Introduction
Dans le premier tome, nous avons expliqué que l’utilisation d’ordinateurs laisse des traces de nos activités et de nos données. La plongée dans les mystères de ces machines, pourtant familières, s’était déjà avérée un brin complexe. Qu’en sera-t-il maintenant qu’on se propose de se connecter à Internet ? Qu’est-ce que ça implique de connecter notre ordinateur à d’autres ordinateurs, sur lesquels on a peu ou pas de prise du tout ? Un ordinateur connecté est avant tout un ordinateur ; aussi, la lecture du premier tome est essentielle pour appréhender ce tome 2 à propos de sécurité en ligne.
⁂
Commençons par le début. Internet est un réseau. Ou plutôt, un ensemble de réseaux connectés entre eux qui, à partir d’une obscure application à visée militaire, s’est étendu au fil de dizaines d’années au monde entier. Réseau qui a vu se multiplier les applications, les usagers et les usagères, les technologies et les techniques de contrôle.
Beaucoup ont pu disserter à l’infini sur le « nouvel âge » qui s’ouvrait, les supposées possibilités d’horizontalité et de transparence dans la diffusion de l’information et des ressources, ou dans l’organisation collective, auxquelles a pu ouvrir cette nouvelle technologie — y compris dans l’appui qu’il pouvait offrir pour les luttes politiques. Cependant, comme il semble évident que les pouvoirs n’aiment pas ce qui peut leur échapper, même partiellement, il s’est développé, en même temps que l’expansion des usages, une expansion des techniques de contrôle, de surveillance et de répression dont les conséquences se font de plus en plus sentir.
Au cours de l’année 2011, pour la première fois, des gouvernements ont organisé la déconnexion de la quasi-totalité de leur population vis-à-vis du réseau mondial. Les dirigeants d’Égypte et d’Iran, puisque c’est d’eux qu’il s’agit, ont estimé que pour mieux contenir les révoltes qui prenaient place sur leurs sols, ils avaient tout intérêt à limiter au maximum les possibilités de communication par le réseau — ce qui ne les a pas empêchés, dans le même mouvement, de chercher à organiser la surveillance et le pistage sur Internet. Le gouvernement iranien fut ainsi capable de mettre en place un système d’analyse de trafic demandant des ressources importantes pour surveiller les personnes révoltées, connues ou non, établir une cartographie de leurs relations pour les confondre et condamner les révoltées qui utilisaient le réseau pour s’organiser.
Autre exemple, depuis la mise en place d’une version chinoise de Google191 en 2006, l’entreprise accepte avec plus ou moins de docilité la politique du gouvernement chinois de filtrage des résultats de recherche.
Des méthodes similaires ont aussi cours dans des pays dits démocratiques. Ainsi, à la fin de l’été 2011, après plusieurs journées d’émeutes à Londres, deux jeunes anglais ont été condamnés192 à 4 ans de prison pour avoir appelé sur Facebook à des rassemblements dans leurs quartiers — et ce, alors même que leurs « appels » n’ont pas été suivis.
De même, les révélations d’Edward Snowden193 sur l’état de la surveillance électronique mise en place par la NSA194 à l’échelle mondiale ont rendu crédibles les hypothèses parmi les plus pessimistes.
À partir de là, il apparaît indispensable de prendre conscience que l’utilisation d’Internet, tout comme celle de l’informatique en général, est tout sauf anodine. Elle nous expose à la surveillance, et à la répression qui peut lui succéder : c’est l’objet principal de ce second tome que de permettre à tout le monde de comprendre quels sont les risques et les limites associés à l’utilisation d’Internet. Mais il s’agit aussi de se donner les moyens de faire des choix éclairés quant à nos usages. Des choix qui peuvent permettre de compliquer la tâche des surveillantes, de contourner des dispositifs de censure, voire de mettre en place des outils, des infrastructures, de manière autonome. Une première amorce pour reprendre le contrôle de technologies qui semblent parfois vouées à nous échapper — ambition qui dépasse cependant largement les objectif de ce guide.
⁂
Octobre 2010, Paris
Ce matin, Ana arrive en avance au travail. Elle est employée à La Reboute, une entreprise de vente de vêtements par correspondance, située au dernier étage d’un immeuble rue Jaurès : « Pfiou, 18 étages, vivement que cet ascenseur soit réparé ! » Elle s’installe à son bureau, se penche et appuie sur le bouton d’allumage de l’ordinateur.
Sur l’écran, une petite fenêtre vient d’apparaître. « Connexion réseau établie ». Avant de se mettre au boulot, elle veut regarder ses emails. Ana clique sur l’icône du navigateur web, provoquant l’ouverture d’une fenêtre qui reste vierge quelques millisecondes, avant de faire apparaître la page d’accueil de Google. Tout en appréciant mentalement la page d’accueil « spéciale Halloween » de Google, Ana déplace le pointeur de sa souris et clique sur le lien Connexion. Une fois la page chargée, elle y rentre son nom d’utilisatrice et son mot de passe, puis clique sur Gmail. Quelque part dans une obscure salle bondée d’ordinateurs, un disque dur grésille. Quelques secondes après avoir ouvert son navigateur web, Ana commence à parcourir sa boîte mail. Alors qu’elle consulte un email reçu du site leboncoin.fr, son regard est attiré par le lien qui vient de s’afficher dans la colonne de droite : « Tiens, quelqu’un vend le même modèle d’appareil photo que celui que je cherche, juste au coin de la rue… je devrais peut-être y faire un saut. »
- « Ah ben t’es là ? »
La voix dans le dos d’Ana la fait légèrement sursauter. C’est Bea, une collègue.
- « Ben oui, je me suis levée un peu plus tôt que d’habitude, alors j’ai pris le RER de 7h27 au lieu de 7h43. Je regarde vite fait mes emails avant de m’y mettre. J’attends la confirmation d’une réservation de billet pour les Baléares cet hiver.
- Vacances au soleil, j’vois le genre… Et t’en as pour longtemps ? »
Bea a l’air pressée.
- « Euh… non non, j’avais presque fini. Pourquoi ?
- Ben, si ça te dérange pas, je t’emprunterais bien ton poste deux minutes… Le mien est planté depuis hier, j’attends que la nouvelle responsable informatique arrive pour régler ça ».
Aussitôt assise, Bea clique nerveusement sur la barre d’adresse du navigateur web, et rentre directement l’adresse du blog sur lequel sont régulièrement publiées des informations sur les personnages politiques de son arrondissement. Elle n’aime pas passer par Google pour ses recherches, alors elle l’a apprise par cœur. Sait-on jamais, ça pourrait éviter les mouchards. Ouvrant un deuxième onglet, elle entre également l’adresse de no-log, sa boîte mail, et s’y connecte. Nickel, il est là ! Le document concernant les comptes bancaires en Suisse de la mairesse de son arrondissement, Mme Alavoine ! Bea télécharge aussitôt le document et l’ouvre dans l’éditeur de texte. Elle le parcourt rapidement, et supprime quelques informations qu’il vaut mieux ne pas laisser. Après avoir entré son identifiant et son mot de passe pour se connecter au blog, Bea copie-colle le contenu du document depuis sa boîte mail, et clique sur Envoyer. « Espérons que cela inspire d’autres personnes ! »
Satisfaite d’avoir pu enfin envoyer son document, Bea se relève aussitôt et rend sa place à Ana.
- « On va se prendre un café ? »
Novembre 2010. Siège social de La Reboute
En arrivant au bureau, Sarah Ahmed, PDG de La Reboute, commence par éplucher le courrier reçu en buvant son café. Une convocation au commissariat. Pour une fois, il y a autre chose que des factures ! Sans doute une erreur ou une enquête de voisinage ?
Sarah ne pense pas avoir quoi que ce soit à se reprocher, alors inutile de s’inquiéter. Elle se rend donc au commissariat le jour de sa convocation.
- « Mme Ahmed ? Bonjour, nous voudrions vous poser quelques questions concernant une plainte pour diffamation… »
Plus tard le même jour. Bureau d’Ana
- « Allô, ressources humaines de La Reboute, Ana j’écoute.
- Bonjour, Mme Ahmed à l’appareil. Écoutez, je viens de passer deux heures au poste de police. J’ai été interrogée quant à des documents bancaires publiés sur Internet et concernant une certaine Mme Alavoine, mairesse du 10e, dont j’ignorais l’existence jusqu’alors. En plus de ça, lors de mon audition, elles m’ont présenté un papier les autorisant à faire une perquisition aux bureaux rue Jaurès.
- Quelle histoire ! Mais quel rapport avec nos bureaux ?
- Eh bien c’est également pour ça que je vous appelle. Elles affirment qu’elles ont toutes les preuves comme quoi ces documents ont été publiés depuis vos bureaux. Je leur ai dit que ce n’était pas moi, que je ne voyais pas de quoi elles parlaient. Elles ont fait des recherches, contacté je ne sais qui. Mais elles disent qu’une enquête a été ouverte, et qu’elle ira jusqu’au bout. Qu’elles retrouveront les responsables. Autant vous dire que je ne suis pas franchement rassurée. J’espère bien que vous n’y êtes pour rien et qu’il s’agit d’une regrettable erreur.
- Honnêtement, j’en suis la première étonnée, je ne vois absolument pas ce que j’aurais à voir là-dedans, ni ce dont il s’agit.
- J’espère bien… Enfin bref, c’est à la police de faire son travail désormais. Je vous rappellerai si j’ai des nouvelles de leur part.
- D’accord, je ferai de même si elles appellent ici.
- Au revoir. »
Ana repose le combiné, hébétée. Se gratte la tête. Mais qu’est-ce donc que cette histoire de documents bancaires ? Qui aurait pu faire ça ?
Commissariat central de Paris, quelques semaines plus tard
- « Commissaire Marta ?
- Elle-même.
- Officière Neus à l’appareil. Je vous appelle à propos de l’affaire Alavoine. On a eu un email des collègues de la technique et scientifique qui travaillent sur les ordinateurs saisis. Et on a du neuf.
- Allez-y, Neus. Je vous écoute.
- Apparemment, les collègues ont fini par retrouver le document sur le poste de travail d’une certaine Ana. Il a été téléchargé depuis le navigateur web, et modifié. Il y aurait eu une connexion à une boîte mail chez Gmail, ainsi qu’une autre adresse mail, chez no-log cette fois-ci, peu de temps avant la publication des documents incriminés.
- Ah, très bien. On sait qui convoquer pour un interrogatoire alors ! Mais comment avoir des preuves ?
- On va demander à Gmail ainsi qu’à no-log les informations sur ces adresses email. À partir de là, on aura sans doute des éléments, ou au moins de quoi poser les bonnes questions !
- Bien, Neus. Très bien. De mon côté, je contacte la proc’. Et tenez-moi au courant dès qu’il y a du neuf.
- Bien, commissaire. Bonne journée. »
Voilà pour la mise en contexte. Cette petite histoire fictive pourra en rappeler d’autres, bien plus réelles. L’idée était simplement de montrer combien il est facile et rapide de s’exposer lors de la moindre connexion à Internet, et cela sans qu’aucune forme de surveillance ciblée ne soit nécessaire.
Un des objectifs de ce second tome est d’apporter des éclaircissements sur les traces numériques qui permettraient de remonter jusqu’à Ana et Bea. Puis de baliser quelques pistes pour se protéger des attaques — ciblées ou non.
France Soir, 2011, Émeutes à Londres : Deux jeunes condamnés à quatre ans de prison.↩︎
National Security Agency, agence dépendant du département de la Défense des États-Unis, chargée de la collecte et de l’analyse des données étrangères et de la protection des données états-uniennes.↩︎