Le mythe de la surveillance de masse
La surveillance de masse d’internet, en matière
d’antiterrorisme, ça ne marche pas. C’est aussi simple que ça.
Au-delà de la
répulsion légitime que nous inspire l’idée que notre gouvernement puisse
surveiller toutes nos activités sur internet, au-delà des problèmes de droit et
de philosophie politique que de telles pratiques posent, l’argument selon
lequel ce type de techniques permettrait d’identifier plus efficacement des
terroristes potentiels que les bonnes vieilles méthodes de terrain est tout
simplement faux.
Ça ne fonctionne pas
et ça ne fonctionne pas pour au moins deux raisons parfaitement identifiables.
D’abord, il y a le
problème des données. Lorsque Google construit votre profil à partir des
informations dont il dispose, vous ne faites rien, ou très peu, pour lui cacher
vos centres d’intérêts. Mais dans le cas d’un terroriste qui, par hypothèse,
préparerait un attentat sur internet, c’est exactement le contraire : il va
tout faire pour être aussi discret que possible et ce, d’autant plus qu’il sait
pertinemment que la NSA est dans le périmètre. Concrètement, ça signifie que
notre hypothétique terroriste est caché derrière un VPN, qu’il ne surfe qu’en
utilisant TOR et que toutes ses communications sensibles passent par des
systèmes cryptés comme Cryptocat ou Surespot. C’est une évidence, les seules «
données de connexion » que votre système de surveillance captera seront celles
d’internautes qui n’ont aucune raison particulière de se cacher.
Ensuite, il y a le
problème de traitement des données, les fameux algorithmes. Lorsque Google
établit votre profil pour mieux sélectionner les publicités qu’il vous mettra
sous le nez, il peut se contenter d’informations partielles (Google se fiche
éperdument de qui vous êtes concrètement) et surtout, il peut se permettre de
faire des erreurs. En matière d’antiterrorisme, c’est très différent. Pour bien
comprendre, chiffrons un peu. Supposez que sur une population de 37 millions
d’individus, on estime que 3 000 sont des terroristes potentiels (0,008%). Un
système de détection fiable à 99% (ce qui serait miraculeux), signifie qu’il va
identifier 2 970 de ces terroristes et en laisser filer 30 mais cela signifie
aussi qu’il va accuser à tort 369 970 innocents. Pour éliminer ces faux
positifs qui représentent, mine de rien, plus de 99% des alertes de votre
système, il va falloir diligenter pas moins de 372 940 enquêtes approfondies ;
autant vous dire que nous sommes très loin de pouvoir nous le permettre.
Ça ne fonctionne pas.
Même avec des moyens considérables et des pouvoirs très étendus, le Big Data
appliqué au terrorisme ou à la criminalité fait d’excellents scénarios de
fiction mais dans la réalité, cela ne donne rien du tout. Typiquement, le
fameux programme PRISM dont l’existence nous a été révélé en 2013 par Edward
Snowden, et qui coûtait à lui seul 20 millions de dollars par an est, c’est
désormais acquis, un échec total : sur 227 condamnations liées au terrorisme
entre 2001 et 2013, la New America Foundation en
a trouvé une seule qui puisse être portée au crédit des programmes de
surveillance de la NSA1.
Tous les autres dossiers sont essentiellement le fruit de méthodes
d’investigation classiques, le bon vieux travail de terrain.
Seulement voilà, le
Big Data, les algorithmes et les métadonnées, ça fait rêver et ça fait en
particulier rêver ceux qui, parmi nos décideurs, n’ont pas la moindre notion de
ce que sont ces étranges choses auxquelles ils prêtent des vertus presque
magiques. Écoutez notre ministre de la Défense nous parler des fameuses boîtes
noires prévues à l’article L.851-4 du projet de loi sur le renseignement et
vous aurez comme moi le sentiment qu’il récite de mémoire un discours auquel il
ne comprend absolument rien. Monsieur Le Drian a sans doute bien des
compétences mais je vous fiche mon billet qu’il n’a qu’une très vague idée de
ce qu’est un algorithme et qu’il ne sait absolument rien du type de données
qu’on peut trouver sur les serveurs d’un fournisseur d’accès à internet.
C’est sans doute la
meilleure façon d’interpréter l’épais mystère qui entoure ce système :
eux-mêmes n’en savent rien. Vous riez à gorge déployée quand Monsieur Urvoas,
rapporteur du projet de loi, propose d’obliger les « fournisseurs de services
cryptographiques » (entendez les VPN et les systèmes de messagerie cryptée) à
livrer leurs clés de chiffrement aux services de renseignement mais lui, de
toute évidence, il y croit. C’est un problème générationnel, un problème de
culture : ces gens ne comprennent rien à internet, perçoivent cette chose comme
une menace d’autant plus terrifiante que, justement, ils ne la connaissent pas
et sont prêts à acheter n’importe quelle potion magique au premier charlatan
venu pourvu qu’ils croient qu’elle tienne la bête infâme à distance.
On en est là, et
pendant ce temps, les terroristes, les vrais, doivent hurler de rire en se
racontant des histoires de français sur Surespot.
Photo Internet Surveillance – Credits : Mike Licht,
notionscapital.com (CC BY 2.0)
Source contrepoints.org
Aucun commentaire:
Enregistrer un commentaire