« Internet comme territoire sans frontières, c’est une vaste blague »

Rémi Noyon | Journaliste

Surveillance des Etats, collecte de données par des entreprises comme Facebook ou Google : pour l’informaticien Franck Leroy, il y a des liens consanguins entre entreprises et services américains.

 

Tout est parti de ce dialogue initié par un journaliste du Figaro :

« Qu’on m’explique. Pourquoi les opposants au projet de loi renseignement acceptent-ils que Facebook, Google ou Twitter sachent tout de leur vie ? »

Cette manière de présenter les choses pourrait paraître simpliste (après tout les opposants à la loi sur le renseignement sont souvent très critiques vis-à-vis des GAFA), mais elle est souvent revenue ces dernières semaines : pourquoi se focaliser sur la surveillance de l’Etat alors que l’actualité nous apporte chaque semaine des exemples flippants de ce que les géants du Web pourraient faire avec nos données ?

L’émergence du Big Data permet déjà de prévenir (en partie) le crime avant qu’il n’ait lieu et le développement des objets connectés pourrait, par exemple, servir à identifier les appareils que vous utilisez chez vous grâce à leur empreinte électrique...

Des personnes bien intentionnées ont essayé de lui répondre, sur le thème « Google et Facebook n’ont pas de prérogatives de puissance publique, pas le monopole de la violence légitime, nous ne risquons que la publicité ciblée ». Cette réponse paraissait un peu courte (Twitter oblige).

Deux livres du même auteur permettent d’éclairer ce débat : « Réseaux sociaux et Cie » (2013) et « Surveillance. Le risque totalitaire » (2014). Deux bouquins symétriques sur les pratiques de l’Etat (surtout les Etats-Unis) et celles des entreprises privées (surtout américaine). Sur la quatrième de couverture, « Franck Leroy », l’auteur, est présenté comme un « consultant en architecture des réseaux informatiques ».

Des Franck Leroy, il en existe à la pelle sur Internet. Il y en a beaucoup dans l’informatique. Pour éclaircir ce point, j’ai donc appelé l’éditeur. Il se trouve que le Franck Leroy qui nous intéresse écrit sous pseudonyme par crainte d’« être enquiquiné dans ses activités professionnelles ». C’est donc lui qui m’a contacté, avec un numéro masqué. Il était « à l’autre bout de l’Europe », il ne revenait que la semaine suivante.

Rendez-vous a été fixé chez son éditeur, Actes Sud. Ce dernier m’assure que l’identité de M. Leroy a été vérifiée. Je n’en saurai guère plus. C’est un monsieur plus âgé que je ne l’imaginais, sympathique, articulé. Il parle comme ses livres, qui sont très clairs pour le profane et ont le mérite de replacer les révélations de Snowden dans l’histoire longue. « C’est parce que je n’ai pas qu’un fond technique », m’explique-t-il. Il dit avoir suivi les cours de Michel Foucault, au collège de France. Cet enseignement a façonné sa vision.

Rue89 : Qu’est-ce qui vous paraît le plus dangereux, la surveillance des Etats ou la collecte de données par des entreprises commerciales comme Facebook ou Google ?

Franck Leroy : C’est un faux débat. La meilleure façon d’approcher cette question est de bien comprendre qu’il y a des liens de nature consanguine entre les entreprises américaines, puisque c’est d’elles que nous parlons, et l’appareil de surveillance et de renseignement de l’Etat fédéral étatsunien.

Ces liens ne sont pas nouveaux. Ils sont connus ou suspectés depuis plus de vingt ans, bien avant que Edward Snowden ne révèle que Google, Facebook et consorts livraient des données sur leurs utilisateurs à la NSA, via le programme PRISM. Certains vont même jusqu’à affirmer que certaines de ces entreprises sont des créations ex-nihilo des services secrets.

En 1999, un rapport de la commission de la Défense à l’Assemblée nationale abordait les liens entre Microsoft et la NSA. On y apprenait « la présence de personnels de la NSA dans les équipes de développement de Bill Gates ». A travers des prises de participation du fonds d’investissement In-Q-Tel, qui est une émanation de la CIA, des personnes très proches du renseignement siègent ou ont siégé au conseil d’administration de Facebook.

Ce « papillonnage » des personnes entre l’appareil d’Etat et des entreprises du secteur informatique est fréquent aux Etats-Unis. Au-delà des personnes, nombre de technologies qui descendent dans le grand public – la reconnaissance vocale, les empreintes faciales, les moteurs de recherche – sont issues de budgets militaires.

Bien sûr, tout cela est dissimulé derrière une légende faussement « cool » d’entreprises dirigées par des jeunes en T-shirt.

Est-ce que ce schéma se retrouve en France ?

Cette relation fusionnelle nous choquerait en France, même si cela existe un peu dans l’aviation. Il faut surtout dire que nous sommes en présence de technologies totalement maîtrisées par les Etats-Unis, qui font tout leur possible pour en conserver le leadership.

OK, mais vos exemples remontent à quelques années. Est-ce que les intérêts privés des grandes entreprises n’ont pas débordé cette origine « militaire » ?

Je ne vois pas pourquoi ces liens auraient cessé d’exister. Certes, la réalité est éminemment plus complexe qu’une simple relation de vassalité entre les géants du Web et l’Etat fédéral américain, mais cela ne signifie pas que les données collectées pour la vente d’espaces publicitaires ne remontent pas ensuite vers les institutions de surveillance.

Mais cela reste un souci lointain. La plupart des gens sont emmerdés au quotidien par des choses comme l’auto-complétion sur Google qui accole un terme peu flatteur à votre nom. Est-ce que ce n’est pas l’activité purement commerciale qui nous pourrit la vie ?

Nous sommes arrivés à un point où ne pas avoir de compte Facebook peut être suspect aux yeux d’un employeur. Il y a une espèce d’obscénité. Vous êtes présenté à un groupe de personnes et vous savez qu’en rentrant chez elles, elles vont entrer votre nom dans un moteur de recherche. Or, vous n’êtes pas ce que Google dit de vous.

C’est un poison lent dans la société. Nous sommes en train de créer une culture délétère, une culture de délation. Et comme tout poison, ses effets ne se ressentent pas immédiatement. Il est de coutume de distinguer la surveillance orientée par les Etats, celle dirigée par les entreprises et celle menée par les individus sur d’autres individus. En réalité, tout cela va de pair.

Quelque chose est descendu du haut de la pyramide et, par capillarité, s’est immiscé dans tous les comportements sociaux. C’est la contre-utopie du rêve des années 80 et 90 : le partage, l’échange, l’enrichissement. Il est intéressant de constater maintenant le double sens de cette « société de la connaissance ». C’est d’ailleurs ce que disait Michel Foucault : le pouvoir, au sommet, ne peut pas fonctionner lorsqu’il est isolé des petits pouvoirs. Et c’est un petit pouvoir que nous donnons aux gens : celui d’espionner son voisin.

Mais il y a aussi des applications très concrètes. On parle des algorithmes qui vont encadrer nos comportements, les lisser...

Oui, cela rejoint la question de l’intelligence artificielle. Il y a tout un courant aux Etats-Unis qui estiment que, dans moins d’une génération, la capacité des cerveaux artificiels (pour eux, le cerveau humain est assimilable à un ordinateur) dépassera celle des individus. Pour eux, la seule solution est d’appareiller les humains pour combler leur « défaillance ». Nous serons alors comme du bétail, allant nous faire injecter des implants qui « normeront » nos comportements. Adieu la créativité, le rêve, la flânerie. Ces gens ne sont pas de doux rêveurs même s’ils parlent d’utopie.

Pourriez-vous nous donner un exemple ?

La santé. L’Apple Watch est un outil bien gentillet à côté de ce qui est en train d’être testé et bientôt commercialisé. Ce sont des implants qui diffuseront des molécules dans votre corps et seront en connexion permanente avec des robots médecins. Sans tomber dans un délire orwellien, nous ne serons pas très loin du tri des individus. Les assurances pourraient s’engouffrer là dedans (certaines vous font des ristournes si vous leur ouvrez votre compte Facebook). Toutes ces technologies dites « d’assistance » sont à double tranchant. Je ne suis pas contre la technologie, je dis simplement qu’il faut en contrôler les usages.

Mais est-ce possible ? Il y a une espèce de défaitisme ambiant, l’idée qu’Internet a « un esprit », qui irait vers plus de transparence, plus de fluidification, sans que la régulation ne puisse rien y faire...

Je n’y crois pas. C’est de la mythologie. La technologie est issue de l’esprit humain. L’individu et la collectivité sont capables d’en définir les usages. Il y a des civilisations qui connaissaient l’existence de la roue et qui ont décidé de ne pas l’utiliser.

Revenons à cette fausse dichotomie, selon vous, entre l’Etat et les GAFA. La surveillance étatique apparaît comme une citrouille surplombante sans conséquences immédiates dans le quotidien, tandis que tout le monde est titillé par les publicités ciblées de Gmail...

Ce n’est pas faux. La visibilité des outils intrusifs des entreprises est finalement assez importante si l’on s’y intéresse de près. Mais le monde de la surveillance est par définition dans l’ombre, son impact est moindre dans l’immédiat. Nous sommes plus dans la crainte des usages possibles par des pouvoirs qui peuvent être amenés à changer. Mais ce ne sont que des plans différents. C’est le rapprochement des deux qui devrait nous inquiéter.

Mais ces outils de surveillance étatique peuvent aussi avoir des conséquences concrètes. Nous vivons dans des sociétés complexes avec des pouvoirs qui sont relativement isolés des populations et qui sont dans l’obsession prédictive. Ils veulent savoir ce que le citoyen pense de ceci ou cela. Pas dans une perspective « altruiste », mais parce qu’ils s’inquiètent de leur survie. Les outils de surveillance peuvent compléter la pulsion sondagière. Les gouvernants vont disposer de tout un tas de capteurs pour palper le corps social. On est dans l’obsession divinatoire : il faut prédire. Cela norme donc aussi le comportement de nos gouvernants.

Ne sommes-nous pas tous devenus paranoïaques après une période d’insouciance pré-Snowden ?

C’est le climat délétère dont je parlais tout à l’heure. Les gens se sentent espionnés. Ce n’est pas un dégât collatéral. C’est une conséquence de la peur diffusée pour justifier le système.

Peut-être, mais vous y participez aussi. En lisant votre livre, on se dit que la NSA, c’est Sauron, un œil omniscient et omnipotent...

Oui, mais ce n’est pas faux non plus. Nous sommes sous un régime permanent de viol des correspondances. Vous en concluez que tout ce qui est de l’autre côté de votre écran est du domaine du visible.

C’est vrai qu’il existe un point de vue général, qui peut être simpliste : parler de « viol permanent de correspondance », c’est une généralité. Quand on gratte, les choses sont plus complexes, le réel est tiraillé par des procédures, des techniques et des intérêts parfois divergents entre Google, Facebook, la DGSE, la NSA, le GCHQ. Chacun fait son petit métier. Mais cette complexité n’empêche pas la généralité.

Comment faire le tri entre la réalité et le fantasme à tendance complotiste ?

J’ai écrit ces livres parce que je voulais clarifier les choses au-delà de l’accumulation des articles de presse. En replaçant tout cela dans une perspective « historique », on découvre des répétitions, des archétypes. Par exemple, l’idée de placer des portes dérobées (backdoors) dans des logiciels, hardwares ou solutions cryptographiques est une vieille pratique de la NSA.

Je pense par exemple aux cartes SIM de l’entreprise Gemalto. Mais ce n’est que le dernier exemple d’une longue liste d’entreprises qui ont été noyautées par les services américains ! Prenez Crypto AG. C’était une boîte soi-disant suisse qui a commercialisé un dispositif de chiffrement dans les années 50. En réalité, les services secrets américains y avaient probablement placé une « clé dans la clé », qui leur permettait de lire « en clair » les communications qui passaient par ce système. Or, cela n’a été découvert que 30 ans plus tard !

Une fois que vous avez identifié ces pratiques, vous commencez à vous poser des questions sur Tor, ce réseau qui est présenté comme garantissant l’anonymat. Pourtant, il a été développé sur des fonds du Pentagone...

Même l’open source – qui permet à tout un chacun de passer en revue le code à la recherche de failles volontaires ou non – n’est pas une garantie. Des failles subtiles peuvent exister. On peut citer le cas d’OpenSSL dont une première faille majeure de sécurité avait été révélée en 2008 alors que le code était supposé relu par la « communauté ».

Peut-on poser le problème sous l’angle de la souveraineté numérique ?

On va revenir sur cette supposée tension entre les États (l’Europe) et les grands groupes. Mais ce qui est certain, c’est que le vieux rêve libertarien d’un Internet « flottant », un nouveau territoire sans frontières, est une vaste blague. Au cœur du système, nous retrouvons l’État américain.

Carte du monde sans couleurs (Shadowxfox/Wikimedia Commons/CC)

Et donc sur cette tension entre l’État et les entreprises ?

Les questions de fond ne sont pas abordées. La donnée – et donc la vie privée – demeure une marchandise. Ce n’est vu qu’en terme de concurrence. « On donne cela aux Américains, pourquoi ne pas le garder pour nous ? » C’était bien visible lors des premiers débats sur le Big Data, ce tas d’or de l’économie numérique. Ce fut le cas également, lors de la révision avortée de la directive européenne sur les données privées. La présidente de la Cnil expliquait alors que l’Europe avait « intérêt à constituer un marché unique des données personnelles ». S’ensuivaient des recommandations pour encadrer la collecte et l’utilisation de ces données, mais c’est bien le postulat de départ qui pose problème. Parler de « marché unique des données » revient à accepter la marchandisation des données.

Mais vous ne pouvez pas nier que des institutions publiques entreprennent de limiter l’intrusion dans la vie privée ?

Pour l’instant, je constate que rien ne bouge. On pourrait même considérer que les choses empirent avec la loi sur le renseignement. Des gens se battent, mais la réglementation n’évolue pas. Les boîtes privées font du tam-tam – « On refuse cela, ceci » –, mais la collecte continue.

Mais est-ce qu’on n’exagère pas le pouvoir de ces entreprises ? La vie ne se résume pas en données, les robots ne nous « comprennent » pas. Est-ce que cette limite n’est pas notre meilleure protection ?

Des gens vous disent qu’il suffirait de développer ses propres robots pour balancer de fausses infos dans les serveurs et les inonder. C’est mal connaître ces technologies. Certes il y a beaucoup d’erreurs, mais les algorithmes sont puissants. C’est pour cela que je ne crois pas en une solution purement technologique. À supposer qu’elle soit possible, pour toutes sortes de raisons elle serait très difficilement inaccessible à la grande majorité de la population. La solution ne peut être que politique.

Donc vous ne croyez pas en la « dégafamisation », le fait de se retirer de Google, Facebook, Twitter, etc. ?

Ça ne me parait pas pertinent. Il faut simplement être réaliste. On le dit en blaguant, mais les agents russes seraient revenus à la machine à écrire. À partir du moment où l’on sait que c’est « visible », vous n’y mettez pas votre intimité. Ce qui ne veut pas dire que vous ne pouvez pas mener un combat pour les libertés. Ce n’est pas de la résignation.

Mais vous ne choisissez pas forcément. Un smartphone peut être indispensable à une vie professionnelle et cafter sur vous grâce à la géolocalisation...

Oui.

Vous avez un compte Facebook ou Gmail ?

Non. On ne va quand même pas leur faciliter le travail. Ce n’est pas parce que je ne suis ni agent secret, ni trafiquant, ni terroriste que je dois accepter que l’on fouille continuement dans mes tiroirs. C’est une sensation très désagréable…

Le fait de se « retirer » peut paraître suspect : « Pourquoi cette personne a-t-elle demandé à flouter sa maison sur Street View ? »

C’est pour cela que le droit à l’oubli est pour moi une imposture. On garde la trace de la gomme. Or, si vous voulez effacer un élément, c’est que vous avez quelque chose à vous reprocher. Vous êtes un citoyen en permanence mis en examen. C’est aussi pour cela que la surveillance touche tout le monde. Votre choix individuel engage les autres.

Vous semblez craindre une nouvelle inégalité : entre ceux qui auront les moyens de protéger leur vie privée (crypto, e-réputation) et les autres...

Il y a deux aspects. Le premier est celui du rapport de force. Nous sommes confrontés à des organisations qui regroupent les meilleurs mathématiciens de la terre. Imaginer qu’un groupe d’individus est capable de s’opposer à eux en permanence me paraît illusoire. Mais supposons que des individus créent des solutions de protection. Ce seront des technologues, des personnes qui ont la maîtrise des outils. Allez expliquer cela à Mme Michu... C’est aussi pour cela que les gens sont cyniques et baissent les bras.

OK, il faut réguler, mais vous venez d’expliquer que les États n’y ont pas réellement intérêt...

Oui. Nous sommes en opposition, c’est clair.

Vous parliez de « poison lent » tout à l’heure. Comment expliquer ce paradoxe de la vie privée : les gens savent que leurs données et métadonnées sont moulinées par des boîtes privées, mais ils ne semblent pas s’en soucier. C’est de la mithridatisation ou un calcul coûts/avantages ?

C’est tout bête. Il faut être confronté à un danger pour en prendre conscience… Il y a un rapport entre l’usage et le danger qui est encore favorable à l’usage. Et les gens s’habituent peu à peu à cette intrusion. Mais je pense que la prise de conscience se fera en cas de gros pépin, dans un moment de tension très important. Je pense à la loi sur le renseignement, qui pourrait s’appliquer en « prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale »... Imaginez cela en mai 68 ou pendant les grèves de 95 ...

Vous suggérez aussi que cette surveillance est dans la culture américaine...

C’est très lié aux racines calvinistes profondément ancrées dans la culture américaine : l’individu est sous le regard de Dieu à travers celui de sa communauté. Or la religiosité a toujours été associée à la technologie aux États-Unis. C’est un vaste sujet… Le concept de technologie est un pur produit étatsunien du XIXe siècle. Il n’y a qu’à voir aujourd’hui les présentations d’Apple, le surnom que se donnent les « évangélistes ».

Le « Grand Réveil » aux USA s’est largement appuyé sur les technologies de l’époque – télégraphe, chemin de fer, bateau à vapeur – pour faire son « œuvre salvatrice. » L’image de la toile d’araignée (le web) était déjà utilisée à l’époque pour parler du télégraphe, et certaines personnes rêvaient déjà de prendre le pouls de la population en écoutant ce réseau.

Et cela se diffuserait en France, dans une espèce de « soft Power » de la surveillance ?

En rencontrant notre propre culture de la transparence, celle que décrit Foucault, la pulsion panoptique : « Les Lumières qui ont inventé les libertés ont aussi inventé les disciplines. » Seul le sommet de la pyramide est dans l’opacité, tout le reste est sous le regard des autorités.

Les débats que nous avons eus lors du projet de loi sur le renseignement font écho à une très vieille histoire. Il suffit de relire le débat en pleine révolution française entre le député Gouy d’Arcy, qui avançait que « dans un état de guerre, il est permis de décacheter les lettres » et Mirabeau qui lui opposait que « les complots ne circulent pas par les courriers ordinaires » et que ce n’est pas digne d’un peuple « qui veut devenir libre d’emprunter les maximes et procédés de la Tyrannie. »