Au cas où vous ne seriez pas au courant, on a récemment appris qu'un ou plusieurs individus avaient publié des photographies dénudées d'actrices (dont Jennifer Lawrence, qui jouait le rôle-star dans les Hunger Games) et d'autres femmes, photographies que celles-ci pensaient privées et ne destinaient pas à la publication. Ces photographies ont ensuite été largement diffusées. Il est difficile de faire la différence entre les faits établis et les supputations ou extrapolations des uns et des autres, aussi je me bornerai à mentionner l'hypothèse la mieux étayée, à savoir que

  • ces photographies ont été prises à l'aide de smartphones de marque Apple, configurés de façon à sauvegarder leurs données sur les serveurs d'Apple (service iCloud)

  • elles étaient stockées dans un espace privé ; il ne s'agirait donc pas d'une publication incontrôlée et cet épisode est donc à distinguer du cas de ces internautes qui, pensant partager une photographie avec leurs amis, la partagent en fait avec le monde entier, y compris leur employeur ; une des victimes expliquait ainsi qu'il s'agissait de photographies faites avec son mari et destinées à leur usage personnel

  • ces serveurs iCloud ont été attaqués, apparemment en profitant d'une faille de sécurité permettant pour accéder au compte d'un utilisateur d'essayer successivement et dans un très court laps de temps une grande quantité de mots de passe (les systèmes bien conçus dans ce cas verrouillent temporairement le compte concerné, ou autre contre-mesure adaptée).

Avant d'avancer dans la discussion, je voudrais exprimer ma sympathie aux victimes, même si la probabilité qu'elles me lisent est presque nulle ; non seulement ma sympathie par rapport aux délits dont elles ont été victimes, mais aussi par rapport à la réaction des médias, dont j'avoue ne plus m'étonner de la médiocrité. J'ai ainsi vu quelques articles où l'on accusait les victimes au pire d'exhibitionnisme, au minimum d'imprudence ou négligence.

Il est en fait assez courant de blâmer la victime d'un délit ou crime pour celui-ci. Ainsi, une femme agressée sexuellement se fera accuser d'être trop court vêtue ou d'avoir commis l'imprudence de rentrer seule le soir ou d'être allée dans une soirée. Sans aller jusqu'à des actes aussi graves, je relève que l'Université de Grenoble, qui héberge mon laboratoire, placarde des affiches expliquant qu'une voiture n'est pas un coffre-fort et qu'il ne faut pas laisser d'objets de valeur dans un véhicule garé sur son campus. Divers guides urbains recommandent de ne pas « tenter les pickpockets ». On inverse dans une certaine mesure la charge de la responsabilité : l'agression ou l'effraction sont décrits comme s'il s'agissait de phénomènes naturels dont il convient de se prémunir, comme on conseillerait de sortir avec un parapluie en cas de météo incertaine. La femme qui « tente » les violeurs, l'automobiliste ou le passant qui « tentent » les voleurs, sont considérés comme au moins partiellement responsables du fait de leur manque de précautions. Toujours, des petits malins diront que la victime « n'avait qu'à... » ou « n'avait qu'à pas... ».

La vivacité avec laquelle des quidams sans expertise en sécurité informatique se sont mis à parler des dangers de la publication sur le Web, à donner des conseils quant à l'utilisation des objets connectés, n'est probablement pas mieux illustrée que par l'article du psychiatre Serge Tisseron. M. Tisseron (ou peut-être le journaliste chargé de réécrire sa pensée) dit notamment :

  1. Qu'il ne faut rien mettre de sensible sur un objet connecté à Internet.

  2. Que quand les gens auront appris à programmer, ils pourront chiffrer leurs fichiers et ne plus avoir de problèmes.

Ces recommandations provoqueraient chez moi une certaine hilarité si elles figuraient dans la copie d'un étudiant ; mais j'ai peine à sourire quand elles sont commises par une personne que les médias interrogent en quelque sorte comme un expert.

Commençons tout d'abord par le point 1. Cette recommandation n'est pas absurde dans l'absolu ; c'est en fait ce qui est mis en œuvre dans certaines entreprises, où il existe deux réseaux informatiques séparés pour d'une part le courrier électronique, la bureautique, l'administratif, d'autre part pour l’ingénierie et les secrets industriels. Quiconque a vu cette séparation à l'œuvre sait que celle-ci est très difficile à mettre en œuvre : non seulement il faut deux fois plus de matériel, mais il faut bien à un moment échanger des données entre les réseaux, d'où diverses contorsions (je me rappelle ainsi d'une grande entreprise où la procédure était de graver un CD à chaque passage de données).

Par ailleurs, cette recommandation est impossible à appliquer pour nombre d'usages. Prenons par exemple la banque et les commandes en ligne : il faut bien à un moment taper un numéro de compte, un numéro de carte bancaire, un code d'accès… sur un système connecté à Internet. Ces informations sont sensibles, puisqu'elles peuvent éventuellement permettre des détournements de fonds. Bref, appliquer le point 1 revient à appliquer dans la vie d'un simple particulier des précautions qui sont difficiles à appliquer chez des professionnels...

Passons au point 2. Là, je ne vois tout simplement pas le rapport entre la programmation, le chiffrement de fichiers et le problème qui nous occupe.

Savoir programmer ne vous transforme pas en expert en sécurité informatique. La sécurité informatique est un sujet très subtil, notamment parce qu'il faut se méfier de tout ; autrement dit, quand on considère une donnée ou un fait, il faut toujours se demander pour quelles raisons nous les considérons comme authentiques. Chaque gaffe, chaque oubli peut potentiellement être exploité. Il n'est en revanche pas nécessaire de savoir programmer pour utiliser un logiciel de chiffrement, même si bien sûr la programmation donne une meilleure compréhension de l'informatique en général.

Par ailleurs, nous parlons ici de dispositifs informatisés grand public sur lesquels l'utilisateur final n'a qu'une information parcellaire et très peu de possibilité d'intervention. Seul Apple sait précisément comment l'iPhone et l'iCloud sécurisent les données des utilisateurs, et je ne pense pas qu'il y ait de moyen de forcer le téléphone à chiffrer toute photographie.

En outre, l'utilisation de mécanismes de chiffrement ne garantit pas la sécurité : par exemple, s'il existe pour un intrus un moyen de savoir ce qui est tapé au clavier, celui-ci peut par exemple obtenir le mot de passe de déchiffrement des fichiers « sécurisés ». Certaines fiches « techniques » destinées aux utilisateurs finaux font sourire : que m'importe, au fond, que mes données soient chiffrées pendant la transmission avec de l'AES 128 bits, ou 256 bits ? La théorie avancée pour cette « fuite » de photographies ne met en jeu aucune prouesse d'attaque contre les primitives cryptographiques, aucune percée mathématique mystérieuse par la NSA… juste une négligence de conception. La sécurité informatique, c'est un problème de recherche de « maillon faible », et la cryptographie proprement dite n'est presque jamais celui-ci.

Enfin, même si l'utilisateur savait programmer et avait accès à l'ensemble de la documentation technique de son dispositif connecté, il ne s'ensuivrait pas qu'il pourrait s'assurer de la sécurité de ses données. L'exemple des trous de sécurité détectés au fil du temps dans OpenSSL est éclairant : voici un logiciel critique, déployé sur quantité de serveurs et de dispositifs clients (ordinateurs personnels et sans doute téléphones), dont le code source (le « texte » du programme) est publiquement disponible, et où l'on découvre année après année des « trous », certains proprement affolants (par exemple le bug de génération des clefs d'OpenSSL sous Debian et dérivés, ou encore la faille Heartbleed).

Ces « yaka » sur la programmation et le chiffrement seraient proprement intenables si on les transposait à d'autres domaines. Si une personne se fait cambrioler suite à une défaillance subtile d'une serrure décrite comme « de sécurité », on ne lui dit pas qu'elle « n'avait qu'à » ne pas avoir d'objets personnels chez elle mais que la situation sera meilleure quand tout le monde sera expert en serrurerie.

Bref, je me demande honnêtement pourquoi on demande son avis sur ces questions au psychanalyste Serge Tisseron et non à un spécialiste, comme par exemple ma collègue Véronique Cortier. De fait, il est remarquable que les médias n'aient pas fait appel aux experts en sécurité informatique du monde universitaire (j'inclus ici les écoles, le CNRS, l'INRIA...) : le mieux que l'on ait vu est un représentant de la Quadrature du Net. Il est vrai que les universitaires auraient probablement dit qu'en l'absence d'informations techniques précises, il est périlleux de commenter…

J'aimerais conclure par une analogie. Si un quidam se contorsionnait pour arriver jusqu'à ma fenêtre et glissait un objectif en dessous d'un volet mal fermé, on estimerait sans doute que je ne suis pas à blâmer pour ne pas m'être assuré d'une fermeture jusqu'au dernier centimètre. Ici, un ou plusieurs individus se sont contorsionnés pour obtenir des clichés privés ; ce n'est pas différent. Le fait que les victimes soient des personnes publiques n'y fait rien.