La proposition de loi « relative aux mesures de surveillance des communications électroniques internationales » a été adoptée en première lecture par le Sénat, le mardi 27 octobre. Ce texte, qui prévoit d’autoriser les services de renseignement français à surveiller les communications électroniques à l’étranger, avait été rejeté par le Conseil constitutionnel, au motif que les méthodes de contrôle et les délais de conservation des données étaient trop flous. Ce vote des sénateurs est l’occasion pour plusieurs experts engagés de rappeler que la surveillance des métadonnées par des algorithmes est, selon eux, vouée à l’échec.
Aeris, co-fondateur du collectif Café Vie Privée depuis 2013
« Le volet international de la loi sur le renseignement qui est passé hier au Sénat est en réalité la mesure la plus inquiétante de la loi. La très grande majorité des communications électroniques françaises vont vers l’international, via les géants comme Google, Amazon, Facebook, Apple et Microsoft. Cette nouvelle mesure ouvre la voie à une surveillance bien plus massive et difficile à gérer. La France est à la traîne du point de vue technique dans le domaine. On peut craindre qu’elle s’allie à la NSA comme l’a fait l’Allemagne, en livrant des données en échange de l’accès aux outils de traitement américains.
On aggrave aussi l’inefficacité des algorithmes en augmentant la masse de données. Il y a un double effet : d’une part, on allume des lampes partout, et on noie plus encore les vrais profils à risque dans la masse. D’autre part, on encourage les pratiques des personnes qui veulent passer sous le radar et se tourneront toujours vers des techniques alternatives pour se mettre à l’abri.
Certains le font d’ailleurs pour de bonnes raisons. Nous avons créé le collectif Café Vie Privée en 2013 quelques mois après l’affaire Snowden, pour apprendre la cryptographie au grand public et lui permettre de se mettre à l’abri de la surveillance. Cela peut être pour des raisons professionnelles, contre l’espionnage industriel, ou politiques, pour protéger ses sources, mais aussi pour des motifs purement privés. Après les activistes, nous avons de plus en plus affaire à de simples particuliers qui le font pour le principe, par ras-le-bol contre la surveillance généralisée et la publicité ciblée. »
Laurent Chemla, informaticien et porteur du projet Calip (plateforme de communications électroniques sécurisées)
« Il est très humain de penser qu’on peut tout retracer, de se dire après une attaque qu’on aurait pu la prévoir, repérer son auteur. On a envie de croire qu’on peut en automatiser la détection. Après coup, tout semble toujours logique et cohérent. Simplement l’humain n’est pas cohérent. Personne, encore moins un algorithme, ne peut imaginer qu’un gamin se trimballera avec une bombe dans une cocotte-minute au marathon de Boston. Le terroriste, par définition, veut créer le choc de l’inimaginable.
Même mathématiquement, ce que prévoit la loi sur le renseignement ne tient pas la route. Un algorithme ne peut pas être parfait à 100%. Et même avec une probabilité extrêmement forte, sur une population de millions de personnes, l’algorithme identifiera tellement d’individus à surveiller que l’Etat n’aura pas les moyens de le faire. Or si un jour un attentat survient malgré tout, et que son auteur a été repéré sans être surveillé, c’est encore pire. La surveillance massive et automatisée est contre-productive au possible, même pour un algorithme tellement parfait qu’on ne sait pas l’écrire. C’est absurde d’utiliser les mêmes méthodes que Google ou Amazon. Parce qu’on ne se cache pas de Google et d’Amazon.
Le seul objectif réaliste que cette loi peut atteindre, c’est que ceux qui l’ont votée ne se sentent pas responsables du prochain attentat qui va se produire. Il faut réagir maintenant qu’une masse plus grande de données est concernée par la surveillance. Si tout le monde chiffre un peu ses métadonnées et beaucoup ses contenus, déchiffrer nos communications électroniques coûtera plus cher en temps et en moyens. Le coût du déchiffrement va devenir tellement énorme que le gouvernement ne pourra plus se le payer. Il faut utiliser le chiffrement des mails comme un vaccin : pour se protéger soi-même mais surtout pour protéger les autres. »
Pablo Rauzy, chercheur dans l’équipe Privatics du laboratoire CITI (Centre of Innovation in Telecommunications and Integration of service)
« Cette loi n’est pas seulement liberticide, elle est aussi inefficace. Un algorithme, ce n’est pas de la magie. Cela reste une suite d’instructions développée par un humain. Il n’est pas facile de créer un modèle pertinent pour un « comportement normal » et un comportement jugé anormal. Comment savoir quand quelqu’un reçoit un courrier étrange s’il a été sollicité ou non ? Et même si on peut voir la surveillance comme un premier filtre qui ratisse large, le problème reste de savoir ce que l’on fait des « faux positifs » (les profils que l’on détecte, mais qui s’avèrent ne pas être dangereux), et des « faux négatifs » (les profils que l’on ne détecte pas, alors qu’ils sont en effet dangereux).
Imaginons que sur 65 millions de Français, il y ait 1000 terroristes, et que l’on dispose d’un algorithme extrêmement puissant, avec un taux fantaisiste de réussite de 99,5%. L’algorithme détecterait ainsi 1000 x 99,5% = 995 terroristes sur les 1000. Il y aurait donc 5 faux négatifs. Mais surtout, il détecterait (65 000 000 – 1 000) x 0,5% = 324 995 faux positifs, ce qui est bien plus problématique.
Tous les surveiller, ce n’est pas réalisable en coût humain comme en coût financier. On a déjà les moyens (techniques et légaux) de mettre en place de la surveillance ciblée et contrôlée. Les méthodes employées ne sortiront pas d’un chapeau magique. On a déjà une bonne idée de ce qu’elles seront (deep packet inspection, apprentissage statistique). Elles ne seront pas efficaces si leur but est effectivement la prévention d’actes terroristes comme le prétendent les défenseurs de la soi. Systématiser ces techniques et écouter tout le monde est contre-productif pour des raisons scientifiques, en plus d’être anti-démocratique. »