Ces révélations d’une ampleur inédite ont été à l’origine d’une remise en cause des « piliers fondamentaux » de la confiance sur Internet. Or la confiance constitue la clé de voûte du fonctionnement économique de l’Internet mais elle constitue aussi l’épine dorsale du fonctionnement des démocraties. En effet, parallèlement aux questions liées aux libertés publiques, avec la surveillance de masse, l’affaire Snowden a été à l’origine d’une remise en cause de la confiance dans les technologies de sécurité du réseau et en particulier dans la confidentialité des échanges[1]. Ainsi, la création de failles ou de portes dérobées dans les algorithmes cryptographiques a créé de nouveaux risques pour l’ensemble des usagers de l’Internet. En effet, une fois qu’elles ont été conçues, ces failles sont « agnostiques » et sont aussi accessibles aux agences de sécurité… qu’aux cybercriminels. Comme le note Edward Snowden, les programmes de la NSA ont fragilisé les dispositifs de sécurité de l’Internet et ont rendu encore plus vulnérables nos entreprises, nos infrastructures critiques… et donc nos données. Ainsi, comme le résume la revue de la Harvard Kennedy School : « Une mauvaise crypto est mauvaise pour vous et très bonne pour les « méchants[2] »… ».

Les conséquences économiques liées à cette crise de confiance sur Internet sont devenues telles que l’agence fédérale américaine chargée d’élaborer les standards de chiffrement (NIST ou National Institute of Standards and Technology), souhaite désormais s’émanciper de la NSA[3]. Dans le même temps, les industriels des technologies qui ont déjà perdu d’importants contrats internationaux, en particulier en Chine[4], se sont adressés au Gouvernement américain pour qu’il « mette fin de façon claire, nette et définitive à la surveillance de masse[5] ». La découverte de failles introduites dans les matériels informatiques eux-mêmes[6] pose des difficultés nouvelles. En effet, à la différence des « backdoors » présents dans les dispositifs logiciels, ces failles « hardware » nécessitent pour être détectées un niveau d’expertise beaucoup plus élevé et la mise en œuvre de technologies plus coûteuses[7].

Des effets de bord politiques et économiques

La surveillance de masse a aussi pour conséquences l’établissement de nouvelles formes d’autocensures. Ainsi, comme l’ont démontré la Chine et plus récemment les États-Unis, la défiance envers les intermédiaires technologiques (comme les fournisseurs d’accès ou les fabricants de matériels informatiques) génère une autocensure diffuse et généralisée. Les conséquences de cette autocensure correspondent à un appauvrissement du débat dans les sociétés démocratiques auxquels viennent s’ajouter des effets économiques encore imprévisibles sur le développement et la diffusion des innovations. Ce que le créateur du Web, Tim Berners-Lee nomme « Les insidieux effets de refroidissement de la surveillance sur Internet…[8] ».

En plus de leurs effets de bord politiques et économiques, les mesures de surveillance de masse ne semblent pas avoir prouvé leur efficacité dans la lutte contre le terrorisme[9]. Si l’opinion publique française a semblé être en retrait en termes de réactions aux révélations Snowden[10], la montée en puissance des interrogations sur ces questions pourrait intervenir avec le débat sur la discussion sur le projet de loi sur le Renseignement et ce d’autant plus que des programmes de recueil en masse des métadonnées ont été découverts en France en amont du débat parlementaire[11].

Une autre conséquence de cette crise aura été de démontrer l’importance stratégique des structures chargées d’élaborer les normes et technologies de l’Internet. Ce constat doit désormais pousser les acteurs européens à coordonner leurs actions dans ce domaine. Ainsi, comme le rappelait Sigmar Gabriel, le ministre fédéral Allemand de l’Économie et de l’Énergie, les acteurs européens des technologies doivent être en mesure d’élaborer les normes sur lesquelles reposeront demain les activités des entreprises européennes[12] et ce d’autant plus que ces technologies auront progressivement un impact sur l’ensemble des secteurs économiques.

Des métadonnées plus importantes que les données

L’un des points qui a soulevé le plus de controverses lors de la préparation du projet de loi sur le renseignement est lié à l’usage par les agences de sécurité des dispositifs de « boîtes noires » permettant de collecter les métadonnées. Ces métadonnées ou « données sur les données » correspondent aux informations liées à l’activité des usagers de l’Internet. Au départ associées aux informations relatives aux données des communications téléphoniques, elles ont trop longtemps été perçues comme un sous-produit « technique » d’une importance moindre que celles des contenus transmis. La particularité de ces métadonnées est que, du fait de leur structure, elles sont plus facilement intégrables dans des algorithmes informatiques que les messages écrits ou les conversations enregistrées. En raison de la montée en puissance des capacités de traitement des données en masse (big data), ces métadonnées sont devenues plus révélatrices du comportement des usagers que le contenu de leurs courriers électroniques. Ces métadonnées sont désormais au cœur des modèles économiques des acteurs de l’Internet et bientôt de l’Internet des objets.

Ainsi, à partir des métadonnées comme la géolocalisation, l’adresse, l’heure et la durée de connexion, et bientôt la consommation énergétique, l’activité physique ou encore les habitudes de conduite d’un véhicule, il devient possible d’établir des profils psychologiques d’utilisateurs, mais aussi de déduire leurs convictions philosophique, religieuses ou encore leur origine ethnique… De nouvelles générations d’algorithmes peuvent ainsi être créées pour analyser ces données et aider à prévoir le comportement des usagers. Ainsi, pour l’expert en cybersécurité Bruce Schneier, la surveillance des métadonnées a beaucoup plus d’intérêt dans le cadre de la surveillance de masse des populations que lors d’enquêtes ciblées où le contenu des messages doit être analysé[13]. Or dans le cadre d’enquêtes criminelles, ces messages sont le plus souvent analysés in fine par des opérateurs humains.

Éviter l’avènement d’une « société boîte noire[14] »

La localisation géographique des données personnelles ainsi que leurs modalités de traitement par les entreprises, restent le plus souvent inconnues des usagers. Or cette opacité devient à la fois un facteur d’incertitude et elle représente un risque d’intrusion par des acteurs étatiques dans des pays où les législations sont différentes de celle des usagers. De plus, les mutations technologiques liées à la montée en puissance des objets connectés et le développement des algorithmes de traitement des données en masse dans la quasi-totalité des activités quotidiennes, pourraient accentuer la perception d’une « société boîte noire » auprès des citoyens.

Les politiques publiques en matière de technologies doivent permettre aux citoyens d’acquérir la maîtrise des technologies de protection de la vie privée tout en permettant que les préoccupations légitimes des services de sécurité puissent coexister avec les libertés publiques sur Internet. Pour établir une meilleure transparence pour les usagers ainsi qu’une meilleure protection de leurs données, il convient de développer une culture technologique qui aille au-delà de la maîtrise des usages mais qui prenne en compte les évolutions politiques et technologiques de nos sociétés. Le risque de capture du pouvoir par une techno-élite industrielle et politique, seule à même d’établir les règles des sociétés numériques, doit aussi conduire les responsables politiques à favoriser une plus large maîtrise des enjeux de ces technologies par l’ensemble des citoyens. Il s’agit d’aider les citoyens, les entreprises ainsi que l’ensemble des acteurs publics à comprendre et maîtriser les mécanismes qui régissent l’écosystème des technologies de l’Internet. Cependant, à la différence des règles qui régissent les écosystèmes environnementaux, les éléments qui constituent l’architecture des écosystèmes technologiques sont susceptibles d’évoluer à mesure que les acteurs industriels ou les États en ressentent le besoin ou l’intérêt. Dans les pays démocratiques, la souveraineté du peuple doit ainsi s’exercer sur l’ensemble des technologies qui auront un impact sur les évolutions culturelles, sociales, économiques et politiques de nos sociétés.

[1] Voir les détails du programme Bullrun de la NSA, « Project Bullrun-classification guide to the NSA’s decryption program » (The Guardian, 5 septembre 2013).
http://www.theguardian.com/world/interactive/2013/sep/05/nsa-project-bullrun-classification-guide

[2] The Return of the Crypto Wars (Harvard Kennedy School Review, 12 mars 2015)
http://harvardkennedyschoolreview.com/the-return-of-the-crypto-wars/

[3] NIST pledges transparency in NSA dealings over crypto standards ( PC Advisor, 24 janvier 2015)
http://www.pcadvisor.co.uk/news/tech-industry/3595422/nist-pledges-transparency-in-nsa-dealings-over-crypto-standards/ ).

[4] Why China is making life miserable for big U.S. tech (Fortune, 26 février 2015)
http://fortune.com/2015/02/26/why-china-is-making-life-miserable-for-big-u-s-tech/

[5] « Tech companies call on US to end bulk collection of metadata » (Computerworld, 26 mars 2015)
http://www.computerworld.com/article/2902278/tech-companies-call-on-us-to-end-bulk-collection-of-metadata.html )

[6] Voir les détails du programme « Equation » de la NSA : « Don’t trust your phone, don’t trust your laptop – this is the reality that Snowden has shown us » (The Guardian, 8 mars 2015) http://www.theguardian.com/commentisfree/2015/mar/08/edward-snowden-trust-phone-laptop-sim-cards

[7] Kaspersky : The Equation Group looks and smells even more like the NSA (The Inquirer, 13 mars 2015)
http://www.theinquirer.net/inquirer/news/2395638/kaspersky-fingers-nsa-style-equation-group-for-hard-drive-backdoor-epidemic

[8] Sir Tim Berners-Lee Blasts “Insidious, Chilling Effects” Of Online Surveillance, Says We Should Be Protecting Whistleblowers Like Snowden (TechCrunch 22 novembre 2013)
http://techcrunch.com/2013/11/22/sir-tim-berners-lee-blasts-insidious-chilling-effects-of-online-surveillance-says-we-should-be-protecting-whistleblowers-like-snowden/

[9] Liberty And Security In A Changing World, Report and Recommendations of The President’s Review Group on Intelligence and Communications Technologies (décembre 2013) http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf

[10] Voir l’évolution comparée entre la France et l’Allemagne des requêtes sur Snowden effectuées via Google.
http://www.google.fr/trends/explore#q=Snowden&geo=FR,%20DE&date=today%2012-m&cmpt=geo&tz=

[11] Ce « Big Brother » dissimulé au cœur du renseignement (Le Monde, 11 avril 2015)
http://www.lemonde.fr/societe/article/2015/04/11/ce-big-brother-dissimule-au-c-ur-du-renseignement_4614233_3224.html

[12] Sigmar Gabriel : Le CeBIT 2015 est une étape importante pour la mise en œuvre de l’Agenda numérique (16 mars 2015)

http://www.bmwi.de/FR/Presse/communiques-de-presse,did=697842.html
[13] NSA Doesn’t Need to Spy on Your Calls to Learn Your Secrets (Wired, 25 mars 2015)
http://www.wired.com/2015/03/data-and-goliath-nsa-metadata-spying-your-secrets/

[14] The Black Box Society par Frank Pasquale
http://www.hup.harvard.edu/catalog.php?isbn=9780674368279