Google pourrait bien se faire prochainement taper sur les doigts par les gardiennes de la vie privée en Europe ! C’est en tout cas ce que croit savoir le Guardian, qui avançait il y a deux jours :

Le changement unilatéral de la politique de confidentialité de Google en mars dernier devrait subir dans les jours qui viennent les foudres des commissions européennes en charge de la protection des données.

Dans le viseur : la drôle de tambouille opérée il y a quelques mois sur ses comptes utilisateurs. Google avait alors décidé de réunir en un bloc allégé les conditions d’utilisation (CGU) de ses différents services : YouTube, Gmail, Google+ et compagnie. Unifiant au passage les informations laissées par un même utilisateur sur les sites en question : historique de navigation, mails ou bien encore vidéos et chaînes favorites. Bref, tout.

À en croire l’argumentaire d’alors, cette rénovation permettait d’offrir plus de lisibilité aux utilisateurs, en instaurant une “expérience magnifiquement simple” à travers l’univers magique de Google.

Mais la Cnil ne croit pas vraiment au monde merveilleux des Googlenours, et levait déjà un sourcil circonspect face à ces changements, qui apparaissent surtout “magnifiquement simples” pour une utilisation bien plus fine et ciblée des données personnelles. Elle n’a pas hésité à tacler l’opération de Google dès son lancement, en mars dernier, évoquant son “inquiétude” et allant jusqu’à réclamer au géant américain de mettre ce chantier en pause :

[...] Au lieu d’améliorer la transparence, la formulation des nouvelles règles et la possibilité de combiner des données issues de différents services soulèvent des inquiétudes et des interrogations sur les pratiques réelles de Google. Avec les nouvelles règles, Google pourra suivre et associer une grande partie des activités des internautes, grâce à des produits comme Android, Analytics ou ses services de publicité.
[...]
La CNIL a envoyé une lettre à Google pour lui faire part de ces inquiétudes. Au regard des premières conclusions de cette enquête, la CNIL a réitéré, pour le compte du groupe des CNIL européennes, sa demande à Google d’un report de la mise en œuvre des nouvelles règles.

Face à ces inquiétudes partagées dans différents pays de l’Union, la Cnil annonçait dans le même temps avoir “été désignée par les CNIL européennes pour mener l’analyse des nouvelles règles de confidentialité de Google”. Réunis au sein d’un groupe de travail baptisé “Article 29″, ces gendarmes de la vie privée ont en effet pour ambition d’orienter la Commission européenne en matière de protection des données personnelles.

Toujours selon la Cnil, les premiers examens n’étaient pas bons et laissaient croire que Google ne respectait “pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en termes d’information des personnes concernée.” Une position alors vivement partagée par Viviane Reding, commissaire européenne en charge de la justice, qui lançait dans un entretien au Guardian :

Nous ne sommes pas en train de jouer à un jeu ici !

S’en était suivie une véritable partie de ping-pong institutionnel, fait de rencontres, de lettres [PDF] et d’envois de questionnaires, visant à élucider l’utilisation que fait Google de nos données. Et qui n’a pas permis à la Cnil de lever ses inquiétudes. En clair, c’était mal barré pour Google en Europe et la situation ne semble pas s’être arrangée avec le temps…

Toujours selon le Guardian, les Cnil européennes peuvent exiger de Google qu’il annule ces changements, bien que le scénario soit peu probable. “Ce serait comme vouloir ‘retirer les œufs de l’omelette’”, estime un avocat conseil du groupe de pression Icomp, présenté par le journal anglais comme “critique des politiques de Google”.

Contactée hier par Owni, la Cnil n’a pas souhaité faire de déclarations dans l’immédiat, précisant qu’une communication sur la question était prévue dans une semaine. Rendez-vous est donné le mardi 16 octobre 2012 à 10h30. De son côté, Google indique ne pas avoir reçu de “notification ou de message en ce sens”, et déclare ne pas avoir “de commentaire a partager.”

---

CCTV Google on Fourth Avenue – Photo CC [by-nd] Hrag Vartanian

Les États occidentaux s’agacent de l’emploi de technologies chinoises aux coeurs des réseaux. La France a ouvert le bal en juillet dernier. Le sénateur Jean-Marie Bockel y consacre une partie de son rapport sur la cyberdéfense.

Recommandation n°44, interdire sur le territoire nationale et européen le déploiement et l’utilisation de “routeurs” ou d’équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les “routeurs” ou d’autres équipements informatiques d’origine chinoise.

Le discours est clair. Il lui a été soufflé Outre-Rhin par le ministère de l’intérieur allemand et le BSI, l’équivalent de l’ANSSI française (chargée de la cybersécurité et de la cyberdéfense). Deux constructeurs sont visés : Huawei et ZTE.

L’entremise parlementaire est habile, elle n’engage pas le gouvernement français. Les États-Unis ont rejoint le mouvement cette semaine. Avec la même malice, l’annonce émane de deux parlementaires. Quels sont donc ces grands méchants routeurs qui les effraient tant ?

Échangeur pour paquets

Tout simplement des boites posées à l’endroit où se rencontrent deux ou plusieurs lignes (les points d’interconnexion). Traduisez boîte en anglais (box) et une image apparaîtra tout de suite : celle des chères box internet de chez vous.

Comme pour les box à domicile, les opérateurs utilisent des routeurs, dont la taille diffère certes, mais dont le principe reste le même. “Les routeurs voient passer les paquets de connexion et les transmettent” explique l’ingénieur Stéphane Bortzmeyer de l’Afnic, l’association qui gère les noms de domaine dont le .fr. Un échangeur en quelque sorte. Les données arrivent et sont redistribuées vers différentes routes en fonction de l’encombrement du trafic sur chacune.

Comme sur le routeur mécanique ci-dessous :

Des points clefs pour le bon fonctionnement d’Internet donc. En 2008, une erreur de routage de Pakistan Telecom avait tout simplement rendu YouTube inaccessible… dans le monde entier. Pour empêcher l’accès au site de partage de vidéos, les routeurs devaient renvoyer les connexions vers une destination inconnue, “un trou noir”. Les paquets (la bille sur la photo ci-dessus) n’étaient plus dirigés vers un tuyau, mais vers une impasse ou un trou. Problème : le fournisseur d’accès de Pakistan Telecom à Hong Kong a suivi la même règle de routage et ainsi de suite.

“Les routeurs sont un peu partout, dans les points d’interconnexion et dans les réseaux”, confirme Stéphane Bortzmeyer :

Il ressemble à des sortes de grands distributeurs de boissons (en fonction de leur importance).

Selon “la petite enquête informelle” de Jean-Marie Bockel, aucun opérateur français n’utilise d’équipements chinois pour les cœurs de réseau. A l’instar de France Telecom qui en a installé sur sa chaîne, mais qui préférerait des produits Alcatel-Lucent (le géant franco-américain) pour les points les plus sensibles.

Stéphane Bortzmeyer est sceptique. “Personne n’a intérêt à dire qu’il utilise les produits chinois, les moins chers du marché. Mieux vaut se prévaloir de Juniper ou Cisco”. Le hard discount contre l’épicerie fine en somme. Que se passe-t-il donc dans ses routeurs de coeurs de réseau qui affolent tant les autorités ?

Technologie duale

Le rapport Bockel pointe le risque “[qu’un] un dispositif de surveillance, d’interception, voire un système permettant d’interrompre à tout moment l’ensemble des flux de communication” soit discrètement placé à l’intérieur. Vu la quantité de données qui transitent par ces péages et la vitesse à la laquelle elles transitent, leur stockage paraît peu probable à Stéphane Bortzmeyer. “Il est possible de les dériver vers une autre ligne” explique-t-il. Avant de blâmer l’opacité qui entoure les routeurs, tant chinois que français et américains :

Aucun audit n’est possible. C’est l’archétype de la vieille informatique. Comme pour les serveurs, il faudrait utiliser uniquement du libre qu’on puisse “ouvrir”.

Que Huawei se vante de faire du Deep Packet Inspection – comme le note Jean-Marie Bockel dans son rapport (page 119) – cette technologie duale qui permet tant de mesurer la qualité du réseau que de l’interception, ne suffit pas à jeter opprobre sur le géant chinois. Stéphane Bortzmeyer rappelle au passage les performances françaises en la matière, qui portent entre autres les noms d’Amesys ou Qosmos.

---

Car Trail Lights Art – photo CC [by-nc-sa] Theo van der Sluijs ; Mechanical router – photo CC by Joi Ito.

Depuis presque deux ans, Google est sous le coup d’une enquête visant à déterminer si les résultats de son moteur de recherche ne tendent pas à favoriser ceux qui collent à ses intérêts. À l’origine, trois plaintes déposées par Ciao, e-justice et Foundem. D’autres s’y étaient ajoutées : au 20 septembre dernier, on en dénombrait quasi cinq fois plus. Al Verney, lobbyiste en chef à Bruxelles souhaitait prouver en novembre dernier la bonne volonté de Google à travailler avec les services de la Commission pour “résoudre le problème” :

Depuis que nous avons crée Google, nous travaillons dur pour faire en sorte de garder au coeur de notre activité les intérêts de nos utilisateurs et de notre secteur – en garantissant que nos publicités soient toujours clairement identifiées, en rendant simple pour les utilisateurs et les publicitaires la récupération de leurs données quand ils changent de service et en investissant massivement dans des projets open source. Mais il y a toujours une marge d’amélioration et nous travaillons avec la Commission pour répondre à toutes les interrogations qu’ils pourraient avoir.

Les intérêts des utilisateurs de Google tiraient donc vers les intérêts personnels et financiers de la firme, en toute logique pour une entreprise. Hier, comme le rappelle Le Monde, le Financial Times expliquait (selon “une source proche du dossier”) :

En vertu de cette proposition, Google apposerait sa marque sur toutes ses cartes, ses évaluations boursières, ses informations sur les vols ou d’autres éléments d’informations fournis dans les résultats des recherches.

Compte tenu des sommes qui pourraient être demandées à Google au terme de cette enquête pour soupçons d’abus de position dominante – jusqu’à 10% de leur colossal chiffre d’affaires – apposer leur logo semble bien léger et bien dérisoire pour être pris pour de la bonne volonté.

---

Photo Lady Justice CC [by-nc-sa] Scott* – retouchée par Owni /-)

En début de semaine, le Congrès américain frappait d’ostracisme les filiales américaines des groupes chinois Huawei et ZTE, en convoquant une conférence de presse pour inviter l’industrie américaine à ne plus travailler avec ces entreprises spécialisées dans les infrastructures de télécommunications. Huawei et ZTE équipent des data centers, des fournisseurs d’accès à Internet (FAI) ou vendent des composants de la téléphonie mobile. Des technologies considérées comme autant de menaces potentielles par le Congrès.

À l’appui de cette attaque en règle, un rapport émanant de la Commission du renseignement de la Chambre des représentants. Dont les membres, depuis plusieurs mois, ne cachent pas tout le mal qu’ils pensent de la présence – encore modeste – de Huawei et ZTE sur le marché américain.

La version finale de leur document de 60 pages – que nous avons lu, ici en PDF – multiplie les affirmations quant à l’opacité de ces deux géants chinois des télécoms et du numérique, à la fois fabricants et prestataires de service. Sans toutefois apporter de preuves matérielles convaincantes.

Une absence regrettable dans la mesure où ces attaques contre Huawei et ZTE interviennent sur fonds de tensions économiques sur le marché des télécoms américains, en raison de la concurrence que ces groupes représentent. Peu après la conférence de presse du Congrès, la direction de Huawei a d’ailleurs répondu en laissant entendre qu’il s’agirait d’un mauvais procès motivé par la course vers de juteuses parts de marché.

Opérations militaires

Sur un plan matériel, le document s’appuie le plus souvent sur des informations déjà publiées dans la presse, même si une note de bas de page mentionne l’existence d’annexes classifiées, portant sur le travail des services américains de renseignement quant à la réalité de ce risque.

Le rapport a été rédigé par deux élus suivant régulièrement “la communauté du renseignement” et ses enjeux, Dutch Ruppersberger et Mike Rogers.

Alors que ce dernier a fait une partie de sa carrière au FBI, Ruppersberger, pour sa part, passe pour un parlementaire très attentif aux questions de souveraineté nationale. Au Congrès, depuis plusieurs législations, il représente le second district du Maryland, la circonscription où campe la National Security Agency (NSA), à Fort Meade, ainsi que la plupart des commandements américains impliqués dans les opérations militaires sur les réseaux numériques. En particulier le US Cyber Command. Dans ce second district du Maryland on compte ainsi près de 38 000 personnes travaillant pour l’appareil sécuritaire du gouvernement.

Et plusieurs dizaines de milliers d’autres employées dans des sociétés privées sous-traitantes. Tout un monde qui vit – à tort ou à raison – sur la base d’une économie du soupçon ciblant les acteurs chinois dans des technologies de l’information.

À défaut de preuves irréfutables à l’encontre de ces entreprises chinoises, la démarche des parlementaires américains peut paraître un rien étonnante. En effet, le géant américain Cisco semble entretenir les mêmes ambiguïtés que celles reprochées à Huawei et ZTE – contrats avec les militaires de leur pays d’origine et partenariats avec des agences de renseignement.

Espionnage

Avec des conséquences tout aussi préoccupantes pour le citoyen. Depuis le début des années 2000, à travers le monde, Internet se développe grâce à des routeurs fournis par Cisco ou par les cinq autres sociétés américaines ou franco-américaine (Alcatel-Lucent) qui maîtrisent ces technologies et travaillent parallèlement avec le complexe militaire de leur pays – jusqu’à l’arrivée d’Huawei qui les concurrence.

À ce titre, pour les observateurs américains, les accointances entre Cisco et la NSA sont légions. Selon l’enquêteur James Bamford, auteur de plusieurs livres qui font autorité sur la NSA et les technologies d’espionnage, cette proximité relève de l’essence même de la NSA, au regard de ses missions de surveillance globale des réseaux. Lors d’un entretien avec des journalistes de la chaîne PBS Bamford affirmait :

L’une des choses que la NSA fait c’est de recruter beaucoup de gens venant de l’industrie des télécoms, donc de gens qui connaissent comment Internet fonctionne, qui savent comment certains systèmes à l’intérieur d’Internet sont construits. Par exemple, ils pourraient recruter des gens de Cisco qui construisent divers routeurs, et les intégrer dans la NSA pour ensuite déconstruire le fonctionnement des routeurs.

Les enjeux financiers provoqués par le gonflement des budgets militaires après le 2001 ont accentué cette dynamique. De nos jours, le groupe Cisco, via un département spécialisé – dénommé Federal Intel Area -, propose des services de surveillance et de traitement du renseignement sur-mesure à l’ensemble des services secrets américains ; comme le montre cette brochure commerciale [pdf]. Une relation qui semble parfaitement assumée ; nous avons retrouvé sur LinkedIn le CV détaillé de l’un des responsables de ce programme actuellement en poste chez Cisco.

Finalement, ces relations entre entrepreneurs du numérique et appareil sécuritaire s’inscrivent dans la tendance naturelle de tous les États à contrôler et surveiller tous les réseaux de communication – depuis le télégraphe jusqu’à Internet. Le 14 août dernier près de Baltimore, lors d’une conférence réunissant des agences du département américain de la Défense impliquées dans le renseignement électronique, Keith Alexander, patron de la NSA, a rappelé cette évidence lors d’une intervention de près de 40 minutes consacrée aux opérations de la NSA dans le cyberespace.

S’exprimant sur quelques détails des missions de son agence sur le numérique, il a évoqué les 18 câbles sous-marins reliant les États-Unis au continent européen et permettant aux connexions Internet de traverser l’Atlantique grâce à de multiples relais technologiques… Et les partenariats avec des pays comme la Grande-Bretagne ou la France permettant de surveiller l’ensemble.

Ces acteurs technologiques étant les clients des appareils sécuritaires de leur pays d’origine, il est difficile des les imaginer ne bâtissant pas ces ponts qui facilitent leur tâche – au nom de l’idée qu’ils se font de leur propre sécurité nationale, et des intérêts qu’ils partagent.

---

Festival of lights, Photo CC by Rene Mensen | 365 Day 256, Photo CC by Collin Harvey.

“La stratégie du Gouvernement pour le numérique.” C’est l’un des gros morceaux qui était au menu ce matin du Conseil des ministres. Et c’est Fleur Pellerin, ministre en charge de l’économie numérique, qui a été chargée d’en tracer les grandes lignes.

L’exercice, sorte de synthèse des gros dossiers en cours, devrait ” guider le Gouvernement dans l’établissement de sa feuille de route pour le numérique”, indique l’Élysée. Un plan détaillé qui sera présenté par le Premier ministre en février 2013, “à l’occasion d’un séminaire gouvernemental dédié au numérique”, poursuit le communiqué.

Chantier titanesque

Sans surprise, le chantier est titanesque. Et les dossiers aussi variés que nombreux.

“Couverture intégrale du territoire en très haut débit”, dont le gouvernement assure reprendre “le pilotage” ; “sécurité des réseaux, systèmes et données, de l’indépendance technologique ou de la capacité des autorités judiciaires et administratives à agir en cas de besoin”, qui devrait notamment couvrir la polémique sur le géant chinois Huawei, ou bien encore “respect de la vie privée” et “protection des personnes face à la multiplication des fichiers.” Bercy semble vouloir donner une suite à la fameuse affaire du bug (ou pas) Facebook, en sollicitant particulièrement la Cnil sur les questions de données personnelles.

Et ce n’est pas tout. A cela s’ajoute encore le gros volet de la fiscalité du numérique, au cœur de nombreuses réflexions déjà lancées dans les différents ministères. Ainsi celle sur le rapprochement du CSA et de l’Arcep, dont les premières conclusions devraient arriver dès novembre, ou bien encore la mission de Pierre Lescure, chargée de réfléchir à des mécanismes de financement de la création, sans oublier les conclusions sur le sujet de Colin et Collin, respectivement inspecteur des finances et conseiller d’Etat, attendues aux alentours du mois de décembre prochain.

Pour compléter ces tâches de fond, le gouvernement indique également sa volonté de créer à Paris “ou en proche banlieue” un “grand quartier du numérique”. Baptisé “Paris Capitale Start-up”, il a pour objectif de “développer l’attractivité internationale de la France dans le numérique”. Selon La Tribune, qui révélait hier soir les détails de ce plan, “l’extrême-est de Paris, vers Ivry” aurait été évoqué. L’initiative devrait s’appuyer sur les dispositifs déjà mis en place par la région ou la ville de Paris en matière d’incitation à l’innovation.

Elle n’est pas sans rappeler l’ambition britannique, de muter Londres et son quartier consacré “TechCity” en “capitale européenne du numérique”. A en croire La Tribune, le gouvernement copierait même le modèle d’outre-Manche. Une offensive qui vient poursuivre le bras de fer franco-anglais entamé sous Nicolas Sarkozy autour de l’innovation, du numérique, et de l’organisation de certains de ses événements phare, tel que Le Web.

Coordination

Reste à coordonner le bouzin. En la matière, le gouvernement semble vouloir mettre l’accent sur l’inter-ministériel. En organisant le séminaire gouvernemental sur le numérique en février 2013 d’abord, mais aussi en réfléchissant à la meilleure manière d’articuler la question avec l’ensemble des thématiques qu’elle recouvre. Toujours selon La Tribune, une “enceinte de coordination” chargée de piloter le tout devrait être mise en place.

Selon nos informations, cette enceinte devrait se démarquer du Conseil national du numérique (CNN) voulu par Nicolas Sarkozy, qui s’apprête néanmoins à retrouver un second souffle. Mis en veille à l’arrivée de la nouvelle majorité et avec la nomination, en juillet dernier, d’un nouveau président, le CNN va reprendre du service avec de nouvelles têtes. La Tribune avance les noms de Daniel Kaplan (Fondation Internet Nouvelle Génération), ou encore Stéphane Distinguin (FaberNovel). Des entrepreneurs et experts du numérique connus pour être proches des cercles socialistes (lire notre ebook : Partis en ligne).

Certains des membres historiques du CNN devraient néanmoins garder leur place, poursuit le quotidien économique. Ainsi Giuseppe de Martino (Dailymotion) ou Gilles Babinet (ancien président du CNN, aujourd’hui “Digital Champion” français auprès de l’Union européenne). Selon nos informations, la présence de ce dernier est bel et bien confirmée.

Au-delà de l’effet d’annonce de ce Conseil des ministres, difficile d’entrevoir les nouveautés du gouvernement en matière de numérique. Six mois après la présidentielle, pendant laquelle le PS semblait bien déplumé sur le sujet, la “stratégie numérique” annoncée n’est ici pas davantage étoffée ; Fleur Pellerin ne reprenant finalement que pèle-mêle les dossiers déjà ouverts. Pire, cette feuille de route se voit renvoyée à février prochain. Face aux couacs récents sur l’affaire du bug Facebook ou la bruyante bronca du mouvement des “pigeons” web-entrepreneurs, le gouvernement tenterait-il une manœuvre d’ e-séduction ?

---

Photo CC by Ibrahim Iujaz