.[Ec4] Eco numérique, cyberespace

Surveillance: La mort définitive de la vie privée sur Internet
par Mehdi Atmani
Le Temps (CH) - 18 nov 2015
http://www.letemps.ch/monde/2015/11/17/attentats-paris-ont-definitivement-tue-vie-privee-internet

Malgré leurs moyens, les services de renseignement français ont-ils failli à prévenir les attentats de Paris? L’État islamique a-t-il utilisé des techniques de chiffrement pour la préparation des attaques ? Trois jours après les événements, la classe politique française s’interroge sans apporter de réponses claires. Une certitude pourtant: outre les 129 victimes, les 7 kamikazes impliqués pour l’heure ont définitivement tué la vie privée sur Internet. [Non, la NSA et les Renseigenements des grands Etats ont largement ouvert la voie. Le contrôle et la surveillance des populations sont au centre de leurs préoccupations. Internet ne pouvait demeurer longtemps préservé de leur emprise. C'est l'aboutissement d'une évolution. On pourrait assister à un retour au système D; ndc]

Au lendemain des attentats, plusieurs voix au sein du renseignement français s’élevaient déjà pour doter la République d’un Patriot Act à la française. Soit une loi de lutte contre le terrorisme calquée sur le modèle américain après les attaques de 2001 contre le World Trade Center et le Pentagone. François Hollande et le Premier ministre Manuel Valls avaient rejeté cette option à l’issue du Conseil des ministres exceptionnel qui s’est tenu samedi 14 novembre. Le message a radicalement changé depuis.

Lors de son discours au Congrès de Versailles, lundi 16 novembre, François Hollande a annoncé l’extension pressentie de l’état d’urgence de 12 jours à 3 mois. La nouveauté se niche dans la volonté du président français d’appliquer ce dispositif administratif aux adaptations technologiques et aux menaces, car «la loi du 3 avril 1955 ne pouvait pas être conforme à l’état des technologies et des menaces que nous rencontrons». Un projet de loi sera présenté au Conseil des ministres.

Concrètement, en quoi consisteraient ces nouvelles dispositions appliquées à Internet ? Si les scénarios sont multiples, ils s’achemineraient tous vers un allégement de l’encadrement prévu dans la mise en œuvre des outils de surveillance et d’interception des communications prévus par la récente loi française sur le renseignement. Pour rappel, cette dernière valide le principe de la surveillance massive des communications électroniques avec l’assistance des opérateurs de téléphonie et des fournisseurs d’accès Internet.

Après son adoption par le parlement le 24 juin 2015, la loi subit donc déjà des modifications. Lesquelles ? François Hollande n’a pas détaillé, mais nous savons déjà que ces ajustements toucheront deux volets du texte adopté l’été dernier. D’abord les dispositions de la loi sur le renseignement. Il s’agirait d’alléger les procédures imposées aux services qui souhaiteraient utiliser des moyens de surveillance. En d’autres termes, l’avis de la Commission nationale de contrôle des techniques de renseignement ne serait plus obligatoire.

Le deuxième volet de modifications toucherait les moyens mis en œuvre par la loi sur le renseignement. Ceux-ci seraient intégralement mis à la disposition du pouvoir judiciaire. Mais de quels moyens parle-t-on ? Les « boîtes noires » tout d’abord, capables de surveiller l’ensemble du trafic pour y détecter, grâce aux algorithmes, des « signaux faibles » de « menaces terroristes ». Mais aussi l’accès direct aux données de connexion internet et la réquisition des données privées stockées sur les serveurs de Cloud comme les fichiers, les courriers électroniques et les listes de contacts.

Comme le soulignent les sites NextInpact et Numerama, ces mesures seraient disponibles de manière préventive pour l’anticipation des menaces, et curative pour les magistrats dans le traitement d’affaires a posteriori. François Hollande précise que l’échelle des peines de certaines infractions sera « significativement alourdie ». Le versant budgétaire de cette réforme sera inscrit dans la loi de finances pour 2016. Rappelons que le 23 mars dernier, deux mois après les attaques contre Charlie Hebdo et l’Hyper Cacher, le Premier ministre Manuel Valls avait alloué en urgence une enveloppe de 300 millions d’euros pour 2015 aux Ministères de l’Intérieur et de la Justice pour l’achat, entre autre, de « munitions, de véhicules et de matériel de protections ».

Sur les ondes de France Inter, mardi 17 novembre, le père de la loi sur le renseignement Jean-Jacques Urvoas, s’est refusé de tirer des conclusions hâtives sur l’efficience de la loi. « Nous avons construit un état de droit en renforçant le renseignement parce qu’il y avait des moyens dont ils ne disposaient pas ». Le député et président de la commission des lois ajoute: « La précipitation est mauvaise conseillère. Vous ne votez pas la loi dans l’urgence. La loi elle se mûrit, elle se réfléchit, elle s’adapte. Si elle n’est pas encore appliquée, c’est parce que des décrets n’ont pas encore été écrit à bon droit […] ».

Pour l’heure il ne s’agit que d’un cadre général, mais ces propositions de modifications portent un coup fatal aux libertés fondamentales sur Internet et à leurs défenseurs qui s’étaient mobilisés dans le sillage des révélations d’Edward Snowden sur les méthodes de surveillance de la NSA. Depuis le 13 novembre 2015, leurs revendications semblent bien vaines face à des États qui pactisent, sans rougir, autour de la surveillance totale. Dans l’ère post-attentats de Paris, la lutte contre l’État islamique passe aussi par une guerre contre les technologies de chiffrement et leur démocratisation.

Le débat est ravivé depuis que l’administration Obama suspecte les djihadistes de Paris d’avoir préparé les attentats par le biais de communications chiffrées. Ces doutes émanent de John Brennan, directeur de la CIA, mais aussi des responsables de la police fédérale (FBI). Dans le New York Times, ils soulignent que certaines technologies compliquent le travail des services de renseignement dans leur accès aux éléments nécessaires dans la prévention d’éventuelles attaques. Barack Obama a d’ailleurs convié la France dans le club très select du renseignement des "Five Eyes" (Australie, Etats-Unis, Nouvelle-Zélande, Canada, Royaume-Uni).

Les révélations d’Edward Snowden ont permis l’émergence et la démocratisation de plusieurs outils et d’applications de chiffrement pour les messages SMS et les communications téléphoniques. On citera Signal, Telegram, Wickr, TrueCrypt, ProtonMail, Threema. Les commanditaires de ce qui pourrait être un attentat contre l’avion de la compagnie russe MetroJet, il y a peu, auraient utilisé Telegram. Mais concrètement, nous n’en avons pas la preuve. Tout comme il n’est pas établi que les kamikazes de Paris ont utilisé le service chat de Playstation 4.

Pour les défenseurs des libertés sur Internet, ces attaques contre la vie privée, ne servent qu’à justifier des méthodes de surveillance controversées. Ils continuent de souligner que permettre aux autorités de disposer d’un accès spécial dans les communications chiffrées ne ferait que réduire la sécurité en ligne de manière générale. Cela signifierait également, selon eux, que les journalistes ou personnes vivant sous des régimes autoritaires perdraient un moyen de pouvoir communiquer librement.

Les grands acteurs de la Silicon Valley que sont les GAFA (Google Amazon, Facebook, Apple) rejetaient jusque-là les demandes d’accès aux données chiffrées dans le cadre d’enquêtes importantes. Mais la donne pourrait changer s’il est avéré que les terroristes conversent par le biais de ces outils. Il y a de multiples raisons de se souvenir du 13 novembre 2015. Les kamikazes n’ont pas seulement massacré 129 personnes, ils ont enterré notre vie privée.

les couleurs de myriam, 29/11/2015
Big brother était déjà là, simplement, maintenant c'est officiel.
http://lescouleursdemyriam.centerblog.net

EDIT (14 janvier 2016)

Internet: Les employeurs ont le droit de surveiller leurs salariés
Euronews - 13 jan 2016
http://fr.euronews.com/2016/01/13/internet-les-employeurs-ont-le-droit-de-surveiller-leurs-salaries/

L’arrêt de la Cour européenne des droits de l’Homme sonne comme une mise en garde aux salariés qui passent du temps sur internet à des fins personnelles. Cette juridiction européenne – à laquelle sont soumis 47 pays – a donné raison à l’employeur d’un ingénieur roumain qui l’avait licencié en 2007 parce qu’il échangeait des messages personnels durant ses heures de travail. Bogdan Mihai Barbulescu avait fait valoir que son employeur n‘était pas en droit de fouiller dans ses communications. Faux, rétorque la Cour. Si le règlement intérieur précise que les communications à des fins personnelles sont interdites, alors, l’entreprise peut vérifier les courriers électroniques et autres comptes internet sur lesquels s’est connecté l’utilisateur au travail. Dans le cas de ce salarié, les relevés avaient montré qu’il avait échangé notamment avec son frère et sa fiancée sur des sujets n’ayant aucun lien avec son travail.

Surveiller l’Internet de son salarié, pas abusif pour la CEDH
par Jacques Cheminat
Silicon - 13 jan 2016
http://www.silicon.fr/la-cedh-juge-non-abusive-la-surveillance-de-linternet-des-salaries-135678.html

La Cour Européenne des Droits de l’Homme vient de rendre un arrêt considérant qu’une entreprise peut surveiller les communications Internet d’un salarié. En France, les juridictions vont également dans ce sens. Tout est une question d’équilibre pour la Cour Européenne des Droits de l’Homme (CEDH). La juridiction européenne était amenée à se prononcer sur le cas de Mr Bogdan Mihai Barbulescu qui contestait son licenciement. Ingénieur avant-vente depuis 2004, son employeur lui a demandé d’ouvrir un compte Yahoo Messenger pour pouvoir répondre aux requêtes des clients. Or l’employeur a mené en 2007 un audit de l’utilisation de la messagerie instantanée. Il s’est aperçu que le salarié menait des discussions personnelles avec son frère et sa fiancée. Une infraction au règlement intérieur qui interdit l’usage des ressources à des fins personnelles.

Licencié, Mr Bogdan Mihai Barbulescu considère que cette surveillance viole son droit à la correspondance et a excipé l’article 8 de la Convention européenne des droits de l’Homme concernant le droit à la vie privée et familiales, du domicile et de la correspondance. La CEDH était donc amenée à se prononcer sur ce cas. Elle a d’abord considéré que l’article 8 était applicable en l’espèce, mais elle « ne trouve pas abusif qu’un employeur souhaite vérifier que ses employés acomplissent leurs tâches professionnelles pendant les heures de travail ».

Une surveillance légitimée par la CEDH en sachant que le salarié « a pu faire valoir ses moyens relatifs à la violation alléguée de sa vie privée et de sa correspondance devant les tribunaux nationaux et les décisions subséquentes n’ont fait aucune mention du contenu concret des communications ». Il a donc bénéficié de l’ensemble des droits à ester en justice et de la non-divulgation de ses échanges. A ce titre, la juridiction européenne considère que « les juridictions internes ont ménagé un juste équilibre entre le droit du requérant au respect de sa vie privée et de sa correspondance au titre de l’article 8 et les intérêts de son employeur ».

Cette décision est importante, mais elle renvoie aux juridictions nationales le soin de définir « le juste équilibre » en fonction des différents cas jugés. Une jurisprudence sur ce sujet qui s’étoffe petit à petit dans certains pays comme la France. Plusieurs arrêts de la Cour de Cassation ou de Cour d’Appel montrent que l’usage abusif d’Internet à des fins personnelles sur son lieu de travail est passible de licenciement pour fautes graves. Surtout quand les sociétés se sont dotées de « charte informatique » et que les fautes participent de son non-respect.

Concernant la surveillance des communications Internet des salariés, un arrêt du 9 juillet 2008 montre que la Cour de Cassation a écarté l’argument de l’article 8 de la Convention européenne des droits de l’Homme au motif que « les connexions établies par un salarié sur des sites internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence ».

L’usage personnel d’Internet au travail est un sujet récurrent où se mêlent à la fois la bienveillance et les limites. En 2014, une étude d’Olfeo expliquait que les salariés français passent en moyenne 57 mn par jour à surfer sur le web au bureau sans motif professionnel (ce qui représente 59 % de leur temps total de navigation). Parmi les services plébiscités, on retrouve les messageries électroniques et instantanées, ainsi que les réseaux sociaux, en tête desquels Facebook. Les moteurs de recherche – essentiellement Google – sont eux aussi très fréquentés, au même titre que les plates-formes vidéo. Suivent les blogs, forums et wikis.

Concernant les litiges, il faut distinguer la théorie et la pratique. Sur la première, l’ordinateur mis à la disposition du salarié est destiné exclusivement à son travail. En pratique, les usages personnels sur l’outil informatique de l’entreprise ne sont pas condamnables si l’utilisation est raisonnable. C’est-à-dire, s’ils  ne mettent en danger ni la sécurité du réseau et ne compromettent pas la capacité de l’entreprise à générer de la valeur. Le salarié doit notamment pouvoir rester concentré sur ses tâches et ne pas accumuler de retard dans son planning.

EDIT (20 mars 2018) Le patron de Cambridge Analytica s'est félicité d'avoir fait élire Trump, via Facebook.

Cambridge Analytica: Facebook a laissé fuiter les données de 50 millions de membres
Capital - 20 mar 2018
https://www.capital.fr/entreprises-marches/facebook-polemique-dampleur-autour-de-lutilisation-de-donnees-personnelles-1278336

Le réseau social est de plus en plus critiqué après une nouvelle révélation de fuite massive de données personnelles. Cambridge Analytica, une entreprise impliquée dans la campagne présidentielle de Donald Trump, aurait siphonné les données privées de dizaines de millions d’Américains sur Facebook.

Une épine de plus pour le réseau social vedette... Lundi 19 mars, Facebook s'est à nouveau retrouvé au centre d'une polémique autour de l'utilisation indue des données personnelles de millions d'utilisateurs par une société liée à la campagne de Donald Trump. Selon plusieurs médias, dont The New York Times et le journal britannique The Observer, Cambridge Analytica (CA), une entreprise spécialisée dans la communication stratégique, a récupéré sans leur consentement les données de 50 millions d'utilisateurs du réseau social pour élaborer un logiciel permettant de prédire et d'influencer le vote des électeurs. Ces données auraient été récupérées via une application de tests psychologiques téléchargée par 270.000 utilisateurs de Facebook et développée notamment par le psychologue russe Aleksandr Kogan, qui, selon Facebook, les a ensuite fournies indûment à CA. Facebook a précisé que l'application avait aussi pu avoir accès aux données des "amis" des utilisateurs ayant téléchargé l'application.

Cambridge Analytica, qui a travaillé pour la campagne du républicain Donald Trump en 2016, a indiqué que "ces données Facebook n'ont pas été utilisées par Cambridge Analytica dans le cadre des services fournis à la campagne présidentielle de Donald Trump" et aucune "publicité ciblée" n'a été réalisée "pour ce client". La société a ajouté "n'avoir pas travaillé sur le référendum sur le Brexit au Royaume-Uni". De son côté, Facebook dit avoir fermé le compte de la firme et avoir engagé un cabinet d'audit numérique pour faire la lumière sur cette affaire. Le régulateur britannique de l'information et des données personnelles a annoncé qu'il allait émettre un mandat ce mardi pour avoir accès aux serveurs de CA et a demandé à Facebook de suspendre sa propre enquête pour ne pas risquer de compromettre la sienne.

Cette polémique tombe d'autant plus mal que Facebook, comme Twitter ou Google, est accusé depuis des mois d'avoir contribué à manipuler l'opinion publique, en particulier par des entités liées à la Russie lors de la campagne présidentielle américaine ou celle du référendum sur le Brexit en 2016. Ils sont aussi régulièrement accusés de ne pas assez protéger les données personnelles de leurs utilisateurs, qui sont la base de leur modèle économique. La sénatrice américaine Amy Klobuchar a demandé, comme d'autres, l'audition par le Congrès des patrons de Facebook, Google et Twitter. Le président du Parlement européen Antonio Tajani a promis une enquête sur ces révélations "inacceptables" tandis que Vera Jourova, la commissaire européenne en charge de la protection des données personnelles, a évoqué une affaire "effroyable". 

Cette nouvelle polémique illustre "des problèmes systémiques" chez Facebook, selon l'analyste Brian Wieser, du cabinet Pivotal Research. Ces dernières accusations ont fait perdre à l'action Facebook près de 6,8 % à Wall Street. Pour Jennifer Grygiel, spécialiste des réseaux sociaux à l'Université de Syracuse, ce scandale est le fruit de réglementations trop "légères", qui ont permis à Facebook et à ses partenaires d'exploiter ces données en dehors de tout contrôle. Cependant, Facebook et les autres groupes technologiques vont bientôt devoir composer avec les nouvelles lois sur les données privées, comme le règlement européen général sur la protection des données, souligne David Carroll, enseignant à la Parsons School of Design. "Facebook et Google vont devoir demander à leurs utilisateurs bien plus d'autorisations pour utiliser leurs données", dit-il, "et beaucoup de gens refuseront, donc (...) cela aura un énorme impact sur ces entreprises".