le Blog de FDN

Qui sont mes interlocuteurs ?

Je n'ai pas vraiment bien compris ce qu'est l'INHESJ, à vrai dire. Ce que j'ai compris, c'est que les gens que j'avais en face de moi étaient membres d'un groupe de travail, qui était chargé (une espèce de projet de fin de cycle, si j'ai bien compris) de rédiger un rapport sur Peut-on contrôler Internet?. Rapport destiné au Premier Ministre.

De mémoire (avec deux semaines de retard...), le groupe est composé d'une quinzaine de personnes. Trois sont en face de moi. Un commissaire de police, un assistant parlementaire, et le responsable de la sécurité informatique pour une grande banque privée.

La nature d'Internet

Il y a avait un risque qu'on se ne comprenne pas. mes interlocuteurs et moi, sur ce que c'est qu'Internet, et donc que nous ne parlions de la même chose. J'ai donc commencé par expliquer, assez longuement, ce que c'est qu'Internet. Et particulier certains points clefs de sa définition:

• Internet est un réseau public unique, par définition, il est le réseau public routé par le protocole IP;
• une de ses caractéristiques est d'être un réseau de transport pur, ayant placé l'intelligence en périphérie;
• dit autrement: quand j'éteins mon ordinateur, Internet en est diminué: toute machine allumée, disposant d'une adresse IP publique (sans quoi, elle n'est pas sur Internet) participe de plein pied au réseau, en tant que serveur comme en tant que client, quand elle est allumée, le réseau est plus grand, quand elle est éteinte, le réseau est plus petit.

C'est vrai pour ma machine, perso, à la maison, puisque j'héberge pas mal de choses (des données publiques, des données privées, mon mail, etc), mais c'est vrai potentiellement de toute machine. Et c'est d'ailleurs vrai, en pratique, d'un très grand nombre d'ordinateurs, à l'insu de leur propriétaire. Hé oui, un ordinateur, tout infesté de virus, troyans, et autre malwares de tous poils, apporte sa contribution au réseau. En général en faisant des bêtises (envoyer du spam, participer à des attaques, etc), mais il y participe. Et d'une manière qui a été jugée utile par un humain qui en décide.

Internet, si on veut le voir comme une somme d'applications, et non pas simplement comme un réseau, est alors essentiellement constitué d'applications a-centrées, comme le mail ou Jabber ou le peer to peer, les applications centrées ayant tendance à le faire converger vers une espèce de minitel évolué.

Peut-on contrôler Internet?

Mes interlocuteurs m'ont assez vite indiqué que la question centrale de leur rapport ouvrait des portes nombreuses. Par exemple que pour eux, la question n'est pas forcément technique, mais peut être sociale. Un non-did, mais qui semble sous entendu pour tout le monde, est qu'un contrôle n'est pas forcément un contrôle a priori, mais peut être un contrôle a posteriori.

Du coup, j'ai assez vite indiqué que si on partait sur les pistes purement techniques, à base de mesures de filtrage diverses, et de contre-mesures pour contourner le tout, la conclusion était pour le moment simple: on ne peut pas contrôler Internet sauf à l'éteindre entièrement, et c'est fait exprès.

Une petite digression à noter, sur LOPPSI. En effet, ils semblaient surpris que je ne sois pas, par principe, tel l'anarcho-chevelu qu'ils s'imaginaient, totalement opposé à la moindre forme de police ou de loi. Je leur ait donc, assez longuement, expliqué que ce qui pose problème dans l'article 4 de la LOPPSI, ce n'est pas de vouloir lutter contre la pédophilie en général et la pédo-pornographie sur Internet en particulier, mais que le moyen retenu soit de mettre de l'intelligence dans le réseau. D'abord parce que c'est porter atteinte à la nature même du réseau, et que donc l'outil est dangereux, et que la justification de la proportionnalité de l'outil par rapport au but à atteindre n'est à mon sens pas établie. Ensuite parce c'est mettre une arme terrible (la capacité de filtrer) entre les mains des opérateurs, et ce avec un contrôle très faible. Et qu'il me semble, en terme d'équilibre, très mauvais de sur-armer les multinationales contre leurs clients, le déséquilibre étant déjà, tout seul, assez mauvais.

Le rôle de l'éducation populaire

Une question, intéressante, a été: si vous aviez la possibilité, sans vous soucier de budget, de proposer une action publique, qui vise à rendre Internet contrôlable, c'est-à-dire à traiter voire résoudre les problèmes posés à la société (de phishing, de vie privée, d'escroqueries en tous genres, etc), que proposeriez-vous ?

Réponse simple: l'éducation. Pas seulement traiter le besoin urgent, criant, de formation des enseignants pour qu'on puisse enfin expliquer dans les écoles ce que c'est qu'Internet, comment ça marche, à quoi ça sert, etc. Mais plus largement, l'éducation populaire. D'abord former les formateurs, pour aller former les gens.

Dans 50 ans, la question de savoir se servir d'Internet ne se posera plus. L'outil sera parfaitement contrôlé. Non pas par la censure, mais simplement, les gens sauront s'en servir, et donc ne risqueront plus de tomber dans les pièges les plus grossiers. Nos petites questions bêtes d'utilisateurs débutants ne se poseront plus.

Par exemple, sur la question de la vie privée. Aujourd'hui, quelqu'un qui a laissé, publiquement, sur Internet, des traces de ses parties fines sur un site échangiste, avec son vrai nom, pourrait, par exemple, se le voir reproché par un emloyeur un peu grincheux. Pour moi, il est évident que dans 50 ans la question ne se posera plus. D'abord, parce que chacun aura appris à éviter ces petits erreurs. Et, surtout, parce que l'employeur n'en aura rien à cirer. Recherchant le nom du candidat dans un moteur de recherche, ça lui remontera les éléments de sa carrière (postes précédents, prises de parole en public dans ce domaine, commentaires sur les sites habituels de la profession, que sais-je) ainsi que les éléments personnels qui traînent en public. Dans la mesure où ce sera assez probablement une forme habituelle, on ne les lira simplement pas, comme étant hors-sujet.

Tout comme, le divorce étant entré dans les moeurs, il ne viendrait plus à l'idée de personne de le reprocher et donc de le cacher.

Reste qu'on ne peut pas se satisfaire qu'une majorité de la population connaisse mal, voire pas du tout, cet outil, et donc risque de s'en servir sans en comprendre les risques et les avantages. Donc, pour moi, un réforme intelligente pour lutter contre les "risques Internet", c'est l'éducation. Apprendre aux gens à parler en public. Apprend aux gens à lire Internet, qui ne se lit pas comme un livre.

Surprise de ma part, quand, indiquant qu'on pourrait pour ça s'appuyer sur les EPN (Espaces Publics Numériques), je constate qu'ils ne savent pas ce que c'est. Je les invite à se renseigner sur le sujet, et à aller voir ce que c'est.

Visiblement, l'idée d'éducation passe bien, mais certaines réticences restent.

Par exemple, le commissaire a utilisé à un moment le mot maîtrise à la place du mot contrôle, ce qui indique soit qu'il considère que maîtriser l'outil, c'est permettre qu'il n'y ait pas besoin de contrôle a priori (un peu comme l'habitude de circuler ne ville fait qu'on n'a pas besoin d'une assistante maternelle pour traverser la rue), soit c'est un fond de vocabulaire policier qui revient, faisant qu'il veut que la force publique soit capable de maîtriser le réseau comme on maîtrise un délinquant en fuite...

Autre exemple, le banquier, qui refuse de lâcher que l'éducation serait plus efficace sur le phishing, montrant qu'il a mal compris le problème (et à mon sens, il se trompe). D'ailleurs, il campera sur certaines position corporate sur le sujet, alors que les deux autres semblent considérer que l'éducation est une bonne réponse sur le sujet. Par exemple, il insiste sur le fait d'empêcher l'accès aux sites en question, alors que de mon côté j'indique bien qu'il faut faire disparaître, supprimer ces sites. La discussion sur le sujet cesse quand je lui indique que ses clients peuvent consulter leurs mails, et leurs comptes bancaires, en vacances en Ouzbékistan, et que ça va être compliqué d'imposer le filtrage voulu par un banque française à tous les 40.000 opérateurs Internet de la planète...

Mentions légales

Pendant la longue discussion sur ce qu'on peut gagner par l'éducation, la question se pose de savoir si une mention légale, par exemple dans les contrats d'abonnement Internet, serait utile. J'indique clairement que non. Que, eux non plus, n'ont pas lu les petits caractères dans la notice du micro-onde. On convient collégialement que ce n'est pas une bonne idée.

Par contre, j'indique que, signaler systématiquement, où trouver l'EPN le plus proche, et quelle aide on peut y trouver, ça peut être utile. Autant les habitués de l'informatique s'en fichent bien, autant les gens qui ne connaissent pas seraient probablement ravis de savoir qu'il existe, chez eux, un service public municipal, où se trouvent des gens près à les aider et à répondre à leurs questions...

En conclusion

Je n'ai pas la moindre idée de ce que contiendra leur rapport, ni même s'il sera lu par qui que ce soit au cabinet du Premier Ministre.

Mais je ressors de cette discussion avec certains éléments:

• ils ont bien retenu que toutes ces questions seront ridicules dans quelques décennies, que c'est une phase transitoire
• l'idée qu'il y a à faire en matière éducative est passée
• ils semblent avoir compris pourquoi, selon moi (et pas tellement selon eux) la neutralité du réseau est une question importante.

Au final, un rencontre que j'ai trouvé peu constructive, mais pas inutile.