Expert de renommée mondiale, l’Américain Bruce Schneier se consacre depuis plus de deux décennies au cryptage des données. Ce commentateur des développements techniques et politiques de la sécurité se dit très préoccupé par la surveillance étatique et commerciale d’internet. Et s’inquiète d’une société qui, à force de tout archiver, n’oublie plus rien.
Avez-vous été surpris par l’ampleur de l’espionnage de la NSA?
Oui. Aucun élément en particulier ne m’a surpris, mais l’ampleur et la portée des capacités de la NSA sont incroyables. Ce système de surveillance est très solide sur les plans techniques, politiques et juridiques.
Le programme «Upstream» de la NSA écoute directement les câbles portant le trafic internet. Beaucoup de ces données étant cryptées, est-ce bien utile?
Elles devraient en effet être chiffrées avec le protocole SSL. Malheureusement, une grande partie ne l’est pas.
On peut montrer mathématiquement qu’un bon cryptage tel que SSL est inviolable. Comment la NSA peut-elle décoder des données chiffrées?
Ils trichent. Ils profitent de mises en œuvre inadéquates des systèmes de cryptage, de mauvais générateurs de nombres aléatoires, et de clés de chiffrement faibles — ou alors ils les volent.
La NSA a-t-elle réussi à affaiblir les normes cryptographiques?
Les normes de cryptage privées — comme celles des téléphones mobiles — sont généralement assez faibles. Il n’y a d’ailleurs pas que la NSA: de nombreux pays espionnent les téléphones mobiles et ne veulent pas d’un cryptage fort. Les normes publiques, comme celles du National Institute of Standards and Technology (NIST), sont plus strictes. Je ne pense pas qu’il y ait eu d’affaiblissement des normes de cryptage de NIST, à part un cas portant sur un certain générateur de nombres aléatoires.
La NSA a accès à des serveurs ainsi qu’aux communications internes des plus grandes entreprises internet. Pourquoi ces données ne sont-elles pas cryptées?
Nul ne le sait. Je m’attends à ce que la plupart des entreprises du cloud informatique mettent en œuvre un cryptage fort dans leurs réseaux. Elles ont subi une énorme perte de confiance avec la compromission de leurs réseaux par la NSA. Elles doivent montrer qu’elles prennent au sérieux la sécurité de leurs utilisateurs.
Certaines méthodes, comme PGP, contournent le problème en permettant de crypter toute la communication entre les utilisateurs finaux.
PGP est trop difficile à utiliser pour la plupart des gens. Mais d’autres logiciels sont si discrets qu’on les utilise sans le savoir, comme le chiffrement SSL pour les sites dont l’URL commence par «https» ou celui des téléphones portables qui protège les appels entre l’appareil et l’antenne-relais. Rien ne les protège dans le réseau de téléphonie, mais cela est une autre histoire.
La cryptographie offre-t-elle une réelle protection de notre vie privée?
Le chiffrement fait partie de la solution, mais n’est pas suffisant. Il peut rendre l’espionnage de masse trop cher à effectuer, mais ne nous protège pas de la surveillance ciblée ou de situations où nous ne pouvons pas chiffrer nos données. Sur Facebook, par exemple, les données ne peuvent pas être chiffrées, car sinon nos amis ne pourraient pas les lire. Dans ces cas, nous avons besoin de protections juridiques autant que technologiques.
Les sociétés internet américaines s’inquiètent de perdre des clients européens pour des questions de confidentialité. Leur lobbying aura-t-il plus d’impact sur la protection des données que les efforts des ONG?
A l’heure actuelle, je pense que notre meilleur espoir de brider la surveillance gouvernementale vient de l’opposition des entreprises. Mais pour des changements sérieux, nous devons aussi nous attaquer à la surveillance que mènent elles-mêmes ces sociétés.
Vous dites que la surveillance est le modèle d’affaires sur internet. Pourquoi?
Il s’agit d’un accident dans l’histoire de la technologie. Aux débuts d’internet, il était difficile de faire payer de faibles montants pour des services tels que des recherches ou des articles de journaux individuels. Les entreprises ont adopté un modèle publicitaire, et l’accumulation des données a permis de mieux cibler la publicité. Bien que nous ayons aujourd’hui les moyens de faire payer de petits montants pour des services informatiques — voyez le commerce des applis pour smartphones — le marché est resté sur ce mode gratuit.
La technologie a-t-elle rendu la vie privée plus difficile à protéger?
L’informatique produit de manière naturelle des données qui peuvent compromettre la vie privée. Le stockage est devenu moins coûteux et ces informations sont collectées, corrélées et utilisées. Il est devenu très difficile de protéger notre vie privée.
Que pouvons-nous attendre des nouvelles technologies?
Elles créeront de nouvelles sources de données, comme avec Google Glass, qui enregistre des vidéos de tout et de chacun, ou encore l’internet des objets, qui capture encore davantage de données. Nous pouvons nous attendre à un renforcement considérable de la surveillance ces prochaines années.
Est-il possible de protéger notre vie privée en ligne ou faut-il en accepter la disparition?
Pour beaucoup d’entre nous, il n’est pas vraiment possible de protéger notre vie privée en ligne. La plupart des sites que nous utilisons pour stocker des informations et communiquer violent régulièrement notre confidentialité, et nous ne pouvons rien y faire — à part ne pas les utiliser. Il existe des outils technologiques pouvant protéger notre vie privée dans certains cas, mais beaucoup d’entre eux nécessitent des compétences pointues. A plus long terme, la protection de la vie privée est une question de lois et de normes sociales. Il ne faut pas croire qu’il s’agit d’une notion obsolète, mais réaliser que nous devons forcer un changement politique afin de la récupérer.
La plupart des gens ne semblent pas se soucier beaucoup de confidentialité — ils sont heureux de la sacrifier à la gratuité.
C’est un mythe très difficile à dissiper. Les gens se soucient profondément de leur vie privée. Certes, ils n’en parlent pas autant que des questions de santé et sont parfois délibérément manipulés par les sociétés d’internet, mais ils s’en soucient.
La confidentialité des gouvernements est également affaiblie par les fuites et les initiatives de transparence comme l’open data. Cela pourrait-il rétablir l’équilibre?
C’est une question importante, car les gouvernements restent beaucoup plus puissants que les individus. La confidentialité des individus augmente leur pouvoir — c’est une bonne chose. Au contraire, la confidentialité des gouvernements accentue cette différence de pouvoir entre l’Etat et les citoyens — c’est une mauvaise chose.
Est-ce que davantage de surveillance amène davantage de sécurité?
Absolument pas. Davantage de surveillance signifie simplement davantage de surveillance. Et à voir les sociétés totalitaires basées sur la haute surveillance qui jalonnent notre histoire, il ne s’agit pas d’un environnement très rassurant.
L’internet fonctionne comme une archive géante. La société n’oublie plus rien. Cela vous inquiète-t-il?
Beaucoup. De nombreuses interactions humaines se fondent sur l’oubli.
_______
Un expert écouté
Le spécialiste en sécurité informatique Bruce Schneier a contribué à l’élaboration de nombreux protocoles de cryptage et a fondé la société Counterpane Internet Security, rachetée par British Telecom en 2006. L’Américain est fellow du Berkman Center for Internet and Society à Harvard et fait partie du conseil d’administration de l’Electronic Frontier Foundation. Ses articles sur la sécurité ont paru dans «Wired», «The Atlantic» et «The Guardian». Très critique envers la Transportation Security Administration, il est passé aux points de contrôle des aéroports avec 3 dl de liquide et une fausse carte d’embarquement.
_______
Une version de cet article est parue dans le magazine Reflex (no 23).