(Disclaimer : la précision eût commandé de titrer ce billet : « De quoi Prism, Boundless Informant, XKeyScore, Bullrun, Tempora, etc., sont-ils le nom ? » — mais ça faisait vraiment trop long. Quant au plagiat éhonté du titre d’un fameux essai d’Alain Badiou, d’accord, c’est devenu tarte à la crème, mais la tentation était trop forte.)

Faisons les comptes. Nous voilà à presque cinq mois de publications régulières basées sur les documents made in NSA transmis à une poignée de journalistes par Edward Snowden. Tandis qu’il doit commencer à faire frisquet dans le refuge moscovite de l’ex-consultant, la température, chez les gens qui se soucient un tant soit peu de vie privée, ne baisse pas. À vrai dire, elle aurait même plutôt tendance à monter. Les premières réactions blasées — voir celle-ci, par exemple — me semblent à ce stade moins signifiantes que celles, plus nombreuses, d’observateurs qui, pour avoir longtemps tiré la sonnette d’alarme, n’en sont pas moins eux-mêmes un peu sonnés par l’ampleur des documents révélés. L’un d’eux me disait, il y a quelques semaines, qu’après être régulièrement passé pour un « parano » pendant des années, il se rendait compte qu’il ne l’avait sans doute pas été suffisamment.

« On savait déjà », certes, mais « on savait » ce qu’il était techniquement possible de faire. Maintenant, « on sait » — au moins en partie — ce qui a été concrètement mis en place. Vu en plan large, le paysage fait frémir. Ça a un immense avantage, celui de faire sortir le débat du cercle des « sachants » et de le faire basculer dans une temporalité proprement politique. Si on peut légitimement s’interroger sur la volonté des gouvernants de protéger la vie privée de leurs citoyens — d’autant qu’en la matière, la coopération est souvent de mise –, la société civile, elle, commence à bouger, comme en témoigne le récent rassemblement « Stop Watching Us » à Washington. Quelques milliers de personnes, c’est modeste, surtout à l’échelle des États-Unis, mais ça n’est pas anodin.

Chercher des points de comparaison dans l’histoire récente, ou dans la littérature — bref, dans des catégories d’analyse familières — est une démarche assez naturelle. À propos de la NSA, les deux comparaisons qui reviennent en boucle sont le Big Brother de George Orwell (« NSA » + « Big Brother » = 15 millions de résultats dans le moteur de recherche le plus utilisé de la planète) et la Stasi est-allemande (un peu plus d’un million). Le collectif de datajournalistes OpenDataCity s’est même fendu d’une infographie comparant la surface des archives de cette dernière avec celle que prendraient, sous la même forme, les données collectées par l’agence américaine.

Évidemment, ça frappe la rétine, et les esprits. Évidemment, qu’il soit devenu courant de comparer la police politique d’un régime autoritaire défunt avec une agence de renseignement d’un État démocratique moderne (car oui, les États-Unis sont une démocratie, même très imparfaite — que ceux qui en doutent aillent jouer les activistes en Chine) en dit long sur la faillite de cet État en termes de sauvegarde des libertés fondamentales. Il n’empêche que, depuis cinq mois que ça dure, aucune de ces comparaisons ne me semble faire sens. Moins pour des histoires de semi-point Godwin que parce que ça ne me dit rien de ce à quoi nous avons affaire. À quoi, d’ailleurs, avons-nous vraiment affaire, je crois que nous ne le savons pas encore, parce que les effets de cette surveillance systémique sont encore peu visibles, au-delà des murs de celle qu’on appelait, au début des années 70, No Such Agency, et qui se retrouve bien malgré elle sous le feu des projecteurs (mais pas, loin s’en faut, en pleine lumière).

Ci-dessous, donc, quelques éléments épars de réflexion, qui doivent, entre autres, à la lecture d’une chronique du journaliste américain Christian Caryl et d’une autre d’Andréa Fradin, à une interview de l’ingénieur réseaux Stéphane Bortzmeyer, à diverses conversations à bâtons rompus avec quelques cypherpunks, et au souvenir de discussions avec des activistes du Net à Tunis et à Berlin, au cours de l’été 2012. #tobecontinued, évidemment.

Beyond The Limits

En tout état de cause, l’infographie d’OpenDataCity précitée a un immense mérite : celui de faire comprendre qu’à cette différence d’échelle, la comparaison entre les méthodes « à l’ancienne » et celles d’une agence de renseignement moderne n’a plus aucun sens. Il n’y a plus de limite physique à ce qu’on peut stocker, donc plus de limite physique à ce qu’on peut « attraper » sur le réseau. Comme me le disait Stéphane Bortzmeyer :

« La surveillance dans l’espace physique est nécessairement ponctuelle. Quand on décide de surveiller un nouveau dissident, il faut enlever des moyens quelque part. C’est une limite fondamentale de la surveillance physique. Dans les programmes de la NSA, cette limite saute. »

Elle est, à tout le moins, repoussée très loin. Mobiliser des ressources pour, par exemple, « casser » la clé de chiffrement d’une seule personne, c’est du temps (beaucoup) et de l’argent (beaucoup aussi). Insérer un keylogger dans l’ordinateur d’une personne qu’on veut surveiller, c’est du boulot. La surveillance ciblée a toujours un coût, une limite objective, même quand elle porte sur les données et non sur les corps physiques. Le coût de la surveillance numérique de masse, lui, croît moins vite que les données accumulées. Des données qui sont par ailleurs conservées plusieurs années, et qui coûtent, là encore, beaucoup moins cher à analyser, sur le moment ou a posteriori. Pas besoin de surveiller tout le monde, tout le temps — pas besoin de Big Brother, donc — puisque la matière brute est à portée de main, pour permettre classements et recoupements ultérieurs (ce à quoi se prêtent très bien les métadonnées, notamment). C’est effrayant ? Oui, surtout qu’on n’en voit pas encore (publiquement) les effets. On peut toujours se consoler en réécoutant John Perry Barlow, l’auteur de la fameuse Déclaration d’indépendance du cyberespace, dans le documentaire La Contre-Histoire de l’Internet :

« Je connais bien la NSA, de l’intérieur, et je peux vous dire que leur despotisme est amoindri par leur incompétence. Ils peuvent enregistrer tout Internet, mais ils n’ont aucune idée de quoi faire de ces données. Et plus ils en ont, plus ils sont confus. »

On peut aussi s’inquiéter de l’existence d’un instrument d’une telle puissance au service d’un gouvernement, quel qu’il soit, et des dommages collatéraux possibles de « l’incompétence » qui amuse tant John Perry Barlow. On sait déjà, en tout cas, que des usages « futiles » et difficiles à détecter — comme surveiller ses ex — ont été rendus possibles. Ça peut faire sourire, mais c’est — faut-il le rappeler — parfaitement abusif (et parfaitement illégal).

La ligne rouge

D’après la présidente de la CNIL, Isabelle Falque-Pierrottin, interrogée récemment par Le Monde, « une ligne rouge a été franchie ». Le problème, évidemment, c’est le chemin dans l’autre sens. Voilà ce que m’en disait cet été l’Islandais Smári McCarthy, directeur de l’International Modern Media Institute, lors du rassemblement de hackers OHM2013 :

« Avec des programmes comme Prism ou Boundless Informant, le gouvernement américain s’est mis dans une situation inextricable. Une bombe nucléaire, tu peux la désassembler, donc tu peux prouver qu’elle n’existe plus. Mais on ne peut pas prouver que quelque chose comme Prism n’existe plus, parce que ça n’a pas de substance physique. Du coup, il n’y a aucun moyen de croire à nouveau le gouvernement américain. Il n’y a pas de retour en arrière possible, ils ont perdu toute crédibilité en termes de démocratie. »

Il va de soi — mais ça va mieux en le disant — que Smári McCarthy n’en déduit pas (du tout) qu’il faut « lâcher l’affaire ». Il est, bien au contraire, un promoteur infatigable du « hack de la loi » et de la pression de la société civile sur les institutions. Mais le problème n’est pas mince. Le cadre légal des activités de la NSA (plus généralement, le cadre légal des activités des agences de renseignement occidentales) s’est considérablement assoupli ces douze dernières années ; se renforcerait-il demain qu’il n’y aurait aucune garantie concrète d’application. C’est gênant ? Oui, très.

Can You Feel It?

Fin juillet 2012, j’ai passé quelques jours à Tunis, en plein ramadan, pour rencontrer les membres du hackerspace. C’était donc un an et demi après la révolution. Nous étions, ce soir-là, à la terrasse d’un restaurant, en centre-ville, à parler politique, libertés sur Internet, groupes de vigilance citoyenne, autour d’un thé à la menthe. Il y avait un peu de monde en terrasse, à l’intérieur du restaurant, et dans la rue. Et c’est Wassim, je crois, qui a dit tout à coup :

« Il y a deux ans, on n’aurait jamais eu cette discussion. Comme ça, en terrasse. On n’aurait jamais parlé de ça en public, on aurait eu trop peur que quelqu’un nous entende et nous dénonce. »

Ça faisait à peu près deux heures qu’ils disaient leur impatience, leur sentiment que rien n’allait assez vite, leurs craintes de voir la révolution confisquée, leurs maigres forces. J’avais entendu beaucoup de frustration, mais ce que j’entendais, tout à coup, c’était le chemin parcouru, le sentiment de libération.

C’est une différence radicale, irréductible, entre l’appareil de surveillance d’une dictature et l’appareil de surveillance d’une démocratie : la pression sur les corps, le climat qui s’instaure, la conscience que l’environnement est hostile. Que le voisin de palier, le collègue de bureau, ou le parent, est un danger potentiel. La Stasi, encore elle, était passée maîtresse en la matière : d’après certaines estimations, un Allemand de l’Est sur sept était un informateur. C’est vertigineux. On s’espionnait dans les familles. La surveillance était physiquement perceptible.

Quand elle est exercée par un régime qui se sert de la Déclaration universelle des droits de l’homme pour caler l’armoire, la surveillance numérique a des effets très concrets, telles l’arrestation et la torture. Les opposants au colonel Kadhafi, en Lybie, en ont fait la terrifiante expérience. Rien de tel pour nous, chanceux Occidentaux, qui certes savons désormais que nos communications sont mises au chaud dans des datacenters, mais n’en avons aucune perception véritable. Nos sens ne nous en disent rien. Autre anecdote : en 1996-1997, dans les manifestations de soutien au mouvement des sans-papiers, traînait toujours un type que les militants appelaient « Grandes Oreilles », et qu’ils avaient identifié comme faisant partie des Renseignements généraux. Il était visible, y compris au titre de ceux qui ne l’étaient pas. Il avait un corps. La surveillance numérique n’a pas de corps.

Alors ? Alors, pour beaucoup, « j’y pense et puis j’oublie ». C’est à la fois partout et nulle part. Ça me fait penser, dans un registre pas si éloigné finalement, à ce qu’écrit Grégoire Chamayou dans sa Théorie du drone. Avec le drone militaire, il n’y a plus de champ de bataille, plus de symétrie entre belligérants. Le drone change les lois de la guerre. Avec la surveillance numérique, il n’y a plus de limite au terrain d’exercice de la surveillance, plus de relation entre surveillant et surveillé. La surveillance numérique change les lois de la surveillance.

Victimes consentantes

Autre difficulté, et pas la moindre : les surveillés sont les complices actifs des surveillants. Ainsi, en juin dernier, lors du festival de hacking Pas Sage en Seine, la maman de ma consœur Sabine Blanc, participant à un échange intitulé « Ma mère et les hackers », l’a-t-elle rappelé à l’assistance : pourquoi se scandaliser des écoutes, alors que des millions d’internautes étalent chaque jour leur vie privée sur Facebook ?

La partie « Prism » des documents Snowden l’a clairement montré : en nourrissant quotidiennement les « GAFA » — Google, Amazon, Facebook et Apple, auxquels on peut, pour la bonne bouche, ajouter Microsoft, Yahoo, Hotmail… — en données personnelles, nous participons, en connaissance de cause désormais, à l’appareil de surveillance.

La réponse classique des hackers est d’encourager les utilisateurs à fuir ces « gros silos » de données pour adopter les solutions développées par les communautés du logiciel libre. C’est très respectable, et nécessaire, mais si ça s’arrête là, ça ne marchera jamais, sauf pour quelques franges de geeks : pour que ça marche, il faut prendre le problème à l’inverse. Ce n’est pas aux utilisateurs d’aller vers le logiciel libre, mais au logiciel libre d’aller vers les utilisateurs.

Et il ne sert à rien de blâmer les internautes paresseux, ou inconscients, ou plus attachés à leur confort qu’à leur liberté. D’abord parce qu’il y a toujours eu, et qu’il y aura toujours, des gens attachés à leur confort, ou convaincus que la surveillance est un mal nécessaire. Ensuite parce que c’est (évidemment) beaucoup plus compliqué que ça. Exemple autocentré : tous mes ordinateurs personnels sont équipés d’un système d’exploitation et de logiciels libres ; j’ai deux noms de domaine, des adresses e-mail liées, un peu d’espace de stockage chez une entreprise en laquelle j’ai confiance (je tenterai l’auto-hébergement… un jour) ; je sais chiffrer mes communications, ce que je fais au maximum, i.e. avec des correspondants qui le font également, et je chiffre mon disque dur. Tout ça par principe, et au prix de certains efforts. J’ai aussi un compte Gmail, un compte Twitter et un compte Facebook. Parce que Google Drive est bien pratique pour partager des documents et très utilisé, parce que Twitter permet d’émettre et de recevoir de l’information avec un fort potentiel de viralité, parce que Facebook permet de garder des contacts relâchés mais réels avec beaucoup de gens, voire d’en renouer. Raisons pour lesquelles ces plates-formes rencontrent un tel succès.

Bien évidemment, ce que je laisse sur les « gros silos » permet potentiellement de dessiner une bonne partie de mon graphe social. Je me console en me disant que je sais me ménager un quart d’heure d’anonymat en ligne, que les mails chiffrés pour organiser des soirées fondue, c’est toujours un peu de « bruit » dans les tuyaux, et que je suis loin d’être la plus « à poil » sur le réseau. Mais je ne me vois pas renoncer aux avantages de Google, de Twitter ou de Facebook, même si je les considère comme des espaces à ciel ouvert (jusque dans leurs parties « privées »).

C’est un peu la même chose qu’avec la cigarette : dire à un fumeur qu’il faut qu’il arrête à cause des risques de cancer, sans tenir compte du fait que la cigarette est aussi un plaisir, et pas seulement une addiction, c’est généralement voué à l’échec. En revanche, quand le fumeur trouve plus d’avantages que d’inconvénients à l’arrêt du tabac, ou des compensations suffisamment fortes, la bascule est possible. Les « gros silos » sont un peu comme la cigarette. J’ai arrêté Microsoft pas seulement parce que les OS libres étaient sans goudron, mais parce qu’ils avaient meilleur goût, et tant pis (tant mieux) si j’ai dû rouler des trucs à la main. Les victimes de la surveillance sont consentantes parce qu’elles y trouvent énormément d’avantages. Proposez-moi un « Facebook libre » qui non seulement soit moins intrusif, décentralisé, qui ne s’accapare pas mes données, mais qui en prime m’offre les mêmes avantages, et je change demain. Proposez un réseau social encore plus performant pour l’utilisateur, et je ne serai certainement pas la seule à dire au revoir à Mark Zuckerberg.

C’est donneur de leçons ? Oui, sans doute. C’est difficile ? Oui, c’est certain, et les expériences passées en témoignent. Mais c’est aussi ce que pense une partie des premiers concernés — les programmeurs. Et ça me semble assez nouveau. Outre ses activités à l’IMMI, Smári McCarthy travaille aussi sur Mailpile, un projet de client webmail en développement, qu’il n’hésite pas à présenter comme une possible alternative décentralisée à Gmail :

« L’objectif, c’est que Mailpile soit aussi simple à installer, à configurer et à utiliser que Gmail et les autres offres de webmail. Pour changer les choses, il faut mettre sur pied la meilleure application e-mail du marché, et en faire un choix possible pour des centaines de millions de personnes. On ne se fait aucune illusion sur la difficulté que ça représente. »

Lorsque j’ai demandé à Eleanor Saitta, de l’OpenITP, si l’enjeu aujourd’hui était de concurrencer les solutions propriétaires, elle n’y est pas allée par quatre chemins :

« Oui, et pas juste en termes de facilité d’usage et de fonctionnalités, mais en développant des outils plus amusants à utiliser, qui permettent aux utilisateurs de faire des choses nouvelles, indépendamment du fait qu’ils se soucient ou non des enjeux politiques qu’il y a derrière. »

Si tu ne viens pas au libre, le libre ira à toi. Pour que les victimes consentantes cessent de l’être, c’est sur le consentement qu’il faut travailler. Y a du boulot ? Oui, mais y a de l’espoir, aussi.

Après la vie privée

À l’été 2012, après Tunis, j’ai passé quelques jours à Berlin. Entre deux Flora Power à C-base, le hackerspace déguisé en station spatiale (à moins que ce ne soit le contraire), j’ai longuement interviewé le blogueur Michael Seeman, qu’un membre du Chaos Computer Club m’a ensuite présenté ironiquement comme « the pope of post-privacy ». À ce moment-là, je découvrais un peu l’affaire ; le débat, déjà bien mûr en Allemagne (et notamment au sein du Parti pirate), était quasi-absent en France, même si on avait pu voir passer quelques recensions du Tout nu sur le web de Jeff Jarvis.

Pour les tenants de la post-privacy, l’affaire est jouée : nous sommes entrés dans l’âge de la transparence totale, et la notion même de vie privée en ligne n’aura bientôt plus cours. Il faut s’y résoudre, et faire avec. Jarvis en propose une version très optimiste, y voyant des « opportunités de connexions », et évacuant le problème du stockage des données et de leur utilisation par les « gros silos » (« J’ai plus confiance en Google ou Facebook qu’en n’importe quelle banque »). D’autres en ont une vision nettement moins enthousiaste, en lien direct avec le problème de la surveillance de masse — c’est le cas d’Eric Schmidt, le patron de Google, et de Jared Cohen, le directeur du think tank Google Ideas, dans leur essai commun The New Digital Age (à paraître en français le 8 novembre sous le titre À nous d’écrire l’avenir) :

« Dans un monde post-11-Septembre, il est déjà visible que même des pays aux fondations solides en termes de libertés civiles abandonnent la protection de leurs citoyens au profit d’un système qui accroît la surveillance intérieure et la sécurité. Cela ne fera que s’accélérer. […] Quoi que fassent les individus, les entreprises et les ONG pour protéger la vie privée, ces systèmes [de traitement de données] incluront inévitablement de gros volumes de données sur des citoyens qui ne sont pas des terroristes. La question, c’est combien, et où. »

Dans sa conférence lors de la dernière édition de Pas Sage en Seine, Laurent Chemla, l’un des cofondateurs de Gandi, a présenté le même genre de tableau. Pour lui, il n’y aura pas de durable « effet Prism » :

« Vous croyez que le scandale de Prism va faire prendre conscience du danger au public ? Vous croyez qu’il va boycotter Apple et Facebook à cause de la NSA ? Je dis que vous vous trompez, que ce qui est vrai pour ceux qui étaient déjà convaincus ne l’est pas pour la vaste majorité des gens, et que la vague médiatique n’aura qu’un effet très temporaire. Qui se souvient d’Échelon ? »

« La transparence est la vraie couleur du Net », écrit-il — « mais ce qui est vrai pour le simple citoyen l’est aussi pour les corps constitués ». C’est l’hypothèse fondamentale des tenants de la post-privacy : la transparence vaudrait pour tout le monde. Nos petits secrets étant moins importants que ceux de nos gouvernants, au total, ce sont les gouvernés qui auraient tout à y gagner. Sur le papier, c’est séduisant. Sauf que ça suppose une symétrie entre gouvernants et gouvernés. Et quelles que soient les pressions à la transparence, internes et externes, sur les premiers (des avancées de l’Open Data aux « fuites » initiées par des lanceurs d’alerte, d’Ellsberg à Snowden en passant par Manning), je ne crois pas qu’on puisse s’abstraire de la bonne vieille définition (pré-Internet) de l’État selon Max Weber, celle du monopole de la violence physique légitime. C’est bien vieux, tout ça (pensez donc : 1919 !), mais c’est encore redoutablement d’actualité. L’existence et le développement de contre-pouvoirs n’ont pas encore, à ce stade, changé la nature du pouvoir, même démocratique.

Ceci étant, le texte de Laurent Chemla met le doigt sur le risque principal : qu’une grande majorité de citoyens se résolve à cette idée de transparence généralisée, de disparition progressive de la vie privée. Et que seul un petit nombre continue à s’en préoccuper, et à tenter de se protéger. Citoyens qui pourront, un jour ou l’autre, être considérés comme éminemment suspects. S’ils cachent des choses, c’est qu’ils ont des choses à cacher — CQFD.

Dystopie molle ?

Au bout du compte, je ne sais évidemment pas à quoi nous avons vraiment affaire. Les catégories d’analyse classiques me semblent décidément impuissantes à décrire les nouveaux appareils de surveillance (ou bien je manque d’outils critiques). Cette surveillance à la fois omniprésente et sans pression véritable, déréalisée, abstraite, pour la majorité de ceux qui la subissent. Cette surveillance à laquelle participent, de manière de moins en moins inconsciente, les surveillés. Cette surveillance qui n’a potentiellement de limites ni dans l’espace, ni dans le temps. Comme le réseau, c’est à la fois une idée, et des paquets de données.

Quand je faisais des recherches et des interviews pour mon bouquin, un terme est souvent revenu, celui de dystopie. Cette contre-utopie que connaissent bien les amateurs de science-fiction en général, et de littérature cyberpunk en particulier. La surveillance est un élément central de nombre de dystopies, comme l’extrême technicisation des sociétés, et le fait que les individus soient dépossédés de toute maîtrise de leur environnement. En règle générale, le contrôle social y est maximal, et les individus enfermés en eux-mêmes, dans l’auto-censure permanente. On en est (chez nous, du moins) fort heureusement très loin. Les contre-pouvoirs sont vivaces. La société s’aplatit, même si les « cathédrales » résistent et si les mouvements tectoniques sont complexes. Les possibilités d’échange, de prise de parole, de collaboration, n’ont jamais été aussi nombreuses. Il se passe, partout, des choses formidables et enthousiasmantes. Des initiatives périphériques qui peu à peu contaminent le cœur des systèmes sociaux.

Et pourtant, avec les programmes de la NSA (et de ses copines, ne soyons pas bégueules), nous sommes dans quelque chose de puissamment désagréable et inquiétant. Qu’à défaut d’autre chose, on pourrait éventuellement qualifier de « dystopie molle ». Un peu comme le smog, c’est dans l’air, on l’oublie, mais c’est toujours là.

Le problème, c’est que certains corps mous — le pain, par exemple — le restent quand ils sont enfermés mais, laissés trop longtemps à l’air libre, ils durcissent. Et c’est là qu’on s’y casse les dents.