Cyber allégeance, la triple peine

Le contexte

L’allégeance est une obligation de fidélité et d’obéissance qui a pour corolaire la soumission.

La cyber allégeance est celle faite aux plateformes numériques auxquelles personnes et organisations publiques et privées sont devenues dépendantes.

Première peine :  Dépendance & Rente à vie

Dans mon article « La souveraineté numérique passe (aussi) par la sobriété »[1], je relève que la dépendance instaure une asymétrie du pouvoir entre utilisateurs et pourvoyeurs d’infrastructures et de services. Ces derniers peuvent à leur gré, selon les circonstances et en fonction de leurs intérêts, modifier leurs conditions d’utilisation et leurs coûts. C’est une logique d’abonnement à des services qui s’est mise en place en même temps que la plaformisation informatique. Ainsi, opter pour des solutions « Cloud » (ce qui constitue un choix généralement irréversible), contribue aussi à renforcer une économie du numérique basée sur la rente. Cette économie de rente profite à ceux qui l’imposent. Le prix de la dépendance est celui de la rente à vie pour certains et des coûts structurels pour tous les autres dont leurs propres données ne leur appartiennent plus dans la mesure où elles sont dépendantes de la location d’outils détenus par des tiers pour les accéder et les manipuler.

Deuxième peine : Insécurité & Défiance by design

Désormais, du fait de la réalité des cyberattaques, il est impossible d’ignorer que tout ce qui est connecté est piratable et que l’ampleur de la cybercriminalité et de ses impacts sur la société ne cessent d’augmenter. La surface d’attaque s’étend avec le nombre de personnes, de systèmes et d’objets connectés à Internet. Plus il existe de connectivité et d’informations échangées, plus le nombre de cibles croit, plus les opportunités de cybermalveillance s’amplifient, grossissant de facto, le nombre de victimes et d’institutions touchées.

Force est de constater qu’il est difficile de mettre les cyber risques sous contrôle. Dans son rapport « The global risk report de 2021”[2], le World Economic Forum identifie le défaut de cybersécurité, comme constitutive de la 4ème des menaces critiques. De facto, la cybersécurité, telle qu’elle est pratiquée est insuffisamment efficace. Elle l’est d’autant moins depuis les affaires « Solarwind » (2020)[3], « Kaseya »[4] et « Log4shell »[5] (2021) emblématiques de la confiance définitivement perdue dans les produits et les capacités des fournisseurs impliqués respectivement dans les chaines d’approvisionnement de la sécurité, dans la gestion des infrastructures IT et dans ce qui a trait à la journalisation des informations. Ces trois cas sont en lien direct avec la manière de réaliser la sécurité informatique. En outre, et pour ne citer que deux exemples, des défauts de sécurité dans des protocoles cryptographiques SSLv3[6] (2014) ou dans des processeurs[7] (2018) sont connus et pourtant nous continuons à les utiliser. Dans ces conditions, est-il encore possible d’obtenir une assurance raisonnable d’une sécurité effective ?

Nous acceptons le numérique, son écosystème, son économie, ses usages positifs mais aussi ses dérives, ses vulnérabilités, et le fait qu’il instaure un nouvel ordre du monde basé sur la normalisation des comportements, la transparence totale des êtres, le contrôle et la surveillance permanence. Le numérique permet de gérer et de piloter une société, une ville, les espaces publics et privés, un hôpital ou encore par exemple, une école, comme une entreprise, selon des critères de rationalité et de performance économiques. Le big data et l’intelligence artificielle permettant plus de rationalité économique, d’automatisation, de prédiction et de contrôle algorithmique, ont facilité le renversement de paradigme qui consiste à considérer tout le monde comme coupable par anticipation. Ce qui justifie de disposer de toujours plus de surveillance et de contrôles.

La surveillance de masse qui procure un faux sentiment de sécurité mais qui est efficacement redoutable du fait de l’intrication des mondes physique et cyber et de l’omniprésence du numérique dans tous les aspects de la vie (QRCode, reconnaissance faciale, achat, …), porte atteinte aux droits humains fondamentaux[8] et par conséquent, à la sécurité des personnes.

Depuis longtemps déjà, la possible manipulation cognitive via la désinformation est incarnée au travers d’Internet. Au-delà de la publicité et des influenceurs de toutes sortes, des fake news, des deep fakes, des opérations de manipulations de personnes et de l’opinion publique, à des fins commerciales ou politiques, existent. Personne n’échappe à différentes formes de propagande et d’endoctrinement habilement organisées et parfois, personnalisées ou travesties sous couvert de divertissement.

L’impossibilité de distinguer le faux du vrai est un facteur d’insécurité et de défiance généralisée.

Troisième peine : Impossibles réparation & réversibilité

La troisième peine découle des deux premières. Il s’agit de l’irréalisable possibilité d’une quelconque forme de réparation pour les victimes de cybernuisances et de cyberviolences dans la mesure où elles n’ont pu être évitées et que la « Justice » est rarement opérande. De plus, comme pour le climat, les choix technologiques effectués engagent également les générations à venir. Les conséquences du « tout numérique » notamment en termes environnemental (épuisement des ressources naturelles) et sociétal (dépendance au numérique) sont irréversibles, sinon peut être, en dehors d’un effondrement généralisé, du fait notamment, de l’incapacité potentielle à éviter des ruptures d’approvisionnement en électricité.

Perspective faustienne

Parfois, dans la littérature l’allégeance peut faire référence à l’allégement, à l’adoucissement, au soulagement, à l’atténuation, mais aujourd’hui, la seule référence littéraire à laquelle l’allégeance me fait penser est liée à Goethe et à Faust.

Faust pactise avec Méphistophélès qui lui promet jeunesse et jouissance en échange de son âme. Faust accepte sans illusion.

Comme Faust, nous pactisons.

Comme Faust, sans illusion.

 

***

Références

[1]Article du 15 décembre 2021 qui analyse les conséquences de la dépendance numérique tout en faisant le lien entre les problématiques environnementale, de cybersécurité et de cybersouveraineté, disponible sur le site The Conversation https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

[2] https://www.weforum.org/reports/the-global-risks-report-2021

[3] https://www.schneier.com/blog/archives/2020/12/how-the-solarwinds-hackers-bypassed-duo-multi-factor-authentication.html

[4] https://www.reuters.com/technology/kaseya-ransomware-attack-sets-off-race-hack-service-providers-researchers-2021-08-03/

[5] Faille Log4J https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

[6] Faille Poodle https://cert.ssi.gouv.fr/alerte/CERTFR-2014-ALE-007/

[7] Failles Spectre et Meltdown https://www.kaspersky.fr/blog/35c3-spectre-meltdown-2019/11315/

 

How Digital Ecosystem and Practices Increase the Surveillance System’s Performance and Generate New Risks for Human Rights

J’étais enfant au temps des nanotechnologies et de la surveillance de masse

Fable de l’ère numérique

 

J’étais enfant au temps des nanotechnologies, c’était juste après la première grande pandémie.

Des promesses avaient été faites sur les bienfaits des nanotechnologies permettant de créer aussi bien des matériaux intelligents, que des habits, des médicaments ou des vaccins, capables d’être au service de la santé personnalisée des individus, de la construction, de l’isolation thermique, de la production d’énergie renouvelable ou d’eau potable, comme aussi de la dépollution par exemple.

Petits et grands rêvaient de l’arrivée de cette ère ultra technologisée pour sortir de l’impasse environnementale qui avait été créée par la surconsommation des ressources de Dame Nature par les générations antérieures. Ils pensaient que les nanotechnologies allaient remplacer et pallier les ressources épuisées – qui faisaient défaut – en créant de nouvelles ressources artificielles bio-inspirées, en abondance.

Beaucoup croyaient que les dégâts environnementaux créés par le pouvoir de la science et des techniques, allaient être réparés avec toujours plus d’innovations technologiques. Une fuite en avant technologique en a résulté et les promesses d’hier se sont transformées en un enfer quotidien.

Personne alors, ne pensait à la catastrophe écologique due à la fabrication et à l’usage des nanotechnologies et à leurs déchets non recyclables auxquels nous sommes encore confrontés aujourd’hui. Ainsi, force est de constater que les nano et bio technologies, que l’informatique et les sciences cognitives (ils les appelaient dans ce temps-là, les NBIC), ont résolu certains problèmes, seulement au prix de l’épuisement de certaines ressources et du déplacement des effets négatifs.

En effet, à l’endroit où les nanotechnologies étaient consommées, tout semblait à très court terme, aller au mieux mais les effets rebonds des usages et fabrication extensive des Nano-Trucs ont eu des conséquences dramatiques sur le monde hyperconnecté et globalisé alors en place et les NBIC ont au final contribué à accentuer le manque de matières premières.

La Science et la Technique avec leur cohorte de gourous, d’économistes, de communicants (alors qualifiés de pédagogues) et promoteurs divers, soutenus par des personnes en charge de l’Administration Globale et du Contrôle Intégré (l’AGCI) furent de véritables illusionnistes. Ils opéraient comme le font les magiciens, en détournant l’attention de la population sur ce qui était délibérément rendu visible pour mieux opérer à l’insu de tous. Dans ce temps-là, tout le monde était fasciné par le progrès technique, comme pouvaient l’être les petits enfants qui croyaient au Père-Noël, au 20ème siècle.

La miniaturisation des équipements électroniques, véritable prouesse technologique, a donné naissance à la nanoélectronique dont les composants de l’ordre de grandeur du nanomètre, peuvent facilement être ingérés où insérés par simple piqûre relativement indolore, dans les corps des organismes vivants.

Cette méthode consistant à injecter dans le corps des composants électroniques avait commencé avec le puçage des animaux sauvages – pour mieux les suivre à la trace – mais aussi avec celui des animaux domestiques comme les chiens par exemple, dont l’identification par puce électronique était devenue obligatoire au début du 21ème siècle. A l’époque, ma grand-mère Germaine, se souvenait que personne n’y avait trouvé à redire, bien que personne ne sût ni à quoi cette innovation servait en pratique, ni ce qu’elle apportait de plus aux chiens, ou à leurs propriétaires dont personne n’avait d’ailleurs sollicité l’avis. « Pas de puce électronique, pas de chien ! ». Cela concernait tous les chiens, petits ou grands, chiens d’aveugles y compris. La liberté d’avoir un chien passait impérativement par la non-liberté d’avoir un chien sans une puce électronique dans le cou.

C’est comme cela que tout a commencé disait Germaine, à qui voulait l’entendre, avant que le Nouveau Contrat Social (NCS) soit imposé, d’abord aux professeurs (avant que leur métier disparaisse), puis à toute la population, à l’exception des Agents de la Force Spéciale de l’AGCI, avant donc qu’elle ne puisse plus s’exprimer à cause du système à points du Control Social Sécurisé (CSS) qui permettait ou non, d’accéder à des facilités indispensables à la vie de tous les jours.

Au début, s’autorisait-elle parfois à se rappeler à elle-même en marmonnant, lorsqu’elle pensait être hors des yeux et des oreilles des assistants domestiques électroniques (les désactiver étaient devenus progressivement impossible et les détecter également du fait de leur miniaturisation et de leur présence insoupçonnable dans toutes sortes d’équipements), Germaine se disait donc, qu’avant, personne n’aurait pu croire que le VPP, le Vital Pass Personnalisé –systèmes d’accès à base de QRCode – allait devenir l’Instrument de surveillance du CSS et du contrôle de tous les faits et gestes de chacun, et cela en permanence.

Graduellement, aucun comportement, aucun déplacement, aucun contact, aucune activité ne pouvait plus se réaliser sans un enregistrement dans la base de données contrôlée par l’AGCI. Personne ne connaissait la vie cachée de ces données enregistrées, ni ne savait quels traitements informatiques étaient appliqués. En revanche, tous savaient que de leur comportement et du nombre de points associé à leur profil, dépendraient des autorisations pour accéder à des services, des lieux, des moyens de transport. Même le droit d’accéder à l’éducation ou au travail en dépendait.

Tout un système de bons points et de mauvais points avait été élaboré et mis en place pour « normer » la vie des individus, pour leur sécurité et leur bien-être.

Complètement obscur, le barème des bonus/malus pouvait changer en fonction des circonstances et des personnes. C’était un système agile et dynamique s’adaptant en temps réel aux exigences de l’AGCI et des personnes ciblées, notamment celles identifiées par les Agents et leurs systèmes d’intelligence artificielle, comme étant des personnes à risques.

C’est à cette époque également, que les nanoparticules de silice, de carbone, de fer, d’or et d’argent, de tungstène, de dioxyne de titane, d’oxyne d’aluminium ou de zinc, par exemple, pouvaient servir d’additifs à toutes sortes de produits (peinture, objets du quotidiens, habits, cosmétiques, crèmes solaires, aliments…). Leur dispersion dans tous les environnements était censée augmenter le confort et la santé des personnes, mais aussi leurs prouesses physiques, psychiques et physiologiques. Ainsi, avec les nanomatériaux, tout devenait intelligent : emballages, poubelles, déchets, crèmes réparatrices, lessives et détergents, denrées et arômes alimentaires…. Le règne des poussières intelligentes devait enfin permettre d’accéder au bonheur technologique et faisait rêver les mêmes qui croyaient au Père-Noël mais aussi ceux persuadés que l’humanité aurait tout à y gagner, y compris l’immortalité, en passant du stade de l’Anthropocène à celui du Robotocène.

Réduire la taille des composants pour les rendre invisibles fut concomitant à la dématérialisation de toutes les activités humaines, par le traitement et la communication de données informatiques ; même les échanges, quelles que soient leurs finalités, étaient devenus d’une certaine manière, invisibles car numériques et par certains côtés, immatériels. Ils étaient des flux de données informatiques entre ordinateurs. L’automatisation et la virtualisation furent les deux faces indissociables de la rupture numérique et de la plateformatisation de la société axées sur la performance et la rentabilité économique pour certains.

Aujourd’hui, moi qui vous parle, je suis un vieillard, alors que le livre de science-fiction Soleil vert[1] paru il y a une éternité (interdit depuis longtemps par le CSS) est devenu notre réalité, à nous les vieux qui tentons désespérément de dérobotiser les activités, de les ré humaniser, de créer des emplois locaux pour que la créalisation[2] des biens et des services se fasse, par des humains, au plus près de ceux qui en ont besoin. Depuis plus de vingt ans les seuls emplois disponibles sont ceux liés à la maintenance des systèmes informatisés qui consistent à appliquer des procédures dictées et contrôlées par des logiciels. Toutes les personnes dont les métiers étaient liés à l’accueil et aux services furent systématiquement remplacées par des automates et robots de toutes sortes, ou encore par des télétravailleurs situés dans des pays où la main-d’œuvre et la matière grise coûtaient moins cher. Ainsi les métiers qui avaient échappé à la mécanisation, à la robotisation, à la machinisation informatique ont été externalisés dans des pays tiers, cela concernait tous les domaines d’activités, tous les services, tous les professionnels (juristes, comptables, médecins, coachs, …). Les connaissances étant devenues disponibles à un plus grand nombre, partout dans le monde, du fait de la mise en réseau des logiciels d’apprentissage.

Maintenant que ma vie sur Terre est en passe de devenir un souvenir pour ceux qui l’ont partagée et qui me survivront, je m’emploie avec beaucoup d’autres, à réinventer le concept de dignité humaine et à montrer la voie d’une civilisation soutenable d’un point de vue technologique. Se débrancher et se déconnecter sont devenus une évidence et pas seulement pour pouvoir voire les étoiles la nuit.

Nous tentons de réinstaurer la robustesse et la simplicité des objets du quotidien et des outils, pour les faire durer et pouvoir les réparer si nécessaire.

Nous ne mettons en œuvre et nous n’utilisons que des systèmes techniques que nous maitrisons complètement, c’est-à-dire durant tout leur cycle de vie et dès leur conception.

Nous luttons, ayant compris les limites du recyclage et de la logique « du tout jetable », contre l’obsolescence programmée des êtres, des choses et des territoires.

Nous oublions la recherche de la performance à tout prix et faisons-en sorte que le beau et l’esthétique ne soient pas au service du consumérisme qu’il soit de la culture ou de la mode par exemple.

Nous œuvrons à ce que l’économie ne soit plus basée sur la création infinie de nouveaux besoins et désirs, mais sur la manière de répondre aux besoins fondamentaux par un minimum de ressources.

Je suis convaincue que Germaine aurait apprécié cette démarche de sobriété technologique heureuse, car assumée, alors qu’elle n’a connu, me semble-t-il, que des choix technologiques imposés par les autorités, puis dictés par la pénurie des ressources. En fait, celle-ci fut essentiellement engendrée par l’épuisement relativement rapide, à l’échelle de la planète, des composants comme les terres rares[3], nécessaires à la fabrication des équipements électroniques.

En quelques années, la demande infinie de nouveaux équipements électroniques et usages informatiques, avec des besoins énergétiques toujours croissants, a dû être limitée, et certains services et facilités ont même dû être d’abord restreints puis carrément interdits. Ainsi par exemple, la raréfaction du Lithium qui fut surexploité pour fabriquer des batteries pour trottinettes, vélos, voitures et autres moyens de locomotion qualifiés d’écologiques au début du 21ème siècle, parce que ne libérant pas de CO2 là où ils sont utilisés (mais engendrant des problèmes de pollution liés à l’extraction des matières premières nécessaires à leur fabrication, puis liés à leurs déchets, c’est-à-dire, ailleurs), aura eu comme avantage d’empêcher entre autres, la fabrication des drones de surveillance et de coercition opérant sur terre, sous la mer et dans les airs ; ce fut le début de la fin de la surveillance de masse, ce qui pour certains était une catastrophe, pour d’autres, une opportunité d’agir pour que demain soit différent mais en mieux.

Notes

[1] Soleil vert, Harry Harrison 1966 (film au nom éponyme inspiré du livre de Richard Fleischer, 1973).

[2] Néologisme inventé par ma grand-mère à partir de création et réalisation

[3] Terres rares : Matières minérales (regroupant le scandium, l’yttrium, et quinze lanthanides (Lanthane, Cérium, Praséodyme, Néodyme, Prométhium, Samarium, Europium, Gadolinium, Terbium, Dysprosium, Holmium, Erbium, Thulium, Ytterbium, et Lutécium)) considérées comme stratégiques car utilisées dans des produits de hautes technologies.

Cloud et souveraineté numérique, quelles conséquences ?

La souveraineté numérique est synonyme d’indépendance, pour un État mais aussi les organisations et les individus. Or, la dépendance en matière de « cloud » à des fournisseurs étrangers posent en particulier trois types de problèmes :

Premièrement, pouvoir impérativement s’assurer d’avoir la possibilité de vérifier précisément ce que deviennent données et traitements confiés à une plateforme. Obtenir les logs (les enregistrements de toutes les opérations effectuées) et pouvoir auditer les environnements sont nécessaires. Cela est rarement possible ou alors à des prix exorbitants additionnels (ces facilités ne sont généralement pas incluses dans le contrat initial). Il est de plus, parfois impossible à postériori, de savoir comment les données sont traitées, qui les a accédées, ce que font les traitements notamment lorsqu’ils sont réalisés par des applications propriétaires dont le code source n’est pas accessible.

Le deuxième point est lié au droit applicable à la plateforme. Avoir la maitrise de la dimension juridique échappe à l’État qui utilise des fournisseurs émanant de certains pays étrangers qui ont imposé des lois extraterritoriales permettant à leurs autorités d’accéder aux données.

Le troisième problème est lié à la pérennité et aux coûts engendrés par l’asymétrie de la relation entre utilisateurs et fournisseurs de Cloud qui peuvent à leur gré, imposer, modifier des conditions d’utilisation, augmenter leurs tarifs mais aussi éventuellement empêcher l’accès aux services Cloud. Comment être sûr sur le long terme de la stabilité de l’environnement alors que le retour arrière comme la migration vers d’autres plateformes sont généralement impossibles ? La non-réversabilité des choix est réelle (car techniquement très difficile et économiquement pas soutenable), ce qui de facto dissuade et empêche le passage à la concurrence en la rendant infaisable.

En bénéficiant d’une position dominante, les géants du Net peuvent faire pression sur les prix pour capter des clients et s’imposer sur un marché. Ils savent également proposer des offres intégrées de services et applications qui peuvent être alléchantes. Ils jouent avec les moyens que leur procure leur taille, une palette étendue de services, leur capacité monétaire et leur position hégémonique.

Le recours que Google a notifier à la Confédération helvétique[1] contre l’adjudication rendue le 24 juin 2021 pour son Cloud, s’inscrit dans une logique de compétitivité extrême que se livrent les multinationales du numérique. Cela est emblématique de l’importance des enjeux pour gagner la bataille du Cloud et est révélateur de la puissance et des avantages stratégiques que peut procurer un marché étatique. Tout cela se réalise à la barbe de la population, sur le dos des contribuables et au regard des entreprises régionales du numérique, témoins démunis de la bataille des géants.

La souveraineté numérique devrait être au cœur des décisions politiques car le numérique constitue un levier de la souveraineté étatique et est indissociable de l’économie et de la vie de tous. Cela devrait se décliner non seulement dans des toutes les politiques (comme celle de politique de sécurité pour ne citer qu’un exemple) et devrait être aussi matérialisée par une action publique cohérente de soutien à l’écosystème numérique local. Cela devrait contribuer à son développement et à mieux protéger les données, les territoires numériques, la propriété intellectuelle, les savoir-faire, les capacités à développer de nouveaux services ou encore les emplois dans le pays. Pour faire ce type de choix, il faut consentir sans doute à ne pas privilégier des critères de performances et de prix et à ne pas succomber aux sirènes de la facilité.

Choisir des multinationales hégémoniques, c’est peut-être avoir l’illusion de faire des économies à très court terme et de pouvoir se rassurer en arguant avoir choisi les meilleurs acteurs du moment, même si les problèmes surviennent ultérieurement. Ce faisant, la dépendance envers ses fournisseurs et pays desquels ils sont des champions nationaux (soutenus eux, par leurs gouvernements respectifs) ne fait que croitre. Ces derniers ayant bien compris que maitriser les solutions « Cloud » et de les imposer est le meilleur moyen de s’approprier la richesse numérique ainsi que les moyens de la produire et de la faire fructifier.

Penser la souveraineté numérique (et la réaliser) est désormais un enjeux stratégique majeur.

Choisir des acteurs étrangers, c’est choisir à qui être inféodé. C’est aussi renoncer à contribuer à développer une souveraineté numérique aux services de ses citoyens, ce qui impacte nécessairement les capacités de cyberdéfense et d’autonomie stratégique d’un pays dans tous les domaines, y compris dans celui de l’intelligence artificielle.

Le retard pris ne se rattrape jamais comme nous le rappelle Jean de La Fontaine dans sa fable Le lièvre et de la tortue « Rien ne sert de courir ; il faut partir à point ». La véritable innovation technologique ne serait-elle pas d’arrêter de perdre du temps en réalisant de mauvais choix stratégiques ?

Notes

[1] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-84506.html

Perte de souveraineté numérique, la faute de trop

En 2021 la Confédération helvétique choisi des services Cloud fournis par des acteurs hégémoniques de l’Internet dont quatre sont américains (Amazon, IBM, Microsoft et Oracle) et un chinois (Alibaba). Dans ces conditions, la souveraineté numérique de la Suisse, n’est pas possible.

Le fait d’être dépendant de ces fournisseurs, qui deviennent indispensables au bon fonctionnement de la société, et qui par conséquent fait perdre la maitrise de nos territoires numériques, peut être considéré comme une faute stratégique.

Ce faisant, nous continuons à augmenter notre dépendance informatique envers ces géants du numérique, tout en renforçant à notre détriment, leur pouvoir et leur puissance. Chaque renoncement dans ce sens, chaque nouveau contrat passé, augmente notre soumission et notre incapacité à développer nos propres solutions ou à renforcer celles existantes y compris celles européennes. De ce fait, les acteurs locaux sont affaiblis et l’émergence d’acteurs nationaux et leur développement est illusoire.

Aucun discours vantant la Suisse digitale, sa « Trust Valley », la qualité de sa formation, ses centres de compétences, ses incubateurs de start-ups, ainsi qu’aucune action promotionnelle de l’écosystème numérique suisse, ne peuvent pallier la réalité de l’abandon stratégique de nos données et traitements, ni pallier celle de notre soumission volontaire aux géants du Net.

Cette mise sous tutelle additionnelle, contribue à faciliter les écoutes et la surveillance numérique. Ainsi les capacités d’espionnage, qui sont également mises au services agences gouvernementales des pays de ces fournisseurs, affaiblit nos actions dans les domaines économique, politique, diplomatique et militaire. Choisir ces acteurs, c’est leur offrir le moyen de saboter nos infrastructures dépendantes de leurs services et de leur bon vouloir.

En leur donnant un avantage stratégique concurrentiel de première importance et un levier d’influence géopolitique et économique, a-t-on au moins négocié des contreparties intéressantes ?

En acceptant la dépendance technologique, nous acceptons également celle économique, normative et juridique qui en découle. Ainsi va la souveraineté nationale de la Suisse, un bien bel exemple pour le reste du monde.

 

 

QR Code, de quoi es-tu le nom ?

Du code-barres au QR Code

Ce petit pictogramme qui envahit nos espaces et nos vies, que nous utilisons souvent sans vraiment le connaitre, est pour certains une véritable œuvre d’art porteuse d’informations codées aux design et graphisme esthétiques, pour d’autres, un moyen commode d’effectuer un service. Pour la majorité des usagers de la téléphonie mobile et de l’Internet, il est juste une pratique numérique devenue banale pour notamment accéder, consommer, payer, échanger, se déplacer et activer automatiquement des applications par exemples. Il s’inscrit dans l’évolution du code barre qui fut inventé aux USA, vers la fin des années 1940, commercialisé – avec ses lecteurs de code, une vingtaine d’années plus tard, afin de gérer, contrôler, suivre des entités.

 

De l’usage militaire à sa banalisation dans le civil

Depuis 1981, le DoD (Département de défense nord-américain) a intégré le code à barres comme moyen de gestion de la logistique des équipements militaires, le suivi et le contrôle des déplacements via le système LOGMARS (The Logistics applications of automated marking and reading symbols[1]) devenu une référence du domaine.

Une fois de plus en technologies de l’information, des applications civiles des avancées militaires se sont développées en même temps que le monde des affaires se les ont appropriées. Le dispositif du code-barres pour le marquage et le suivi d’entités dans une logique de contrôle, de performance et d’optimisation est alors devenu incontournable. Cela permet de mettre en œuvre des fonctions d’identification, de surveillance, de gestion et de contrôle. Le marché de l’utilisation et des équipements de lecture des codes-barres (scanners), n’a eu de cesse, depuis, de progresser et de s’amplifier.

A partir des années 2000, outre la banalisation de l’usage du code à barres pour les produits du quotidien, pour le client afin de payer ce qu’il consomme ou pour le commerçant, gérer ses stocks, les individus se sont habitués à cette manière d’être identifiés et contrôlés, en particulier lors de leurs déplacements en avion, par l’usage de cartes d’embarquement, le code-barres permettant sans ambiguïté d’identifier parfaitement une personne et ses caractéristiques de vol.

 

Spécificités du QR Code

Pour pallier les limites du nombre d’entités à coder par l’usage de barres et étendre le nombre de possibilités de codage et donc de représentations d’informations différentes, un ingénieur japonais eut l’idée, dès 1997, de coder l’information de marquage, non plus sous forme de barres, mais d’une matrice de points, le pictogramme. Trois ans plus tard, la norme internationale (ISO/CEI 18004)[2] qui définit et spécifie la symbolique du QR Code et les caractéristiques de la technologie d’identification automatique et de capture des données, existait. Les premiers usages le furent dans le contexte de l’industrie automobile, pour le traçage et le suivi des équipements notamment dans des chaines de montage.

Les téléphones mobiles ont largement contribué à rendre courant l’usage de symboles représentés selon le format QR Code, et leur lecture intégrée (du fait de la caméra qui se substitue à un scanner particulier), dans tous les domaines d’activité, que cela soit dans des contextes professionnels ou privés.

Le QR Code est une représentation d’une information qui n’est pas compréhensible par un humain, mais qui l’est par une application capable de déchiffrer les données codées dans l’image symbolique.

 

Le laisser passer (ou non)

Le QR Code est un certificat numérique qui permet de coder toutes sortes d’informations (géolocalisation, codes WiFi, Bitcoin, contacts de messagerie, de téléphonie, Zoom, …). Il n’y a pas de limite à la nature des informations et donc aux usages possibles (activation automatique d’une application de navigation, d’un service de messagerie, d’un texte, …).

Le QR Code constitue un passeport numérique permettant d’identifier une entité et un service avec des éléments qui les caractérisent, pour être utilisé par d’autres entités.

En scannant un QR Code (sur un produit, une porte, un document, un site web, un écran…) via son téléphone, la personne autorise « son téléphone » à envoyer au fournisseur de service qui a proposé le QR Code toutes les informations contenues dans le QR Code ainsi que l’identification du téléphone.

Selon les cas et la finalité du QR Code et de son application, sur réception des données, le fournisseur de services peut les stocker pour un traitement ultérieur (durée et traitements inconnus de l’usager) ou les exploiter directement dans une procédure de contrôle d’accès invisible à l’utilisateur.

Le problème n’est pas le QR Code, qui permet d’accéder à une prestation (la partie visible de l’iceberg), mais l’opacité des traitements des données personnelles qui peuvent en découler et le manque de garantie de leur protection et de l’intimité (privacy) des utilisateurs (la partie invisible de l’iceberg).

L’économie numérique est basée sur la collecte massive des données et de leurs traitements. Nous savons déjà depuis deux décennies, que plus l’individu est dépossédé de ses données, plus il devient transparent et plus l’exploitation de ses données (stockage, traitements et acteurs en charge) sont obscures.

 

Le visible et l’invisible

Depuis plusieurs années déjà, le QR Code est un levier d’une nouvelle « expérience client » à des fins commerciales comme artistiques d’ailleurs. Il contribue à offrir de nouvelles facilités ainsi qu’à façonner des comportements en modifiant les us et coutumes. Les QR Codes peuvent faire l’objet d’échange dans des réseaux sociaux, être associés à des contacts, à des photos, des cadeaux ou de l’argent entre internautes. Imprimer sur des vêtements et accessoires (casquettes, chaussures, …), le QR Code peut contribuer à la mode, à leur promotion tout en permettant d’identifier les personnes – ou groupe de personnes, qui les portent.

Associé à l’usage permanent du téléphone, le QR Code fait le lien entre l’environnement physique réel où il est omniprésent et le monde du traitement de l’information. Il permet par exemples d’activer des services, de se déplacer, manger, gérer des documents, consulter son compte en banque, réaliser des transactions commerciales et des paiements, se connecter à d’autres utilisateurs, partager de l’information, faire du marketing et promouvoir des offres.

Le QR code constitue un pont entre les activités off line et on line assurant la continuité du traçage des individus. Il est alors un véritable outil au service du monde des affaires et un catalyseur de l’efficacité d’actions commerciales. Les plateformes numériques l’ont bien compris et intègrent les usages du QR code dans leurs services.

L’aspect instantané, rapide et facile du QR Code est exploité pour engager l’usager dans une transaction sans qu’il s’en rende vraiment compte, selon un geste reflexe, qui ne favorise pas le temps de la réflexion et annihile de facto toute velléité d’effort nécessaire à la lecture de conditions générales pour contribuer à un consentement éclairé.

 

La Chine, le pays où l’on ne vit pas sans QR Code

Outre toutes les applications liées à chaque instant de la vie et à toutes les activités, le QR Code est devenu en Chine, le moyen pour satisfaire tous les besoins des individus et des entreprises[3]. La lutte contre la pandémie passe également par l’usage du QR Code[4]. Entre autres applications, il sert à suivre l’état de santé de ses habitants dans le cadre de procédures de contrôle d’accès et de mise en quarantaine. C’est également dans ce pays, que le concept de « Crédit social » s’est développé depuis 2014. Le comportement des personnes, les données des téléphones et des applications mobiles, couplées à celles issues des caméras de vidéo surveillance et de reconnaissance faciale, des réseaux sociaux et des activités en ligne (divertissements, achats, …), permettent de noter les personnes (et les entreprises) et de leur accorder des bonus ou des malus en fonction de la note, censée refléter le degré de confiance dont elles seraient dignes[5].

Ce type de dispositif à points et de système de notation, est déjà mis en œuvre partout dans le monde, par toutes les plateformes numériques, notamment sous couvert de notation et d’évaluation de la réputation. Par ailleurs, en France, depuis 1992, le permis de conduire est aussi basé sur un système à points dont le nombre initial de 12 décroit avec les infractions constatées.

Outre les usages du QR Code répandus en Corée du Sud comme à Singapour, le marché du QR code est mondial et sans limite.

 

Le QR Code, au-delà du contrôle

Le QR Code fait partie de la panoplie d’outils mis à disposition par des organisations, qui engendrent des pratiques au service d’une vision de société soutenue par les gouvernements. Cela interpelle la société civile sur leurs intérêt, validité et finalité et l’incite à regarder derrière le miroir sans tain des justifications commerciales, sanitaires et sécuritaires avancées.

Tous les dispositifs numériques que nous utilisons, contribuent à la mise en place d’un système global de surveillance de masse des comportements, des activités, des déplacements, qui en plus, impose des comportements normés selon des critères définis par ceux qui maitrisent les dispositifs techniques et ceux qui les exigent. Le QR Code, n’échappe à cet objectif. Il va bien au-delà de la surveillance et du contrôle. Il contraint insidieusement les individus à se conformer à des règles définies et imposées, comme cela est illustré par le système du crédit social chinois, pour gagner des points ou les garder.

 

Le QR Code au service de la liberté ?

Le QR Code est désormais présenté, dans le contexte de la pandémie, comme une solution « miracle » et hygiéniste – du fait de son côté « sans contact ». Il peut se décliner à l’infini dans des lieux publics (cafés, restaurants, lieux d’hébergement, sportifs, touristiques ou culturels, transports communs, etc.) avec un argumentaire faisant référence généralement à la notion de « retour à la normale » et « liberté ». Mais de quelles normalité et liberté s’agit-il ?

Est-il possible qu’il s’agisse toujours de liberté lorsque les personnes sont contraintes d’utiliser un QR Code ?

Reste -t-il une place pour la liberté et le libre arbitre lorsque le choix doit s’opérer entre accepter d’investir dans un smartphone, de télécharger des applications, être suivi à la trace et être contrôlé par un dispositif technique et organisationnel et entre devoir renoncer à accéder à des services et infrastructures qui ne sont plus accessibles autrement ?

Aurions-nous oublié que la normalité n’est pas d’être mis sous tutelle numérique et en posture permanente de surveillé ?

Renonçons-nous à l’espoir d’une liberté numérique possible parce qu’elle demande un effort, un engagement pour défendre les droits humains ou parce qu’elle est incompatible avec la manière dont l’économie numérique se développe ?

Aurions-nous oublié le long poème « Liberté, j’écris ton nom » que Paul Eluard écrivit en 1941 pour le mouvement de lutte pour la libération et pour raviver l’espoir de tous ?

« Sur mes cahiers d’écolier / Sur mon pupitre et les arbres / Sur le sable sur la neige / J’écris ton nom/ … Sur les routes déployées…/ …Sur les objets familiers / … J’écris ton nom / … Et par le pouvoir d’un mot / Je recommence ma vie/ Je suis née pour te connaître / Pour te nommer/ Liberté ».

 

Esprit de liberté et de libération qu’es-tu devenu ?

QR Code et passeports numériques de toutes sortes, de quoi êtes-vous réellement le nom ?

 

 

Notes

[1] https://www.barcodefaq.com/1d/code-39/logmars/

[2] ISO/IEC 18004:2015 ; Technologies de l’information — Technologie d’identification automatique et de capture des données — Spécification de la symbologie de code à barres Code QR (la version de 2015 a été révisée en 2021). https://www.iso.org/fr/standard/62021.html

[3] https://marketingtochina.com/the-ultimate-guide-to-qr-codes-in-china/

[4] https://www.cnn.com/2020/04/15/asia/china-coronavirus-qr-code-intl-hnk/index.html

[5] https://www.rfi.fr/fr/asie-pacifique/20200102-chine-2020-notation-citoyens-entreprises-occident-credit-social

https://linc.cnil.fr/fr/le-credit-social-chinois-et-le-dilemme-ethique-de-la-confiance-par-la-notation

L’ère de la Post-Confiance

Le mot confiance est dérivé du vieux français « fiance », c’est-à-dire « foi ».

D’après le dictionnaire, la confiance est le fait de croire, d’avoir foi en quelque chose. L’assurance qui en découle peut-être un sentiment de sécurité ainsi que la possibilité de se fier à une entité.

Lorsque que nous réalisons des activités en ligne, sommes-nous en confiance, en sécurité et en mesure de développer un sentiment d’innocuité ?

Pour apporter des éléments de réponse à cette question, qui en fonction de l’expérience de chacun peut avoir diverses résonnances, revisitons quelques constats.

Vols massifs de données

Depuis le début de ce siècle, les fuites et les vols massifs de données sont devenus habituels et n’ont fait que s’amplifier à partir des années 2010. Ce sont plusieurs dizaines et centaines de millions de comptes utilisateurs qui sont régulièrement siphonnés des serveurs des fournisseurs de services. Tous sont concernés, y compris les plus grands et ceux qui font le numérique (Sony PlayStation, JP Morgan, RSA Security, Dropbox, Adobe, eBay, Yahoo, mySpace, LinkedIn, Uber, Facebook, Equifax, Marriot, Tinder, British Airways, Easy Jet, SITA, Verisign, etc.[1]). Ainsi par exemple, les informations relatives à 533 millions de comptes Facebook incluant entre autres identifiants Facebook, numéros de téléphone, noms, adresses, date de naissance, biographies se trouvent, depuis 2019, à disposition de la cybercriminalité à des fins d’usurpation d’identité, d’ingénierie sociale et de fraudes[2]. Chaque année, le nombre cumulé des fuites de données s’exprime en plusieurs milliards de comptes utilisateurs.

Espionnage structurel omniprésent et marché de la surveillance

En 2013, Edward Snowden[3] révélait au monde l’ampleur des écoutes et de la surveillance des télécommunications et de l’Internet par les agences de renseignement nord-américaines. En parallèle se développait la surveillance, basée sur la collecte massive des données et leur exploitation sans limite. Cette dernière est devenue le moteur de l’économie numérique, mais aussi du développement des pratiques numériques, de l’intelligence artificielle, ou encore du déploiement de la 5G.

La dématérialisation des services, la géolocalisation, les services personnalisés, la connectivité permanente, les capteurs de données, les drones, les objets connectés, les caméras de vidéosurveillance, l’usage des réseaux sociaux et des plateformes numériques, génèrent des flux et des traces numériques. Ces derniers constituent un gisement informationnel exploitable tant par des entités publiques que privées, tant par des acteurs licites qu’illicites[4].

La donnée est un bien tangible commercialisable, source de valeur à qui sait la collecter, la stoker, la transformer, la transmettre, la maitriser. Le commerce des données, y compris des données personnelles et de l’identité numérique, est au cœur du capitalisme numérique néolibéral[5]. Il est indispensable à la croissance numérique, à l’économie de l’attention et à celle concomitante de la surveillance[6]. Ainsi, toutes restriction, protection, limitation d’usage des données, constituent un frein au développement de l’économie numérique.

Dès lors peut-on encore s’étonner que le capital informationnel des individus et des organisations publiques et privées puisse être convoité par des acteurs de l’économie licites et de l’économie souterraine ?

 Vulnérable et piratable par conception

Force est de constater que des produits insuffisamment robustes et sécurisés sont utilisés comme l’a démontré, pour ne donner qu’un seul exemple, les vulnérabilités d’un des systèmes de messagerie électronique les plus utilisés de par le monde (Microsoft Exchange) révélé en mars 2021[7]. Même si des rustines de sécurité ont également été publiées, le délai écoulé entre les découvertes des vulnérabilités, le développement des mesures d’atténuation, l’installation des « rustines » de sécurité et la mise à jour de tous les systèmes concernés, offre aux cyberattaquants, une fenêtre d’exploitation des failles suffisamment longue pour être mise à profit. Cela permet d’exfiltrer des données, de détourner les capacités de traitement, de pénétrer des systèmes d’information et d’y progresser ou encore d’installer des programmes malveillants et avoir le contrôle distant des environnements infectés.

Par ailleurs, la vulnérabilité conceptuelle du cœur de tous les équipements électroniques, que sont les processeurs, est connue depuis 2018[8]. Il s’agit des failles de sécurité dénommée « Spectre » et « Meltdown », qui depuis 1995 concernent les processeurs Intel, AMD et ARM et qui, si elles sont exploitées, permettent des accès aux données et rendent vulnérables les systèmes d’exploitation exécutés par ces processeurs (Windows, MacOS, iOS, Android, etc.). Depuis, de nouvelles vulnérabilités liées à l’architecture des microprocesseurs, sont régulièrement annoncées pouvant provoquer par exemple des dénis de service à distance, permettant exflitrer des données confidentielles ou encore faire de l’élévation de privilèges pour s’introduire et naviguer dans des systèmes d’information[9] ou encore permettant d’injecter du code à distance[10] .

A cette problématique de défaut de conception des processeurs s’ajoute celle des portes-dérobées (backdoors) expressément conçues et intégrées dans les matériels et logiciels par les fournisseurs, pour en prendre le contrôle à l’insu des propriétaires légitimes[11].

Enfin, nul ne peut plus ignorer que les solutions de sécurité peuvent posséder également des failles de sécurité (failles Poodle ou Heartbled[12] par exemples des solutions qui permettent de réaliser des mécanismes de chiffrement et de mettre en oeuvre des fonctions de sécurité).Lorsqu’il est difficile d’être sûre de la sécurité de la sécurité, alors un faux sentiment de sécurité se substitue à celui de confiance dans la sécurité.

Ces quatre cas emblématiques, illustrent qu’il est difficile de croire avec assurance dans la qualité, la fiabilité, la sûreté et la sécurité des environnements informatiques. De facto, « par conception », il est difficile d’avoir naturellement confiance dans les infrastructures numériques mises à disposition des usagers.

Chaines d’approvisionnement logiciels compromises et programmes malveillants

Les logiciels ont aussi leurs chaines d’approvisionnement et celles-ci peuvent être utilisées pour réaliser des cyber-attaques. Jusqu’à présent les utilisateurs faisaient confiance à leurs fournisseurs, les autorisant pour certains à installer automatiquement les nouvelles mises à jour, ce qui parfois peut entrainer l’installation de programmes malveillants.

Ainsi par exemple en 2019 l’opération ShadowHammer[13] était rendue publique. Le détournement du logiciel ASUS Live Update Utility d’installation des mises à jour logicielles du constructeur Taiwanais de matériel informatique ASUS a permis d’infecter plusieurs dizaines de milliers d’ordinateurs de par le monde et d’installer des Chevaux de Troie, véritable porte dérobée permettant la prise de contrôle à distance des systèmes et l’injection de codes malveillants.

La majorité des plateformes logicielles font l’objet de détournement et de compromission de leur relations privilégiée avec leurs clients pour abuser les protections en place (notamment les antivirus) et faire installer des points d’entrée dans les systèmes qui permettent l’installation de programmes malveillants à la place ou en même temps que des mises à jour légitimes (exemple opération Kingslayer[14] qui ouvre les portes des systèmes infectés). Ce mécanisme d’attaque contre les chaines d’approvisionnement logiciels qui exploite le vecteur des mises à jour légitimes a été utilisée contre la firme SolarWinds et ces clients dont notamment de nombreuses agences gouvernementales d’Amérique du Nord (Département d’État, de la sécurité intérieure, de l’énergie, du Trésor…) ou encore l’entreprise américaine de sécurité FyreEye par exemple[15]. Le logiciel CCleaner (censé optimiser les performances d’un ordinateur sous Windows ou Mac OS, libérer de l’espace mémoire, d’effacer des traces de navigation web, …) a aussi été affecté par ce type d’attaque  en 2017, touchant plusieurs millions de systèmes et d’utilisateurs[16].

Les mises à jour logicielles signées par des certificats volés ou falsifiés pour leurrer systèmes et personnes permet d’installer des logiciels malveillants dans des systèmes cibles qui ensuite les propagent. Cela conduit à de l’espionnage, des vols de données (exfiltration de données) ou encore au chiffrement des données et le cryptoblocage des systèmes à des fins de chantage et de demande de rançons[17]. Cela permet également de réaliser attaques en déni de services.

Ainsi l’acte recommandé pour des raisons de sécurité, de mettre à jour ses systèmes, devient de manière perverse et insoupçonnable un vecteur d’intrusion très efficace d’installation et de distribution de virus informatiques.

IL s’agit d’une ultime rupture de confiance, puisque le modèle économique de la sécurité est basé sur la distribution de rustines de sécurité à installer régulièrement.

De manière plus classique et depuis plus d’une vingtaine d’années ce sont des pièces jointes et des fichiers bureautiques compromis (Word, Powerpoint, Adobe, Excell, …) transmis par des messages électroniques, qui peuvent participer à la diffusion et à l’installation de virus. Le virus I Love you[18] en mai 2000 est à ce titre, un cas d’école. Le programme malveillant BlackEnergy[19], véritable Cheval de Troie qui existe depuis 2007 et dont la version 3 qui circule depuis 2014 a permis notamment de cyberattaquer des infrastructures industrielles en Ukraine en 2015 en ciblant, entre autres, son infrastructure d’approvisionnement en électricité et en rendant les systèmes inopérables[20].

Les applications mobiles ne sont pas épargnées et des attaques diffusant des logiciels malveillants sur des téléphones intelligents peuvent se réaliser via Google Play Store ou l’App Store d’Apple par exemples[21]. D’apparence légitime, les applications téléchargées compromises comme illustré par l’Apps “Lovely Wallpaper” et sa déclinaison en « ExpensiveWall »[22], permettent non seulement de voler des informations mais de modifier les paramètres du téléphone et de facturer des services non souhaités et utilisés par l’usager ou encore de réaliser des écoutes. Les outils logiciels de développements d’Apps (Software Development Kits) peuvent être également détournés pour injecter des programmes malveillants dans des Apps apparement saines.

Si les chaînes d’approvisionnent logiciels sont compromises, dès lors comment installer, en toute confiance, des logiciels, y compris de sécurité ? Difficile dans ces conditions, de corriger les vulnérabilités et d’améliorer la sécurité des produits tout au long de leur cycle de vie.

Les capacités des personnes en charge de la sécurité des systèmes dépendent de la confiance envers les chaînes d’approvisionnement logiciel, envers lesquels la confiance est difficile à construite, à vérifier et à valider.

L’incapacité à faire confiance à des programmes supposés être de confiance, rend difficile la maitrise des cyberrisques. Cette double problématique de sécurité et de confiance dans les mécanismes de sécurité fait peser une menace systémique sur la confiance et sur sa matérialité.

Ainsi, après les faits alternatifs, il existe désormais une confiance alternative qui dépend de l’incertain et de l’invisible pour les personnes en charge de la gestion de la sécurité informatique, c’est-à-dire de facteurs hors de leur contrôle.

En 2017, suite à des vulnérabilités de produits Microsoft[23] à partir desquelles des programmes malveillants longtemps exploités discrètement par la NSA mais qui ont finis par échapper à leur contrôle[24], permirent au rançongiciel Wanacry de faire la démonstration mondiale de la possibilité et de l’efficacité d’une diffusion de crypto virus pouvant affecter toutes les infrastructures, tous les pays. Depuis ce jeu d’essai concluant, ce genre de cyberattaques (verrouillage par chiffrement des ressources et demandes de rançons) est devenus courant et a révélé toute sa puissance et sa nuisance notamment durant la pandémie de la Covid 19[25].

Désinformation et deep fakes

La désinformation ou la propagande ont toujours existé. Comme la publicité, cela contribue à convaincre, à manipuler, à orienter, à piloter et faire réaliser des actions spécifiques. Avec Internet, ces phénomènes sont faciles à concrétiser de manière massive et rapide mais aussi de manière personnalisée en fonction des cibles et des résultats escomptés.

De vraies-fausses informations ou de fausses-vraies informations circulent et sont amplifiées par les caisses des résonance que constituent les réseaux sociaux.

La réalité virtuelle et les capacités technologiques issues de l’intelligence artificielle pour créer et modifier à l’infini la réalité, permet d’obtenir une réalité parfois plus réelle (et souvent plus belle) que la réalité[26].

Quelles relations de confiance envers la réalité perçue à travers des écrans peut-on développer alors qu’il est difficile, voire impossible, de distinguer le vrai du faux et d’authentifier un contenu et son origine ?

Une logique d’informatisation questionnable

Le manque de sécurité n’est-il pas consubstantiel aux produits et services de l’informatique ?

Les modèles économiques des mises à jour sécuritaires pour combler les vulnérabilités des produits conçus de manière insuffisamment robuste et sécurisée est très rentable et sans fin. Cela est justifié par le besoin réel d’être en sécurité et en confiance, alors que le numérique ne le permet pas par conception. En effet, les choix technologiques, basés sur une rationalité économique, répondent à une politique de développement particulière. Ce n’est pas par hasard que les concepts de « Security by design” et de « Privacy by default » sont rarement instanciés dans des produits. 

Apporter des réponses à des défauts de sécurité est bien, mais pas suffisant. Plus il y aura de systèmes, d’objets, d’organisations et des personnes connectés, plus il y aura des problèmes de sécurité. Il s’agit d’un cercle vicieux, il manquera toujours des compétences, des ressources, des solutions de sécurité. Une possibilité de sortir de cet engrenage est de changer de paradigme, et de remettre en cause les modèles d’affaires et de profitabilité du développement du numérique et de la cybersécurité.

Augmenter les contraintes juridiques, les moyens de les faire respecter et les pénalités en cas de non-respect, lutter contre la cybercriminalité et les usages abusifs et détournés, est bien mais toujours pas suffisant. Que des responsabilités soient assignées à tous les acteurs et que ceux-ci les assument en cas de défaillance à la hauteur des risques qu’ils font porter à la société, contribue à une meilleure prise en compte des besoins de qualité, de fiabilité et sécurité. Toutefois, cela ne répondra pas au problème fondamental qui réside dans la réalité de l’économie du numérique basée sur l’exploitation des données, de toutes les données, des traces et des flux numériques. Le respect du droit à la vie privée et à la protection des données personnelles est encore aujourd’hui considéré comme un frein au développement numérique.

Peut-on avoir confiance dans des mesures de protection des données alors que les modèles d’affaires de l’économie numérique sont basés sur l’exploitation des données ?

Lever cette contradiction ontologique, repenser les fondements de l’économie numérique, questionner sa finalité, investir dans la maitrise des risques pour véritablement profiter des opportunités technologiques et faire de l’écologie numérique respectueuse des droits humains devrait contribuer à une société plus résiliante aux cyber nuisances.

Tant que la majorité des solutions de cybersécurité consiste à boucher, les trous d’une casserole conçue comme une passoire, bien que le contexte aurait exigé de disposer d’un récipient sans trous, robuste et fiable ;

Tant qu’il n’y a pas de remise en cause du fait que la casserole a été conçue comme une passoire à trous plus ou moins nombreux et larges (modèle économique du numérique et de la sécurité et vulnérabilités matérielles et logicielles) ;

Tant que la cybersécurité est abordée uniquement sous l’angle de la conquête de marché et de la profitabilité (vendre des rustines de sécurité pour boucher des trous sans pour autant boucher tous les trous), la cybersécurité ne sera pas très efficace. En revanche, le commerce de la cybersécurité, qui s’inscrit dans la durée, est très rentable (besoin constant de toujours plus de rustines, nouvelles rustines et remplacement des plus anciennes, réalisation de rustines de rustines, etc.) ;

Tant que les produits sont commercialisés avec des vulnérabilités ou des portes dérobées;

Alors, il est difficile d’avoir pleinement confiance dans l’écosystème numérique et ses produits. Ainsi, il est plus aisé d’inventer l’ère de la post-confiance.

Penser le contraire que ce que l’on voit, appauvrir les mots et construire des vérités alternatives

Le numérique et la profusion d’initiatives traitant de confiance numérique, contribuent à donner vie au concept de confiance alternative et à l’ère de la post-confiance, à l’instar des concepts de post-vérité et de faits alternatifs inventés par le 45ème président des États-Unis d’Amérique afin de masquer et de dénaturer la réalité a son propre avantage. Le jeu de dupe consiste alors à truquer le langage et les mots pour accréditer une vérité alternative.

Au regard de la réalité des défauts de sécurité, parler de confiance à l’ère numérique c’est recourir la novlangue  pour créer une illusion de confiance, à la manière de George Orwell, qui dans son roman «1984», invente la «novlangue» comme instrument de pouvoir, dont le but est l’anéantissement de la pensée et la destruction de l’idée de vérité afin de rendre le mensonge crédible.

Aujourd’hui, est-il encore possible de désirer développer des mesures de cybersécurité qui permettent de construire la confiance ou est-ce simplement impossible, voir absurde ? 

Sans disserter sur l’humain, comme être de raison et de désir, insistons sur le besoin et sur la volonté raisonnable d’être en sécurité et en confiance dans le cyberespace et dans le monde physique qui doivent être satisfaits au risque de voir s’effondrer la société du numérique.

Selon Descartes – “Il vaut mieux changer ses désirs que l’ordre du monde”[27] pour le paraphraser, “Il vaut mieux changer la manière de concevoir le numérique et son économie que d’imposer un nouvel ordre du monde fragilisé par le numérique”.

Est-ce impossible ? Peut-être, mais il n’est pas absurde de désirer l’impossible.

En attendant, imaginons, avec Albert camus, Sisyphe heureux[28].

 

Notes 

[1] https://optimumsecurity.ca/21-biggest-data-breach-of-21-century/

[2] https://www.businessinsider.fr/us/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

[3] Edward Snowden ; « Mémoires vives », Seuil, 2019 (version française du livre « Permanent record », Metropolitan books (Macmillan).

[4] Solange Ghernaouti ; « La cybercriminalité, le visible et l’invisible » ; Collection Le savoir suisse, 2009.

[5] Cédric Durand, « Technoféodalisme, critique de l’économie numérique » ; Zones, 2020.

[6] Shoshana Zuboff « L’Âge du capitalisme de surveillance » ; Zulma, 2019, traduction française de « The age of surveillance capitalism » ; Profile books 2019.

[7] Multiples vulnérabilités dans Microsoft Exchange Server (mars 2021)

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/

Bulletin de sécurité Microsoft du 02 mars 2021 : « On-Premises Exchange Server Vulnerabilities Resource Center » Microsoft Security Response Center, March 2, 2021

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Patch de sécurité concernant les versions 2013, 2016 et 2019 de Microsoft Exchange server Released: March 2021 Exchange Server Security Updates (3 mars 2021)

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

[8] https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

[9] Multiples vulnérabilités dans Intel CSME, Intel SPS, Intel TXE, Intel DAL et Intel AMT 2019.1 QSR

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-210/

[10] Load Value Injection, CVE-2020-0551

https://businessresources.bitdefender.com/hubfs/Bitdefender_Whitepaper_LVI-LFB_EN.pdf

[11] A titre d’exemple de produits concernés :

https://www.zdnet.com/article/cisco-removed-its-seventh-backdoor-account-this-year-and-thats-a-good-thing/

[12] SSL 3.0 Protocol Vulnerability and POODLE Attack

https://us-cert.cisa.gov/ncas/alerts/TA14-290A

“Heartbleed” OpenSSL Vulnerability

https://us-cert.cisa.gov/sites/default/files/publications/Heartbleed%20OpenSSL%20Vulnerability.pdf

[13] https://www.kaspersky.fr/about/press-releases/2019_operation-shadowhammer-new-supply-chain-attack

[14] Porte dérobée Kinkslayer

https://www.rsa.com/en-us/blog/2017-02/kingslayer-a-supply-chain-attack

[15] https://www.reuters.com/article/us-usa-cyber-treasury-exclusive/suspected-russian-hackers-spied-on-u-s-treasury-emails-sources-idUSKBN28N0PG

https://www.sans.org/blog/what-you-need-to-know-about-the-solarwinds-supply-chain-attack/

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

[16] https://thehackernews.com/2018/04/ccleaner-malware-attack.html

[17] Rançongiciels et cyberattaques : comment ça marche? https://www.youtube.com/watch?v=PbQe5gyY-Vw

[18] https://www.lemonde.fr/pixels/article/2020/05/04/vingt-ans-apres-le-createur-du-virus-informatique-i-love-you-temoigne_6038636_4408996.html

[19] https://attack.mitre.org/software/S0089/

[20] https://www.kaspersky.fr/resource-center/threats/blackenergy

[21] https://www.zdnet.com/article/open-source-spyware-makes-it-on-the-google-play-store/

[22] https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/

23] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144

[24] https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[25] https://www.europol.europa.eu/activities-services/staying-safe-during-covid-19-what-you-need-to-know

[26] https://www.rts.ch/info/culture/12033222-pourquoi-les-videos-deepfake-de-tom-cruise-sontelles-si-flippantes.html

[27] René Descartes, « Discours de la méthode », 1637.

[28] Albert Camus, « Le mythe de Sisyphe », Gallimard, 1942.

Pourquoi il n’y a pas (beaucoup) de femmes en Cyber

Réflexions pour la journée internationale du droit des femmes du 8 mars 2021

La question de savoir pourquoi il n’y a pas beaucoup de femme dans les métiers de la cybersécurité m’est souvent posée. La réponse est sans doute à trouver dans notre culture, dans la construction sociale des inégalités, dans une répartition inégale des rôles, dans la difficile émancipation des femmes ou encore dans un certain refus de l’égalité entre tous les individus, indépendamment de leur sexe, de leur couleur de peau ou encore de leur origine.

 

Revisiter le passé, comprendre le présent, inventer l’avenir

The Atlantic titrait son dossier spécial de l’été 2010 « The end of men ». Ce numéro portait sur la manière dont les femmes ont mieux traversé la dernière crise économique et a mis en évidence, que les entreprises les plus en difficultés sont celles qui comptaient le moins de femmes dirigeantes, que l’économie post-industrielle était plus adaptée aux femmes et que cela sonnait la fin de l’âge de la testostérone. Serait-ce aussi la fin du monde ? Non car l’avenir de l’homme, c’est la femme écrivait Aragon en 1963, en écho à la célèbre phrase de Marx l’homme est l’avenir de l’homme. Mais qu’en est-il réellement en 2021 ?

Revisiter le passé pour comprendre le présent et contribuer à inventer l’avenir devrait nous permettre de considérer l’Égalité des chances comme un droit, pour que l’égalité des droits deviennent une réalité et non une utopie ressassée.

 

Un rapport de force construit par la société, un modèle idéal demeuré « masculin »

Il semble toujours que la réalité des femmes qui travaillent relève encore de la course d’obstacles. Dans les conditions actuelles de travail que les femmes cumulent la plupart du temps avec les tâches domestiques, il ne leur apporte pas les mêmes gratifications qu’aux hommes. Le modèle qui prévaut encore chez beaucoup, est que le destin domestique des femmes est donné à voir comme l’essence naturelle de la femme. Comment expliquer que des femmes puissent adhérer implicitement à cette différenciation inégalitaire résultant d’un rapport de force construit par la société, sinon que par le fait que lorsque deux castes s’opposent, nous rappelle Simone de Beauvoir, il se trouve toujours dans la plus défavorisée, des individus qui par intérêt personnel s’allient avec les privilégiés. De plus, la femme parfois se valorise à ses yeux et à ceux de l’homme en adoptant le point de vue de l’homme. Lorsque la femme se plie à l’ordre normalisateur, qui ne manque pas de la récompenser, elle contribue à entretenir la conformité au modèle dominant existant. Le modèle idéal demeure encore masculin. Tout un chacun a acquis des habitudes de pensée, un système de référence et de valeurs dont il est devenu prisonnier.

Les propos du livre de Simone de Beauvoir « Tout compte fait » sont toujours d’actualité. Ils avaient le mérite de s’opposer à ce que Henri de Monterland prêtait, cette même année 1972, à un de ses personnages dans ses Jeunes filles : «  … elle a le tort d’être intelligente ; ça la rend laide » et cela 23 ans après la publication du Deuxième sexe.Cette Misogynie de salon à l’humour déplacé, quand bien même spirituelle ou auto-dérisoire, est regrettable. Rieuses et rieurs participent alors à la misogynie et l’entretiennent.

 

« Les hommes possèdent le monde », les femmes le nettoient

Aujourd’hui encore, qualifier quelqu’un de féministe est souvent insultant. Cela reste un préjugé dévalorisant qui s’inscrit dans la continuité de l’énergie dépensée pour convaincre la femme que le destin singulier et spécifique qui lui est imposé est celui de tenir sa maison, de faire des enfants et de les élever. Ainsi les hommes possèdent le monde, comme le souligne Gide dans Les nourritures terrestres, on pourrait avoir envie de rajouter, les femmes le nettoient …

Il ne s’agit pas de polémiquer autour de la question de l’existence d’une nature féminine mais de constater que le carcan des traditions est bien lourd. La nature féminine est un mythe inventé par les hommes pour enfermer les femmes dans des activités essentiellement définies par des hommes, les astreignant souvent à la soumission.

 

Une entreprise de destruction massive à l’œuvre

L’inégalité s’apprend dès l’enfance, absorbée à dose quotidienne, elle est facilement assimilée, comme sont acceptées les règles du jeu qui permettent de devenir des êtres soumis, voire de bonnes perdantes, à qui l’on peut faire croire que l’humiliation et la violence sont des pratiques normales et légitimes. Je reprends ici les propos de Benoîte Groult dans son magnifique ouvrage Mon évasion : « Les dés sont pipés, les mailles du filet que sont les lois, les interdits, les traditions religieuses les injonctions morales sont fortes. Il est difficile d’envisager de passer au travers des mailles du filet tant que les femmes sont persuadées que cela serait douloureux, voire dangereux de s’en dégager. Le seul avantage de l’inconscience et de la docilité, c’est qu’elles permettent de vivre à peu près n’importe quoi sans trop de dégâts ».

 

Dépasser l’universel masculin

La culture, la science, les arts, les techniques, l’ingénierie, ou encore les lois, les politiques de développement, etc. ont été majoritairement et de manière relativement exclusive, en tous les cas jusqu’à un passé récent, définis par des hommes, puisqu’ils représentaient l’universalité et l’université.

Il y a plus de deux mille ans que les hommes, dont les philosophes, approfondissent leur réflexion sur un monde où ils occupent toutes les places dans l’ordre de la pensée et du pouvoir. Il y a si peu de temps que les femmes ont accédé au droit de réfléchir, au droit de lire, d’écrire, de devenir artiste ou scientifique, et il n’y a pas si longtemps au droit de vote. Ce dont témoigne l’exposition « Femmes.droits » du Musée national de Zurich «  Les Suissesses ont longtemps été privées de droits civils et politiques. Le chemin qu’elles ont parcouru pour obtenir le droit de vote en 1971 et l’article constitutionnel sur l’égalité en 1981 a été semé d’embûches et a suscité de nombreuses controverses. Depuis que la Déclaration des droits de l’homme et du citoyen de 1789 stipulait que l’exercice des droits politiques était réservé aux «hommes libres», les femmes n’ont cessé de se battre pour l’égalité. Aujourd’hui encore, femmes et hommes se disputent ce principe. 50 ans après l’introduction du suffrage féminin en Suisse, l’exposition au Musée national Zurich met en lumière les hauts et les bas de plus de 200 ans de lutte pour les droits des femmes dans notre pays. ».

 

L’histoire, témoin de la misogynie ordinaire

Pour que l’entreprise de destruction massive fonctionne, il a fallu compter avec la complicité des historiens. La présence des femmes dans l’histoire a été systématiquement occultée, à part quelques figurantes identifiées par des appellations marginalisantes comme « les précieuses ridicules » ou « les femmes savantes »; véritables repoussoirs, qui jettent en même temps le discrédit sur l’ambition créatrice des femmes. Le qualificatif de savant ne sert qu’à ridiculiser les femmes, alors que le même adjectif chez un homme est honorable. Entre « Savante » et « ridicule » : c’est la dérision qui l’emporte !

Diderot écrivait « passé la jeunesse, à la ménopause, qu’est-ce qu’une femme ? Négligée de son époux, délaissée de ses enfants, nulle dans la société, la dévotion est son unique et dernière ressource. » Pour que la dévotion ne soit plus la seule planche de salut de la femme, celle-ci se doit de ne pas « être nulle », ni invisible dans la société, ce qui revient à dire que son rôle doit être reconnu et valorisé, dans la logique économique actuelle, c’est à dire celle du marché, et en particulier du marché du travail.

N’oublions pas que le code civil de Napoléon établit en 1804 « la perpétuelle et obligatoire résignation des femmes » en faisant d’elles des incapables et des mineures leur vie durant. La promesse « d’obéissance à son mari » ne figure plus dans le rituel du mariage civil français depuis 1988 seulement !

Après « femme savante », est apparu au 19ème siècle l’expression venue d’Angleterre les « bas-bleu » pour désigner une femme qui a des prétentions littéraires. Il n’y a pas d’expressions équivalentes pour qualifier un homme même s’il en existe qui prétendent faire de la littérature. Quand une femme écrit, c’est par prétention et non pour faire de la littérature !

 

Le langage reflète nos préjugés

Le langage n’est pas un simple outil pour communiquer c’est le reflet de nos préjugés, le miroir de nos rapports de force, de nos désirs inconscients. Rendre invisible dans le vocabulaire l’accession des femmes à de nouvelles fonctions, c’est une façon de les nier. Les lacunes du vocabulaire ne concernent généralement pas les hommes. Le dynamisme du langage fera considérer bientôt ridicules les précieuses qui continueront à se dire madame le ministre, madame le doyen ou madame le professeur… Le blocage ne se situe pas au niveau du vocabulaire mais à celui des mentalités. L’intelligence n’a jamais préservé de la misogynie !

 

Esprit des lumières où es-tu ?

À « la résignation perpétuelle » inscrite par Napoléon, un peu plus tard, Freud répond dans la vie sociale et psychique par « l’envie de réussir chez une femme est une névrose, le résultat d’un complexe de castration dont elle ne guérira que par une totale acceptation de son destin passif ». Heureusement, il y a toujours eu des hommes philosophes, scientifiques, politiciens, managers pour affirmer l’égale dignité des deux sexes, ils existent, ils sont de plus en plus nombreux, et c’est tant mieux.

Ainsi par exemple, sous la Révolution française, Condorcet fut l’un d’eux, il passa au mieux pour un doux hurluberlu, au pire pour un dangereux utopiste, … jamais cité pour sa défense des droits des femmes, est-ce un détail sans importance ? Non juste une non-pensée : Esprit des lumières où es-tu ?

Les droits des femmes rencontrent encore bien des obstacles, et sur bien des points de vue, ils ne font pas vraiment encore partie des droits de l’homme et il est toujours, tout autant difficile aujourd’hui d’avancer alors que l’égalité est reconnue officiellement. Par ailleurs, les femmes sont très mal placées pour mener un combat efficace, car l’oppresseur reste encore souvent leur père, leur amant, leur mari, le père de leurs enfants ou encore souvent le principal pourvoyeur de fond de leur foyer.

 

Vers plus d’équité

Heureusement aujourd’hui, les hommes convaincus de l’importance de ce besoin d’égalité entre les hommes et les femmes sont de plus en plus nombreux. Ils partagent le travail domestique, s’impliquent dans l’éducation des enfants et par des actions quotidiennes parfois invisibles dans leur vie familiale et professionnelle, ils contribuent à préserver et à développer les principes d’égalité.

D’après le philosophe René Berger « Les survivants du futur sont ceux qui prolongent leur capital de vie en se conformant aux normes et aux structures qui ont prévalu jusqu’ici, les primitifs du futur sont ceux qui rompent avec les normes et les structures établies pour élaborer l’avenir, non plus comme un supplément, mais comme une possible métamorphose. ».

Acteur et maitre de son destin, le primitif du futur, nous rappelle René Berger, « est celui qui est en mesure de s’affranchir du passé sans le nier et qui, en remettant en question les modèles de penser et d’agir qui ont prévalu, peut identifier les mutations et déceler les métamorphoses en cours », comme celle du printemps du féminisme par exemple. Il s’agit de nous affirmer au présent comme des êtres vivants et par une vision nouvelle, transcender le présent pour ériger l’avenir, qui ne serait plus un simple prolongement du passé.

Selon Lao Tseu « ce que la chenille appelle la fin du monde, le reste du monde l’appelle un papillon ». Avec beaucoup de bonne volonté, soyons des primitifs du futur, faisons-en sorte de métamorphoser notre présent, pour contribuer à l’origine d’un futur différent mais en mieux.

 

Une possible métamorphose

Des femmes en Cyber existent, des initiatives en témoignent et contribuent à mettre fin à leur invisibilité. Ainsi pour ne donner qu’un exemple de magnifiques portraits de femmes sont à voir (avec des photographies de Alain Zimeray) et à lire (avec des textes de Sylvaine Lucks) dans leur livre « Cyberwomen, des parcours hors normes, une filière d’avenir », parus aux éditions Michel de Maule (Paris) qui a reçu le prix « coup de cœur du jury » du Forum international de la cybersécurité de Lille (FIC 2020).

Au-delà des modèles de femmes auxquels il est peut-être possible pour une personne de s’identifier, ne faudrait-il pas aussi proposer des modes de vie et de carrières liés à des métiers Cyber qui fassent envie, voire rêver les femmes ?

Force est de constater que la vision que donne à voir une grande majorité de la communauté « Cyber » est construite autour du style « geek » ou de l’ambiance « boy’s club » dont l’humour est réservé aux seuls initiés. Rien en fait, qui soit vraiment attractif pour ceux et celles qui en sont exclues « by design ».

 

Au-delà d’une journée internationale, inventer l’avenir

Chaque 8 mars, la journée internationale des droits de la femme questionne sur la pérennité des dominations parfois symboliques et inconscientes, les stéréotypes, l’exploitation économique des femmes pour contribuer à comprendre comment se construisent ces inégalités, plus ou moins revendiquées ou intériorisées. Au-delà d’une émancipation superficielle, il s’agit toujours et encore aujourd’hui de participer à une « décolonisation » de l’intérieur pour inventer un avenir plus équitable pour tous et toutes.

 Le philosophe Charles Fourier écrivait en 1808 « les progrès sociaux et changements de périodes s’opèrent en raison du progrès des femmes vers la liberté ; et les décadences d’ordre social s’opèrent en raison du décroissement de la liberté des femmes ».

Aujourd’hui quelle interprétation en faisons-nous ?

 

***

Remerciements Je teins à exprimer mes remerciements aux femmes et aux hommes engagés pour défendre la dignité humaine et le droit des femmes. Ce texte est largement inspiré des réflexions, travaux et ouvrages de notamment :  Simone de Beauvoir, Benoite Groulte, Elsa Triolet, Sandrine Treinier, Françoise Gaspard, Elisabeth Badinter, Laure Adler… Il est également nourri de nombreuses discussions et expériences de femmes et d’hommes, croisés sur le chemin de la vie.

Pourquoi la Loi fédérale sur les services d’identification électronique est problématique

L’identité dépend de l’État civil

Le fait qu’une personne particulière soit légalement reconnue comme telle grâce à des éléments d’état civil, le fait de pouvoir décliner son identité et de pouvoir la prouver via un document officiel délivré par l’administration du pays dont la personne est ressortissante, font partie de notre histoire et de notre culture.

La Loi fédérale sur les services d’identification électronique (LSIE), modifie intrinsèquement ce mode opératoire, en autorisant de nouveaux intermédiaires privés et prestataires commerciaux à certifier l’identité électronique des citoyens. Le fait que la Confédération ne veuille pas avoir sa propre eID, n’est ni neutre, ni sans conséquences.

 

Privatisation de l’identification électronique

Les conséquences pour l’État d’une telle décision sont de trois ordres :  d’abord l’abandon de la souveraineté du système d’identification électronique national, ensuite l’inféodation au technopouvoir des acteurs privés, enfin une dépendance à ces derniers. Pour la population, cette intermédiation augmente le risque de la transparence totale des êtres et de leurs activités.

Peut-on raisonnablement bâtir la confiance que les usagers pourront accorder à des fournisseurs d’eID, seulement en fonction du pouvoir d’influence qu’ils possèdent, du marketing qu’ils effectuent et des incitations qu’ils offrent, pour convaincre d’opter pour leurs services ?

 

Des organisations délivrent des eID au nom de l’État

Bien qu’il soit avancé que « L’État définit les dispositions légales, garantit l’exactitude des données et surveille les fournisseurs privés d’eID», il est légitime de se demander si l’État aura les moyens et les compétences nécessaires pour s’assurer du bon fonctionnement des solutions mises en œuvre par le secteur privé pour la réalisation de l’eID. Si oui pourquoi déléguer à d’autres ce qu’il pourrait faire lui-même ? Pourquoi les moyens électroniques d’identification de la population devraient être dans les mains du secteur privé, si ce n’est la volonté de l’État de vouloir privilégier et favoriser une économie privée et un marché très lucratif ? Ne s’agirait-il pas d’une mesure déguisée de soutien à l’économie ?

S’il est dit que l’État exercera ses prérogatives de surveillance, le doute existe non seulement sur les moyens mais aussi sur ses capacités effectives d’agir. Les entreprises ne pourraient-elles pas lui opposer le secret des affaires par exemple ?

Comment l’État peut-il par ailleurs s’assurer et rassurer ses citoyens quant à la protection correcte de leurs données chez les fournisseurs, y compris chez leurs possibles partenaires et sous-traitants, voire chez des GAFAMs présents en Suisse (Google à Zurich, Facebook Libra à Genève pour ne donner que deux exemples). N’avons-nous pas été informé en 2018 que « Les réseaux sociaux d’envergure mondiale devraient disposer d’une représentation en Suisse. Le Conseil fédéral se dit prêt jeudi à légiférer dans cette direction, de manière incitative »[1], ce qui les autoriserait à devenir des fournisseurs de eID suisses.

Est-il possible de garantir que le fournisseur n’externalisera jamais tout ou partie des traitements informatiques et du stockage des données relatives à l’eID sur des infrastructures numériques (cloud) de fournisseurs et d’acteurs étrangers ? Quels sont les garde-fous pour empêcher que des entreprises privées, qui offrent un service public ne tombent par la suite entre les mains d’intérêts étrangers ?

 

Un véritable passeport numérique qui ne porte pas son nom

Bien que l’eID ne soit pas présentée comme étant un passeport numérique[2], dans les faits, elle en est un. Il s’agit d’un laisser passer numérique reconnu et validé par l’État mais pas délivré par lui, pour accéder à des services dématérialisés, y compris ceux qui sont offerts par l’administration. L’eID relève bien d’un service que l’État se doit d’offrir, dès lors pourquoi privatiser une telle tâche régalienne ? Pourquoi déléguer cette mission essentielle qu’est la gestion de l’identité numérique, d’autant plus que l’eID est en passe de devenir incontournable pour les applications de santé connectée et de E-Health ?

 

Un manque de garanties

À ce jour, il est impossible de connaître en détail les informations qui seront vérifiées par l’État et qui seront transmises (puis stockées et gérées) par les fournisseurs d’eID. La LSIE ouvre la porte à la possibilité d’enregistrer toutes sortes de données (biométriques, comportementales, etc.) et à la capacité pour un prestataire de service de les traiter.

Dans la mesure où il est impossible d’oublier que dans le monde numérique, la profitabilité des entreprises privées repose sur l’exploitation des données, comment garantir que les informations relatives à l’eID et à ses usages, ne puissent (y compris sous couvert d’anonymisation toute relative), être couplées à d’autres données et usages numériques, à des traitements d’analyse de données massives (big data) et être associées à des dispositifs d’intelligence artificielle, durant leur durée de rétention de 6 mois chez les fournisseurs ?

L’eID est un identifiant unique utilisable pour réaliser des transactions commerciales, accéder au dossier électronique des patients, à des services administratifs ou encore pour acquérir des services offerts par les CFF, la Poste, ou par Swisscom par exemples. Cela autorise donc le fournisseur de eID d’être en mesure de tout savoir sur les utilisations de cette eID.

Une fois transformées, les données qui découlent de l’eID seront impossibles à identifier et leurs utilisations détournées incontrôlables. Rien n’est dit non plus sur les métadonnées générées par l’eID et leurs utilisations. Seront-elles aussi encadrées et contrôlées ?

Concrètement, quels types de mesures permettent de garantir que les données initialement fournies ne seront pas utilisées à d’autres fins ?

 

La charge de la preuve est pour la victime ou l’art de rendre l’utilisateur responsable

Si la contribution de l’État dans la délivrance par un fournisseur d’eID permet d’éviter qu’une personne puisse obtenir une eID sous une fausse identité, cela n’empêche pas l’usage d’une eID valide, par une tierce personne à l’insu de son propriétaire légitime (notion d’usurpation d’identité). Il est spécifié dans la LSIE (Art.12) que c’est au titulaire de l’eID de prendre les mesures nécessaires pour empêcher toute utilisation abusive de son eID. Tel que présenté, la conception et le mode de fonctionnement du dispositif, ne permettent pas à l’usager de disposer des mesures nécessaires.

Faire porter la responsabilité, la nuisance et le coût de l’usurpation d’identité sur le consommateur, n’est pas à son avantage. S’il est rappelé que l’eID permet de « profiter simplement et en toute sécurité des avantages du monde numérique », elle permet aussi de profiter « en toute simplicité » de ses inconvénients, notamment de la cybercriminalité et des usages abusifs et détournés facilités par le numérique.

Comment l’utilisateur est-il protégé sachant que l’usurpation d’identité n’est pas réprimée comme telle dans le droit pénal suisse? Quels sont les moyens mis en œuvre par le fournisseur pour protéger le citoyen de l’usurpation d’identité ? En cas d’usurpation, pourra-t-il changer d’eID, en obtenir une autre, à quel prix ? Qu’adviendra-t-il des personnes dont l’eID est bloquée pour raisons techniques, d’usurpation ou de piratage ? La Loi ne répond à aucune de ces questions.

Les responsabilités et les pénalités en cas de problèmes du fait des prestataires ne sont pas définies. Quelles seraient les conséquences pour un fournisseur en cas de manquement ou de piratage de ses systèmes informatiques ? Si cette responsabilité est limitée à celle prévue dans le cadre de la Loi fédérale sur la protection des données (LPD), c’est bien peu au regard des risques qu’une défaillance pourrait faire subir aux résidents du pays.

 

Coût et illusion de concurrence

À partir du moment où une eID existe, beaucoup de services vont l’exiger, à commencer par ceux offerts par les entreprises participant déjà à des structures délivrant un ID commun, alors qu’elle ne devrait être nécessaire que dans un nombre limité de cas (ceux qui exigent véritablement la présentation d’une pièce d’identité).

La question du coût du service n’est pas réglée par la Loi. Il semble que la gratuité ne soit pas à l’ordre du jour et que divers frais et émoluments soient envisagés, sans être précisément définis ou encadrés par le texte. Toutefois, il apparait dans l’enquête effectuée par les journalistes d’investigation du média Republik.ch intitulée « Die Lobby, die bei der E-ID die Fäden zieht »[3] que les coûts non négligeables, sont portés par les acteurs qui intègrent cette solution dans leur offre de service. Au final, se sont les consommateurs et les citoyens qui en assumeront les coûts.

Il est plus que probable que le service procurera une solide rente de situation aux quelques acteurs privés qui opèreront ces futurs services.

Par ailleurs, une fois en place, ce type de solution sera très difficile à remettre en question, ce qui permettra aux acteurs concernés de dicter leurs règles et leurs prix, pour s’assurer des marges confortables et garantir la préservation de leur position. Il faut ajouter que l’effet de réseau sera très puissant par rapport aux services d’eID et limitera très rapidement le nombre d’acteurs sur le marché.

L’illusion d’une réelle concurrence entre différents fournisseurs se transformera en situation d’oligopole ou de monopole, ce qui accroitra encore la dépendance de la Confédération aux quelques acteurs ou à un seul acteur[4].

Le monopole d’État d’identification électronique est ainsi remplacé par un monopole privé. Alors que dans le secteur public, le personnel qui gère des données d’état civil et qui accède à ces données y compris dans les instances de justice et police, est un personnel assermenté, cela n’est pas le cas dans le secteur privé.

 

Numérisation totale et risques

Plus globalement, un tel service d’eID s’inscrit dans la poursuite d’une numérisation que beaucoup espèrent totale des services publics et privés. Elle est de fait, accompagnée de son lot de vulnérabilités, de problèmes et d’erreurs de conception, de gestion, et d’utilisation. Non seulement, elle continue d’accroitre notre dépendance à des infrastructures techniques, notamment à celles des réseaux informatiques et électriques, mais elle favorise l’explosion du nombre de cyberattaques. Les défis que posent les questions de cybersécurité illustrent les dangers qui peuvent être associés à cette dépendance.

La concentration des données d’identification augmente leur risque de piratage. Pour ne donner qu’un exemple, rappelons le piratage de la base de données d’identification biométrique de la population indienne « Aadhaar » concernant 1,2 milliard d’Indiens, révélé en 2018[5]. Les données d’identification possèdent une valeur non négligeable pour les acteurs criminels et leur usage détourné et illicite facilite et augmente la profitabilité de la cybercriminalité.

Les risques de sécurité liés à des mégabases de données d’identité ne sont pas négligeables. En cas de piratage, c’est l’ensemble de la population résidente qui serait impactée.

 

Trop d’incertitudes, sans les ordonnances, la LSIE est une véritable boite noire

À ce jour, les informations nécessaires pour voter en toute connaissance de cause et donner un consentement éclairé, manquent.

Les explications proposées pour justifier l’adoption de la LSIE sont inadaptées, incomplètes et simplistes.

Comme le rappelle Hubert Guillaud « Ce qui n’est pas explicable ne peut pas entrer en discussion avec la société »[6].

Plus un dispositif a le pouvoir de modifier la vie des citoyens, plus il doit être contraint à la transparence et au contrôle. Les entreprises privées qui fourniront l’eID seront-elles réellement transparentes et contrôlables ? L’État sera-t-il pleinement en mesure de les contrôler ?

In fine, le seul pouvoir dont dispose le citoyen est celui de pouvoir contribuer à contrôler l’État et ses services par le biais du vote. La votation du 7 mars 2021 est une occasion pour l’exprimer et une opportunité pour réaliser un devoir démocratique, ce qui est de plus en plus difficile à réaliser du fait la complexité des sujets soumis à votation et du manque d’information claire.

Notes

[1] https://www.rts.ch/info/suisse/9594516-le-conseil-federal-souhaite-un-siege-des-grands-reseaux-sociaux-en-suisse.html

[2] https://www.bj.admin.ch/bj/fr/home/staat/gesetzgebung/e-id/faq.html

[3] « Die Lobby, die bei der E-ID die Fäden zieht » (Le lobby qui tire les ficelles de l’e-ID. Pourquoi le gouvernement fédéral s’est retiré très tôt du jeu en tant que fournisseur d’identité électronique – et comment le secteur privé a influencé le processus législatif : une reconstruction.)

https://www.republik.ch/2021/02/17/die-lobby-die-bei-der-e-id-die-faeden-zieht

[4] Ainsi par exemple, il existe le SwissSign Consortium qui est « composé de sociétés proches de l’Etat, d’établissements financiers, de compagnies d’assurances et de caisses-maladie (CFF, Poste Suisse, Swisscom, Banque Cantonale de Genève, Credit Suisse, Entris Banking, Luzerner Kantonalbank, Raiffeisen, Six Group, UBS, Zürcher Kantonalbank, Axa, Baloise, CSS, Helvetia, Mobilière, SWICA, Swiss Life, Vaudoise et Zurich) ». https://www.swisssign-group.com/fr/

[5] https://www.numerama.com/politique/318663-aadhaar-un-acces-pirate-a-lidentite-biometrique-dun-milliard-dindiens-coute-7-euros.html

[6] https://www.internetactu.net/2019/11/14/de-lexplicabilite-des-systemes-les-enjeux-de-lexplication-des-decisions-automatisees/

Pandémie et Cyber: Faire face

Un aperçu de la réalité

Télétravail

Le télétravail recommandé pour contribuer à lutter contre la pandémie, n’a fait que stimuler l’ingéniosité des criminels et qu’augmenter le nombre et l’attractivité des systèmes connectés et des flux échangés.

Les cybercriminels s’adaptent à l’évolution des opportunités et les saisissent avec une redoutable efficacité, agilité et réactivité. Ils savent rentabiliser leurs actions, qu’elles soient orientées recherche de profit ou motivées par des finalités de déstabilisation économique ou politique. Leurs cibles peuvent être autant des individus que des organisations publiques ou privées, leur terrain de jeu est mondial.

S’il est possible de connaitre la nature des cybercrimes rapportés aux instances de justice et police, il est plus difficile, voire impossible d’obtenir une cartographie exhaustive de la réalité de la cybermalveillance. En 2020, comme lors des années précédentes, les systèmes d’information des organisations ont fait l’objet d’attaques essentiellement liées à l’exploitation de leurs vulnérabilités, à des logiciels malveillants comme des rançongiciels par exemple. Les attaques en déni de service, l’usurpation de paramètres de connexion et de comptes, la compromission de systèmes de messagerie, l’ingénierie sociale ont encore été au service d’une criminalité essentiellement économique.

Recrudescence de cyberattaques

Toutefois, la recrudescence des cyberattaques ciblant par des systèmes liés à la santé (sites hospitaliers, centres de recherche, laboratoires pharmaceutiques, …) marque un virage dans la perception de la motivation des acteurs impliqués. Au-delà du gain économique potentiel que pourraient procurer des cyberattaques sur des infrastructures de santé, elles questionnent sur leurs capacités de déstabilisation et leur finalité qui pourrait relever du terrorisme, lorsqu’elles mettent en danger la vie.

Les enfants ne sont pas épargnés

Même s’il en est moins question dans les médias, il ressort des rapports d’Interpol[1] et d’Europol[2] que les périodes de confinement ont donné lieu à une augmentation des activités liées à l’exploitation sexuelle des enfants en ligne. La commercialisation de contenus d’abus sexuels de nourrissons et d’enfants a largement été observée. Un cybercrime n’est jamais virtuel. En matière de cyberpédophilie, seule leur représentation est dématérialisée et ce sont bien de vraies victimes qui sont abusées et dont la vie est détruite. Le contexte de la pandémie a également profité à ceux savent tirer parti des réseaux dits sociaux comme caisse de résonnance pour amplifier des actions de manipulation d’information, de rumeurs, de fausses informations, ou de contre-vérités en lien avec la Covid. De véritables campagnes de désinformation et de manipulation de l’opinion se sont déroulées au travers d’Internet, avec des niveaux d’impacts variables. À l’inverse, dans certains pays, ce sont des journalistes et des lanceurs d’alertes qui ont été condamnés par les autorités des pays dont ils sont les ressortissants pour avoir tenté d’informer, d’attirer l’attention sur la gravité de la situation et avoir osé proposer des récits de la pandémie différents des récits officiels.

Internet est un vecteur amplificateur et de globalisation de la criminalité.

Le risque informatique d’origine criminelle est ainsi devenu un risque structurel dont le coût est porté par la société. Pour autant, disposons-nous des mesures de lutte contre la cybercriminalité suffisantes ?

Mettre un frein à l’impunité des cybercriminels

Même s’il est regrettable que tous les cybercrimes rapportés ne fassent pas l’objet d’investigation, retenons toutefois, pour n’en citer qu’un, le succès de la coopération des forces de l’ordre advenu en 2020, concernant la France, la Suisse, l’Allemagne, les Pays-Bas et les Etats-Unis. Celui lié au démantèlement d’une infrastructure (Safe-Inet) au service de la cybercriminalité, active depuis une dizaine d’années[3]. Par le recours à des services de réseau privé virtuel, les acteurs criminels qui y recourraient pouvaient agir sans craintes d’être identifiés et en toute impunité. Ce qui contribue largement à la performance et à l’augmentation de la cybercriminalité et de facto, à l’accroissement du nombre de victimes. Élever la prise de risque pour les criminels d’être poursuivis et intensifier le nombre de barrières à la réalisation de l’action criminelle, passent par des mesures de cybersécurité et des moyens de lutte contre la cybercriminalité. Si ce succès des forces de l’ordre est appréciable, combien de plaintes sont restées sans suite et combien d’investigations n’ont jamais été entreprises ou ont abouties?

 La cybersécurité, une réponse partielle et incomplète

La cybersécurité est avant tout une affaire de gestion des risques, d’anticipation et de réactivité. Elle s’intègre dans une culture de maitrise intégrée de risques complexes. Elle s’appuie sur des mesures adaptées de sécurité, des compétences humaines et des capacités particulières qui doivent exister et être entrainées. Cela se construit dans un temps long, en amont de la survenue des problèmes, or le travail à domicile a été mis en place dans l’urgence, sans forcément prioriser et apporter des réponses convaincantes aux besoins de cybersécurité requis au regard des risques encourus. Les PMEs notamment mais pas seulement, sont alors devenues encore plus exposées et vulnérables lors de la crise sanitaire. En revanche, les entreprises, qui autorisaient déjà le télétravail ou étaient habituées au travail à distance ou qui avaient d’employés nomades, étaient en principe mieux préparées aux cyber risques que celles qui ont dû passer au télétravail dans la précipitation.

En matière de cybersécurité, l’ouverture des systèmes, la connectivité permanente et la facilité d’usage d’outils grands publics et souvent gratuits ne riment pas avec un niveau de sécurité de qualité. Il est avéré que les logiciels gratuits, y compris ceux utilisés pour réaliser des visioconférences, n’offrent pas un niveau raisonnable de sécurité mais il est désormais impossible d’ignorer qu’ils exploitent les données livrées par les des utilisateurs et celles collectées à leur insu.

Pour autant, sommes-nous suffisamment conscients des conséquences des actions d’intelligence économique, d’espionnage et de surveillance, que les pratiques numériques non sécurisées et que la perte de la maitrise des données autorisent ?

Ce que la crise du Covid nous apprend en matière de gestion des risques

Une posture de sécurité

Être en sécurité, consiste généralement à fermer des environnements, à réaliser des périmètres de sécurité, cela demande le plus souvent de restreindre des activités et de renoncer à des pratiques qui ne sont pas suffisamment bien et correctement sécurisées. Pour se protéger en cas pandémie liée à un virus biologique, il y a le confinement, le port du masque, l’adoption des comportements et des mesures d’hygiène. Lutter contre la propagation de virus informatiques (programmes malveillants, rançongiciels,…) et la réalisation de cyberattaques, nécessite de disposer d’une politique de sécurité, de mesures d’hygiène et de cybersécurité efficaces et de les accompagner de campagnes de sensibilisation et de pratiques cohérentes du numérique.

Jouer aux cyberpompiers, n’est pas suffisant

Encore aujourd’hui, en matière de cybersécurité, nous agissons en « pompiers », nous intervenons après une cyberattaque (lorsqu’elle est détectée), après un incident ou un sinistre informatique, souvent dans l’urgence (à condition de disposer des équipements nécessaires à éteindre l’incendie).

Être réactif, c’est bien, mais pas suffisant au regard des conséquences désastreuses que peuvent entrainer des cyberattaques. Il est impératif de pouvoir être plus proactif et de tout mettre en œuvre pour prévenir la concrétisation de menaces. En aucun cas, réaliser des activités sur Internet doit être synonyme d’accepter de devenir une cible de la cybercriminalité et l’objet de pratiques abusives du numérique par ceux qui le maitrisent et fournissent des services devenus de plus en plus incontournables.

De l’élevage en batterie, aux risques Cyber

L’élevage en batterie, la concentration des êtres et des risques, c’est ce qu nous donne également à observer la pandémie actuelle. Elle nous offre un mirroir de notre réalité informatique avec la concentration des données et des traitements par des acteurs hégémoniques et des grandes plateformes numériques. Le réseau Internet ne contribue plus comme à son origine à distribuer les traitements et donc à répartir les risques. Le paradigme des fournisseurs de plateformes et celui de l’informatique en nuage, ont réinventé la concentration et la centralisation. Ce qui rend entre autre possible, le vol massif des données et le piratage à grande échelle de comptes utilisateurs.

Crise sanitaire, crise d’envie d’avenir ou crise de l’anticipation ?

Besoins de ressources

Pour faire face à une crise de grande ampleur, de grande intensité et qui en plus s’incrit dans la durée, il faut y être préapré. Anticiper et prévoir un évènement, une situation ou une crise et ses conséquences, demande une posture, une volonté politique et des investissements. En sécurité comme en santé, pour gérer une crise il faut des « réserves » qui ne servent qu’en cas de crise (et qui coûtent « pour rien » le reste du temps). Ce qui est souvent considéré comme un frein à la performance et à la rentabilité économique des organisations. Les ressources nécessaires en cas de crise sont alors souvent insuffisantes, voire inexistantes, il en est de même en cybersécurité.

Gérer le risque, mais jusqu’où prévoir le pire ?

Au-delà de la crise sanitaire actuelle, sommes-nous préparés à faire face par exemple à un accident nucléaire majeur en Europe ? Disposons-nous de masques, compteurs, détecteurs, pastilles d’iode, ou encore par exemples, de capacités d’alimentation avec des produits non contaminés ? Qui aujourd’hui est en mesure d’anticiper et d’appréhender les risques complexes et interdépendants portant notamment sur les infrastructures relatives à l’alimentation électrique, dont dépendent totalement les systèmes et réseaux informatiques, qui pourraient être mise en danger par un tel accident et compromettre l’ensemble des services informatiques ?

Pouvons-nous, aujourd’hui et demain faire face à des cyberattaques de grande ampleur et intensité sur les infrastructures critiques et sur les chaînes d’approvisionnement ? Sommes-nous en mesure de maitriser des crises systémiques ? Quid d’une double crise liée à une pandémie biologique et à cyberpandémie ?

Le numérique peut contribuer à résoudre une partie du problème lié à la pandémie. Toutefois, en optant pour toujours plus d’informatisation et de cyberdépendance, avec des services et des infrastructures numériques vulnérables aux cyberattaques, l’économie et la société deviennent plus fragilisées. Sommes-nous capables d’anticiper les conséquences des impacts de la perte de la maitrise des infrastructures numériques vitales au bon fonctionnement du pays ? Ne sommes-nous pas collectivement et individuellement leurrés par le solutionnisme technologique?

Faire de la gestion de crise consiste à assurer en amont de la crise, d’être en mesure de disposer d’une organisation, des compétences, et des ressources nécessaires pour y remédier. Ce qui se traduit dans un monde hyperconnecté et interdépendant à devoir être suffisamment autonome, indépendant et souverain.

Sommes-nous en situation d’autosuffisance numérique ?

Pouvons-nous être en situation de cybersouveraineté ?

Faire face, une imminence urgente

Transition numérique ou fuite en avant technologique?

La pandémie est un accélerateur de la transition numérique déjà orchestrée et une justification de plus conduisant à la dématérialisant des activités. Il s’ensuit pour les protagonistes, une perte de contrôle de celles-ci (accompagnée généralement par une perte de sens) au profit des intermédiaires technologiques. De manière concomitante, la dématérialisation contribue à développer les applications d’analyse massive des données, le marché de l’intelligence artificielle, le surveillance, informatique généralisé (controlling) et l’économie de la surveillance.

Le monde d’après et notre rapport à la technologie

Ne serait-il pas temps de saisir le formidable élan “d’ouverture des yeux” que la pandémie à engendré pour aiguiser notre vision sur les vulnérabilités et les risques liés au numérique? Outre le nouvel ordre du monde et l’organisation algorithmique de la société instaurés, non maitrisés les risques Cyber sont des facteurs de déclin de la civilisation. Ils constituent d’ors et déjà une menace pour l’environnement, le vivant et l’humanité. Est-ce cela, que nous souhaitons laisser en héritage à nos enfants?

Ne serait-il pas temps de considérer notre asservissement au numérique et à ces multinationales emblématiques, pour remettre en question d’une part, notre servitude volontaire à les rendre toujours plus puissantes et d’autre part, notre docilité voire, notre soumission aux injonctions électroniques?

Ne serait-il pas temps tout simplement de résister, c’est à dire, comme le souligne l’origine latine du verbe, de faire face, de se tenir en faisant face?

Au-delà de savoir pourquoi et comment nous en sommes arrivés là, profitons de cette envie de comprendre pour avoir envie d’un avenir numérique différent et d’agir en conséquence.

Peut être que cela nécessitera de passer par une certaine désobéissance numérique, du moins, tant que celle-ci sera possible.

Cette menace est bien réelle et lorsque l’imminent renvoie à l’origine du terme “menacer”, il y a urgence à la prendre en considération.

 

[1] https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-report-highlights-impact-of-COVID-19-on-child-sexual-abuse

[2] https://www.europol.europa.eu/covid-19/covid-19-child-sexual-exploitation

[3] https://www.europol.europa.eu/newsroom/news/cybercriminals’-favourite-vpn-taken-down-in-global-action

 

Cyberhumanisme

Fable de l’ère numérique écrite par Solange Ghernaouti en septembre 1999, publiée dans le dernier numéro du vingtième siècle du Bulletin HEC (Lausanne).

A l’heure des cyberattaques, ce conte pour une vision du numérique au-delà de la technique, du pouvoir et de la malveillance, pour qu’un cyber-humanisme puisse être un horizon …

En hommage à René Berger avec lequel nous avons écrit le livre « Technocivilisation : pour une philosophie du numérique » paru en 2010 (Collection Focus Science, EPFL Press).

Si le Net avait existé au dix-huitième siècle … Conversation entre Denis Diderot, Jean – Jacques Rousseau et Jean le Rond d’Alembert constituée d’extraits réels issus de différents textes, pour un dialogue imaginé sur le Net dans le forum de discussion :

« Vitam impendere vero » (Vouer sa vie à la vérité)

Prologue

… « Comment s’étaient-ils rencontrés? Par hasard, comme tout le monde. Comment s’appelaient-ils? Que vous importe? D’où venaient-ils? Du lieu le plus prochain. Où allaient-ils? Est-ce que l’on sait où l’on va? Que disaient-ils? » … Diderot (Jacques le fataliste)

Rousseau

… «  Me voici donc seul sur la terre, n’ayant plus de frère, de prochain, d’ami, de société que moi-même Le plus sociable et le plus aimant des humains en a été proscrit. Par un accord unanime ils ont cherché dans les raffinements de leur haine quel tourment pouvait être le plus cruel à mon âme sensible, et ils ont brisé violemment tous les liens qui m’attachaient à eux. J’aurais aimé les hommes en dépit d’eux-mêmes. Ils n’ont pu qu’en cessant de l’être se dérober à mon affection. Les voilà donc étrangers, inconnus, nuls enfin pour moi puisqu’ils l’ont voulu. Mais moi, détaché d’eux et de tout, que suis-je moi-même ? Voilà ce qui me reste à chercher. Malheureusement cette recherche doit être précédée d’un coup d’œil sur ma position. C’est une idée par laquelle il faut nécessairement que je passe pour arriver d’eux à moi. » …

Diderot

…« Il y a une éternité que je ne vous ai vu. Je ne pense guère à vous, quand je ne vous vois pas. Mais vous me plaisez toujours à revoir. Qu’avez-vous fait ? » …

Rousseau

… « L’indépendance que je croyais avoir acquise était le seul sentiment qui m’affectait. Libre et maître de moi-même, je croyais pouvoir tout faire, atteindre à tout: je n’avais qu’à m’élancer pour m’élever dans les airs. J’entrais avec sécurité dans le vaste espace du monde ; mon mérite allait le remplir. »…

d’Alembert

« Que ne coûtent point les premiers pas en tout genre ? Le mérite de les faire dispense de celui d’en faire de grands ».

Rousseau

… « Les bornes du possible dans les choses morales sont moins étroites que nous ne pensons. Ce sont nos faiblesses, nos vices, nos préjugés qui les rétrécissent. »… «  Ignores-tu que tu ne saurais faire un pas sur la terre sans y trouver quelque devoir à remplir, et que tout homme est utile à l’humanité par cela seul qu’il existe? » …

Diderot

« Vous désirez, monsieur, de connaître mes idées sur une affaire qui vous paraît très importante, et qui l’est. Je suis trop flatté de cette confiance pour ne pas y répondre avec la promptitude que vous exigez et l’impartialité que vous êtes en droit d’attendre d’un homme de mon caractère. Vous me croyez instruit, et j’ai en effet les connaissances que donne une expérience journalière, sans compter la persuasion scrupuleuse où je suis que la bonne foi ne suffit pas toujours pour excuser des erreurs. Je pense sincèrement que dans les discussions qui tiennent au bien général, il serait plus à propos de se taire que de s’exposer, avec les intentions les meilleures, à remplir l’esprit d’un magistrat d’idées fausses et pernicieuses » …

Rousseau

…« L’homme est né libre, et partout il est dans les fers. Tel se croit le maître des autres, qui ne laisse pas d’être plus esclave qu’eux. Comment ce changement s’est-il fait ? Je l’ignore. Qu’est-ce qui peut le rendre légitime ? Je crois pouvoir résoudre cette question. Si je ne considérais que la force, et l’effet qui en dérive, je dirais : Tant qu’un peuple est contraint d’obéir et qu’il obéit, il fait bien ; sitôt qu’il peut secouer le joug et qu’il le secoue, il fait encore mieux; car, recouvrant sa liberté par le même droit qui la lui a ravie, ou il est fondé à la reprendre, ou l’on ne l’était point à la lui ôter. Mais l’ordre social est un droit sacré, qui sert de base à tous les autres. Cependant ce droit ne vient point de la nature ; il est donc fondé sur des conventions. Il s’agit de savoir quelles sont ces conventions. Avant d’en venir là je dois établir ce que je viens d’avancer. » …

d’Alembert 

… « La nature de l’homme, dont l’étude est si nécessaire, est un mystère impénétrable à l’homme même, quand il n’est éclairé que par la raison seule  ; et les plus grands génies à force de réflexions sur une matière si importante, ne parviennent  que trop souvent à en savoir un peu moins que le reste des hommes ».

Rousseau 

… « Quand on a une fois l’entendement ouvert par l’habitude de réfléchir, il faut toujours mieux trouver de soi même les choses qu’on trouverait dans les livres ; c’est le vrai secret de les bien mouler à sa tête, et de se les approprier : au lieu qu’en les recevant telles qu’on nous les donne, c’est presque toujours sous une forme qui n’est pas la nôtre. » …

Diderot 

… « Jeune homme, prends et lis. Si tu peux aller jusqu’à la fin de cet ouvrage, tu ne seras pas incapable d’en entendre un meilleur. Comme je me suis moins proposé de t’instruire que de t’exercer, il m’importe peu que tu adoptes mes idées ou que tu les rejettes, pourvu qu’elles emploient toute ton attention. Un plus habile t’apprendra à connaître les forces de la nature; il me suffira de t’avoir fait essayer les tiennes. Adieu. » …

« Encore un mot, et je te laisse. Aie toujours présent à l’esprit que la nature n’est pas Dieu, qu’un homme n’est pas une machine, qu’une hypothèse n’est pas un fait; et sois assuré que tu ne m’auras point compris, partout où tu croiras apercevoir quelque chose de contraire à ces principes. » …

Rousseau 

… « L’art d’interroger n’est pas si facile qu’on pense. C’est bien plus l’art des maîtres que des disciples ; il faut avoir déjà beaucoup appris de choses pour savoir demander ce qu’on ne sait pas. »…

Diderot

…« Qu’elle est donc la vérité utile à l’homme qui ne soit découverte un jour ? »…

Rousseau 

… « Oserais-je exposer ici la plus grande, la plus importante, la plus utile règle de toute l’éducation ? Ce n’est pas de gagner du temps, c’est d’en perdre. .  »…

Diderot

… « La société est partagée en deux classes d’hommes : les unes savent mal et parlent de tout ; c’est le plus grand nombre […] les autres ignorent et cherchent à s’instruirent ; c’est le plus petit nombre. »…

Rousseau 

…« Rendez votre élève attentif aux phénomènes de la nature, bientôt vous le rendrez curieux ; mais pour nourrir sa curiosité, ne vous pressez jamais de la satisfaire. Mettez les questions à sa portée, et laissez-les lui les résoudre. … Si jamais vous substituer dans son esprit l’autorité à la raison, il ne raisonnera plus ; il ne sera que le jouet de l’opinion des autres. »…

Diderot

On ne retient presque rien sans le secours des mots, et les mots ne suffisent presque jamais pour rendre précisément ce que l’on sent.

Rousseau 

… « Nos premiers maîtres de philosophie sont nos pieds, nos mains, nos yeux. Substituer des livres à tout cela, ce n’est pas à nous apprendre à nous servir de la raison d’autrui ; c’est nous apprendre à beaucoup croire, et à ne jamais rien savoir.  »…

Diderot 

…« Qu’est-ce qu’un paradoxe, sinon une vérité opposée aux préjugés du vulgaire, ignorée du commun des hommes, et que l’inexpérience actuelle les empêche de sentir ? Ce qui est aujourd’hui un paradoxe pour nous sera pour la postérité une vérité démontrée. »…

Rousseau 

… « On ne jouit sans inquiétude que de ce qu’on peut perdre sans peine ; et si le vrai bonheur appartient au sage, c’est parce qu’il est de tous les hommes celui à qui la fortune peut le moins ôter »…

Diderot

… « Dire que l’homme est un composé de force et de faiblesse, de lumière et d’aveuglement, de petitesse et de grandeur, ce n’est pas lui faire son procès, c’est le définir. »…

Rousseau 

…« Renoncer à sa liberté, c’est renoncer à sa qualité d’homme, aux droits de l’humanité. Même à ses devoirs… Une telle renonciation est incompatible avec la nature de l’homme, et c’est ôter toute moralité à ses actions que d’ôter toute liberté à sa volonté. »…

Diderot 

… « Les erreurs passent, mais il n’y a que le vrai qui reste. L’homme est donc fait pour la vérité ; la vérité est donc faite pour l’homme puisqu’il court sans cesse après elle ; qu’il l’embrasse quand il la trouve. »…

Rousseau 

… « Quiconque  a le courage de paraître toujours ce qu’il est deviendra tôt ou tard ce qu’il doit être ; mais il n’y a rien à espérer de ceux qui se font un caractère de parade.  »…