SwissCovid ou GAFAMCovid ?

Dans la mesure ou SwissCovid :

  • N’est pas Open Source.
  • Le code source est chez Microsoft (GitHub).
  • Le protocole est contrôlé par Apple et Google.
  • Certains serveurs SwissCovid sont chez Amazon.

Pourquoi le dispositif SwissCovid ne s’appellerait-il pas GAFAMCovid ?

Des usages abusifs et détournés sont possibles comme l’est d’ailleurs l’identification des personnes dont l’identité est supposée être anonyme.

SwissCovid pose des problèmes de souveraineté, de transparence, de sécurité et de protection des données et d’intimité numérique (privacy).

Les risques associés, tant pour le pays, que pour les organisations et les individus, ne sont pas maitrisés.

L’information communiquée au public est jusqu’à présent incomplète voire inappropriée, pour qu’un consentement libre et éclairé puisse s’exprimer.

 

 

SwissCovid, consentement éclairé et responsabilité politique

En tant que citoyenne confrontée comme tout un chacun à la pandémie, le dispositif de traçage des contacts SwissCovid m’interpelle. En tant que professionnelle de la cybersécurité, j’ai le devoir d’attirer l’attention des parlementaires sur vingt questions essentielles que pose l’élaboration d’une loi concernant l’introduction de Swiss-covid . Ces questions, brièvement motivées, sont les suivantes:

(Pour une meilleure lisibilité de l’article, quelques termes techniques suivis d’* sont proposés à la fin de celui-ci).

Selon le document « Utilisation de l’application SwissCovid durant l’essai pilote : déclaration de confidentialité de l’Office fédéral de la santé publique[1] », le dispositif SwissCovid est composé de l’App* qui appelle la réalisation de services réalisés par l’API* d’Apple/Google et d’un serveur VA backend et d’un serveur pour gérer des codes entre l’App et le serveur VA backend (frontend / backend).

Dans ce document, émis conjointement par le Département fédéral de l’intérieur (DFI) et l’Office fédéral de la santé publique on lit « Si l’OFSP mandate des tiers, suisses ou de l’étranger, ces opérateurs s’engagent à respecter les prescriptions de l’ordonnance COVID-19 sur l’essai pilote du traçage de proximité. » (point 4, page 2).

Question 1

Quelles sont ces tierces parties engagées qui peuvent être suisses ou étrangères ?

 

Le préfixe « Swiss » laisse penser que le dispositif SwissCovid est développé en Suisse et est basé sur des infrastructures suisses. Toutefois, dans la mesure où « SwissCovid » est basée sur l’API  – Exposure notification de Apple-Google et dans la mesure où celle-ci réalise quasiment tous les traitements nécessaires au fonctionnement de l’application de traçage des contacts (stockage, Bluetooth, comparaisons, calcul de risque), cela laisse très peu d’initiative aux développeurs et initiateurs suisses du projet.

Question 2

Qui développe quoi ?

 

Question 3

Comment bâtir la confiance dans un code informatique développé, mis en œuvre et géré par Apple/Google alors qu’il est impossible de le faire tester ou auditer par des entités indépendantes ?

 

Ces premières questions en soulèvent d’autres, légitimées par le point 6 du document de l’OFS cité plus haut (page 3) « Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFSP, en étroite collaboration avec nos fournisseurs d’hébergement internes et externes et avec d’autres prestataires informatiques, prend des mesures de sécurité adéquates, de nature technique (p. ex., cryptage, pseudonymisation, historique, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle ( p. ex., directives aux collaborateurs, contrats de confidentialité, contrôles, etc.) conformément aux prescriptions de l’administration fédérale et de la législation fédérale en matière de protection des données. ».

 

Question 4

De quels fournisseurs et prestataires s’agit-il, quels sont les sous-traitants ?

 

Question 5

Est-ce que les données sont hébergées dans un cloud Amazon ?

 

Question 6

Quels appels d’offre ont été émis concernant les organisations et entreprises privées qui développent SwissCovid?

 

Question 7

Est-ce que le dispositif SwissCovid est complètement Open source ?

 

Le message du 20 mai 2020 du Conseil fédéral concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité)[2] stipule en point 4 « Commentaires des dispositions. Art. 60a Système de traçage de proximité pour le coronavirus : … « Dans un souci de transparence et de confiance, le code source sous-jacent et les spécifications techniques utilisées pour tous les composants sont publics » (art. 60a, al. 4, let. e).

Pour qu’un programme soit qualifié d’« Open source », il faut:

  • que le code source soit disponible ;
  • que l’on puisse vérifier que l’exécutable correspond au code source* ;
  • que l’on puisse modifier le code, le compiler* et l’exécuter.

 

Question 8

Dans la mesure où le dispositif SwissCovid ne satisfait pas à ces trois impératifs, y-aurait-il une contradiction entre la réalité et les déclarations ?

 

Le document du 20 mai 2020 de la Confédération « Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité) » fait référence à une application d’alerte Corona.

 

Question 9

Est-il prévu que ce dispositif soit utilisé pour d’autres épidémies que celle liée au SARS-CoV-2 à l’origine de la Covid-19 ?

 

La technologie Bluetooth comporte des vulnérabilités et des failles de sécurité[3], il est conseillé d’installer des nouvelles versions de sécurité et de toujours désactiver le Bluetooth lorsque l’usager n’en a pas besoin. De plus, il existe des attaques bien connues qui exploitent Bluetooth comme par exemple :

  • Captation, interception par un tiers non autorisé des messages transmis sur l’interface Bluetooth.
  • Insertion, suppression de messages par un tiers.
  • Observation des signaux (écoute, espionnage).
  • Interruption de la connectivité (déni de service).
  • Prise de contrôle à distance.

 

Question 10

Est-ce que le dispositif SwissCovid pourra être détourné de sa finalité ?

 

Question 11

Est-ce que le dispositif SwissCovid pourra subir des cyberattaques ?

 

Question 12

Est-ce que l’anonymat des personnes est toujours garanti ?

 

Le document « Application SwissCovid : conditions d’utilisation »[4], nous informe sous le point 4 «  Devoir de diligence de l’utilisateur » que :

« 4.1 L’accès technique à l’application relève de la responsabilité de l’utilisateur.

4.2 Les utilisateurs sont tenus de prendre les mesures de sécurité nécessaires pour leur propre appareil et de le protéger contre l’accès non autorisé de tiers et contre les logiciels malveillants.

L’utilisateur est informé par la présente des risques de sécurité liés à l’utilisation d’Internet et des technologies de l’Internet. ».

 

Question 13

Puisque l’utilisateur engage sa responsabilité, est-ce que les mesures de sécurité nécessaires pour que l’utilisateur puisse se protéger des malveillances et des vulnérabilités inhérentes au dispositif, sont disponibles et à quel prix?

 

Question 14

Est-ce que les seules mesures de sécurité efficaces sont de ne pas installer l’App et de ne pas utiliser le dispositif ?

 

Dans le document « Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité), du 20 mai 2020[5], le point 5.1 « Conséquences pour la Confédération, conséquences financières » stipule « Les coûts de développement du logiciel de l’application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux sont estimés à un montant unique de 1,65 million de francs. Les frais d’exploitation par tranche de 12 mois s’élèvent à environ 1,2 million de francs d’ici à la fin juin 2022. Les coûts des mesures d’accompagnement communicationnelles sont estimés à 1,95 million de francs, dont environ 80 % seront utilisés pour la diffusion et la publication d’annonces, de spots télévisés et des bannières électroniques. »

 

Question 15

Quels sont les coûts directs et indirects réellement supportés par les finances publiques du dispositif SwissCovid et la population ?

 

Question 16

De quels frais d’exploitation s’agit-il ?

 

Question 17

N’est-il pas étonnant que les coûts des mesures d’accompagnement communicationnelles (1,95 million) soient supérieurs aux coûts de développement du logiciel de l’application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux (1,65 million) ?

 

Dans la mesure ou SwissCovid est considéré comme étant un appareil médical puisque destiné à informer une personne d’un risque d’infection), ce dispositif est soumis à la règlementation et au contrôle de Swissmedic. Cela implique selon l’Article 21 de l’ Ordonnance sur les dispositifs médicaux (ODim)[6] entre autre, “1 La publicité pour les dispositifs médicaux destinés à la remise directe au public ou à l’utilisation directe par le public doit se limiter exclusivement à des allégations correspondant à l’information sur le produit en ce qui concerne son utilisation, ses performances et son efficacité. 2 Toute information trompeuse concernant l’efficacité ou les performances d’un dispositif médical est interdite. »

 

Question 18

Qui est en charge de s’assurer que les mesures d’accompagnement communicationnelles seront conformes à l’Ordonnance sur les dispositifs médicaux ?

 

Question 19

Quelles sont les entités indépendantes et sans conflit d’intérêt, en mesure de valider la robustesse, la fiabilité, la sûreté, la sécurité et la conformité réglementaire du dispositif SwissCovid dans son intégralité ?

 

Apporter des réponses convaincantes à ces questions, qui ne sont pas traitées dans le document « Application SwissCovid : Questions & Réponses »[7] est impératif et urgent.

 

Question 20

Comment, sans réponses aux questions précédentes, une personne pourrait-elle être un citoyen responsable, un acteur éclairé qui ne répondrait pas uniquement à des injonctions de faire, qui pourrait exprimer son libre arbitre, qui pourrait choisir d’utiliser ou non SwissCovid et qui éventuellement ne se sentirait pas coupable de ne pas consentir à un dispositif dont les principales garanties d’innocuité sont exclusivement déclaratives ?

 

La démocratie repose sur la confiance, non sur la crainte, et la confiance exige la transparence.

Sans réponses aux questions précédentes, comment le Parlement pourrait-il sérieusement élaborer une loi qu’il a lui-même jugée indispensable ?

 Seule une information claire et la plus complète possible, peut contribuer à satisfaire les besoins de transparence et de confiance exprimés par les porteurs du projet SwissCovid.

Cela permet une prise de décision en toute connaissance de cause, dont dépend le consentement éclairé de chacun et dont dépendent également in fine la santé, la sécurité et la liberté de tous.

Hic et Nunc, ici et maintenant, des réponses, pour nous, pour la démocratie, avant toute décision, après il sera trop tard.

 

***

Quelques informations techniques

  • Une API (Application Programming Interface) est un programme informatique qui permet d’être appellé par un autre programme.
  • L’API – Exposure notification utilisée par SwissCovid est un programme développé par Apple et Google qui prend en charge et qui réalise quasiment tous les traitements nécessaires au fonctionnement de l’application de traçage des contacts (stockage, Bluetooth, comparaisons, calcul de risque).
  • L’App (l’application) est la partie d’interface d’accès, c-à-d. le programme qui appelle le programme d’Apple/Google API – Exposure notification.
  • L’App est installée dans le téléphone de l’
  • Compiler un programme est une des étapes (la compilation) de transformation d’un programme informatique écrit avec un langage de programmation (suite d’instructions – code source), vers un code exécutable par un ordinateur.
  • Un langage de programmation est nécessaire à l’humain qui ne peut pas s’exprimer directement en binaire qui est le seul langage manipulable par les processeurs informatiques.

***

[1]https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (version du 13 mai 2020, publiée le 22 mai 2020)

[2] https://www.newsd.admin.ch/newsd/message/attachments/61421.pdf

[3]Voir par exemples : https://www.zdnet.fr/actualites/android-une-faille-de-securite-sur-le-bluetooth-39898723.htm ou encore « The dangers of Bluetooth implementations: Unveiling zero day vulnerabilities and security flaws in modern Bluetooth stacks »: https://github.com/mailinneberg/BlueBorne « Une nouvelle faille critique touche le Bluetooth sur Android. Si Google a déjà publié un correctif, tous les smartphones n’ont pas encore reçu la mise à jour. Les spécialistes conseillent de désactiver temporairement le Bluetooth ». 10 février 2020 https://www.frandroid.com/android/673314_android-une-faille-de-securite-critique-touche-le-bluetooth

[4] https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (document du 13 mai 2020, 22 mai 2020). La validité de ce document pris en vertu de l’Ordonnance COVID-19 essai pilote traçage de proximité est limitée à la date du 30 juin 2020. Il faudra donc rester très vigilant sur les conditions d’utilisation de l’Application de traçage dans sa prochaine phase lorsqu’elle sera proposée au grand public.

[5] https://www.newsd.admin.ch/newsd/message/attachments/61421.pdf

[6] https://www.admin.ch/opc/fr/classified-compilation/19995459/index.html#a21

[7] https://www.bag.admin.ch/bag/fr/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/situation-schweiz-und-international/datenschutzerklaerung-nutzungsbedingungen.html (Questions fréquentes, Dernière modification 23.05.2020)

 

Covid ou la fabrique du consentement aveugle

Le marketing du consentement à se laisser surveiller informatiquement est en plein essor. Il s’est affiné depuis l’introduction de la téléphonie et des cartes de paiement, qui permettent d’écouter, de surveiller des comportements et de les reconstituer a posteriori. Tous les outils de communication, les transactions en ligne ou les services personnalisés renforcent les capacités de surveillances des individus via leurs pratiques numériques.

Les réseaux sociaux sont les principaux fossoyeurs de l’intimité numérique (privacy). Ces plates-formes ont été introduites sans explication claire de leur mode réel de fonctionnement. Elles n’ont pas détaillé les termes de l’échange qu’elles proposent entre la gratuité et l’exploitation des données. Elles ont été conçues et sont encore développées pour maximiser leur expansion et leur temps d’usage en jouant sur les faiblesses du comportement humain pour les rendre plus toujours plus addictives.

Une acceptation passive des effets secondaires indésirables des usages numériques s’est progressivement installée, via un consentement tacite et un acquiescement conditionnant l’accès aux services. Il ne peut s’agir d’une approbation totalement volontaire à consentir à la perte de contrôle de ses données, de son intimité et de sa vie privée.

L’économie numérique est basée sur l’adhésion, sans autre alternative possible, à l’exploitation des données des usagers qui sont censés être heureux de le faire pour ne pas cesser d’exister.

L’engrenage est parfaitement huilé et relativement invisible. L’économie du numérique s’est transformée en économie de la surveillance. Le divertissement est le bras armé de cette soumission volontaire. La connectivité permanente son fer de lance.

Ce n’est pas parce qu’ils sont nombreux à avoir échangé leur vie privée pour une vie numérique, dont les normes comportementales sont imposées par des fournisseurs de services, que tout le monde doit se résigner. Nous ne sommes pas obligés de continuer à nous laisser déposséder de ce que nous sommes, de ce que nous faisons, de l’endroit où nous sommes, de l’endroit où nous allons, de ce que nous voyons, de ce que nous pensons et aimons, des contacts fortuits ou voulus que nous entretenons !

Les fournisseurs de services ont bâti leurs empires hégémoniques et leur emprise sur un leurre. La « fin de la vie privée » est une invention récente imposée par des logiques de pouvoir et de puissance répondant à un besoin économique. Ils imposent des conditions d’utilisations que les personnes acceptent sans les lire et sans les comprendre, ce qui ne peut pas relever du consentement éclairé.

Si certains ont renoncé à leurs droits fondamentaux, en acceptant la violation de leur vie privée, en trouvant de tels dispositifs acceptables, en aimant la servitude volontaire, ce n’est pas le cas de tous. Le nombre ne fait pas raison et des alternatives technologiques moins violentes peuvent exister.

De nos jours, la surveillance est portée par la peur de l’infection par le virus biologique responsable du Covid-19 et par l’illusion de la toute-puissance technologique à résoudre les problèmes.

Aucune application, ne peut stopper un virus biologique.

Aucun logiciel, ne constituent un vaccin contre la contagion.

Aucun téléphone, n’est un remède à la maladie.

Aucun dispositif informatique ne peut remplacer les masques, les produits désinfectants, les tests de dépistage, l’hygiène comportementale, les services hospitaliers adaptés, le personnel compétent… Ce n’est pas parce que ces éléments font défaut qu’il faut leur substituer des outils informatiques pour suivre les individus, pister des personnes porteuses ou non du virus, tracer les malades, suivre les déplacements des confinés.

Même si la technologie peut remplacer une autorisation de déplacement papier, aucune surveillance numérique n’est une barrière réelle à la contamination. Aucune technologie n’est la solution miracle à la pandémie ni ne permet une meilleure prise en compte de ses conséquences. Aucune technologie n’est même capable d’en limiter les impacts pour l’économie.

Les solutions proposées actuellement, qu’elles émanent des GAFAs ou d’agences gouvernementales, sont des réponses partielles et leur efficacité pour la lutte contre la pandémie est loin d’être prouvée. En revanche, ces solutions constituent un nouveau moyen de surveillance à la fois efficace et bon marché. C’est l’usager qui paye pour sa propre laisse électronique dont il est difficile de savoir qui réellement la tient et pour sa surveillance numérique par son téléphone, son abonnement Internet et ses données.

D’autre part, c’est une accélération de la transition vers la dé responsabilité des humains/sujets à la faveur de ressources/objets. C’est consentir à déléguer le pouvoir à ceux qui maitrisent des technologies, y compris à des acteurs criminels capables de pirater les solutions mises en place.

La promotion marketing, les habitudes, les renoncements déjà consentis, les caractéristiques de mobilité, discrétion, simplicité, assurent une certaine adhésion aux leurres informatiques auprès de la population. Il n’y a pas de remise en question du fait que les progrès technologiques ne sont pas forcément synonymes à des progrès sociaux et politiques. En revanche, certaines entités ont bien compris comment tirer parti des avantages d’une surveillance numérique, dont les principales caractéristiques sont:

  • Économie de déploiement ;
  • Mobilité, souplesse, adaptabilité, réactivité (aux contextes, au nombre (foule, individu), à l’espace, à la durée, aux besoins, aux stratégies de surveillance, …) ;
  • Discrétion, invisibilité, (impossible à se représenter, impossible à combattre ou à s’y soustraire, peu de résistance) ;
  • Simplicité, banalisation (dispositif identique à ceux utiliser pour se divertir ou consommer) ;
  • Permanence (connectivité permanente et directe entre le surveillé et le surveillant) ;
  • Efficacité de la contrainte exercée et « douceur » de la manière dont le pouvoir est exercé sur le surveillé ;
  • Virtualisation de l’exercice du pouvoir (et de la violence répressive) et intériorisation de la contrainte par le surveillé.

L’application de traçage des personnes rencontrées, comme celle conçue par Apple et Google (qui se sont associés pour pouvoir l’intégrer dans les systèmes d’exploitation de leurs mobiles), pourrait persister et être utilisée à d’autres fins que celles pour lesquelles elle aura été mise en place.

Comment éviter que des mesures dérogatoires aux libertés publiques, même consenties dans un contexte exceptionnel, ne deviennent la norme ?

Qui peut garantir les libertés publiques ?

Comment éviter qu’une posture de sécurité sanitaire temporaire ne deviennent, dans l’indifférence, une imposture sécuritaire permanente?

Ne transformons pas le téléphone mobile en révélateur d’une surveillance subie, implicitement acceptée et durable.

 

 

 

Transcender la banalité du mal

Transcender la banalité du mal

***

J‘ai écrit cet article après les attentats terroristes du 13 novembre 2015 à Paris, il fut publié dans le magazine Indices de l’Agefi de Décembre 2015. Aujourd’hui, dans cette situation de crise liée au Covid-19, il est toujours d’actualité, le voici sans aucune modification.

***

 

Avez-vous entendu parlé de Conflicker ? Ce ver informatique toujours actif depuis 2008 qui exploite une vulnérabilité critique de plusieurs versions de Windows. Il permet de prendre le contrôle à distance des machines infectées et de les piloter via un centre de commande et de contrôle. Le tout constitue un botnet, réseau de machines zombies pouvant se compter par millions réparties sur la planète. Les systèmes compromis, souvent à l’insu de leur propriétaire légitime, infiltrés par des agents dormants peuvent être activés à la demande pour réaliser des attaques en dénis de service, l’envoi de spam, le vol de données, de temps de calcul ou encore pour distribuer des contenus illicites.

Au cœur des principales infractions portant atteintes aux systèmes informatiques, les botnets sont à louer ou à vendre sur Internet. Paramétrables en fonction du niveau, du type de nuisances, d’impacts souhaités et des cibles visées, ils ont contribué à créer le concept de Crime As A Service (CAAS) et sont des vecteurs privilégiés de la cybercriminalité, d’actions relevant de l’hacktivime ou du terrorisme.

Le démantèlement des réseaux de botnets constitue un défi majeur pour les forces de l’ordre au même titre d’ailleurs que celui de réseaux d’hacktivistes ou de terroristes. En effet, leurs ampleur et dimension internationale nécessitent des investigations à ce niveau, ce qui pose des problèmes de ressources, d’entraide judiciaire internationale et de coopération entre les acteurs techniques et judiciaires. De plus, les compétences acquises dans le démantèlement d’un réseau deviennent vites obsolètes du fait de l’évolution des techniques et savoir faire des malveillants et du contexte dynamique dans lequel ils opèrent.

Par ailleurs, leur prévention est quasi impossible puisqu’ils bénéficient de la complicité passive ou active des internautes et des infrastructures technologiques licites. Ceci est également le cas des activités liées à l’hacktivisme et au terrorisme, constituées de cellules dormantes au sein de la population, pouvant se réveiller n’importe quand pour frapper n’importe où, de manière isolée ou synchronisée. Soutenues par une structure organisationnelle et financière, qui agit dans l’ombre tirant partie d’activités illicites, d’une économie souterraine efficace et s’appuyant sur une multitude d’acteurs parfois très spécialisés. Si l’ombre et l’anonymat sont nécessaires à la gestion de leurs activités pour leurs garantir une certaine protection et impunité, en revanche le monde des hacktivistes comme celui des terroristes, utilise à merveille les outils de communication, de e-marketing et de e-commerce de l’Internet pour être performant tant en matière d’information, d’endoctrinement, de manipulation ou de recrutement, que de planification et réalisation d’actions. Internet, caisse de résonance de leurs causes, permet une publicité gratuite comme en rêve n’importe quelle entreprise, est aussi un catalyseur du passage à l’acte.

Il y a eu un après 11 septembre, désormais il existe un après 13 novembre. La menace terroriste y compris dans le cyberespace est là pour durer, nous devons apprendre à vivre avec, comme nous le faisons avec les virus biologiques, que cela soit à Paris ou dans le cyberespace, nous devons vivre avec des agents pathogènes, des vecteurs de transmission inhérent à notre monde globalisé, un système immunitaire déficient et une antibiothérapie peu efficace au regard de la mutation des virus et du fait qu’ils deviennent de plus en plus forts et résistants.

Le « même pas peur !» n’est pas de mise car la peur peut être aussi un facteur de sécurité. Nous avons de bonnes raisons d’avoir peur, pour notre sûreté et notre liberté. Peur que notre sécurité relève de la chance, peur de devoir redéfinir la notion de liberté, peur de penser que le couple sécurité et liberté soit stérile et ne possède rien en commun. Peur de devoir troquer notre liberté pour une sécurité que l’on pourrait qualifier de peau de chagrin à l’instar du titre du roman de Balzac qui écrivit en 1831 « Si tu me possèdes, tu possèderas tout, mais ta vie m’appartiendra ».

Serons-nous en mesure de relever le défi de plus de sécurité pour plus de liberté ?

Saurons-nous trouver le juste équilibre entre sécurité et liberté ?

Pourrons-nous éviter les dérives sécuritaires au regard des besoins de protection et des moyens effectifs à disposition pour maitriser les risques ?

A nous collectivement et individuellement d’être non pas résilients mais résistants à la malveillance et à la cupidité de certains, sans oublier que l’on meurt toujours de la grippe. « Les trop nombreux » comme les dénommait Nietzsche sont effectivement en nombre et déterminés à nuire et à dominer, espérons que nous saurons, les yeux grands ouverts, être plus forts, non pas les yeux ouverts pour tâcher d’entrer dans la mort comme dans les Mémoires d’Hadrien de Marguerite Yourcenar mais les yeux grands ouverts comme avec Aragon dans son hymne à l’amour « … A moi dans la nuit / Deux grands yeux ouverts / Et tout m’a semblé / Comme un champ de blé … ». Espérons avec lui que “tout ce qui s’oppose à l’Amour sera anéanti”.

Merci aux poètes et artistes qui nous aident à transcender la banalité du mal.

***

Désormais, il y aura aussi un après Covid-19, du moins je l’espère!

 

Virus biologique, virus informatique

Contexte

Selon l’OMS, la Suisse est à ce jour, sur les 110 pays touchés par le virus COVID-19, en douzième position pour ce qui concerne le nombre de cas de personnes infectées. Ce classement ne tient pas compte de la densité de la population. Faire le calcul, du ratio du nombre de cas connus au regard de la population du pays, c’est peut-être nous rendre compte que la situation de la Suisse dépasse celle de notre voisin italien.

Comment disposer d’une juste cartographie des personnes infectées alors que le dépistage systématique n’est pas possible, que les porteurs de virus ne sont pas tous recensés, ni identifiés, surtout s’ils n’ont pas de symptômes, alors qu’ils sont un vecteur de propagation de l’infection.

 

Posture et exigences de sécurité

Comme en cybersécurité, les organisations qui ont développé des postures de gestion des risques sont mieux préparées que les autres à anticiper et à se mobiliser pour faire barrière à la propagation de virus, qu’ils soient d’origine biologique ou informatique.

Comment comprendre la difficulté de certaines instances dirigeantes à prendre des décisions pour mettre en place des mesures proactives et de préventives en temps voulu, c’est à dire à temps, pour préserver leurs capital qu’il soit informationnel ou humain? Aujourd’hui, comment ignorer la réalité du terrain et le fait que les mesures de précaution prises au plus tôt augmentent leur efficacité ?

Combien d’institutions privées ou publiques ont communiqué à leurs employés, les mesures de prévention, de protection et de précaution prises pour ne pas favoriser l’infection et la propagation du coronavirus SARS-CoV-2 (COVID-19) ? En fait, si certaines entreprises prennent des mesures particulières pour limiter l’exposition de leurs personnels, ce n’est pas le cas partout.

Le retard pris dans l’adoption de mesures de précaution est préjudiciable à la protection de la population. Les impacts du risque sanitaire sont subis par les individus qui, s’ils sont infectés, en porteront les conséquences financièrement mais aussi dans leur chair et dans leur esprit. Si le virus ne leur est pas fatal, être un vecteur de la maladie, avoir contaminé des personnes, y compris des proches qui peuvent en décéder, les affecteront.

Parmi les nombreuses questions que soulèvent les virus biologiques et informatiques, il convient de se demander :

  • Comment rester sain dans un monde de malades ?
  • Comment assurer sa sécurité et sa sûreté alors que la qualité de celles-ci dépend de celles des autres ?

 

L’urgence d’agir

Faire face à une menace de grande ampleur, invisible mais bien réelle, en se reposant sur le civisme des citoyens ou sur l’hygienne individuelle, ne suffit pas. Toutes démarches de sécurité reposent sur la responsabilité des dirigeants, une volonté politique, des mesures stratégiques et opérationnelles de prévention, de défense et de réaction cohérentes. Le faux sentiment de sécurité, la pensée magique consistant à croire que les problèmes n’arrivent qu’aux autres, que les virus s’arrêtent aux frontières de son organisation ou encore de croire que de ne pas voir le problème le fait disparaitre, sont des erreurs exemplaires.

Aujourd’hui, l’urgence n’est pas uniquement liée aux cryptovirus, qui depuis Wanacry en 2017, sont devenus des préoccupations des responsables de la sécurité informatique, de manière pragmatique, l’urgence est biologique, humaine. Toutefois, que devient la sécurité informatique en cas de pandémie, qui est disponible pour l’assurer ? Comment protéger le système d’information quand l’humain est défaillant ?

Mais à ce jour pour les institutions, il s’agit encore de décider et de mettre en place des mesures concrètes pour se protéger au mieux du Covit-19 et de contribuer à limiter sa propagation. Concrètement, par exemple, c’est faire en sorte que la distance minimale entre les individus soit respectée sur leur lieux de travail ou lors de leurs déplacements.

Est-ce que les salles de cours sont suffisamment grandes pour assurer une distance minimale entre les personnes ?

Est-ce que les lieux communs fréquentés par un grand nombre de personnes sont régulièrement et suffisamment désinfectés durant la journée ?

Force est de constater que ce n’est pas le cas dans nombre d’organisations. Ainsi par exemple, l’absence du port de masques de protection par le personnel employé dans la restauration et de l’absence de la distance minimale entre individus aux files d’attente des bureaux administratifs et autres points de vente (gares, poste, supermarchés, etc.), telle que préconisée par l’OFSP (Office fédéral de la santé publique) est une réalité. Comme l’est d’ailleurs, l’absence de produit hydro-alcoolique pour la désinfection des mains aussi bien aux entrées des bâtiments, à proximité des toilettes ou encore à côtés des ascenseurs.

Pourtant, ce sont des précautions simples, indiquées par les autorités fédérales ayant pour but d’éviter la propagation rapide du virus au sein de la population.

 

COVID-19, sommes-nous prêts?

Y a-t-il un plan d’action pour le tutorat de cours dispensés par voie informatique? Comment assurer l’équité de traitement entre étudiants et évaluer les contrôles continus et autres examens si quelques étudiants sont absents, se trouvant en quarantaine volontaire suite à la fréquentation de zones à risque ou à la contamination d’un proche ?

Qu’avons-nous appris des exercices stratégiques concernant les risques d’épidémie et de pandémie en Suisse et de l’expérience de pays affectés avant nous ?

Sommes-nous prêts à faire face au COVID-19 et à saisir l’opportunité de penser et de faire différemment et surtout de tirer parti du numérique et de toutes ses promesses ?

Sommes-nous prêts à croire que les établissements d’enseignement ne seront pas un maillon de la chaîne de contamination ?

Sommes-nous prêts à faire face à un tsunami de virus informatique et à la combinaison d’une infection virale biologique et informatique ?

Sommes-nous prêts à vouloir privilégier la santé de tous et de toutes ?

Sommes-nous prêts à prendre des décisions courageuses ?

La crise « Covit-19 » est un révélateur de notre capacité à gérer les risques, à déterminer les risques acceptables et à savoir qui les assume. À l’heure des décisions, nous sommes face à nous mêmes, aucune intelligence artificielle ne peut se substituer à l’intelligence naturelle ou au bon sens. Il est temps que l’humain reprenne en main son destin. Il est temps de privilégier le progrès technologique au service du vivant et de faire en sorte que l’humain ne soit pas uniquement une ressource à optimiser au service du pouvoir économique et technologique.

 

La cybersécurité selon Sun-Tzu

Cet article met en évidence la difficulté ontologique à penser une cybersécurité au service de l’humain alors que les technologies du numérique servent des objectifs de rationalité économique et sont au service des pouvoirs économique, politique et de la guerre.

Article adapté de l’article de S. Ghernaouti publié dans la revue de la Gendarmerie française N° 266, Numéro spécial « L’Humain au cœur de la cybersécurité ». Décembre 2019 (p.55 – 60) sous le titre “Comment penser la cybersécurité au service des générations futures?”.

 

« La guerre est la grande affaire des nations ; elle est le lieu où se décide la vie et la mort ;

elle est la voie de la survie ou de la disparition »

Sun-Tzu[1].

  

Le numérique au cœur des guerres

Internet et le cyberespace constituent une extension des lieux d’expression du pouvoir et de la confrontation des rapports de force traditionnels que sont la terre, la mer, l’air et l’espace extra atmosphérique. Au XXIe siècle, la guerre se déroule aussi dans les territoires virtuels du cyberespace. L’informatique est au cœur des guerres idéologique, culturelle, scientifique, économique et politique. Cette nouvelle forme de guerre par l’information et le code informatique permet de « soumettre l’ennemi sans ensanglanter sa lame»[2], pour reprendre l’expression du célèbre  général chinois Sun-Tzu (Ve siècle avant J.-C.).

Internet peut être instrumentalisé pour infliger des dégâts à l’ennemi sans l’envahir physiquement ni géographiquement, mais en réduisant son pouvoir dans les domaines stratégique et opérationnel, dans les mondes physique et virtuel. L’informatique contribue à projeter du pouvoir et à contraindre l’adversaire dans ses dimensions civile et militaire. Gagner et préserver des parts de marché passe par l’espionnage économique et industriel, l’intelligence économique, la cybersécurité, la surveillance des télécommunications et les cyberattaques. Le point commun entre tous ces modes opératoires de cybercombat est qu’il est difficile de déterminer leur origine ,d’identifier les acteurs qui les opèrent, et d’attribuer clairement la responsabilité aux puissances qui les ordonnent. Le cyberespace procure une couche d’isolation protectrice que l’on peut rapprocher là encore du maître chinois qui affirmait que « …qui connait l’art de se rendre invisible et de tout voir ne rencontrera pas d’ennemi … »[3].

 

Cinq facteurs stratégiques pour penser et gagner la guerre

Selon Sun-Tzu, la guerre est subordonnée à cinq facteurs : le climat, la topographie, l’organisation, le commandement et la vertu. Toujours actuels, ils peuvent être transposés au cyberespace.

Les usages numériques, les vulnérabilités matérielles, logicielles et humaines, les acteurs de l’écosystème numérique ainsi que le moment opportun peuvent être constitutifs du climat. Les territoires numériques, les infrastructures matérielle et logicielle informatique et télécom, y compris celles du Darknet font parties de la topographie.

La chaîne d’approvisionnement logistique de l’écosystème numérique, le cycle de vie des systèmes, les services et produits (fabrication, diffusion, maintenance, recyclage, destruction), les modèles économiques de déploiement et de captation de valeur, sont des dimensions de l’organisation. Cela comprend les capacités à influencer, à mobiliser, à déstabiliser et à rallier des acteurs à effectuer des actions allant dans le sens de la défense de certains intérêts. La faculté de mobiliser des communautés de cybercombattants, de patriotes, de dissidents, d’hacktivistes, de consommateurs (e-commerce, jeux en ligne, réseaux sociaux,…), en s’appuyant sur des dispositifs d’information et de désinformation (fake news, …) peuvent être considérées comme des leviers d’actions de lutte, d’attaque et de défense.

« Le commandement dépend de la perspicacité, de l’impartialité, de l’humanité, de la résolution et de la sévérité du général »[4]. Ces attributs, hormis celui d’humanité, pourraient s’appliquer aux logiciels d’intelligence artificielle (algorithmes d’aide à la prise de décision ou de prise de décision) dans un contexte de commandement militaire et d’armement. De plus en plus d’armes intègrent des capteurs, des logiciels d’analyse, de téléguidage, de géolocalisation, d’aide à l’identification des adversaires, d’aide au tir de précision et à la priorisation des actions de tir. C’est tout un arsenal de missiles, fusils mitrailleurs, drones, robots de détection d’engins explosifs, robots de reconnaissance, ou de munitions « intelligentes », qui existe et qui renforce l’assurance d’atteindre les cibles en faisant souvent plus de dégâts que des armes traditionnelles. Tout ceci vient compléter les tenues de combat intelligentes et les exosquelettes (smart suit, smart gun, smart soldier). Les technologies de l’information se métamorphosent en co-combatants[5], véritable équipiers des soldats et officiers, tant sur le théâtre des opérations que dans les sites et chaînes de commandement. L’intelligence artificielle contribue à l’automatisation de la prise de décision, avec comme horizon la possibilité de prendre la décision de tuer sans intervention humaine, pour ouvrir le feu et riposter.

 

L’intelligence artificielle au service du hard power

Au service du hard power, l’intelligence artificielle promet efficacité et performance en augmentant la puissance de frappe et la distance de tir, ce qui réduit d’autant l’exposition aux risques de son détenteur.

La résolution et la sévérité du Général deviennent relatives à :

  • sa maîtrise des infrastructures numériques et des infrastructures énergétiques;
  • sa compétence en recherche et développement en informatique;
  • sa capacité à former et entrainer ses troupes, à planifier et à conduire des opérations et des cyberopérations;
  • ses dispositifs de renseignement et d’analyse;
  • ses moyens de cybersécurité et de cyberdéfense, la robustesse et la résilience de ses infrastructures informatiques.

 

De la vertu

La soumission volontaire aux GAFAM reflète le concept de vertu qui selon Sun-Tzu « assure la cohésion entre supérieurs et inférieurs et incite ces derniers à accompagner leur chef dans la mort, comme dans la vie, sans crainte du danger »[6]. Les nouvelles manières de communiquer peuvent participer à des actions d’endoctrinement, de manipulation psychologique, d’activisme ou de marketing de la guerre par exemple.

La vertu, est une qualité qui selon Montesquieu, comme le rappelle Jean Lévi[7], fait référence à la force morale conférée à une nation par ses mœurs, ses institutions et son régime politique. Elle est une disposition à faire le bien et à éviter le mal et est liée au mérite de l’homme, à son courage, à sa sagesse. Cela pourrait englober les capacités du numérique à préserver le vivant et ses conditions de vie sur Terre (paix, climat, …).

 

La force de frappe numérique transforme les rapports de force

Sun Tzu affirme qu’« un général avisé s’emploie à vivre sur l’ennemi »[8] . C’est précisément ce que font les acteurs hégémoniques du Net puisqu’ils développent leur puissance et leur pouvoir à partir des usages numériques qui autorisent la captation et l’exploitation des données et des méta données. Les pouvoirs politiques, militaires et économiques des États sont liés à leur capacité à contrôler les technologies de l’information. Les 7 avantages stratégiques de la maitrise du numérique dans les rapports de force du XXIe siècle sont:

  1. Maîtriser le code informatique offensif et défensif, l’automatisation et la rapidité des prises de décisions et des actions qui en découlent, la cybersécurité, la cyberdéfense.
  2. Dominer le renseignement, posséder le plus d’informations pertinentes, savoir les transformer en avantage compétitif et en leviers d’actions efficaces.
  3. Maitriser les systèmes de géolocalisation, de géoréférencement, de navigation.
  4. Être en capacité d’espionner, de surveiller, de contrôler, d’acheminer, de traiter, de stocker l’information et le code informatique.
  5. Posséder les meilleurs instruments pour influencer, déstabiliser, attaquer, dissuader.
  6. Disposer des meilleures conditions pour rendre dépendants des entités à des services, infrastructures numériques, solutions informatiques et infrastructures critiques.
  7. Détenir le système de récompenses et de châtiments efficaces.

La force de frappe technologique, dont fait partie l’intelligence artificielle, n’est maîtrisée que par un petit nombre d’États et par de grands acteurs privés multinationaux. Cela soulève de complexes questions relevant par exemple du désarmement, des rôles et responsabilité des acteurs, de la cyberrésilience, de la géopolitique du cyberespace ou de développement durable du numérique (fabrication, élimination et recyclage des déchets informatiques, rayonnement électromagnétique, consommation énergétique et des terres rares, …).

 

Vers un technobiocide ?

Médiée par la technologie, chaque action permet d’instaurer une distance entre le monde concret et l’humain. La distance géographique et émotionnelle, délivre l’humain de faire la guerre et de connaitre l’horreur des champs de bataille. C’est ce qu’autorise également les cyberattaques sur des systèmes d’information d’infrastructures vitales. Poussée à l’extrême, la « technologisation » de la guerre traditionnelle, les de nouvelles formes de guerres cybernétiques pourraient conduire, non seulement à des technogénocides, mais aussi à des technobiocides[9], du fait du risques de destruction globale de l’écosystème par la technologie. Dans le cyberespace, les activités relevant d’actes de guerre, au sens traditionnel du terme, sont complexes à identifier et à contrôler, car il est difficile :

  • de connaitre l’ennemi[10], d’attribuer avec certitude l’origine des cyberattaques et donc de riposter ;
  • de faire respecter le droit humanitaire et celui de la guerre ;
  • d’organiser des opérations d’envergure sans y impliquer des militaires.

 

L’intelligence artificielle au service de l’humain et des générations futures ?

La cybernétique dont l’origine renvoie à l’art de gouverner, est en train de s’imposer et de prendre le commandement de toute chose, de tout acte. Le numérique instaure un nouvel ordre du monde. L’intelligence artificielle, avec ses capacités à prendre des décisions ou à y contribuer, dans une logique de performance et de rationalité économique, se situe dans le prolongement du transfert des capacités de l’humain vers la machine. Elle entraîne une perte de compétences, une réduction d’autonomie et une dépendance, voire une addiction aux systèmes. L’intelligence artificielle en réduisant l’erreur et donnant l’illusion qu’elle supprime l’incertitude conduit à une normalisation des comportements et à la ruine de la diversité. Elle permet de prédire et d’orienter des choix pour consommer et faire faire. Des prédictions et propositions engendrent des manipulations psychologiques et pilotent les actions. Les fausses informations (infox) peuvent renforcer le pouvoir de manipulation. L’intelligence artificielle, dont la finalité est déterminée par ses concepteurs et propriétaires a des mode opératoire, qualité et sécurité opaques et souvent incontrôlables.

 

Perspectives

Lorsque les données et le code informatique sont une arme de guerre et l’intelligence artificielle du matériel militaire, il devient nécessaire de s’interroger sur le type de société dans laquelle nous voulons vivre. Est-ce celle d’une meilleure connaissance du réel et des consciences éclairées ? Celle de la gestion algorithmique, de la surveillance et du contrôle permanent ? Celle du culte des machines ou encore celle du plein pouvoir du techno-libéralisme ?

L’obligation de subir le numérique nous donne le droit d’en connaître la finalité (pour quels bénéfices et renoncements et pour qui). C’est alors que nous pourrons réellement penser « l’humain au cœur de la cybersécurité » et réaliser des solutions pragmatiques et efficientes.

Impossible de faire l’économie de l’analyse des impacts de l’écosystème numérique, du contrôle des données, des mesures de cybersécurité et de cyberdéfense pour les générations futures. Comme pour le changement climatique, c’est elles qui en paieront le prix.

 

Références

[1] Sun Tzu et autres stratèges. Les sept traités de la guerre, traduit du chinois et commenté par Jean Lévi. Collection Pluriel, Hachette Littératures, 2008, p.87.

[2] Ibid. Chapitre III, p.97

[3] Ibid Chapitre XXVI « Arcane du dragon », p. 396

[4] Ibid. p.92

[5] Notion de cohabitation homme-robot (cobotique)

[6] Ibid. p.91

[7] Ibid. p.15

[8] Ibid. Chapitre II, p.95

[9] Risque qui existe depuis la bombe atomique, mais qui pourrait advenir sans elle !

[10] L’ennemi connaît sa cible, les données dont il a besoin pour lui nuire sont disponibles (réseaux sociaux, Darknet, …).

Au-delà des questions techniques du dossier électronique du patient, comment bâtir la confiance ?

Les données de santé, des données d’importance vitale

Le dossier médical est au cœur de la chaîne de soin, de celle de la médecine personnalisée et mobile, comme de la chaîne d’approvisionnement de la santé (pharma, assurance, recherche, …).

Les données relatives à un patient caractérisent ce qu’il est, contrairement à ses données financières qui sont relatives à qu’il possède. La grande différence entre l’être et l’avoir est que les données relevant de la première catégorie ne peuvent pas être remplacées, ce qui, en revanche, est aisé de faire lorsqu’il s’agit d’un numéro de carte de crédit qui aurait été piraté par exemple. De plus, ce qui est fondamentalement nouveau, c’est la dimension prévisionnelle des données de santé, à partir desquelles des traitements algorithmiques peuvent caractériser des patients (déterminer leur devenir, probabilité de développer une pathologie, de guérison, de représenter tel ou tel potentiel médicommercial, etc.).

Par ailleurs, le vol massif de données de santé expose la vie des personnes avec des conséquences variables pouvant aller de la perte de confidentialité, au chantage, à la mise en danger de la vie humaine par exemples. Or, les pertes de données consécutives à des erreurs de conception, de gestion, d’utilisation, des malveillances ou des cyberattaques sont devenues courantes dans le monde et cela à l’échelle planétaire sans épargner le domaine de la santé.

Le dossier électronique du patient (DEP) est un facteur critique de succès de la cybersanté

Le dossier médical du patient, avec ses problématiques de protection et de partage dans une double optique de rationalité économique et de performance des soins, est un levier de la transformation numérique de la médecine.

Le succès de la médecine prédictive, préventive, personnalisée et participative dépend pour une grande part, de la pertinence des informations collectées, de leur accessibilité et de leur traitement algorithmique. Ainsi, au-delà du simple recueil d’informations de santé des individus, c’est tout un écosystème de médecine informatisée et son économie, qui dépend du dossier électronique du patient.

Avec la médecine informatisée, des potentiels d’amélioration de la prise en compte des soins sont en train d’être explorés, notamment avec de nouveaux acteurs comme Google pour ne citer qu’une entité issue du monde du numérique et non directement de celui de la santé.

Sur le chemin de la confiance

L’édition 2019 du Swiss Data Forum a consacré une table ronde sur le thème « Comment bâtir la confiance dans le cadre du dossier électronique du patient (DEP) ? » Celle-ci a regroupé plusieurs personnalités notamment issues d’organisations liées à la santé dans le domaine de la médecine, de la technologie et de l’assurance. Des soignants et des patients ont aussi eu l’occasion d’exprimer leurs visions et questionnements. En synthèse ce partage et ce débat ont fait ressortir une série de questions liées aux conditions indispensables pour établir la confiance dans le DEP :

  1. À qui appartiennent les données de santé ?
  2. Est-ce que la numérisation et l’informatisation dans le domaine de la santé entraînent la fin du secret médical ?
  3. Est-ce que l’écosystème numérique de la santé va favoriser des logiques de contrôle des individus (comportements, surveillance de masse et personnalisée, profilage, croisements des données, mutualisations et partage des données avec d’autres acteurs (assureurs, employeurs, … ) ?
  4. Est-ce que le patient va se transformer en client sous tutelle et dépendance numérique ?
  5. Est-ce que les finalités initiales du DEP et leurs données ne seront pas détournées pour, peut-être, contribuer à des logiques de privatisation des données de santé et du vivant ?
  6. Est-ce que la vitesse d’adoption du numérique, sans mise en place préalable d’une culture, de moyens et de compétences spécifiques au numérique et à la cybersécurité est un facteur aggravant de risque ?
  7. Comment un patient peut-il donner un consentement éclairé pour autoriser le partage de son dossier et de ses données, sans bien comprendre ni de quelles données il s’agit, ni sur quelle durée et quelles conditions porte ce consentement ?
  8. Quels sont les rôles et responsabilité des acteurs en cascade et des intermédiaires techniques ?
  9. Comment mettre en œuvre un contrôle d’accès au DEP efficace en terme de sécurité informatique et pertinent au regard des besoins des soins et parfois de leur urgence ?
  10. Comment contrôler la disponibilité, la véracité, l’authenticité et l’intégrité des données et s’assurer de leurs différents niveaux de confidentialité ?

Comme dans bien d’autres domaines, l’informatisation et l’automatisation de la collecte et du traitement des données de santé, nous font comprendre que les ruptures technologiques sont des ruptures stratégiques, culturelles et sociétales qu’il faut appréhender aux bons niveaux décisionnels et opérationnels, tout en maîtrisant les risques à court et long termes.

 

 

 

 

 

 

 

 

 

 

 

La cybersécurité peut-elle répondre à l’enjeu climatique ?

Risque cyber et risque climatique

Le risque climatique est devenu une urgence planétaire internationale, les technologies du numérique peuvent contribuer à le maitriser à condition d’en limiter ses impacts environnementaux.

Dès lors comment prendre conscience des conséquences des pratiques numériques sur les ressources naturelles, la consommation énergétique et les gaz à effet de serre ? Comment appréhender les cyberrisques à travers le prisme de l’écologie et du développement durable ?

S’intéresser à ces questions nécessite de se pencher en particulier sur la relation d’interdépendance qu’entretien les technologies de l’information avec le système d’alimentation en électricité.

Pas de cybersécurité, pas d’électricité et pas de numérique, pas de numérique pas d’électricité…

Comme pour l’ensemble des activités industrielles, la transformation numérique du secteur de l’énergie est une réalité amorcée depuis le siècle passé. Désormais, la production et la distribution d’électricité dépend des technologies du numérique et ces dernières sont dépendantes de l’électricité.

L’enjeu de la cybersécurité dans le secteur de l’électricité s’exprime par le constat suivant : pas d’électricité pas de numérique et sans numérique pas d’électricité possible. Cette double dépendance et interdépendance témoigne de la criticité de la cybersécurité pour le secteur de l’énergie.

En devenant un « réseau intelligent », le réseau électrique s’est ouvert aux cyberrisques. De facto, leur non maitrise peut mettre à défaut la disponibilité, l’intégrité et la sûreté de fonctionnement des infrastructures électrique et porter atteinte aux individus, aux organisations et à l’État. La sécurité de l’approvisionnement en électricité du pays est fragilisée par l’exposition des systèmes et réseaux informatiques qui composent le système énergétique, aux cyberattaques. Dès lors, bien investir dans la cybersécurité, n’est pas une option. Cela nécessite de répondre notamment aux questions suivantes : qui finance, qui est responsable et qui est imputable en cas de sinistre ?

Ces questions complexes ne représentent que l’arbre qui cache la forêt de celles encore plus complexes de la maitrise de la consommation énergétique des activités numériques de chacun et des infrastructures informatiques et de télécommunication qui les supportent.

Quels sont les rapports entre  les transitions numérique et climatique ?

A l’heure où la société civile s’empare de la thématique de la transition écologique (préservation des ressources, développement durable, transport, alimentation …), le rapport entre les technologies de l’information et le climat demeure encore peu exploré.

Alors que l’habitant s’informe sur les moyens de transport écoresponsables, (re)découvre une alimentation plus saine et respectueuse de l’environnement, est-il suffisamment informé des enjeux et conséquences de ses pratiques numériques ? À quel point la transformation numérique de la société et la fuite en avant technologique impactent-elles notre environnement ? Un usage plus écologique des infrastructures informatiques (smartphones, serveurs, réseaux, plateformes et services numériques) est-il possible ?

Comment devenir  homo numericus écoresponsable?

Une conférence pour sensibiliser à la problématique de la consommation des ressources naturelles pour fabriquer les infrastructures numériques, à celle des déchets électroniques et informationnels, pour analyser le développement d’un cyber risque majeur, lié à l’augmentation de l’empreinte environnementale, mais aussi pour explorer les impacts de cyberattaques sur les infrastructures énergétiques et industrielles ainsi que leurs conséquences environnementales.

L’évènement, gratuit, organisé conjointement par le Swiss Cybersecurity Advisory & Research Group de l’Université de Lausanne, la Fondation SGH – Institut de recherche Cybermonde, en partenariat avec l’Académie suisse des sciences techniques, le 21 novembre 2019 apportera des éclairages sur la manière dont le numérique peut contribuer au chaos climatique ou être un facteur de réussite à sa maitrise, à la diminution de la consommation énergétique et à la minimisation des gaz à effets de serre. Des pistes seront explorées pour maximiser l’impact positif du numérique sur l’environnement tout en minimisant ceux négatifs et un plaidoyer pour une sobriété numérique proposera une ouverture vers une meilleure prise en compte des besoins fondamentaux par le numérique afin de répondre notamment à la question de savoir à quelles conditions, le climat peut-il être sauvé par le numérique et les technosciences?

Renseignement et inscription :

https://www.scarg.org/

 

 

Le miracle technologique n’est pas (encore) au rendez-vous

Pour une informatique de complémentarité, non de substitution

J’ai fait un rêve, c’était il y a longtemps, c’était au siècle dernier, à l’époque ou l’informatique était complémentaire de l’existant, elle y était supplémentaire et ne venait pas en substitution. C‘était un rêve de liberté, le rêve d’un Internet porteur de tous les espoirs d’égalité, de fraternité, de paix, d’un Internet pouvant réaliser un idéal d’universalité et de diversité.

Quatre décennies plus tard, l’écosystème numérique que nous avons contribué à construire est celui de la soumission aux algorithmes, de la servitude volontaire aux injonctions numériques et aux machines dites intelligentes. Avec une certaine illusion de liberté, nous sommes devenus des consommateurs – spectateurs dociles et dépendants.

Nos prothèses numériques nous relient à leurs fabricants qui nous perfusent de contenus en échange de la captation de nos données, de nos goûts, de nos sentiments, de nos déplacements, de nos localisations ou encore par exemple, de nos paramètres physiologiques.

Commerce de données et marché de la surveillance

Dépossédés de nos données, nous sommes nus, transparents, invisibles. Plus nous nous laissons déposséder, plus nous nous chosifions. Nous devenons des systèmes d’extraction de données, sous surveillance, contrôlés à distance, des systèmes à améliorer. Nous entrons dans l’ère de l’obsolescence programmée de l’humain. Ce faisant nous nous adaptons à cette nouvelle réalité technico-économique pour exister.

Acceptation passive et engrenage de la soumission

Ceux qui sont nés à l’ère de de la soumission au numérique et qui ne connaissent rien d’autres et qui développent des comportements normalisés par les applications du big data, sont des sortes d’hybrides « mi-humain, mi-machine », perfectionnables par mises à jour logicielles et greffes de nanotechnologies, contraints à être mesurés et optimisés, à être performants même dans les actes de la vie intime.

Info-obèses, ils sont soumis à une communication et une information en temps réel, à la tyrannie des alertes électroniques et à celle de la transparence, du conformisme des réseaux sociaux, de l’administration algorithmique des mœurs, des vies privées et professionnelles et de la gouvernance économique et politique.

Sous anesthésie numérique, pour être efficaces selon des critères définis par des fournisseurs, avec un mode d’emploi de la vie déterminé par des algorithmes, ils sont seuls et connectés, incapables de penser, de juger et de décider par eux-mêmes. Ils pratiqueront un métier ubérisé, au service de grandes plateformes.

Ce que veut dire être nés sous le joug du numérique

Nés sous le joug du numérique, ils se contenteront de vivre comme ils sont nés. Soumis à la propagande d’une vision du monde simplifiée, fabriquée sur mesure et instrumentalisée. Nul besoin de voter, plus besoin de démocratie, il suffira d’adhérer à une pensée préfabriquée, partagée par la masse des individus connectés. Manipulation, gestion de l’opinion et fake news seront les nouvelles manières d’exprimer des opinions en substitution aux débats.

Le numérique peut-il être philanthropique ?

Le 21ème siècle est celui de l’omniprésence des technologies électroniques et de l’usage extensif de l’informatique et des télécommunications dans tous les domaines de la vie, dans toutes les activités et cela à l’échelle mondiale. Le développement des sciences cognitives et leur application à l’informatisation de la société ouvrent la porte à de nouveaux possibles. Outre les potentialités infinies et les espoirs d’un monde meilleur transformé par la Technologie, celle-ci modifie en profondeur avec une ampleur sans jusque-là inconnue, notre réalité. Or, les technosciences sont aussi au service de l’expression de nouvelles formes de pouvoir et de violences.

La philanthropie est le sentiment qui pousse les hommes à venir en aide aux autres, le philanthrope est celui qui aime les hommes et qui s’occupe d’améliorer leur sort. Il peut être aisé de penser que dans la mesure ou des services du numérique contribuent à améliorer la vie, ceux qui les conçoivent, les mettent en œuvre, les gère, sont des philanthropes. C’est ce que n’hésitent pas à soutenir certains patrons des entités commerciales hégémoniques du Net, qui se présentent comme philosophes, philanthropes, agissant pour le bien de l’humanité, voire, accomplissant une mission sacrée.

Pour autant, leurs discours sont-ils vraiment crédibles au regard de la réalité de leurs actes ? Est-ce être philanthrope que de donner une dimension qu’ils considèrent comme éthique aux impératifs stratégiques du développement économique de leur entreprise. Leurs discours « éthique » es alors un véritable levier de persuasion des foules.

Des rêves et des utopies à opposer à la violence technologique invisible

Enfant, je n’ai jamais rêvé de danser avec un robot, de haut débit, de relations virtuelles, de surveillance de masse ou de machines qui me disent quoi faire, quoi penser ou de quoi avoir envie.

Je rêve d’un monde digital au service du vivant, pas d’une humanité digitale. Un monde où les technologies seraient au service du vivant. L’humain ne serait ni un objet à optimiser, ni un robot de chair et de sang au service de plateformes numériques.

Je rêve d’une philanthropie qui transgresserait les limites du néolibéralisme numérique pour que l’Homo numericus ne deviennent pas un artéfact en situation d’addiction.

Je rêve d’utopies numériques positives, avec de nouveaux droits humains fondamentaux reconnus et respectés, comme celui du droit à la déconnexion et celui à ne pas être sous surveillance informatique.

Je rêve d’un nouveau paradigme culturel et philosophique de l’informatique, d’une alternative pour ré enchanter le monde.

Je rêve d’une société qui serait en mesure de transformer le paradigme d’informatisation, issu de la rationalité économique, de la performance et de la croissance infinie, qui permette de soutenir le développement durable, préserver les ressources et faire face aux problèmes majeurs.

Cela nécessite de penser autrement la création de valeur par le numérique, le partage de la valeur générée, et ainsi de penser au partage, à la fin d’une croissance économique infinie, à l’empathie, à l’adoption de comportements responsables.

Je rêve d’une décroissance technologique heureuse, au courage de penser et de faire, au refus de l’instrumentalisation des conditions de penser.

Je rêve d’une écologie du numérique bienveillante au service du vivant, l’économie numérique transgresseraient les limites du néolibéralisme, les choix technologiques se développeraient à condition qu’ils soient bons y compris pour les générations futures.

Je rêve de rêves sans écrans.

 

Éduquer à la cybersécurité, une responsabilité de société

Eduquer à la cybersécurité, une responsabilité de société

La fuite de données personnelles et sensibles de plus de 20 millions d’Equatoriens révélée durant l’été 2019, est due au fait qu’une société de conseil en marketing, analyse de données et de développement logiciels, n’avait pas sécurisé le serveur sur lesquelles elles étaient stockées et mises en ligne. Le dirigeant de l’entreprise Novaestrat , spécialisée dans analyse de données a été arrêté par les forces de l’ordre équatoriennes.

Cette nième affaire de fuite de données est emblématique de la réalité et du peu de sérieux avec lequel sont appréhendées les problématiques de cybersécurité et de protection des données à travers le monde.

Sensibiliser, former, entrainer à la cybersécurité est devenu urgent afin que les pratiques de l’informatique évoluent pour tenir réellement compte des risques qu’elles font peser sur la société. Ces risques concernent toutes les activités humaines, par conséquent l’enseignement de la cybersécurité doit être intégré dans tous les champs disciplinaires.

L’enjeu est vaste, et y répondre est difficile mais pas impossible.

Sur le terrain de l’enseignement supérieur, et de manière complètement pragmatique, cela suppose la mise à disposition d’une offre de cours liée à la cybersécurité, adaptée aux titres auxquels pourront prétendre les futurs diplômés. Sachant que ces derniers deviennent après seulement quelques mois de pratiques des consultants seniors en cybersécurité, voire, des responsables en sécurité de l’information. Dès lors, l’enseignement et ses conditions de validation des acquis, examens, contrôles continus, projets, et travail de mémoire se doivent d’être particulièrement exigeants.

Il incombe aux organes de formation, de bien former, voire de former mieux les individus à la gestion des cyberrisques, qui sont de plus en plus graves. Il s’agit d’éduquer à la cybersécurité dans toutes les disciplines, car ces risques concernent tous les métiers. Où sont par exemples, les cours de cybersécurité à destination des futurs médecins, ingénieurs, avocats, architectes, gestionnaires et même des futurs marketeurs, etc ? Du moins ceux-ci, ont-ils suivi lors de leur cursus, une sensibilisation à la cybersécurité et à la protection des données ?

Si l’apparition récente de cursus spécialisés en cybersécurité est une excellente initiative, néanmoins, il est intéressant de pouvoir questionner le contenu effectif des formations dispensées et de vérifier leur adéquation aux besoins de la société. Les experts formés le sont-ils vraiment ? Si tel ne serait pas le cas, que faire pour améliorer la situation ?

Évaluer ou valider ?

Par ailleurs, dans la plupart des institutions universitaires, on assiste depuis quelques années à une augmentation accrue de l’importance accordée à l’évaluation des professeurs par les étudiants, entrainant par effet boomerang, des approches clientélistes et une diminution des exigences envers les étudiants. Lorsque cette forme de démagogie prévaut sur l’exigence pédagogique, c’est la qualité des spécialistes formés qui diminue. Cette mutation invisible et sournoise se reflète également dans les termes à utiliser pour décrire, non plus les méthodes d’évaluation des étudiants, mais celles de validation des acquis par ces derniers. Ce glissement n’a rien d’anodin. Désormais, seuls les enseignants sont évalués, non pas par leurs pairs, mais par des étudiants qui ont, eux pour objectifs, d’acquérir des crédits pour obtenir un titre académique.

Vers une approche clientéliste de l’éducation ?

Cela déplace le curseur pour les clients-étudiants de la motivation des études tournées idéalement vers l’apprentissage des connaissances et le développement des compétences vers le gain d’un diplôme, c’est à dire d’un label institutionnel.

Si l’étudiant devient client, alors l’enseignant peut être incité à devenir vendeur. L’institution, dans ce nouveau contexte, pourrait être tentée de brader les crédits de cours ou les diplômes. En fait, pour les vendeurs-enseignants, cela se traduit par une incitation, voire une pression à ne donner que des travaux faciles à réaliser, à supprimer les mauvaises notes, à ne pas prendre en compte les travaux échoués, à surnoter les prestations des étudiants, à ne pas donner trop de matières ou de contraintes de travail, en bref à plaire aux étudiants. La tentation peut être grande de céder à cette pseudo-facilité, y résister est équivalent à nager à contre-courant. Évaluer la qualité effective des prestations des étudiants revient parfois à pratiquer un sport extrême par la prise de risque que cela suppose.

Ne pas résister à l’uniformisation des savoirs « faciles » et au nivellement par le bas, conduit à transformer des cours en produits attractifs dont le marketing s’appuierait sur la minimisation du rapport effort de l’étudiant/ obtention de crédits par ce dernier. Le nouveau contrat pédagogique implicite consisterait à attribuer de bonnes notes à tous les acteurs sachant que la note des professeurs, dépend de la note des étudiants.

Contribuer au développement d’un écosystème numérique de qualité et de confiance

L’incompétence, la négligence, des défaillances dans la conception et la mise en œuvre des infrastructures numériques, dans l’analyse des risques, des défauts de sécurité informatique, des erreurs humaines, des erreurs de gestion, d’utilisation des systèmes d’information, engendrent des coûts directs et indirects pouvant conduire à la perte de données, de propriété intellectuelle, de compétitivité et de pérennité des organisations mais aussi à la perte de vie humaine.

Accorder, un titre en système d’information, en informatique, en intelligence artificielle ou en sécurité du numérique, par exemples, c’est accorder un label de qualité garantie par une institution académique, afin que les détenteurs de ces titres contribuent au développement de l’écosystème numérique en toute innocuité pour la société, car désormais nos vies dépendent du numérique.

Accorder le droit de travailler en informatique et en particulier en cybersécurité, c’est accorder le « droit de tuer », c’est pourquoi il est de la responsabilité des enseignants et des institutions de reconnaitre à leur juste valeur la réelle qualité des prestations des étudiants selon des critères rigoureux, objectifs et rationnels. Cela est non seulement une obligation, mais un devoir envers les employeurs, la société, et les générations futures.