Introduction du livre : Obfuscation : La vie privée, mode d’emploi

Avec l’aimable autorisation des Editions C&F

L’objectif de ce livre est de provoquer une révolution. Sûrement pas une révolution de grande ampleur. Enfin pas au début. Notre révolution ne se basera pas sur des réformes radicales, elle n’amènera pas un « An 01 » d’une société totalement réinventée. Elle n’impliquera pas l’adoption passive et homogène d’une nouvelle forme de technologie. Notre révolution s’appuie sur des éléments préexistants (ce qu’un philosophe appellerait des outils « à portée de main », ou un ingénieur des composants informatiques de base), facilement identifiables au quotidien et présents dans des films, des logiciels, des romans policiers et même dans le monde animal. Même si des dictateurs, des régimes autoritaires et des polices secrètes peuvent (et ils l’ont déjà fait) s’approprier sa terminologie et sa méthode, notre révolution s’adresse d’abord à ceux qui œuvrent au niveau local, aux usagers lambda et à la marge du système, à ceux qui ne sont pas en position de dire non, d’exercer un droit de retrait ou d’avoir le contrôle sur leurs données personnelles. Nous concentrons nos efforts pour affaiblir l’actuelle surveillance numérique et l’emporter sur son système. Pour la contourner, pour ne pas la subir, pour la refuser tout simplement, pour la saboter délibérément, ou pour imposer des conditions générales de service selon les règles voulues par l’usager, la boîte à outils existe déjà – ou est en voie de constitution.

Nous y apporterons notre contribution théorique et technique. En fonction de l’adversaire, en fonction des objectifs poursuivis et des ressources disponibles, nous fournirons les méthodes pour gagner du temps, pour dissimuler nos données au regard de ceux qui les tracent, ou pour brouiller les résultats de leurs analyses ; ou alors nous révélerons les stratégies pour désobéir de façon provocatrice, pour soutenir toute protestation collective et toute revendication individuelle, quelle que soit sa portée. Nous tracerons le schéma général par des exemples avérés ou émergents, afin de repérer les orientations à suivre et définir des ensembles homogènes de moyens, de stratégies et d’actions concrètes à mener sur le terrain. Ce corpus détermine l’espace où aura lieu notre petite grande révolution. Et le drapeau sous lequel convergeront nos efforts s’appelle Obfuscation.

En quelques mots, l’obfuscation consiste à produire délibérément des informations ambiguës, désordonnées et fallacieuses et à les ajouter aux données existantes afin de perturber la surveillance et la collecte des données personnelles. Une chose simple mais qui ouvre sur des applications et des usages nombreux et complexes. Pour un développeur ou un designer, intégrer l’obfuscation dans ses programmes lui permettra de garantir la sécurité des données des futurs utilisateurs – y compris les leurs ou celles d’un éventuel acheteur – tout en fournissant des services qui nécessitent la collecte et l’utilisation d’informations personnelles, comme les réseaux sociaux, la géolocalisation, ou autre. Avec l’obfuscation, les services publics et les agences gouvernementales pourront réaliser leurs besoins de collecte de données tout en réduisant le risque d’abus. Pour l’individu ou le groupe qui souhaite vivre dans le monde moderne sans devenir l’objet d’une surveillance numérique omniprésente (et qui dit surveillance, dit enquêtes et poursuites), l’obfuscation sera l’arme pour se défendre, gagner du temps ou dissimuler ses traces numériques derrière une cacophonie des signaux : une ressource modeste, certes, tel le grain de sable qui bloque l’engrenage !

De cette révolution, ce livre est le point de départ.

Notre projet nous a amenés à repérer des similitudes intéressantes provenant de champs disparates au sein desquels ceux qui sont obligés d’être visibles, intelligibles et audibles ont réagi en enfouissant les signaux pertinents sous des strates nébuleuses de signaux trompeurs. Fascinés par la diversité des situations dans lesquelles les gens appliquent des méthodes d’obfuscation, nous avons présenté dans les chapitres I et II, une douzaine d’exemples différents mais qui ont un élément en commun : le contexte d’une menace de surveillance généralisée. Ces deux chapitres, qui composent la première partie du livre, constituent un répertoire des différentes formes que peut prendre l’obfuscation. Ils font ressortir le type de stratégie à adopter selon le but poursuivi et selon l’adversaire. Que ce soit sur un réseau social, devant une table de poker, ou dans le ciel de la Seconde Guerre mondiale ; que l’adversaire soit un système de reconnaissance faciale, le gouvernement de l’Apartheid en Afrique du Sud des années quatre-vingt, ou la personne assise de l’autre côté de la table, le recours à la tactique appropriée d’obfuscation contribue à la protection de la vie privée et renverse le rapport de force dans la relation de collecte, d’observation et d’analyse de données. à travers les exemples exposés dans ces deux chapitres, nous présentons une panoplie de situations et d’usages qui seront source d’inspiration pour tout un chacun et apportons des éléments de réponse à la question : qu’est-ce que l’obfuscation peut offrir à chacun d’entre nous ?

Dans le chapitre I, les cas analysés sont organisés comme un récit afin d’éclairer les questions fondamentales que l’obfuscation soulève, et de décrire les méthodes principales qui seront explorées et débattues dans la seconde partie du livre. Le chapitre II traite rapidement quelques cas particuliers, et illustre l’éventail et la variété des applications de l’obfuscation tout en expliquant les concepts qui sont sous-jacents.

Les trois chapitres suivants analysent des questions fondamentales et permettent d’acquérir une connaissance plus fouillée de l’obfuscation. Nous nous interrogerons alors sur le « pourquoi » et verrons quel rôle elle peut jouer dans les différents systèmes de confidentialité et de protection de données personnelles; nous aborderons les problèmes éthiques, sociaux et politiques que pose l’emploi de l’obfuscation ; nous analyserons les différentes stratégies et évaluerons si, et dans quel contexte particulier, l’obfuscation fonctionne ou pourrait fonctionner. Ce cheminement nécessite d’appréhender les points forts et les points faibles de cette méthode et de voir en quoi elle se différencie des autres.

C’est pour cette raison que nous avons titré les chapitres de III à V par des questions.

Le chapitre III pose la première : «Pourquoi l’obfuscation est nécessaire ? ». En y répondant, nous expliquons comment relever les défis actuels liés à la vie privée en contexte numérique grâce à l’obfuscation. Nous montrons comment l’obfuscation peut être utilisée pour contrer l’asymétrie informationnelle, c’est-à-dire lorsque la collecte de données personnelles et leur exploitation sont faites dans des circonstances incompréhensibles, avec des finalités opaques et selon des modalités mystérieuses. Elles seront partagées, achetées, vendues, réglementées, analysées : avec quelles conséquences sur la vie des gens ? Est-ce que je vais avoir l’emprunt que j’ai sollicité ? ou l’appartement pour lequel j’ai déposé un dossier ? Quelle est la valeur d’un homme pour un assureur ? Et pour un banquier ? Quels prospectus publicitaires inonderont ma boîte aux lettres ? Comment se fait-il qu’autant de firmes et de fournisseurs de services savent que cette jeune fille est enceinte, ou que le voisin essaie de se désintoxiquer, et qu’il envisage de changer de métier ? Pourquoi allouer les ressources selon les catégories socio-économiques, les groupes ethniques ou l’origine géographique, voire même le quartier ? Allons-nous tous nous retrouver « sur une liste de personnes à risque », comme c’est le cas actuellement dans le cadre de l’inquiétante lutte antiterroriste ? Toutes ces situations anodines et à l’apparence banale, finissent par avoir des répercussions importantes. Et c’est là que l’obfuscation joue tout son rôle : non pas pour supplanter le système de gouvernance, l’écosystème entrepreneurial ou l’environnement technologique en place; ni comme solution passe-partout (nous l’avons dit, il s’agit d’une révolution délibérément limitée et décentralisée), mais plutôt pour concourir à la défense de la vie privée. Plus particulièrement l’obfuscation est une stratégie qui s’adapte à tous ceux qui n’ont jamais accès à d’autres voies de recours, que ce soit à un moment donné de leur vie ou plus généralement ; à tous ceux qui, et cela arrive, ne sont pas en capacité de faire correctement appel aux outils de protection de la vie privée, parce qu’ils se trouvent dans une position d’infériorité dans la relation pouvoir-information.

Cependant chaque technique d’obfuscation soulève aussi des questions d’ordre éthique et politique. Avant d’y recourir, il faut s’interroger sur l’impact qu’elle pourrait avoir et les problèmes qu’elle pourrait engendrer, que ce soit dans les politiques sociales ou dans les médias sociaux. « L’obfuscation est-elle légitime ? », c’est la question que nous nous posons au chapitre IV. Ne sommes-nous pas en train d’inciter les gens à mentir ? à être sciemment inexacts et à « polluer » par un bruit potentiellement dangereux, les bases de données pouvant avoir des applications commerciales et civiques ? Ceux qui utilisent gratuitement les services des plateformes commerciales, ne le font-ils pas aux crochets des utilisateurs honnêtes ? De ceux qui paient pour des services (et la publicité ciblée qui va avec) en rendant leurs données d’utilisation disponibles ? Si ces pratiques se généralisent, n’allons-nous pas gaspiller collectivement la puissance de calcul et la bande passante ? Dans le chapitre IV, nous relevons ces défis et décrivons le raisonnement moral et politique, qui permet de juger, dans quel cas précis l’obfuscation est acceptable ou inacceptable.

Le dernier chapitre décrit ce que l’obfuscation peut ou ne peut pas réaliser. Comparée à la cryptographie, elle peut être considérée comme une pratique contingente et précaire. Le chiffrement permet en effet de déterminer avec précision le niveau de sécurité à appliquer pour résister aux tentatives de déchiffrement par la force brute, en ajustant les paramètres comme la longueur des clés, la puissance de traitement et le temps nécessaire à décoder. Avec l’obfuscation une telle précision est rarement possible. En tant qu’outil pratique, sa force dépend en effet de circonstances réelles, de ce que ses utilisateurs veulent réaliser et de limites spécifiques auxquels ils peuvent être confrontés. Néanmoins complexité ne signifie pas chaos et la clé de la réussite repose sur l’attention accordée aux relations internes aux systèmes. Au chapitre V, nous identifions six objectifs communs pour les projets d’obfuscation et nous les mettons en corrélation avec le design correspondant. Les objectifs principaux incluent le fait de gagner du temps, de se camoufler, de se cacher, d’éviter le contrôle, de brouiller le profilage et de participer à des mouvements de protestation. Pour le design, nous analysons le projet d’obfuscation en prenant en considération différents éléments constitutifs, et notamment s’il est collectif ou individuel, connu ou inconnu, sélectif ou général, à court ou à long terme. Par exemple, en fonction de l’objectif, l’obfuscation pourra être un échec si l’adversaire connaît les techniques employées ou au contraire il vaudrait mieux qu’il sache que les données ont été polluées, comme c’est le cas dans une protestation collective, les techniques contre le ciblage personnalisé et le démenti. Tout cela dépend évidemment des ressources à disposition de l’adversaire, c’est-à-dire, le temps, l’énergie, l’attention, et l’argent qu’il est prêt à dépenser pour identifier et éliminer la source de camouflage. Ce raisonnement est prometteur parce qu’en partant d’une analyse de cas, nous apprenons comment adapter au mieux l’obfuscation à sa finalité. En conclusion, l’obfuscation peut-elle fonctionner   Oui, mais seulement dans un contexte déterminé.

Et maintenant, allons-y !

Finn Brunton & Helen Nissenbaum : Obfuscation. La vie privée, mode d’emploi

Traduit de l’anglais (États-Unis) par Elena Marconi

Editions C&F, Caen 2019, 188 pages, 20 euros

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.