mille ans que les hommes, dont les philosophes, approfondissent leur réflexion sur un monde où ils occupent toutes les places dans l’ordre de la pensée et du pouvoir. Il y a si peu de temps que les femmes ont accédé au droit de réfléchir, au droit de lire, d’écrire, de devenir artiste ou scientifique, et il n’y a pas si longtemps au droit de vote. Ce dont témoigne l’exposition « Femmes.droits » du Musée national de Zurich «  Les Suissesses ont longtemps été privées de droits civils et politiques. Le chemin qu’elles ont parcouru pour obtenir le droit de vote en 1971 et l’article constitutionnel sur l’égalité en 1981 a été semé d’embûches et a suscité de nombreuses controverses. Depuis que la Déclaration des droits de l’homme et du citoyen de 1789 stipulait que l’exercice des droits politiques était réservé aux «hommes libres», les femmes n’ont cessé de se battre pour l’égalité. Aujourd’hui encore, femmes et hommes se disputent ce principe. 50 ans après l’introduction du suffrage féminin en Suisse, l’exposition au Musée national Zurich met en lumière les hauts et les bas de plus de 200 ans de lutte pour les droits des femmes dans notre pays. ».

 

L’histoire, témoin de la misogynie ordinaire

Pour que l’entreprise de destruction massive fonctionne, il a fallu compter avec la complicité des historiens. La présence des femmes dans l’histoire a été systématiquement occultée, à part quelques figurantes identifiées par des appellations marginalisantes comme « les précieuses ridicules » ou « les femmes savantes »; véritables repoussoirs, qui jettent en même temps le discrédit sur l’ambition créatrice des femmes. Le qualificatif de savant ne sert qu’à ridiculiser les femmes, alors que le même adjectif chez un homme est honorable. Entre « Savante » et « ridicule » : c’est la dérision qui l’emporte !

Diderot écrivait « passé la jeunesse, à la ménopause, qu’est-ce qu’une femme ? Négligée de son époux, délaissée de ses enfants, nulle dans la société, la dévotion est son unique et dernière ressource. » Pour que la dévotion ne soit plus la seule planche de salut de la femme, celle-ci se doit de ne pas « être nulle », ni invisible dans la société, ce qui revient à dire que son rôle doit être reconnu et valorisé, dans la logique économique actuelle, c’est à dire celle du marché, et en particulier du marché du travail.

N’oublions pas que le code civil de Napoléon établit en 1804 « la perpétuelle et obligatoire résignation des femmes » en faisant d’elles des incapables et des mineures leur vie durant. La promesse « d’obéissance à son mari » ne figure plus dans le rituel du mariage civil français depuis 1988 seulement !

Après « femme savante », est apparu au 19ème siècle l’expression venue d’Angleterre les « bas-bleu » pour désigner une femme qui a des prétentions littéraires. Il n’y a pas d’expressions équivalentes pour qualifier un homme même s’il en existe qui prétendent faire de la littérature. Quand une femme écrit, c’est par prétention et non pour faire de la littérature !

 

Le langage reflète nos préjugés

Le langage n’est pas un simple outil pour communiquer c’est le reflet de nos préjugés, le miroir de nos rapports de force, de nos désirs inconscients. Rendre invisible dans le vocabulaire l’accession des femmes à de nouvelles fonctions, c’est une façon de les nier. Les lacunes du vocabulaire ne concernent généralement pas les hommes. Le dynamisme du langage fera considérer bientôt ridicules les précieuses qui continueront à se dire madame le ministre, madame le doyen ou madame le professeur… Le blocage ne se situe pas au niveau du vocabulaire mais à celui des mentalités. L’intelligence n’a jamais préservé de la misogynie !

 

Esprit des lumières où es-tu ?

À « la résignation perpétuelle » inscrite par Napoléon, un peu plus tard, Freud répond dans la vie sociale et psychique par « l’envie de réussir chez une femme est une névrose, le résultat d’un complexe de castration dont elle ne guérira que par une totale acceptation de son destin passif ». Heureusement, il y a toujours eu des hommes philosophes, scientifiques, politiciens, managers pour affirmer l’égale dignité des deux sexes, ils existent, ils sont de plus en plus nombreux, et c’est tant mieux.

Ainsi par exemple, sous la Révolution française, Condorcet fut l’un d’eux, il passa au mieux pour un doux hurluberlu, au pire pour un dangereux utopiste, … jamais cité pour sa défense des droits des femmes, est-ce un détail sans importance ? Non juste une non-pensée : Esprit des lumières où es-tu ?

Les droits des femmes rencontrent encore bien des obstacles, et sur bien des points de vue, ils ne font pas vraiment encore partie des droits de l’homme et il est toujours, tout autant difficile aujourd’hui d’avancer alors que l’égalité est reconnue officiellement. Par ailleurs, les femmes sont très mal placées pour mener un combat efficace, car l’oppresseur reste encore souvent leur père, leur amant, leur mari, le père de leurs enfants ou encore souvent le principal pourvoyeur de fond de leur foyer.

 

Vers plus d’équité

Heureusement aujourd’hui, les hommes convaincus de l’importance de ce besoin d’égalité entre les hommes et les femmes sont de plus en plus nombreux. Ils partagent le travail domestique, s’impliquent dans l’éducation des enfants et par des actions quotidiennes parfois invisibles dans leur vie familiale et professionnelle, ils contribuent à préserver et à développer les principes d’égalité.

D’après le philosophe René Berger « Les survivants du futur sont ceux qui prolongent leur capital de vie en se conformant aux normes et aux structures qui ont prévalu jusqu’ici, les primitifs du futur sont ceux qui rompent avec les normes et les structures établies pour élaborer l’avenir, non plus comme un supplément, mais comme une possible métamorphose. ».

Acteur et maitre de son destin, le primitif du futur, nous rappelle René Berger, « est celui qui est en mesure de s’affranchir du passé sans le nier et qui, en remettant en question les modèles de penser et d’agir qui ont prévalu, peut identifier les mutations et déceler les métamorphoses en cours », comme celle du printemps du féminisme par exemple. Il s’agit de nous affirmer au présent comme des êtres vivants et par une vision nouvelle, transcender le présent pour ériger l’avenir, qui ne serait plus un simple prolongement du passé.

Selon Lao Tseu « ce que la chenille appelle la fin du monde, le reste du monde l’appelle un papillon ». Avec beaucoup de bonne volonté, soyons des primitifs du futur, faisons-en sorte de métamorphoser notre présent, pour contribuer à l’origine d’un futur différent mais en mieux.

 

Une possible métamorphose

Des femmes en Cyber existent, des initiatives en témoignent et contribuent à mettre fin à leur invisibilité. Ainsi pour ne donner qu’un exemple de magnifiques portraits de femmes sont à voir (avec des photographies de Alain Zimeray) et à lire (avec des textes de Sylvaine Lucks) dans leur livre « Cyberwomen, des parcours hors normes, une filière d’avenir », parus aux éditions Michel de Maule (Paris) qui a reçu le prix « coup de cœur du jury » du Forum international de la cybersécurité de Lille (FIC 2020).

Au-delà des modèles de femmes auxquels il est peut-être possible pour une personne de s’identifier, ne faudrait-il pas aussi proposer des modes de vie et de carrières liés à des métiers Cyber qui fassent envie, voire rêver les femmes ?

Force est de constater que la vision que donne à voir une grande majorité de la communauté « Cyber » est construite autour du style « geek » ou de l’ambiance « boy’s club » dont l’humour est réservé aux seuls initiés. Rien en fait, qui soit vraiment attractif pour ceux et celles qui en sont exclues « by design ».

 

Au-delà d’une journée internationale, inventer l’avenir

Chaque 8 mars, la journée internationale des droits de la femme questionne sur la pérennité des dominations parfois symboliques et inconscientes, les stéréotypes, l’exploitation économique des femmes pour contribuer à comprendre comment se construisent ces inégalités, plus ou moins revendiquées ou intériorisées. Au-delà d’une émancipation superficielle, il s’agit toujours et encore aujourd’hui de participer à une « décolonisation » de l’intérieur pour inventer un avenir plus équitable pour tous et toutes.

 Le philosophe Charles Fourier écrivait en 1808 « les progrès sociaux et changements de périodes s’opèrent en raison du progrès des femmes vers la liberté ; et les décadences d’ordre social s’opèrent en raison du décroissement de la liberté des femmes ».

Aujourd’hui quelle interprétation en faisons-nous ?

 

***

Remerciements Je teins à exprimer mes remerciements aux femmes et aux hommes engagés pour défendre la dignité humaine et le droit des femmes. Ce texte est largement inspiré des réflexions, travaux et ouvrages de notamment :  Simone de Beauvoir, Benoite Groulte, Elsa Triolet, Sandrine Treinier, Françoise Gaspard, Elisabeth Badinter, Laure Adler… Il est également nourri de nombreuses discussions et expériences de femmes et d’hommes, croisés sur le chemin de la vie.