Le numérique, l’Internet, doit être un espace de confiance. D’ailleurs tout le monde proclame que la confiance est indispensable dans le cyberespace, certains déclarant même qu’il faut la restaurer. Si on prend cette déclaration au mot, une restauration signifie que la confiance a existé, qu’elle s’est perdue et qu’elle doit revenir. Mais comment cette perte a-t-elle pu advenir puisque tous les « industriels » du numérique affirment qu’ils sont des acteurs de confiance ? Mais si tel était le cas, pourquoi appelleraient-ils à une restauration de la confiance ?

Source

Sûrement parce qu’en fait, et quoi qu’ils disent, la confiance n’existe pas dans le cyber monde. S’il était un espace de confiance, pourquoi faudrait-il acheter aux industriels de la cybersécurité tous les nouveaux logiciels devant assurer cette sécurité ? Pourquoi tant de mises à jour « pour la sécurité » ? Pourquoi tant d’appels à la vérification et à la méfiance ? Un complotiste affirmerait que c’est justement en criant au loup qu’on a le plus de chances de vendre des pièges à loup…

C’est bien plus simple. La confiance n’existe pas dans le cyber monde car il n’est actuellement pas construit pour être de confiance. On peut cependant mettre en place un système peu compliqué pour que les utilisateurs se sentent davantage en confiance. Nous allons en parler maintenant.

Un cyberespace sans confiance

Repartons du constat : le cyber n’est pas un espace de confiance. Et pourquoi donc ?

Tout simplement parce que la majorité des relations sont dissymétriques. Et lorsqu’il y a dissymétrie, il ne peut y avoir de confiance tant qu’un dispositif ne vient pas y remédier. Entendons-nous bien : toutes les relations ne peuvent être de confiance. Prenons le cas des relations commerciales qui ne le sont pas : je paye un service ou un bien que je ne peux obtenir moi-même ; en échange de mon paiement, le vendeur me doit le service ou le bien de la qualité qu’il a lui-même définie en le fabriquant. S’il me floue, je peux l’attaquer en justice, il n’y a donc pas de confiance mais un contrat qui lie deux parties : l’une qui paye, l’autre qui fournit une prestation. On peut d’ailleurs commercer avec des personnes auxquelles nous ne faisons pas confiance, et c’est la majorité des cas pour la simple et bonne raison que nous ne connaissons pas suffisamment ces personnes pour leur accorder notre confiance. Seul Darty a été suffisamment filou et menteur pour faire croire qu’il pouvait exister un contrat de confiance. Et la plupart ont marché et marchent encore. Mais lorsque je fais confiance à quelqu’un, je ne signe pas de contrat avec lui. Lorsqu’une personne qui avait ma confiance me trahit je ne peux l’attaquer en justice. Cependant, l’absurdité énoncée par Darty dure, elle ne semble pas gêner grand monde, ce qui a participé au travestissement du sens du mot confiance.

Petit inventaire de la dissymétrie

Ayant avancé que la majorité des relations sont dissymétriques, il me faut maintenant le prouver. Pour cela, prenons l’exemple de la connexion à un site quelconque de la part d’un internaute tout aussi quelconque.

Si l’internaute se connecte lorsqu’il le veut (personne ne l’oblige en effet à le faire), il dépend de son fournisseur d’accès pour obtenir une connexion, et si celle-ci ne peut être établie, le fournisseur peut lui présenter ses excuses. Les abonnés à SFR sont priés de ne pas lire la phrase précédente. En outre, le même FAI établit la liste des connexions de ses abonnés, des sites visités, de la durée de chaque visite, des rebonds, etc. tout cela bien sûr pour améliorer « l’expérience client » sans demander si l’abonné a cette envie. Voici donc un fournisseur qui sait mieux que vous ce dont vous avez besoin. En contrepartie, rien du tout, essayez donc de demander le journal de vos connexions à votre FAI…

Le site auquel vous vous connectez vous colle tout plein de cookies, là encore pour optimiser votre navigation sur son site, cookie rédigés en hiéroglyphes ancien si vous essayez de les lire. Lui aussi est en mesure de savoir d’où vous venez, où vous allez (sur le net), combien de temps vous vous connectez à son site et, de plus, il conserve les données personnelles que vous lui laissez si vous passez une commande quelconque. Où les conserve-t-il et comment les sécurise-t-il, mystère et boule de gomme. Rassurez-vous cependant, si vous vous faites pirater les données de votre carte bleue parce que vous avez acheté sur le net uniquement sur des sites non exotiques (dans tous les sens du terme), vous ne saurez jamais d’où vient la fuite. Mais sachez que c’est sûrement de votre faute.

Tous ces processus s’assimilent à des délégations que vous effectuez au profit d’un opérateur/FAI/marchand, mais celui-ci renomme ces délégations « confiance ». Elle ne peut cependant pas exister car vous ne donnez pas ces informations de plein gré, vous les fournissez sous la contrainte. Ainsi, lorsque vous voulez télécharger des rapports sur le cyberespace, la cyberdélinquance, etc., vous devez la plupart du temps fournir nom prénom et @ courriel sur le site de téléchargement dudit rapport. Essayez de ne pas les fournir, vous ne téléchargerez rien. Mais dites-moi Thalès et consort, quel usage faites-vous de ces données personnelles ? Mystère et nouvelle boule de gomme.

Et si vous téléchargez une application, malgré toutes les assurances du fournisseur, vous pouvez avoir quelques surprises. Prenons, au hasard ou presque, la célébrissime stopcovid. Qu’apprenons-nous via Le Monde ? Qu’elle collecterait plus de données qu’annoncé : « Un chercheur a découvert que l’application collectait les identifiants de toutes les personnes croisées par un utilisateur, pas seulement celles croisées à moins d’un mètre pendant 15 minutes. » Est-ce grave ? Peut-être pas, mais ne pas le dire revient à prendre l’utilisateur pour un débile profond. D’autant plus quand au lieu de reconnaître le problème et le corriger, les explications sont peu convaincantes : « le décret et l’arrêté qui ont créé StopCovid prévoient pourtant clairement que « l’historique de proximité » de l’utilisateur est constitué des identifiants des téléphones s’étant trouvés pendant quinze minutes à moins d’un mètre d’une personne diagnostiquée positive au Covid-19. La Commission nationale informatique et libertés (CNIL) a fait savoir à Mediapart que des contrôles étaient « en cours » sur le sujet. Contacté par le site d’information, le secrétariat d’Etat au numérique n’a pas remis en cause ces révélations, mais a voulu les justifier. Il explique, reprenant Mediapart, que « tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil » : « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques. » Ces explications ne convainquent cependant pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème. Le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant ». » Et généralement, quand une personne est prise pour une débile par une autre, elle ne fera pas confiance  l’autre. C’est dommage, non ?

Cet inventaire non exhaustif des dissymétries persistantes explique pourquoi la confiance ne peut exister. Que faire alors ?

Reverse big brother

Entendons-nous bien. Il ne s’agit pas ici de disserter la tête en bas sur l’émission débile de télé-réalité (pléonasme) ni même de faire des expériences graphiques telles que :

mais d’un dispositif original mis en place par l’État en Estonie. Souvenez-vous, au tout début du quinquennat ce pays était cité en exemple de la numérisation à laquelle la France s’attelait. Que font-ils de si original ? Comme je l’expliquais dans un billet précédent « Dans la mesure où les données personnelles demeurent la propriété de chacun, l’État devant en assurer la sécurité, chaque citoyen peut, à tout moment, voir qui a consulté ses données personnelles. S’il estime qu’un agent a abusé des consultations, il peut le dénoncer. Une enquête est alors menée et, si l’abus est caractérisé, l’agent est révoqué. »

Tout simplement.

Cela n’efface pas la dissymétrie des relations entre l’État et le citoyen, mais la tempère puisque le citoyen peut exiger de l’État qu’il lui rende des comptes.

Alors, messieurs les industriels du cyber monde, de la cybersécurité et de la numérisation en tout genre, puisque vous voulez bâtir un internet de confiance, êtes-vous prêt à mettre en place un reverse big brother au profit de vos clients ?