17h00 Exposé de clôture, Pr François Pellegrini - Université de Bordeaux
Transcript
00:00 Alors maintenant,
00:02 il revient un ami de notre association, le soin de conclure cette journée.
00:09 Il est un fidèle de nos événements depuis plusieurs années. Si pour le présenter j'ai choisi ce symbole de la liberté,
00:16 s'il vous plaît, diapo suivante.
00:19 Elle vient pas. Bon.
00:28 Non. Ah voilà.
00:31 C'est que la liberté lui tient particulièrement à coeur depuis longtemps.
00:41 La défense de nos libertés publiques et individuelles
00:44 constitue son pain quotidien depuis longtemps. Il me semble que cette journée serait incomplète si nous n'entendions cette voix dans le contexte que nous connaissons
00:55 aujourd'hui. Chaque jour, des appels à plus de sécurité se font entendre et chaque jour, des responsables politiques sont prêts
01:02 à tomber dans la surenchère
01:04 et brader nos derniers espaces de liberté. En me tournant vers le professeur Pellegrini,
01:09 je suis tenté de lui crier
01:12 "François au secours !
01:15 Jusqu'où allons-nous aller ? Que pouvons-nous encore sauver ?"
01:19 Merci cher François, je savais que nous pouvions compter sur vous
01:23 pour clore cette journée en beauté.
01:25 L'an dernier, j'ai commis une bévue... Bon, je
01:29 continuerai plus tard mais je vous accorde au minimum une demi-heure.
01:36 Non, je serai court. Bon, d'accord.
01:39 Vu l'horaire, je serai court. D'accord. Eh bien alors, allez-y. En tout cas, merci beaucoup pour l'invitation. Ça fait toujours très plaisir d'être ici.
01:46 J'avais déjà dit, déjà annoncé,
01:49 c'est une communauté avec laquelle j'ai énormément d'affinités.
01:53 On va le retirer si c'est possible.
01:56 C'est un problème de théorie des nœuds.
02:06 Merci beaucoup. Donc en fait, cette année, la différence des années précédentes,
02:13 je ne l'ai pas fait de support, je ne l'ai pas fait de diapositive parce que je voulais un peu réagir
02:19 au vol sur ce que j'ai pu entendre. Alors j'ai raté quelques exposés ce matin, j'en suis désolé.
02:24 En tout cas, je remercie beaucoup
02:27 toujours à l'Arxi de m'inviter. Et donc, je vais essayer de remettre en perspective un certain nombre d'éléments qui ont été discutés ici.
02:34 Alors, bien évidemment, un point important, c'est pour ceux qui ont lu ma bio sur le
02:39 sur le petit programme. Je m'exprimerai ici uniquement en tant que professeur des universités
02:46 et absolument pas au titre de mes autres fonctions.
02:50 Et donc, on me demande des propos conclusifs sur un titre qui est
02:54 "L'emballement des progrès technologiques en matière de numérique ne met-il pas en péril la sécurité de l'information ?"
03:01 Alors, comme Jean-Louis Devine l'a rappelé, en fait,
03:05 moi, mon job, c'est pas nécessairement, enfin mon hobby, c'est pas nécessairement la sécurité de l'information en tant que tel.
03:11 C'est la sécurité de l'information en tant que moyen de la sûreté des personnes.
03:16 Et j'y reviendrai. Pourquoi ? Parce qu'en fait,
03:19 effectivement, j'ai quelques fonctions à la CNIL.
03:22 La CNIL a pour mission de mettre en œuvre
03:26 la loi informatique et liberté. Elle en est l'une des garants.
03:30 Et
03:32 un certain nombre de données dont on peut parler, finalement, se rattachent à des personnes,
03:36 en tout cas auront une influence sur les personnes. Soit les données que l'on traite
03:40 sont directement ce qu'on appelle des données à caractère personnel, des données qui sont capables
03:45 d'être rattachées de façon directe ou indirecte à des personnes. Et il faut comprendre que,
03:51 de ce point de vue-là,
03:53 quand on prétend parfois dire "ces données sont anonymes", en fait, ce n'est pas le cas.
03:57 Elles ne seront que pseudonymes et donc toujours couvertes par la loi informatique et liberté. Je prends un exemple très simple, c'est les données de géolocalisation.
04:05 On peut penser qu'une trace de géolocalisation, c'est une donnée anonyme, mais en fait pas du tout,
04:10 puisqu'il suffit de voir où les gens s'arrêtent la nuit pour savoir où ils dorment et pour pouvoir, avec un croisement de bases de données,
04:16 savoir qui ils sont.
04:17 Bien sûr, on peut affiner, mais tout ça pour montrer qu'il ne suffit pas de retirer le nom et le prénom des personnes
04:22 pour qu'une donnée ne soit plus une donnée à caractère personnel. Et même s'il y a actuellement
04:28 une petite bataille au niveau de la CGE par rapport au tribunal de l'Union européenne,
04:32 en fin de décision de première instance, sur la portée de ce qu'est une donnée à caractère personnel,
04:37 on peut comprendre qu'au sens large, effectivement, la catégorie des données à caractère personnel
04:44 recouvre
04:45 un nombre de
04:47 données, des typologies de données extrêmement vastes. Des traces de géolocalisation,
04:52 des résultats scolaires, bien sûr les données de santé dont on a parlé ce matin, etc.
05:00 Et donc, même si les données ne sont pas des données à caractère personnel en tant que telles,
05:06 si on augmente le spectre plus large,
05:08 l'espionnage industriel, c'est des risques pour les emplois, c'est des risques pour la souveraineté, le bien-être des populations
05:14 que les États
05:17 doivent protéger. Et donc on comprend bien que, effectivement,
05:20 la sécurité de l'information, c'est au final
05:24 un moyen au service d'une fin plus grande, qui est la préservation
05:31 du fonctionnement des organisations.
05:35 Et des sociétés humaines.
05:37 Et donc,
05:40 effectivement aussi,
05:41 ce qu'on a bien vu à la lumière de toutes les présentations, c'est que la révolution numérique se déploie devant nous.
05:48 Des objets numériques sont construits toujours en nombre plus grand.
05:52 Et de fait, les personnes, parce que la majorité de ces objets numériques sont soit attachés aux personnes,
05:59 pensez à tous ceux qui dorment maintenant avec leur montre connectée
06:04 qui fournit des informations extrêmement intimes sur les personnes. Pour l'anecdote, vous avez peut-être vu passer le cas de cette
06:11 personne qui avait déclaré avoir été agressée la nuit chez elle,
06:15 alors que, en fait, l'analyse du rythme cardiaque de son bracelet et de sa montre connectée
06:21 a montré que la personne dormait, il n'y avait absolument pas eu de pique et autres, et comme ça la police a pu
06:26 vérifier que la personne, en fait, a fabulé en l'occurrence.
06:30 Tout ça montre qu'effectivement,
06:33 nous sommes de plus en plus projetés dans le monde numérique,
06:36 avec d'une part des données que nous déclarons et dont nous pouvons supposer avoir le contrôle.
06:42 Si je me déclare sur un réseau social
06:45 comme, mettons, Wonder Woman 75,
06:48 ça pourra donner l'impression que je me déclare en tant que femme habitant la région parisienne.
06:53 Mais si tout ce que je montre, c'est des photos de la région bordelaise, on pourra se dire que finalement 75, c'est peut-être pas nécessairement ça.
07:01 Et puis si je parle de moi-même,
07:03 au masculin, finalement Wonder Woman, c'est peut-être pas non plus tout à fait vrai.
07:07 Et ça donc,
07:09 c'est... à la limite, on a encore un contrôle là-dessus. L'inconscient, bien sûr, joue au coup,
07:15 mais on peut avoir encore un contrôle sur ce qu'on montre de soi. En revanche,
07:19 là où le numérique change radicalement la donne, c'est sur toutes les traces techniques qui sont laissées.
07:26 Et ces traces techniques, elles sont nécessaires à la médiation, à l'acheminement des communications,
07:33 d'un numéro à un autre. Et là, effectivement, ces traces augmentent considérablement
07:38 du fait du déploiement de la révolution numérique. Et en ce qui les concerne, les personnes ont très très peu de contrôle
07:44 sur la gestion de ces traces.
07:47 Et l'existence de ces masses de données va poser des risques inédits
07:51 pour la préservation des libertés et des droits fondamentaux des personnes.
07:57 On a évoqué dans un certain nombre des interventions précédentes
08:01 les risques en termes de failles et de violations de données.
08:04 Et je parle bien de violations de données, parce que les données, ça ne se vole pas.
08:09 Parler de vol de données juridiquement, ça n'a pas de sens. Il me semble que je vous en avais déjà parlé une fois où j'étais venu.
08:13 J'en repasse une couche.
08:15 Si vous voyez quelqu'un qui vous parle de vol de données, vous savez qu'en droit, il n'a pas toutes les clés.
08:21 Pourquoi ? Parce que les données sont un bien immatériel, sont un bien non rival, etc.
08:27 Donc ça, c'est à la limite un risque important. On l'a bien vu avec des fuites de données
08:31 qu'on retrouve ensuite exposées dans des endroits malfamés des internets.
08:36 Mais se pose aussi la question de l'ingérence croissante des États,
08:41 le plus souvent au prétexte de la sécurité des personnes, à des fins de sécurité.
08:48 On entend même parfois, pour justifier cette intrusion de plus en plus importante,
08:53 le fait que, je cite, « la sécurité serait la première des libertés ».
08:58 Alors, il faut évidemment réfuter totalement cette assertion.
09:03 Il y a un très bon exposé de François Surault,
09:07 il y a quelques années, je crois que c'était son discours d'entrée à l'Académie française,
09:13 qui parlait de « formule imbécile » par rapport à cette phrase.
09:21 J'adhère totalement à son analyse.
09:23 Pourquoi ? Parce qu'en fait, la sécurité n'est pas ce qui est en cause
09:27 par rapport au caractère démocratique des sociétés. Ce qui est en cause, c'est la sûreté.
09:31 Et d'ailleurs, le problème vient majoritairement de la sphère anglo-saxonne,
09:36 parce que les anglo-saxons n'ont pas les deux mots « sûreté » et « sécurité ».
09:40 Ils ont le mot de « security », qui est inscrit dans leur constitution.
09:45 Et c'est pour ça que parfois, pour faire la différence,
09:49 ils parlent de « personal security » par rapport à la « state security »
09:54 ou « government security ».
09:55 Pour bien montrer la différence entre les deux, nous, on a la chance d'avoir une langue,
09:59 ma foi, riche et belle, dans lesquelles les deux termes sont parfaitement distincts.
10:04 Et donc la sûreté, terme auquel on a fait référence dès la constitution de 1789,
10:11 c'est le fait de ne pas être soumis à l'arbitraire de l'État.
10:16 Et donc ce droit à la sûreté, défini dans la Déclaration des droits de l'homme et du citoyen de 1789,
10:23 droit naturel et imprescriptible, qui ne s'est plus retrouvé comme tel,
10:27 si vous regardez maintenant la constitution de 58,
10:30 vous le retrouverez dans l'article 66, qui offre à l'individu la garantie
10:37 que nul ne peut être détenu arbitrairement.
10:40 Donc c'est un droit qui s'impose ici encore à l'État,
10:44 sachant que, comme on le voit avec la généralisation du numérique,
10:49 on rentre dans un domaine dans lequel la collecte de traces fait qu'au-delà de détenir l'individu
10:56 pour le priver de sa liberté physique,
11:00 les individus peuvent faire l'objet d'une surveillance constante, en théorie,
11:06 et de ce fait, porte atteinte à leur capacité d'agir librement.
11:14 Je voudrais balayer quelques sujets que j'ai rattrapés au gré des interventions,
11:19 pour revenir sur des éléments importants par rapport à la préservation des libertés,
11:26 de la souveraineté des États.
11:27 On a évoqué la question des enjeux stratégiques de la normalisation.
11:32 Ils ont été décrits à plusieurs reprises dans le cadre de cette journée.
11:36 On se rappellera bien évidemment, puisqu'on a parlé de l'ANSA,
11:41 on a parlé du NIST, on a parlé de l'ISO et d'un certain nombre d'organisations,
11:46 de l'affaire célèbre du hall ici d'IBIORG,
11:52 c'était ce générateur de nombres pseudo-aléatoires,
11:55 dans lequel finalement, assez rapidement,
11:58 donc proposé et promu par l'ANSA,
12:02 dans lequel au final, plusieurs cryptanalystes,
12:05 on pense aux travaux et au travail de lanceur d'alerte de Bruce Schneier,
12:10 sur le fait d'isoler dans la mise en œuvre de ce protocole,
12:15 des failles de sécurité par rapport au choix des valeurs numériques
12:18 qui servaient à définir les courbes elliptiques en question.
12:22 Et donc on voit bien que qui contrôle les tuyaux contrôle le contenu
12:27 et qui contrôle les protocoles,
12:28 contrôle là aussi les contenus qui sont routés,
12:32 qui sont traités au moyen de ces protocoles.
12:35 Et donc là aussi, il y a une vigilance de tous les instants qui doit s'imposer,
12:40 par rapport au fait que quand des protocoles sont,
12:44 j'allais dire, décidés de façon commune,
12:47 ça demande un niveau de vigilance très élevé.
12:51 On a bien vu la difficulté mathématique qu'il pouvait y avoir
12:54 à essayer de craquer un protocole donné lorsqu'il est proposé,
13:00 des efforts que cela nécessite.
13:02 Mais néanmoins, c'est un objectif de salut public
13:07 que de mener ce type de travail,
13:09 d'avoir les moyens suffisants pour ce travail.
13:11 On a parlé aussi de l'interopérabilité des protocoles,
13:14 le fait de pouvoir éventuellement, dans des contextes particuliers,
13:18 tels que des contextes régaliens, utiliser des protocoles différents.
13:22 Tout ça, c'est important en termes de résilience et de souveraineté.
13:27 Dans ce cadre là, je ferai une petite incise sur la question des enjeux
13:31 stratégiques du droit, parce qu'il y a eu aussi des présentations
13:36 qui ont été faites sur les fabricants de semi-conducteurs.
13:41 Et il y a eu des épisodes, pour ceux qui sont un petit peu âgés,
13:45 dans cette salle, très intéressants dans les années 80,
13:48 où les États-Unis se sont rendus compte,
13:52 dans le courant des années 80, que 40% des composants
13:55 qui équipaient leurs missiles avaient été en fait fabriqués au Japon,
13:58 et se sont rendus compte de leur faiblesse stratégique
14:01 en termes de source de ces composants.
14:05 Et donc on remit en œuvre, on réactivait un système dormant,
14:08 qui était le système du brevet, qui finalement, économiquement,
14:12 n'avait plus nécessairement d'intérêt, mais qui a été remis en marche
14:17 de façon à stratégiquement cibler les entreprises japonaises
14:21 de semi-conducteurs, de façon à reprendre la main
14:24 sur l'innovation dans le domaine.
14:26 Comme on le voit, l'histoire s'est passée, mais on est en train,
14:33 j'en avais, me semble-t-il, déjà parlé dans cette enceinte,
14:35 de voir se dérouler la même stratégie autour de ce qu'on appelle
14:40 le brevet sur les méthodes algorithmiques,
14:42 parfois improprement appelé brevet logiciel,
14:45 qui est utilisé comme une arme stratégique pour pouvoir empêcher
14:49 un certain nombre d'acteurs de développer des méthodes numériques
14:54 alternatives à des méthodes dominantes qui pourraient être potentiellement trouées.
15:00 Et ça, on en a eu un petit écho dans les présentations tout à l'heure,
15:03 quand on a parlé, pour le RISC-V, le RISC-V,
15:07 d'un jeu d'instruction open source.
15:09 Et ça, ça montre l'étendue du problème, parce qu'en fait,
15:14 si on regarde le droit, un jeu d'instruction, par nature,
15:18 ça doit être open source, plus exactement, ça ne doit pas être monopolisé,
15:21 parce qu'un jeu d'instruction, c'est un langage,
15:22 c'est-à-dire que c'est une combinaison, c'est un lexique auquel
15:26 est attachée une grammaire.
15:28 Et donc, un jeu d'instruction, c'est la description d'un langage.
15:32 Et ça, normalement, ce n'est pas appropriable.
15:35 On l'a bien vu, d'ailleurs, dans la décision de la CGE,
15:38 qui était la décision SASS Institute.
15:41 On l'a bien vu aussi sur, par exemple, l'existence du langage Java,
15:46 où ce langage, qui avait été conçu par Sun Microsystems à l'époque,
15:52 racheté par Oracle, avait été réimplémenté par Google
15:58 dans le cadre de ses propres stratégies industrielles.
16:02 Et Oracle avait essayé de faire un procès à Google.
16:07 Et finalement, le procès ne portait donc pas sur le langage,
16:11 mais portait sur des revendications sur le code source,
16:15 parce que là, le code source, lui, est soumis au droit d'auteur.
16:17 Et si on copie du code source par copier-coller,
16:20 ça, c'est de la contrefaçon.
16:21 Et effectivement, quelques développeurs malheureux,
16:24 en tout cas, indélicats, chez Google,
16:28 s'étaient allés à la magie du copier-coller.
16:31 Et ça, évidemment, ce n'est pas autorisé.
16:32 Mais ça montre bien que de parler de jeux d'instruction open source,
16:35 ça montre à quel point déjà le terrain est miné
16:38 sur le plan juridique et industriel,
16:40 et les capacités de liberté et d'autonomie sont entravées.
16:43 Ça nécessite une bataille juridique pour reprendre la main sur ce terrain-là,
16:48 pour considérer qu'effectivement, les jeux d'instruction
16:50 n'ont pas à être monopolisés d'une quelconque façon.
16:52 Ça nécessite de détruire toutes les véléités d'instauration en Europe
16:57 du brevet logiciel.
16:58 Pour mémoire, en 2005, le Parlement européen
17:01 avait rejeté à une majorité écrasante
17:03 une directive poussée par la Commission européenne
17:07 et coécrite par la Business Software Alliance
17:09 d'autoriser les brevets logiciels en Europe.
17:16 Et donc là, maintenant, ils reviennent par un dispositif
17:19 qui s'appelle le Unified Patent Court.
17:21 C'est un dispositif, vous pourrez lire de la littérature dessus,
17:24 qui est juridiquement très incertain
17:26 et aux mains d'un certain nombre de grands industriels
17:29 qui n'ont absolument pas l'innovation et la souveraineté
17:32 dans leurs feuilles de route.
17:33 Tout ça pour montrer qu'il ne faut absolument pas oublier ces enjeux-là.
17:38 Et j'y reviendrai puisque derrière ces questions de droit
17:42 appliqués aux objets technologiques,
17:45 se pose la question des stratégies industrielles.
17:47 Et là aussi, on a eu un certain nombre d'exposés assez remarquables
17:50 sur là où en sont des leaders français,
17:54 européens et mondiaux du domaine.
17:57 Et on parle des mêmes.
17:59 Parce que fabriquer des composants, c'est super.
18:04 Mais si on n'a pas l'économie d'échelle pour la vente en masse,
18:08 alors on fabrique de l'éléphant blanc
18:10 qui ira dans quelques téléphones chiffrés,
18:13 mais qui ne pourra absolument pas permettre
18:15 une stratégie de développement pérenne
18:18 et donc effectivement de garantir la survie à long terme
18:23 hors financement public de ces industries.
18:27 Dans d'autres instances, je suis aussi un promoteur des logiciels libres
18:32 en tant que, justement, briques technologiques,
18:34 vecteur de souveraineté.
18:35 Pourquoi ? Parce que l'intérêt, c'est de mutualiser les coûts,
18:38 c'est de passer à l'échelle.
18:40 Et donc fabriquer des processeurs remarquables, c'est une chose.
18:44 Mais il faut arriver à créer un marché qui soit suffisamment dynamique,
18:47 à la fois en interne, voire au niveau mondial,
18:50 ce que font les fabricants états-uniens ou les fondeurs asiatiques,
18:53 de façon à pouvoir soutenir les coûts de développement
18:57 absolument considérables dont il est question.
19:00 Ensuite, j'en viens à la question de la surveillance,
19:05 puisque elle a été un peu évoquée, y compris lors des derniers échanges.
19:10 En posant un point qui me semble essentiel,
19:13 j'ai développé ça dans le cadre d'une petite publication
19:17 qui n'est pas encore sortie, qui devrait sortir au début de l'année prochaine,
19:19 qui s'appelle "Le cahier des charges démocratiques",
19:21 sur le fait que les dispositifs de surveillance ne doivent pas passer à l'échelle.
19:26 L'idée, bien sûr, c'est que dans l'histoire récente,
19:32 on a vu comment la résistance à l'oppression,
19:35 alors l'histoire récente, pourquoi ?
19:36 Parce qu'elle est mieux documentée que l'histoire ancienne,
19:38 sur la Seconde Guerre mondiale notamment,
19:39 on a énormément d'informations, de fonds documentaires
19:44 qui nous permettent de voir les différents jeux d'acteurs,
19:47 des réseaux de résistance et autres.
19:48 Donc on peut analyser les dynamiques de système qui étaient à l'œuvre.
19:52 Et donc la résistance à l'oppression s'est construite
19:55 grâce au concours de très nombreuses personnes
19:57 qui, dans leurs fonctions,
20:00 ont saboté la collecte d'informations organisée par leurs adversaires.
20:05 Et là, je me permets de rendre aussi un hommage à René Carmille,
20:09 dont vous avez peut-être entendu parler.
20:11 Si vous n'en avez pas entendu parler, je vous conseille absolument
20:14 soit de lire sa page Wikipédia,
20:16 soit de vous renseigner auprès des biographes qu'il a pu avoir.
20:21 Ça a été une personne qui, finalement, peut être l'un des premiers martyres
20:25 de l'ère informatique, pas nécessairement numérique,
20:28 mais informatique au sens du traitement automatisé de l'information.
20:32 Et donc l'idée, c'est qu'un système a la possibilité
20:39 de garder plus fortement son caractère démocratique
20:41 si beaucoup de personnes doivent être nécessaires au maintien
20:47 du caractère opposé, c'est-à-dire le caractère autoritaire.
20:50 Et donc la capacité individuelle de résistance, elle est attaquée
20:55 lorsque les outils de surveillance se retrouvent sous le contrôle
20:58 d'un petit nombre de personnes qui sont dûment sélectionnées
21:02 et faciles à surveiller.
21:03 Et en fait, quand je dis que les technologies de surveillance
21:06 ne doivent pas passer à l'échelle, ça veut dire en gros,
21:09 si je trace la limite, qu'une seule personne ne doit pas être
21:12 en capacité d'en surveiller un trop grand nombre.
21:14 Faute de quoi, en fait, il deviendrait impossible d'échapper
21:19 à la dictature d'une minorité qui serait de plus en plus réduite
21:21 et à laquelle il ne serait plus possible d'échapper
21:24 à cause d'une surveillance technologique croissante.
21:29 Et donc effectivement, finalement, l'inefficacité technique
21:33 et organisationnelle des moyens de surveillance doit être,
21:36 non pas considéré comme un défaut, mais comme une caractéristique
21:42 bénéfique qui doit être délibérément insérée dans les systèmes,
21:46 de façon à ce que le nombre de personnes qui doivent collaborer
21:51 à leur bon fonctionnement doivent être suffisamment élevés
21:55 pour pouvoir permettre la résistance individuelle.
21:59 Qui plus est, l'usage de ces outils doit bien sûr être strictement
22:05 encadré, suivi par des organes de supervision dotés de pouvoirs
22:10 étendus. Et juste entre parenthèses, pour rappel, en France,
22:14 il existe un certain nombre de fichiers régaliens dont l'usage
22:18 n'est pas contrôlé.
22:19 Et ce sont les législateurs qui ont prévu cette possibilité.
22:24 Et donc, on peut effectivement se poser la question de la
22:28 pertinence de cette mesure, de pourquoi le législateur a été
22:31 timide et n'a pas imaginé que l'on puisse contrôler l'usage
22:35 de certains fichiers, une fois que ceux-ci ont été créés.
22:39 Cette question du non passage à l'échelle de la surveillance,
22:45 et donc notamment par les outils numériques, vous l'avez compris,
22:48 passe par le fait de garantir la sécurité des communications
22:54 des personnes et des organisations.
22:57 On le sait, certaines agences de renseignement peuvent aller
23:01 créer, insérer des failles dans un certain nombre de dispositifs.
23:05 On se souvient du département TAO de la NSA qui fait un travail
23:09 sur le plan technique absolument remarquable.
23:12 Proposer des algorithmes et des protocoles à faibli,
23:17 j'en ai parlé à l'instant, mais le droit peut imposer aussi
23:20 aux fournisseurs d'équipement l'insertion par nature de portes
23:25 dérobées dans les protocoles cryptographiques notamment,
23:29 ou dans les systèmes.
23:30 En particulier, l'Australie a été vivement critiquée pour être
23:34 le premier État démocratique à mettre dans sa loi une phrase
23:39 zéologique qui semble supposer que tout fournisseur d'une solution
23:42 cryptographique doit être en mesure de fournir aux autorités
23:46 les moyens de la surveillance.
23:49 Et donc on voit bien que protéger les gens, la technique peut le
23:53 faire si tout le travail sur la robustesse des protocoles
23:58 cryptographiques est absolument nécessaire parce que si on
24:01 considère que garantir la confidentialité des communications
24:05 entre les personnes est nécessaire au fonctionnement démocratique
24:08 des sociétés, eh bien à l'inverse, si la loi impose de mettre
24:13 en œuvre des failles de sécurité délibérées, tout ce travail
24:18 n'a plus de sens et les personnes ne peuvent plus se sentir
24:21 protégées.
24:23 Et donc j'ai parlé de l'Australie par rapport aux protocoles eux-mêmes,
24:28 mais ensuite se pose la question du droit des personnes à garder
24:33 le silence.
24:33 Et on a vu en France l'introduction assez récente d'un article
24:39 dans le Code pénal, l'article 434 15 2, qui dit qu'en fait,
24:44 quiconque ayant connaissance de la convention secrète de
24:46 déchiffrement d'un moyen de cryptologie susceptible d'avoir
24:49 été utilisé pour préparer, faciliter ou commettre un crime ou
24:51 un délit.
24:52 Donc peut être condamnée si elle refuse de remettre la dite
24:56 convention aux autorités judiciaires ou la mettre en œuvre sur
24:59 la réquisition de ces autorités.
25:00 Et là, ça pose des questions extrêmement intéressantes en termes
25:04 de liberté personnelle par rapport à des éléments qui fondent
25:10 le caractère démocratique des sociétés modernes, qui est le droit
25:13 de garder le silence.
25:14 Que reste-t-il du droit de garder le silence à l'ère numérique ?
25:19 Bien évidemment, ça n'interdit pas le fait que les agences de
25:25 maintien de l'ordre puissent éventuellement tenter de craquer
25:28 un dispositif, exactement comme pourrait ouvrir un coffre-fort.
25:32 Mais le fait de condamner quelqu'un pour ne pas ouvrir lui-même
25:36 le coffre-fort, on voit bien que ça crée un délit autonome qui
25:40 met en porte à faux les personnes avec des sommes qui sont
25:44 relativement élevées pour le commun des mortels.
25:46 On parle de 1 500 euros, mais aussi, me semble-t-il,
25:49 aussi de la prison.
25:50 1 500 euros d'amende.
25:52 Eh bien, ça montre qu'il y a une pression assez forte pour que
25:58 les personnes révèlent, soient contraintes de révéler un
26:04 certain nombre d'informations les concernant.
26:06 Je ne vais pas élaborer sur l'aspect juridique parce qu'il est
26:09 assez intéressant, mais tout ça pour dire que la CEDH,
26:12 la Cour européenne des droits de l'homme, avait pourtant posé
26:15 dans son arrest Sanders qu'on ne pouvait justement forcer
26:20 quelqu'un à révéler quelque chose qui dépendait de sa volonté,
26:23 ce qui me semble être le cas en l'occurrence.
26:26 Mais que le Conseil constitutionnel français,
26:28 sans doute un petit peu traditionnaliste, a considéré que non,
26:32 puisque les données existaient par ailleurs.
26:35 La personne ne révélait rien de particulier en donnant le code
26:40 de déchiffrement.
26:44 Je ne m'aligne pas avec leur position du point de vue personnel.
26:46 Un autre point plus global, parce que finalement, on est ici
26:53 dans une population qui est assez largement constituée d'ingénieurs
26:57 ou d'anciens ingénieurs.
26:58 J'en suis un aussi.
27:00 Et c'est aussi d'apprendre à lutter contre le technosolutionnisme.
27:09 Le point de base, c'est que la technologie ne peut être à elle seule
27:14 la solution à un problème social.
27:16 Le plan social et le plan technologique sont complètement
27:21 orthogonaux ou même découplés.
27:23 Et donc, c'est ce que disait déjà Ellul quand il parlait de bluff
27:27 technologique.
27:28 C'est ce que dit Morozov quand il parle de technosolutionnisme.
27:31 Et on le voit bien quand finalement, il y a un problème social,
27:34 par exemple, par rapport à l'usage d'une ressource,
27:35 genre la forêt en période de chasse, où on nous dit qu'il suffira
27:39 de faire un numéro vert ou une app.
27:40 Et on voit bien là le déploiement de la logique technosolutionniste
27:44 qui ne correspond pas nécessairement à la réalité du problème à résoudre.
27:51 Une autre incise, juste pour rebondir sur un petit troll qui a eu lieu,
27:57 donc je vais rajouter un petit peu d'essence à briquer là-dessus.
28:00 Un point très intéressant quand même dans l'histoire des technologies,
28:04 c'est que finalement, dans un monde technicien, tel que maintenant
28:08 le nôtre, qui promeut remarquablement la technique, toute innovation
28:12 à peu près pertinente pour résoudre un problème donné est adoptée
28:15 en un temps record.
28:16 Le web, ça a été absolument remarquable, les ordiphones et tout ce qu'on
28:22 a pu faire au niveau des applications mobiles.
28:24 Et donc, je trouve qu'il est très intéressant de voir l'exemple
28:28 de la blockchain, puisque malgré une promotion, j'allais dire,
28:35 extrêmement active de ses promoteurs, cette technologie ne décolle pas.
28:42 Et je pense que c'est la réalité du marché.
28:44 C'est-à-dire que, alors je ne rentre même pas sur les débats
28:47 blockchain versus Ethereum versus tout tel qu'ils ont été décrits.
28:50 Ces systèmes de registres distribués n'existent que comme support
28:55 de la création de valeurs, les fameux jetons, qui rémunèrent
29:00 les gens pour l'entretien du dispositif.
29:03 C'est-à-dire qu'en fait, blockchain et Bitcoin sont intrinsèquement liés.
29:07 On ne peut pas découpler l'un de l'autre de la même façon que pour
29:11 l'Ethereum et les Ethers, etc.
29:14 Mais au-delà de cet usage de génération de jetons, en espérant qu'ils
29:19 aient une valeur permettant d'entretenir le dispositif, ce qu'on a vu tout à l'heure,
29:23 ma position, et je la défendrai avec plaisir, c'est que ces dispositifs
29:27 n'ont absolument aucun intérêt social, ne répondent à aucun problème
29:31 qui ne peut être résolu par des technologies plus frugales.
29:34 Contrairement à l'exemple immédiat, si vous voulez vraiment faire en sorte
29:40 que plusieurs personnes garantissent l'état stable d'un système,
29:46 il y a un truc qui s'appelle Git, je ne parle pas des forges, je ne parle pas GitLab,
29:49 je parle de Git avec finalement les arbres de Merkel.
29:52 Et les arbres de Merkel, c'est que ça permet de vérifier qu'on va enchaîner
29:57 des comites les uns après les autres, et dans une fédération de gens qui utilisent ça,
30:02 celui qui a un comite qui n'est pas le même que les autres, ça veut dire que
30:05 son historique a été quelque part falsifié ou modifié.
30:11 Donc voilà, un point important, c'est qu'il y a beaucoup de mots qui sont
30:15 prononcés, qui servent à vendre des choses.
30:19 Pour moi, perso, sur ce qui est de la blockchain, à part mettre un certain
30:24 nombre de données en accès plus ou moins ouverts et pour des motifs qui ne
30:29 sont pas pertinents du point de vue social, j'ai toujours pas vu l'intérêt,
30:33 mais beaucoup de gens n'ont pas vu l'intérêt, donc ça me rassure un peu.
30:35 Dernier point, enfin dernier point, non, je balairais aussi la question de la
30:40 recofaciale, puisqu'elle a été évoquée brièvement.
30:42 Je ne vais pas en parler trop parce que, de par mes autres fonctions,
30:44 je n'ai pas envie de trop interférer.
30:47 Mais vous savez que la biométrie est une technologie qui est non révocable,
30:51 se pose actuellement dans le cadre de l'IA Act, la question de son usage
30:56 dans l'espace public.
30:57 Et il faut justement, juste pour la recofaciale dans l'espace public,
31:01 je poserai juste deux éléments de réflexion et après, je vous laisserai
31:08 éventuellement réfléchir à ça.
31:09 Ces dispositifs fonctionnent par rapport à la comparaison à des patrons,
31:15 des patterns.
31:17 Et donc, si vous supposez que le taux de faux positifs est de, mettons,
31:21 0,1%, sur 800 000 personnes, 0,1%, ça fait 800.
31:29 Qu'est-ce qu'on fait de 800 alertes faux positifs dans une foule ?
31:33 Et comment est-ce qu'on gère ça du point de vue sécuritaire ?
31:38 Est-ce que ça a un sens du point de vue sécuritaire ?
31:40 À l'inverse, si ce dispositif était totalement efficace, ça voudrait dire
31:46 que finalement, ce mécanisme de reconnaissance à distance, sans que
31:49 les personnes en aient conscience, c'est un peu comme si elles se tatouaient
31:53 une espèce de code barre sur le front, un numéro de chaque personne
31:57 qui pourrait être consultée à distance dans l'espace public.
32:02 En termes de modèle social, je vous invite à réfléchir à ça.
32:06 J'en terminerai donc par un point, puisque j'ai quand même été déjà trop long.
32:13 Je reviendrai sur un sujet qui m'est cher, c'est la question de l'hygiène numérique.
32:16 En fait, quand on multiplie les dispositifs numériques à destination
32:21 de publics de plus en plus divers et pas nécessairement éduqués à la technologie,
32:26 eh bien, effectivement, on augmente considérablement la surface d'attaque.
32:31 Toutes ces fameuses caméras IP, admin, admin,
32:34 celle-là, on en a entendu parler de façon assez régulière.
32:41 Et donc, il y a une discordance flagrante, je l'ai ressenti,
32:44 c'est pour ça que je me suis permis de le noter pour que ce soit ma conclusion,
32:48 entre le niveau de protection disponible, ce que vous faites tous à votre niveau
32:53 dans les entreprises de pointe, c'est vraiment rocket science,
32:56 félicitations en tant qu'ingénieur et scientifique, j'adore vraiment ce que vous faites,
32:59 et puis les usages des personnes, y compris au sein des organisations réputées sensibles.
33:10 Et donc, finalement, là aussi, le problème n'est pas nécessairement entre la chaise et le clavier.
33:14 Il y a des problèmes de conception et on est tous avec des profils techniques,
33:19 mais un peu comme pour les élections états-uniennes où le motto, c'est "it's the economy, stupid",
33:24 en fait, la question de la sécurité informatique, elle passe beaucoup par "it's the ergonomy, stupid",
33:32 "it's the user interface".
33:34 Et on voit beaucoup de personnes refuser d'utiliser des dispositifs relativement sûrs
33:40 et pour lesquels beaucoup d'ingénieurs ont transpiré pendant beaucoup de nuits,
33:44 parce qu'on se trouve face à un système de partage de documents
33:48 qui a une interface cool et en deux clics, on y arrive.
33:50 Et ça, vraiment, j'insiste lourdement sur ce point-là,
33:54 face à la multiplication des objets, face à la multiplication des usages,
33:58 et pour revenir donc, effectivement, sur cette question d'emballement,
34:01 alors non pas que des progrès technologiques, mais de la diffusion de la technologie dans l'espace social,
34:07 il faut absolument que l'on investisse de l'argent, suffisamment d'argent,
34:14 dans l'ergonomie, dans l'interface, pour avoir des dispositifs qui soient socialement acceptables,
34:20 parce qu'effectivement, en termes d'acceptabilité sociale, il y a l'acceptabilité sociale de la surveillance,
34:25 mais il y a l'acceptabilité sociale de la protection,
34:29 par la simplicité, le fait de se mettre au niveau des populations que l'on cherche à protéger.
34:34 Et j'avoue que ce n'est absolument pas simple.
34:38 Si c'était simple, on aurait déjà la techno-solution,
34:41 mais là, on parle bien d'humains, on parle bien de social, et donc, ma foi, c'est bien difficile.
34:47 J'en ai terminé.
34:48 (Applaudissements)
34:54 Merci François pour cet exposé absolument fabuleux.
35:02 Je dois dire que j'ai bu du petit lait sur la plupart de votre texte.
35:10 J'ai relevé quelques détails, par exemple, sur l'auto-incrimination.
35:15 Je crois que c'était dans le Code pénal, mais ça a d'abord été dans la loi sur la confiance.
35:22 Je m'étais opposé d'ailleurs à cette...
35:25 Je me souviens que c'était au moment où il y avait une célèbre affaire de cassettes,
35:31 d'un certain Dominique Strauss... caché, un des...
35:35 un certain Dominique Strauss-Kahn. La cassette, oh non, je ne sais pas où elle est.
35:40 Mais c'est vrai que la cour... la CDIH, oui, a toujours dit
35:51 "On ne peut pas demander à un mis en examen de donner la corde pour le pendre."
35:58 Et je crois que ça, c'est quand même important.
36:03 Et puis, bon, enfin, je ne vais pas revenir sur votre discours qui était...
36:08 Enfin, il y avait plein de points sur lesquels... que j'approuve totalement.
36:12 Donc, merci infiniment d'être venu conclure de manière magistrale notre journée.
36:18 Peut-être rendez-vous à l'année prochaine, mais je ne vous laisse pas partir cette fois.
36:24 Et je ne ferai pas la bêtise de l'an dernier où je vous avais donné un livre que vous aviez déjà reçu l'année.
36:30 — Oui, mais en fait, finalement, j'en ferai bien le cadeau à quelqu'un d'autre.
36:33 — Mais il n'y en a plus. — Eh ben tant pis.
36:36 Alors, je vous offre d'une part le livre dont on a parlé ce matin de Solange Guernauti et de M. Monin.
36:45 — Parfait. Super. Merci beaucoup.
36:47 — C'est du nouveau, hein. — Ouais, super.
36:49 — Puis j'ai trouvé quelque chose qui peut vous intéresser aussi.
36:52 — Ah oui ? Ah mais oui.
36:54 — De la maîtrise de l'information et des communications de 62 à 89, aussi bien dans le domaine civil que militaire.
37:01 — Merci beaucoup. — Avec beaucoup d'images.
37:04 J'adore vos publications, de toute façon. C'est pour ça. Le bouquin en question, je vous dis, je me le suis fait piquer.
37:09 C'était sur la tour Eiffel. — Oui, oui, tout à fait. Ah ben j'ai offert le dernier tout à l'heure.
37:13 — Pas grave. Je l'offrirai peut-être. Merci énormément en tout cas de l'invitation.
37:18 — Merci, François. — Merci.
37:20 (...)