Billets-Le mythe de la surveillance de masse

Le mythe de la surveillance de masse

La surveillance de masse d’internet, en matière d’antiterrorisme, ça ne marche pas. C’est aussi simple que ça.

Au-delà de la répulsion légitime que nous inspire l’idée que notre gouvernement puisse surveiller toutes nos activités sur internet, au-delà des problèmes de droit et de philosophie politique que de telles pratiques posent, l’argument selon lequel ce type de techniques permettrait d’identifier plus efficacement des terroristes potentiels que les bonnes vieilles méthodes de terrain est tout simplement faux.

Ça ne fonctionne pas et ça ne fonctionne pas pour au moins deux raisons parfaitement identifiables.

D’abord, il y a le problème des données. Lorsque Google construit votre profil à partir des informations dont il dispose, vous ne faites rien, ou très peu, pour lui cacher vos centres d’intérêts. Mais dans le cas d’un terroriste qui, par hypothèse, préparerait un attentat sur internet, c’est exactement le contraire : il va tout faire pour être aussi discret que possible et ce, d’autant plus qu’il sait pertinemment que la NSA est dans le périmètre. Concrètement, ça signifie que notre hypothétique terroriste est caché derrière un VPN, qu’il ne surfe qu’en utilisant TOR et que toutes ses communications sensibles passent par des systèmes cryptés comme Cryptocat ou Surespot. C’est une évidence, les seules « données de connexion » que votre système de surveillance captera seront celles d’internautes qui n’ont aucune raison particulière de se cacher.

Ensuite, il y a le problème de traitement des données, les fameux algorithmes. Lorsque Google établit votre profil pour mieux sélectionner les publicités qu’il vous mettra sous le nez, il peut se contenter d’informations partielles (Google se fiche éperdument de qui vous êtes concrètement) et surtout, il peut se permettre de faire des erreurs. En matière d’antiterrorisme, c’est très différent. Pour bien comprendre, chiffrons un peu. Supposez que sur une population de 37 millions d’individus, on estime que 3 000 sont des terroristes potentiels (0,008%). Un système de détection fiable à 99% (ce qui serait miraculeux), signifie qu’il va identifier 2 970 de ces terroristes et en laisser filer 30 mais cela signifie aussi qu’il va accuser à tort 369 970 innocents. Pour éliminer ces faux positifs qui représentent, mine de rien, plus de 99% des alertes de votre système, il va falloir diligenter pas moins de 372 940 enquêtes approfondies ; autant vous dire que nous sommes très loin de pouvoir nous le permettre.

Ça ne fonctionne pas. Même avec des moyens considérables et des pouvoirs très étendus, le Big Data appliqué au terrorisme ou à la criminalité fait d’excellents scénarios de fiction mais dans la réalité, cela ne donne rien du tout. Typiquement, le fameux programme PRISM dont l’existence nous a été révélé en 2013 par Edward Snowden, et qui coûtait à lui seul 20 millions de dollars par an est, c’est désormais acquis, un échec total : sur 227 condamnations liées au terrorisme entre 2001 et 2013, la New America Foundation en a trouvé une seule qui puisse être portée au crédit des programmes de surveillance de la NSA1. Tous les autres dossiers sont essentiellement le fruit de méthodes d’investigation classiques, le bon vieux travail de terrain.

Seulement voilà, le Big Data, les algorithmes et les métadonnées, ça fait rêver et ça fait en particulier rêver ceux qui, parmi nos décideurs, n’ont pas la moindre notion de ce que sont ces étranges choses auxquelles ils prêtent des vertus presque magiques. Écoutez notre ministre de la Défense nous parler des fameuses boîtes noires prévues à l’article L.851-4 du projet de loi sur le renseignement et vous aurez comme moi le sentiment qu’il récite de mémoire un discours auquel il ne comprend absolument rien. Monsieur Le Drian a sans doute bien des compétences mais je vous fiche mon billet qu’il n’a qu’une très vague idée de ce qu’est un algorithme et qu’il ne sait absolument rien du type de données qu’on peut trouver sur les serveurs d’un fournisseur d’accès à internet.

C’est sans doute la meilleure façon d’interpréter l’épais mystère qui entoure ce système : eux-mêmes n’en savent rien. Vous riez à gorge déployée quand Monsieur Urvoas, rapporteur du projet de loi, propose d’obliger les « fournisseurs de services cryptographiques » (entendez les VPN et les systèmes de messagerie cryptée) à livrer leurs clés de chiffrement aux services de renseignement mais lui, de toute évidence, il y croit. C’est un problème générationnel, un problème de culture : ces gens ne comprennent rien à internet, perçoivent cette chose comme une menace d’autant plus terrifiante que, justement, ils ne la connaissent pas et sont prêts à acheter n’importe quelle potion magique au premier charlatan venu pourvu qu’ils croient qu’elle tienne la bête infâme à distance.

On en est là, et pendant ce temps, les terroristes, les vrais, doivent hurler de rire en se racontant des histoires de français sur Surespot.

Photo Internet Surveillance – Credits : Mike Licht, notionscapital.com (CC BY 2.0)

Source contrepoints.org