Le mythe de la surveillance de masse
samedi 11 avril 2015 à 00:00CAFAI Liens en Vrac 11/04/2015
La surveillance de masse d’internet, en matière d’antiterrorisme, ça ne marche pas. C’est aussi simple que ça.
D’abord, il y a le problème des données. Lorsque Google construit votre profil à partir des informations dont il dispose, vous ne faîtes rien – ou très peu – pour lui cacher vos centres d’intérêts. Mais dans le cas d’un terroriste qui, par hypothèse, préparerait un attentat sur internet, c’est exactement le contraire : il va tout faire pour être aussi discret que possible et ce, d’autant plus qu’il sait pertinemment que la NSA est dans le périmètre. Concrètement, ça signifie que notre hypothétique terroriste est caché derrière un VPN, qu’il ne surfe qu’en utilisant TOR et que toutes ses communications sensibles passent par des systèmes cryptés comme Cryptocat ou Surespot. C’est une évidence : les seules « données de connexion » que votre système de surveillance captera seront celles d’internaute qui n’ont aucune raison particulière de se cacher.
Ensuite, il y a le problème de traitement des données ; les fameux algorithmes. Lorsque Google établit votre profil pour mieux sélectionner les publicités qu’il vous mettra sous le nez, il peut se contenter d’information partielles (Google se fiche éperdument de qui vous êtes concrètement) et surtout, il peut se permettre de faire des erreurs. En matière d’antiterrorisme, c’est très différent ; pour bien comprendre, chiffrons un peu. Supposez que sur une population de 37 millions d’individus, on estime que 3 000 sont des terroristes potentiels (0,008%). Un système de détection fiable à 99% (ce qui serait miraculeux), ça signifie qu’il va identifier 2 970 de ces terroristes et en laisser filer 30 mais ça signifie aussi qu’il va accuser à tort 369 970 innocents. Pour éliminer ces faux positifs qui représente, mine de rien, plus de 99% des alertes de votre système, il va falloir diligenter pas moins de 372 940 enquêtes approfondies : autant vous dire que nous sommes très loin de pouvoir nous le permettre.
Seulement voilà, le Big Data, les algorithmes et les métadonnées ça fait rêver et ça fait en particulier rêver ceux qui, parmi nos décideurs, n’ont pas la moindre notion de ce que sont ces étranges choses auxquelles ils prêtent des vertus presque magiques. Écoutez notre ministre de la défense nous parler des fameuses boîtes noires prévues à l’article L.851-4 du projet de loi sur le renseignement et vous aurez comme moi le sentiment qu’il récite de mémoire un discours auquel il ne comprend absolument rien. Monsieur le Drian a sans doute bien des compétences mais je vous fiche mon billet qu’il n’a qu’une très vague idée de ce qu’est un algorithme et qu’il ne sait absolument rien du type de données qu’on peut trouver sur les serveurs d’un fournisseur d’accès à internet.
C’est sans doute la meilleure façon d’interpréter l’épais mystère qui entoure ce système : eux-mêmes n’en savent rien. Vous riez à gorge déployée quand Monsieur Urvoas, rapporteur du projet de loi, propose d’obliger les « fournisseurs de services cryptographiques » (entendez les VPN et les systèmes de messagerie cryptée) à livrer leurs clés de chiffrement aux services de renseignement mais lui, de toute évidence, il y croit. C’est un problème générationnel, un problème de culture : ces gens ne comprennent rien à internet, perçoivent cette chose comme une menace d’autant plus terrifiante que, justement, il ne la connaissent pas et sont prêts à acheter n’importe quelle potion magique au premier charlatan venu pourvu que ça tienne la bête infâme à distance.
On en est là et pendant ce temps, les terroristes, les vrais, doivent hurler de rire en se racontant des histoires de français sur Surespot.
(Permalink)
Liens Ecyseo 11/04/2015
Pas faux. Mais les lois qui sortent sont elles aussi vraies et complètement incompatibles avec le respect de la vie privée...
(Permalink)
Les liens de khrogos 11/04/2015
trés pertinent. au final, la surveillance de masse, say nul.
(Permalink)
Escales internautiques > CAFAI Liens en Vrac 11/04/2015
(Permalink)
La surveillance de masse d’internet, en matière d’antiterrorisme, ça ne marche pas. C’est aussi simple que ça.
D’abord, il y a le problème des données. Lorsque Google construit votre profil à partir des informations dont il dispose, vous ne faîtes rien – ou très peu – pour lui cacher vos centres d’intérêts. Mais dans le cas d’un terroriste qui, par hypothèse, préparerait un attentat sur internet, c’est exactement le contraire : il va tout faire pour être aussi discret que possible et ce, d’autant plus qu’il sait pertinemment que la NSA est dans le périmètre. Concrètement, ça signifie que notre hypothétique terroriste est caché derrière un VPN, qu’il ne surfe qu’en utilisant TOR et que toutes ses communications sensibles passent par des systèmes cryptés comme Cryptocat ou Surespot. C’est une évidence : les seules « données de connexion » que votre système de surveillance captera seront celles d’internaute qui n’ont aucune raison particulière de se cacher.
Ensuite, il y a le problème de traitement des données ; les fameux algorithmes. Lorsque Google établit votre profil pour mieux sélectionner les publicités qu’il vous mettra sous le nez, il peut se contenter d’information partielles (Google se fiche éperdument de qui vous êtes concrètement) et surtout, il peut se permettre de faire des erreurs. En matière d’antiterrorisme, c’est très différent ; pour bien comprendre, chiffrons un peu. Supposez que sur une population de 37 millions d’individus, on estime que 3 000 sont des terroristes potentiels (0,008%). Un système de détection fiable à 99% (ce qui serait miraculeux), ça signifie qu’il va identifier 2 970 de ces terroristes et en laisser filer 30 mais ça signifie aussi qu’il va accuser à tort 369 970 innocents. Pour éliminer ces faux positifs qui représente, mine de rien, plus de 99% des alertes de votre système, il va falloir diligenter pas moins de 372 940 enquêtes approfondies : autant vous dire que nous sommes très loin de pouvoir nous le permettre.
Seulement voilà, le Big Data, les algorithmes et les métadonnées ça fait rêver et ça fait en particulier rêver ceux qui, parmi nos décideurs, n’ont pas la moindre notion de ce que sont ces étranges choses auxquelles ils prêtent des vertus presque magiques. Écoutez notre ministre de la défense nous parler des fameuses boîtes noires prévues à l’article L.851-4 du projet de loi sur le renseignement et vous aurez comme moi le sentiment qu’il récite de mémoire un discours auquel il ne comprend absolument rien. Monsieur le Drian a sans doute bien des compétences mais je vous fiche mon billet qu’il n’a qu’une très vague idée de ce qu’est un algorithme et qu’il ne sait absolument rien du type de données qu’on peut trouver sur les serveurs d’un fournisseur d’accès à internet.
C’est sans doute la meilleure façon d’interpréter l’épais mystère qui entoure ce système : eux-mêmes n’en savent rien. Vous riez à gorge déployée quand Monsieur Urvoas, rapporteur du projet de loi, propose d’obliger les « fournisseurs de services cryptographiques » (entendez les VPN et les systèmes de messagerie cryptée) à livrer leurs clés de chiffrement aux services de renseignement mais lui, de toute évidence, il y croit. C’est un problème générationnel, un problème de culture : ces gens ne comprennent rien à internet, perçoivent cette chose comme une menace d’autant plus terrifiante que, justement, il ne la connaissent pas et sont prêts à acheter n’importe quelle potion magique au premier charlatan venu pourvu que ça tienne la bête infâme à distance.
On en est là et pendant ce temps, les terroristes, les vrais, doivent hurler de rire en se racontant des histoires de français sur Surespot.
(Permalink)
Liens Ecyseo 11/04/2015
Pas faux. Mais les lois qui sortent sont elles aussi vraies et complètement incompatibles avec le respect de la vie privée...
(Permalink)
Les liens de khrogos 11/04/2015
trés pertinent. au final, la surveillance de masse, say nul.
(Permalink)
Escales internautiques > CAFAI Liens en Vrac 11/04/2015
(Permalink)