Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Les métadonnées: c'est sur elles que repose le dispositif de surveillance du Web de la loi renseignement adoptée par l'Assemblée. Elles sont dites "techniques" et "anonymes", mais révèlent beaucoup plus de choses que vous ne l'imaginez. Explications.

 

Ce mardi, les députés ont adopté en première lecture le projet de loi sur le renseignement. L'une de ses dispositions les plus controversées prévoit l'installation de "boîtes noires" sur les réseaux télécoms des opérateurs. Ce dispositif permet d'analyser l'ensemble des "métadonnées", à la recherche de "signaux faibles" relatifs à la menace terroriste. Il s'agit, dans le texte, de "révéler, sur la seule base de traitements automatisés d'éléments anonymes, une menace terroriste".  

Selon le gouvernement, cette notion d'anonymat va à l'encontre de la surveillance de masse. Autre argument, les données collectées ne sont pas des "contenus", mais de simples données techniques. Or, d'après certaines recherches, cet anonymat serait un leurre. En outre, la collecte des métadonnées des Français s'avèrerait encore plus intrusive que la lecture de leurs e-mails.  

 

Qu'est-ce que les métadonnées?

N'ayez crainte, ce sont "seulement des métadonnées" - c'était également la ligne de défense des Etats-Unis après les révélations d'Edward Snowden. En réalité, ces traces que nous laissons derrière nous en téléphonant, en surfant sur internet ou en utilisant notre carte bancaire en ligne peuvent dire "tout de la vie de quelqu'un", selon un ancien de la NSA. Les "boîtes noires" analyseront ces traces par le biais d'un algorithme, c'est-à-dire un programme informatique truffé d'instructions complexes. 


Sur Internet, les métadonnées recouvrent des éléments aussi variés que le nom, l'adresse e-mail, le mot de passe et l'adresse IP de l'expéditeur d'un mail, son objet, l'e-mail de son destinataire, la date, l'heure et le fuseau horaire de la communication, le type de contenu (format de fichier...). Pour un réseau social, le nom d'utilisateur, la géolocalisation, le téléphone utilisé s'il s'agit d'une connexion mobile, la date à laquelle le compte a été créé. Sur Twitter, le nombre d'abonnés, l'application utilisée pour tweeter. Sur des pages web, les adresses URL visitées, l'heure de visite, le fournisseur d'accès, la version du système d'exploitation et du navigateur, les recherches sur Google - qui apparaissent dans l'URL... Et ce n'est qu'un échantillon. 

"Ces données, en apparence neutres, ne le sont pas. Espionner les métadonnées, c'est pire que tout, car potentiellement beaucoup plus intrusif", s'alarme Bernard Benhamou, ancien délégué aux usages de l'internet et actuel secrétaire général de l'Institut de la souveraineté numérique, un nouveau think tank présidé par le patron de Cloudwatt. "Une conversation correspond à une temporalité particulière. C'est un ensemble compliqué à réassembler pour donner du sens. Alors qu'avec les métadonnées, la structure est directement propice au traitement de masse", ajoute-t-il.  

 

Que peuvent révéler les métadonnées?

Vincent Blondel, chercheur en mathématiques appliquées à l'Université de Louvain, en Belgique, et spécialiste des métadonnées, nous donne quelques exemples.  

On peut par exemple estimer l'âge d'une personne en analysant avec qui elle est en contact: "On téléphone rarement à quelqu'un avec qui on a 10 ou 15 ans d'écart. En général on est plutôt en contact avec des gens de la même génération, ou qui ont une génération d'écart." De même pour la zone géographique: la probabilité d'être en communication avec quelqu'un décroît rapidement avec la distance. "Il a été observé que la probabilité d'une communication téléphonique entre deux personnes décroît proportionnellement au carré de leur distance", explique Vincent Blondel. On peut encore tenter des hypothèses sur la nature des relations, en fonction du moment où a lieu la communication, en week-end ou en semaine, le jour de Noël... 

Les recherches universitaires sur le sujet ne manquent pas. En 2013, une étude a montré que "quatre points géographiques sont suffisants pour identifier 95 % des utilisateurs dans une base de données de 1,5 million de personnes". Croisez ces données avec celles des transactions bancaires, et le MIT vous explique que l'identification est encore plus facile. 

A l'Université de Gand, des chercheurs ont réussi à retracer la vie d'un homme en seulement une semaine de métadonnées. En 2007, des chercheurs de l'université de Columbia ont été capables d'identifier les plus hauts cadres dirigeants d'Enron simplement en étudiant les volumes de mails échangés et les temps de réponse moyen, dans une base de données contenant 620 000 courriers électroniques. Les top managers étaient ceux qui recevaient le plus d'e-mails et les réponses les plus rapides. 

Avec les métadonnées, on peut aussi prédire l'avenir. C'est ce que fait Visa, qui calcule vos risques de divorcer en analysant vos comportements d'achat. Ou une organisation de défense des libertés civiles américaine, qui a montré que l'on pouvait prévoir le lieu où se trouvera une personne en examinant l'historique des lieux fréquentés par ses connaissances. 

 

Quelles métadonnées seront collectées?

Les excès permis par le système de collecte d'informations dépendent de la nature des métadonnées qui seront effectivement collectées et conservées. Ce " détail" est un secret. "Sur tous ces sujets, le discours est assez confus, résume Adrienne Charmet, porte-parole de la Quadrature du Net, une association militante qui défend les libertés civiles sur internet. "On ne sait pas, au final, ce qu'il y a aura dans ces boîtes noires". 

Selon la Quadrature du Net, les risques pour la vie privée sont élevés. Sa conviction se fonde sur trois lettres: DPI. "Pour connaître les adresses mail, les mots de passe, ou encore les URL des sites visités, les experts (par exemple ici et ici, ndlr) vous le disent : il faut du DPI (une technique d'analyses des paquets de données transitant sur le réseau, autrement dit on s'autorise à ouvrir tous les paquets, ndlr). Avec des boîtes noires mais sans DPI, le système n'a aucune raison d'être, je ne vois pas ce qu'ils peuvent récupérer", explique Adrienne Charmet. Sur son blog, l'administrateur système Jean-Baptiste Favre écrit que "les boîtes noires utiliseront du DPI, seul moyen pour pouvoir analyser le contenu réseau pour en extraire les métadonnées qui intéressent tant les services de renseignement". 

Pour les opposants au projet de loi, le DPI, c'est l'arme de surveillance ultime. Le diable. C'est le DPI qui sert à mettre en oeuvre la censure d'Etat, comme en Chine. A tel point que Bernard Cazeneuve dément que ses services y auront recours... sans toutefois expliquer comment ils s'y prendront. 

 

Pourra-t-on vraiment détecter les "signaux faibles"?

Encore faut-il que les services de renseignements aient les moyens (humains, techniques, financiers) de faire parler ces masses de données. L'aspect matériel ne devrait pas poser de problèmes. "Toutes les métadonnées des communications mobiles en Europe, sur un an, tiennent quasiment sur un disque dur vendu dans le commerce, explique Vincent Blondel. Les algorithmes actuels peuvent analyser de très gros volumes de données à faible coût." 

En revanche, l'efficacité technique est sujette à discussion. Si on sait ce que l'on cherche, c'est facile. Dans le cas contraire, c'est plus compliqué. "Pour peu que l'on dispose de certains renseignements, comme son lieu de travail ou ses horaires par exemple, on peut identifier une personne dans une base de données anonymes, tant qu'on sait que cette personne s'y trouve, explique le chercheur Vincent Blondel. Mais si l'on ne sait pas ce qu'on cherche, on peut détecter des événements 'extraordinaires'. C'est une directive que l'on peut donner à l'algorithme". 

La loi sur le renseignement repose sur deux postulats. Le premier: la collecte est anonyme et elle ne menace pas les libertés. Le second: le dispositif est efficace. Les deux sont, pour le moins, discutables. 

 

 

Tag(s) : #Liberté d'expression

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :