|
|
|
Entretien avec Lawrence Lessig
professeur de droit à Harvard Les lois invisibles du réseau Tant qu'elles restent masquées, les règles administrant le Net sont un danger pour le citoyen. Recueilli par FLORENT LATRIVE Le vendredi 2 juin 2000 |
|
Des passeports électroniques Comment bloquer de façon sélective l'accès à des sites web? Interdire par exemple l'accès aux sites pornographiques aux enfants? Ou, comme l'a demandé le tribunal de Paris à Yahoo!, le 22 mai, empêcher les internautes français d'accéder aux enchères d'objets nazis, autorisées aux Etats-Unis? Pour Philippe Guillanton, directeur général de Yahoo! France, c'est impossible: «Sur quelque serveur que ce soit, il n'existe aucun moyen technique permettant de filtrer à 100 % les accès d'internautes d'une nationalité donnée» (voir article du 24/05). Aujourd'hui, c'est juste. Mais avec le développement des certificats numériques, véritables passeports électroniques, l'exercice sera possible. En France, Certinomis, filiale de la Poste et de Sagem, propose depuis quelques jours de tels «passeports» aux entreprises et aux particuliers. Le principe? L'internaute doit d'abord se présenter au guichet d'une agence de la Poste, avec papiers d'identité et quittances. En échange (1), et pour 150 francs par an, Certinomis lui délivre via l'Internet ledit passeport, stocké sur son disque dur ou sur une carte à puce, et en théorie rendu infalsifiable grâce à l'usage de la cryptographie. Lorsque l'internaute veut accéder à un site, celui-ci peut vérifier le certificat automatiquement et refuser ou non l'accès, en fonction de la nationalité ou de l'âge du visiteur. Et, bien sûr, bloquer l'accès en cas d'absence du certificat. Aujourd'hui, cette technologie intéresse surtout les entreprises, désireuses de sécuriser leurs échanges avec d'autres entreprises. «Le développement des certificats dans le grand public sera très long, souligne Inès Sen, présidente de Certinomis. Nos premiers clients sont envoyés par des prescripteurs.» C'est-à-dire des sites web qui obligeraient leurs visiteurs à se munir d'un certificat. Premiers intéressés: les sites de Bourse en ligne, soucieux de vérifier l'identité des boursicoteurs. Ou ceux d'enchères, qui veulent éviter les offres bidons. F.L. (1) La procédure légale pour obtenir un certificat sera définie précisément par les décrets d'application de la loi sur la signature électronique, adoptée le 29 février.
|
Vous dites que le code informatique, son architecture, est l'une des lois du cyberespace... Nous avons toujours utilisé l'architecture comme outil de régulation. Au XIXe, Napoléon III avait compris que les révolutionnaires français avaient bénéficié de l'étroitesse des rues de Paris, où l'on pouvait facilement ériger des barricades. Il a demandé à Haussmann de construire de larges boulevards pour rendre le contrôle de la ville impossible aux insurgés. Cet exemple montre clairement la relation entre la façon d'organiser l'espace et des objectifs politiques. Les gens parlent souvent des monuments construits par Speer (architecte du régime hitlérien, ndlr) en Allemagne, mais c'est symbolique. Je m'intéresse plus à la facon dont l'architecture affecte physiquement le comportement des gens. Dans le cyberespace, l'architecture c'est le code informatique: les protocoles de communication et les logiciels qui font fonctionner l'ensemble du réseau. Prenons l'exemple d'AOL. Les abonnés peuvent accéder à l'Internet, mais passent 90 % de leur temps à l'intérieur du système d'AOL, qui est une sorte de club fermé. L'architecture d'AOL implique un contrôle social fort de ses abonnés, inclus dans le code informatique. Ce n'est pas un accident si l'on n'y trouve pas d'espace public dans lequel les internautes pourraient rencontrer des centaines de personnes, rallier des gens à une révolution ou critiquer AOL. Au lieu de ça, il y a juste des «chat rooms» où un maximum de 23 personnes peuvent discuter ensemble. C'est l'architecture d'AOL. Son patron, Steve Case, peut parler à toute la communauté, mais l'inverse est impossible. Par ailleurs, AOL est en mesure de surveiller tout ce que les gens font à l'intérieur du système. Ils promettent de respecter votre vie privée, mais il n'y a aucun doute qu'ils utilisent l'information recueillie pour affiner la façon dont ils vous proposent des produits. La plupart des gens ne s'en rendent pas compte. L'Internet est-il un outil de contrôle ultime, comme le disent les défenseurs des libertés publiques? Ou une anarchie high-tech où il est impossible de faire respecter les lois nationales, comme l'affirment les services de police? S'il y a un endroit où la nature n'a aucun rôle, c'est bien le cyberespace. La police réagit en fonction de la façon dont l'Internet a été conçu à l'origine. Les gens inquiets du respect de la vie privée réagissent en fonction de l'évolution du réseau. La plupart des règles qui régissent l'infrastructure de base de l'Internet ont été établis par l'IETF (Internet Engineering Task Force), un organisme très libéral au sens classique du terme. Ses membres ont conçu une architecture qui laissait les gens faire exactement ce qu'ils voulaient. Le réseau devait être neutre. Puis, sous l'impulsion du commerce et des entreprises, des standards et des protocoles ont été ajoutés afin de faciliter l'identification et le traçage des utilisateurs. Des technologies comme les «cookies», par exemple, qui suivent le déplacement des internautes, scrutent quelles pages ils regardent et établissent des profils. Mais aussi des outils qui facilitent l'identification des gens, les «certificats numériques», ces cartes d'identité qui permettent de savoir qui vous êtes et d'où vous venez (voir encadré). Ces technologies sont déjà très développées et se développeront encore car elles rendent le commerce moins cher, plus facile et plus efficace. Mais elles induisent aussi des menaces sur la vie privée et le contrôle des comportements. L'Internet est un espace international: les pays peinent à faire respecter leur souveraineté, mais commencent à tenter de le faire, comme on l'a vu avec la condamnation de Yahoo! par un tribunal français parce que le site américain de l'entreprise proposait des objets nazis aux enchères... N'est-ce pas illusoire? Non, car chaque Etat a une série de règles qu'il veut imposer, différentes de celles du voisin. Le Minnesota interdit les paris à ses habitants. La France les autorise, mais interdit l'incitation à la haine raciale. Les Etats peuvent s'engager dans une sorte de deal avec les autres gouvernements et dire: «Nous imposons vos lois à vos citoyens lorsqu'ils sont sur notre territoire, et vous imposez nos lois à nos citoyens lorsqu'ils sont sur votre territoire.» Les serveurs informatiques dans chaque Etat deviendront la cible de toute régulation, ils devont respecter les règles d'autres pays. Lorsqu'un citoyen français se connectera sur un site américain, il pourra y avoir ainsi une série de règles édictant ce qu'il aura le droit d'y faire. Cela évoque la conception de la souveraineté au Moyen Age, que vous transportiez avec vous en vous déplaçant. Les gouvernements peuvent ainsi reprendre le contrôle de leurs citoyens dans le cyberespace. Et ce n'est pas difficile d'imaginer comment cela sera fait en pratique. Les gens auront des certificats numériques, sur leur disque dur, qui prouveront leur citoyenneté. Quand vous vous connecterez à un service sur le Web, celui-ci regardera le certificat. La plupart du temps, cela n'aura aucune influence. Mais si vous êtes allemand et que vous tentez d'acheter Mein Kampf ou si vous êtes un citoyen du Minnesota et que vous tentez de jouer sur un casino on line, l'accès vous sera refusé. Le site américain de Yahoo! pourrait ainsi interdire aux Français l'accès à ses enchères sur des produits nazis. La loi peut-elle avoir une influence sur l'architecture et le code informatique? Bien sûr, et c'est déjà le cas. La loi américaine sur le contrôle de la propriété intellectuelle votée en 1998 interdit de faire sauter tout dispositif technologique installé par un éditeur sur une création numérique (musique, logiciel, texte...) pour en limiter la copie et le piratage. Et ce quel que soit le but poursuivi, même si l'objectif est de disposer d'une copie privée, par exemple. On a dans ce cas une utilisation de la loi pour aider le code informatique à protéger la propriété intellectuelle. Mais quand vous protégez le copyright ou les droits d'auteur par un dispositif technologique, et que vous rendez illégal de «cracker» ce code, la protection obtenue est plus forte que celle fournie par un texte de loi seul. Les gouvernements soucieux de réguler le Net doivent-ils donc légiférer sur le code informatique lui-même? Les gouvernements vont de plus en plus imposer leurs propres exigences, au nom de la sécurité nationale, de l'ordre public, de la protection de l'enfance, de la propriété intellectuelle ou de la lutte contre les pirates informatiques. Ces arguments seront utilisés pour imposer des modifications de l'architecture du cyberespace. En novembre de l'année dernière, le FBI a ainsi demandé à l'IETF de modifier les protocoles du Net pour faciliter les écoutes. L'IETF a refusé. Mais je pense que ce n'est qu'une première étape. Le FBI va maintenant aller au Congrès et dire: «Nous avons fait appel à leur bonne volonté, mais ils ne veulent pas nous aider à lutter contre les terroristes. Vous devez légiférer pour les obliger à le faire.» Quels sont les risques courus par une société dans laquelle le code informatique est si important? Si la régulation est enfouie dans le code informatique, elle risque d'être beaucoup moins transparente pour les citoyens. Mon exemple favori, dans le monde «réel», est celui de l'urbaniste Robert Moses: il a construit des ponts étroits pour empêcher les bus d'accéder à Long Island. Ainsi, les utilisateurs de transports collectifs, donc les Noirs, ne pouvaient accéder aux plages. C'est un parfait exemple d'utilisation invisible de l'architecture: les gens ne réalisent pas ce que vous faites, mais l'objectif de régulation fixé est atteint. Ce phénomène se produit tout le temps dans le cyberespace, et c'est dangereux. Dans le monde physique, la plupart des contraintes architecturales sont visibles, dans le cyberespace, c'est très simple d'imposer des contraintes invisibles et c'est un danger pour nos sociétés. Si les gens ne savent pas que la régulation existe, on se trouve face à une loi invisible. Où se trouve la démocratie? Je ne suis pas opposé à toute régulation, mais elles doivent être publiques, pas masquées. Qui décide aujourd'hui de l'architecture de l'Internet? Avec l'explosion du nombre de connexions à l'Internet, nous sommes passés d'un modèle principalement dominé par la recherche universitaire à un modèle plus complexe. L'IETF s'occupe toujours de l'architecture de base du réseau, mais d'autres organismes sont apparus, avec d'autres objectifs. Surtout, les entreprises privées, comme Microsoft ou Sun, développent leurs propres normes. Toutes ces forces interagissent pour produire l'architecture de l'Internet. Les choix émanent donc uniquement des entreprises et des gens qui bâtissent le cyberespace. Une plus grande publicité sur le code est nécessaire. La plupart des gens ne comprennent pas ce que font ces organismes et ces entreprises. Cet état de fait n'est pas satisfaisant si nous voulons préserver les valeurs que nous estimons démocratiquement importantes.
(1) Code and Other Laws of Cyberespace, Lawrence Lessig, Basic
Books, 1999. | ||||
'Internet chahute les
législations nationales, menace la souveraineté des Etats, suscite la
mobilisation des polices du monde entier pour combattre les nouvelles
formes de cybercriminalité. Dans le même temps, les défenseurs des
libertés publiques s'alarment du fichage permis par les réseaux et des
menaces qui pèsent sur la liberté d'expression. Le Net est-il une forme
d'anarchie high-tech ou l'émergence de Big Brother? Ni l'un ni l'autre.
«L'Internet n'est rien par nature, c'est une construction artificielle
et nous pouvons choisir la façon dont il est bâti», plaide Lawrence
Lessig, 38 ans. Ce professeur de droit américain, enseignant à
l'université de Harvard et expert auprès du gouvernement américain dans
son procès contre Microsoft, est l'auteur de Code informatique et
autres lois du cyberespace, un livre publié l'année dernière aux
Etats-Unis (1). Entretien réalisé lors de son passage à la conférence
internationale WWW9, qui s'est déroulée à Amsterdam en mai.