Pourquoi vous n’achèterez plus de cocotte-minute

Ou : Les données sur des données restent des données.

Si tout le monde sait à peu près ce qu’est une donnée, le concept de métadonnée est un peu plus flou, ce qui permet de raconter beaucoup de choses (pas toujours justes) à son sujet. Une métadonnée, c’est une donnée… au sujet d’une donnée. Par exemple, quand vous utilisez votre téléphone, le contenu de la conversation représente les données, tandis que l’heure, le destinataire, l’émetteur, le modèle de téléphone, la localisation géographique… représentent les métadonnées.

Mi-2013, le lanceur d’alerte Edward Snowden transmet à des journalistes une grosse quantité de données brutes sur les méthodes de surveillance de masse (à l’échelle de la planète) utilisées par la NSA et ses équivalents (GCHQ au Royaume-Uni, DGSI en France, ASIO en Australie). Votre historique internet, vos appels téléphoniques, vos SMS, votre compte Facebook… Tout est enregistré, dupliqué, archivé, et scruté. Tout. Leur principale ligne de défense au sujet du viol d’intimité que ces opérations représentent fut de marteler que seules les métadonnées sont conservées. Pas les données, qui sont deux choses bien séparées. Ça n’est donc absolument pas une intrusion dans la vie des habitants du globe, mais une réponse proportionnée au terrorisme, sans dommages collatéraux.

2016_01_metadonnees_01nsa

Mais c’est faux. Si vous appelez votre moitié à 20h, puis un hôtel de luxe, puis une agence de call-girls, les données sont inutiles, on sait ce que vous êtes en train de faire. Si vous appelez une agence de voyage, qui appelle ensuite un aéroport et un hôtel à Honolulu, je sais où vous allez en vacances. Les métadonnées sont des données. C’est d’ailleurs tout ce que rapportent les agences de détectives : des métadonnées. Qui a vu qui, quand, où… et souvent, c’est suffisant pour confirmer ou infirmer les doutes du client.

Les métadonnées sont des données, mais des données indirectes : parfois, elles sont évidentes à interpréter, parfois, elles le sont trop. Imaginez que vous cherchiez quel est la meilleure cocotte-minute pour en offrir une à Noël, que votre mari remplace son sac à dos de randonnée, et que votre fils fasse des recherches sur les attentats de Boston, peut-être pour un devoir à l’école. Voilà qu’une force de police antiterroriste débarque chez vous en armes pour vous interroger. C’est littéralement ce qui est arrivé à la famille Catalano, habitant à New York.

2016_01_metadonnees_02cocotte

Encore plus inquiétant, les États-Unis ont admis se baser uniquement sur des métadonnées pour leurs frappes de drones. Le 20 décembre 2013 au Yémen, un cortège nuptial a été la cible d’un drone qui, en lançant quatre missiles, a abattu quinze civils. Des gens ont été tués simplement pour avoir racheté un ancien téléphone prépayé utilisé par un terroriste. Certaines victimes collatérales sont même américaines, mais pas d’inquiétude, c’est légal. Si vous souhaitez en savoir plus sur les drones, le journal The Intercept a compilé un excellent dossier à ce sujet.

Malheureusement, les métadonnées ne sont pas l’apanage de drones de combats : en France, le décret n° 2011-219 du 25 février 2011 impose aux fournisseurs d’accès à internet (FAI) de conserver qui s’est connecté, où, quand et depuis où. Les bibliothèques et écoles font de même. La durée légale de conservation de ces métadonnées est d’un an en France, mais il serait surprenant que cette durée soit appliquée par tous.

Admettons que vous ne cherchiez pas à commettre d’actes répréhensibles, que vous ne fassiez pas de recherches permettant de penser que vous vous apprêtez à en commettre, que vous ayez sécurisé votre réseau pour empêcher un pirate de l’utiliser… vous passeriez à côté du principal : il ne s’agit pas que vous n’ayez rien à vous reprocher, mais plutôt qu’on ne puisse rien vous reprocher, ce qui est bien différent. Les documents révélés par M. Snowden révèlent que la NSA opère une surveillance à trois hops : si vous connaissez quelqu’un qui connaît quelqu’un qui est surveillé, vous le serez aussi.

Et ne répondez pas que vous vous en fichez car vous n’avez rien à cacher, ce serait aussi idiot de dire que vous vous fichez de la liberté d’expression car de toutes façons, vous n’avez rien à dire.

2016_01_metadonnees_03yeswescan

Échapper à cette surveillance omniprésente n’est pas facile. Facebook permet à tous ceux qui sont prêts à payer, à extorquer, à hacker, à faire pression sur les employés d’avoir accès aux données de ses membres, mais également à celles de gens qui ne sont pas inscrits ! Chaque jour, de nouveaux sites (Ashley Madison, Apple…) se font pirater et voler leurs données, de gigantesques bases pleines d’informations, d’habitudes, de relations, de statistiques, de photos, de messages… sur vous. Un homme politique allemand a confié à un journal six mois de ses métadonnées de téléphone portable, et le résultat est intéressant : toute sa vie au grand jour. Uniquement les métadonnées, pas le contenu de ses SMS ou appels. Rien que le contexte. Au Venezuela, il faut donner ses données biométriques pour faire ses courses, ce qui permet à ceux qui possèdent ces données de savoir quand vous faites vos courses, d’estimer vos revenus, votre emploi du temps, votre religion, la taille de votre famille, vos loisirs, votre nombre d’enfants, si vous avez acheté une cocotte-minute…

L’informatique et le traitement de masse d’information changent nos vies. Allez-vous maintenant réfléchir avant de taper « cocotte-minute » dans votre moteur de recherche ? Allez-vous écrire cet article de blog racontant à quel point vous trouvez tel parti politique détestable ? Si vous êtes journaliste, allez-vous être capable de protéger vos sources ? Allez-vous vous demander si taper « cancer du sein » pourrait vous valoir un coup de fil de votre assureur, vous disant que vos cotisations ont été réévaluées à la hausse ? Allez-vous accepter d’être pisté dans vos moindres déplacements pour payer moins ?

Il semblerait que de toutes façons, vous aurez de plus en plus de mal à dire non, vu qu’on ne vous posera pas la question.

2016_01_metadonnees_04RSF

Des solutions existent, que ce soit sous forme de documentation ou d’outils pour votre téléphone Android ou Apple, pour surfer sur internet… mais ils restent des outils : ils ne sont pas magiques, et ne plus se laisser espionner demande des efforts : ne plus installer n’importe quoi sur son ordinateur, ne pas avoir de compte Facebook, ne pas cliquer sur « installer » quand Candy Crush vous demande s’il peut accéder à vos informations personnelles, votre localisation, avoir accès à internet…

Vous avez des choses à cacher, vos métadonnées sont vos données, vous n’êtes pas obligé de vous laisser surveiller et cataloguer, et vous avez le choix. Et si vous vous en  fichez toujours, faites un effort, protégez-vous tout de même, pour que mon trafic chiffré se fonde dans la masse, et que je puisse enfin m’acheter cette foutue cocotte-minute !

Pour aller plus loin :

L’auteur est contributeur à plusieurs projets de protection de la vie privée la nuit et travailleur modèle le jour. Il parle de sécurité informatique sur son blog.

Publicités

2 commentaires

Les commentaires sont fermés.