« Nous sommes en guerre »

Paris, le 3 mai 2016 — La Quadrature du Net publie ici une tribune de Laurent Chemla, membre du Comité d'Orientation Stratégique de La Quadrature du Net.

En ces temps où la peur semble partout gouverner, où l'État nous incite à nous méfier de tous, où la menace terroriste est prégnante et où « nous sommes en guerre », le mot d'ordre est désormais : « sécurité ».

Le monde numérique ne saurait y échapper.

Qu'il s'agisse de nous protéger du « méchant pirate chinois » qui pénètre nos entreprises pour voler leurs brevets, du hacker fantasmé portant hoodie (et lunettes noires) quand il utilise son PC pour nous inonder de ransomwares ou des GAFAM qui nous espionnent pour le compte de la NSA... à en croire les médias, tout comme notre quotidien déconnecté, notre vie en ligne semble chaque jour plus dangereuse.

Évidemment il ne faut pas exagérer la menace. De la même manière que certains hommes politiques ont intérêt à exacerber le sentiment d'insécurité pour obtenir des voix en faveur d'une offre politique de fermeté, les marchands de peur exercent aussi leur art dans le numérique. Dans nos sociétés en crise existentielle, le FUD est vendeur, mais il exagère la menace pour mieux nous convaincre d'acheter.

À n'entendre que le discours des vendeurs, on finirait par croire qu'il est impossible d'utiliser un ordinateur dépourvu des protections logicielles qu'ils proposent, au risque sinon de mettre en danger nos entreprises, nos photos, nos correspondances privées et nos comptes en banque... et on aurait raison d'y croire: tout ceci est vrai, y compris en utilisant ces outils.

N'importe quel expert vous le dira: en informatique, la protection totale est totalement illusoire. Non que les divers antivirus, firewalls et autres outils de chiffrement soient inutiles : ils sont indispensables. Mais leur portée est nécessairement limitée, d'abord parce qu'ils auront toujours un temps de retard face à des attaques toujours plus perfectionnées, mais aussi, surtout, par le facteur humain.

Tant que nous ouvrirons sans y faire attention n'importe quel fichier attaché, tant que nous refuserons d'appliquer les mesures de sécurité les plus strictes au motif étonnant qu'elles empêchent toute liberté d'action, bref, tant que nous nous comporterons en humains, alors nous aurons des failles qui, un jour où l'autre, seront utilisées.

Le même parallèle reste efficace : tout comme la seule société totalement sûre est un régime policier à l'écart total du reste du monde, le seul ordinateur vraiment à l'abri des intrusions est celui qui n'accepte aucune modification et n'est jamais connecté à Internet.

Dans les deux cas, ces modèles n'ont qu'une très courte espérance de vie, et dans les deux cas la promesse de sécurité implique la fin de toute liberté.

Pour autant, et parce que nos failles sont humaines, nous pouvons aussi apprendre quelques simples mesures de prophylaxie pour limiter les dégâts en cas d'intrusion.

Apprendre à distinguer ce qui relève de la correspondance privée de ce qui relève de la communication publique, par exemple, permet de limiter la première aux outils les plus sécurisés (email, chat sécurisé...) tandis que la seconde pourra s'exercer sans limite sur les réseaux sociaux. Apprendre aussi que notre vie privée dépend tout autant de la sécurité de ceux avec qui nous échangeons que de la nôtre, et en tenir compte dans nos échanges, limiterait déjà largement les fuites. Apprendre encore la valeur fondamentale de notre vie privée, que nous oublions trop facilement, serait déjà une motivation puissante à faire les quelques efforts nécessaires pour mieux la garantir.

Sans parler des mesures plus techniques, qui ne sont pas l'objet de cet article.

Mais aussi, peut-être surtout, au-delà d'une prophylaxie certes nécessaire mais toujours insuffisante pour une totale immunité, nous pouvons apprendre à augmenter la résilience de nos infrastructures informatiques, de manière à retrouver au plus vite un fonctionnement normal après une attaque. Les sauvegardes sur unités externes (et qui ne seront jamais toutes stockées au même endroit), par exemple, constituent souvent une charge de travail qui nous semble inutile, jusqu'au jour où un méchant aura chiffré tous nos documents sans espoir de les retrouver (à moins de payer la rançon demandée).

Bref.

Face au discours combiné de nos élites commerciales et politiques, vendeuses d'insécurité et de fausses promesses, face aux gros titres tapageurs de médias en mal de lectorat et qui tous nous abreuvent de DarkNet, de réseaux pédophiles, de pirates et de terroristes amateurs de chiffrement, il est difficile de rester raisonnable. Notre gouvernement lui-même semble y perdre la raison, en faisant voter des lois impliquant la surveillance de tous pour nous prémunir de quelques-uns, en imaginant pouvoir inventer des « algorithmes » capables de reconnaître un terroriste grâce à ses actions en ligne, ou en souhaitant déchoir ceux qu'il n'aura pas repérés. C'est tout aussi illusoire et dangereux que d'imposer un firewall qui demandera confirmation avant d'ouvrir chaque document, d'imaginer qu'un antivirus saura reconnaître toutes les menaces, et d'interdire l'utilisation de tel ou tel logiciel responsable de la dernière faille. Là encore, c'est étonnant, le parallèle est fonctionnel.

Dans un monde où, bien sûr, la menace est réelle, mais où elle sert trop souvent de justification pour faire accepter des mesures démesurées, inutiles ou même plus dangereuses encore que ce contre quoi elles affirment lutter, la raison est pourtant notre seule arme vraiment efficace. Il est difficile, c'est vrai, de prendre du recul quand on vit dans la peur. C'est pourtant nécessaire. Indispensable.

Face à des dangers bien réels, nous n'avons d'autre choix que de (ré)apprendre à vivre dans une relative insécurité.

Savoir que nous subirons des attaques (qu'elles soient terroristes ou informatiques), l'accepter, faire en sorte qu'elles soient le moins violentes possible et prévoir les moyens de réparer leurs dégâts, sans pour autant perdre en route la raison-même de notre organisation (sociale ou technique), c'est tout l'enjeu du débat.

Nous ne gagnerons pas cette guerre : elle est inscrite au plus profond de nos codes informatiques et sociaux.

Mais nous pouvons vivre avec.