VPN

Comme quantité d'autres professionnels, j'ai accès sur mon lieu de travail à des ressources informatiques, documentaires etc. qui ne sont pas publiques. Souvent, ces accès sont filtrés par l'adresse de connexion : si ma machine est sur le réseau du laboratoire, elle a une adresse reconnue par le filtre et je peux accéder à la ressource, mais l'accès est bloqué si je suis à l'extérieur. Pour pouvoir tout de même en disposer si je suis chez moi ou en déplacement, j'utilise un système (techniquement, un renvoi de connexion SOCKS dans SSH) qui, de fait, sert à « masquer » mon adresse IP pour la remplacer par une adresse de machine au laboratoire.

De tels systèmes sont en usage quotidien dans les entreprises et les organismes publiques, sous le nom de « réseaux privés virtuels » ou VPN. Leur principe est de renvoyer tout ou partie des connexions Internet de l'utilisateur, notamment les accès Web, au travers d'une connexion chiffrée et authentifiée vers l'entreprise. On chiffre la communication pour éviter que des intrus ne puissent voir les données transmises (par exemple, des données sensibles internes à l'entreprise et à l'administration : contrats, ressources humaines, secrets industriels…).

Lorsque l'on se connecte depuis le réseau d'un tiers, notamment un Wifi public, on montre ses communications aux gestionnaires de ce réseau. Se connecter depuis un hôtel revient à montrer ses communications aux employés de l'hôtel, de leur fournisseur d'accès Internet et de tous les nœuds de communication sur le chemin de connexion, donc éventuellement à des services de renseignement étrangers. On comprend que l'on chiffre les communications afin de ne pas communiquer de données sensibles à tous ces gens. C'est pour cela que, notamment, toutes les communications avec des sites bancaires sont chiffrées et authentifiées, et que de plus en plus de sites passent de communication non chiffrées à des communications chiffrées afin de mieux préserver les données personnelles et professionnelles de leurs utilisateurs.

TOR

Il existe des systèmes de VPN qui servent non pas à « masquer » l'adresse de connexion pour la remplacer par celle d'une entreprise, mais à la remplacer par une adresse en quelque sorte « aléatoire ». Le but est de pouvoir se connecter à des sites sans révéler d'où l'on se connecte. TOR est le plus connu.

Là encore, on peut se demander comment d'honnêtes citoyens peuvent vouloir masquer leur adresse. Je vais donner ici des raisons parfaitement légitimes de le faire.

Hier, une brillante collègue m'a expliqué l'usage professionnel qu'elle fait de TOR. Ma collègue, comme bon nombre d'autres professionnels, est amenée à évaluer des projets ou des publications scientifiques, et ce anonymement, c'est-à-dire que son identité n'est pas révélée aux porteurs des projets ou aux auteurs des publications. Cet anonymat vise à éviter les pressions, amicales ou non.

Or, lors de ses évaluations, ma collègue est amenée à consulter les sites Web des personnes, groupes de recherche ou entreprises concernées, ce qui revient à leur révéler son adresse de connexion (une bonne partie des sites Web notent chaque connexion avec l'adresse de l'internaute). Avec cette adresse, il peut être assez facile pour les personnes évaluées de se rendre compte que ma collègue est leur évaluatrice… Pour ces raisons, ma collègue, lorsqu'elle conduit des évaluations, utilise TOR. (*)

Tout le monde a quelque chose à cacher, pour de bonnes raisons

Il existe bien d'autres raisons d'utiliser des outils de dissimulation, que ce soient TOR ou d'autres. On peut notamment ne pas vouloir révéler sa vie privée à des sites marchands : on sait que le simple fait de rechercher une marchandise sur un site conduit à des publicités ciblées lors de la consultation d'autres sites. On imagine l'usage que des compagnies d'assurance, par exemple, pourraient faire de certaines informations. Les garde-fous du droit français (CNIL) et européen sont bien fragiles, sachant que lorsque l'on accède à un site on ne sait souvent pas trop où il est hébergé et où sont légalement domiciliés ses gestionnaires… sans parler du fait que même un site français peut, pour des raisons techniques, requérir des données hors d'Europe. Le meilleur moyen d'éviter des usages indésirables d'informations est encore de ne pas donner d'informations, ne serait-ce que l'adresse IP.

Il faut également distinguer la légalité d'une activité en ligne et son acceptabilité sociale. On peut, pour d'excellentes raisons, dissimuler, y compris à son employeur et à sa famille, que l'on consulte des pages sur l'homosexualité, le sadomasochisme ou les maladies mentales. On peut vouloir ne pas révéler à son conjoint que l'on consulte des sites sur les violences conjugales ou le divorce. Or, le simple fait de consulter un site depuis un réseau, si l'on n'utilise pas de VPN, revient à révéler aux gestionnaires de ce réseau (l'employeur, l'établissement d'enseignement, les opérateurs de la résidence universitaire, la famille, le conjoint…) que l'on consulte ce site.

Enfin, j'ai cru comprendre qu'une des principales raisons extra-professionnelles d'usage de VPN par les français est qu'un VPN de se présenter avec une adresse IP enregistrée dans d'autres pays que la France, notamment les États-Unis ce qui permet de regarder des séries télévisées diffusées sur Internet à destination d'auditoires de ces pays mais pas du public français. Bref, il s'agit juste d'éviter ces énervants messages « ce contenu n'est pas disponible dans votre pays de résidence ». Même si l'on peut critiquer, du point de vue des industries du divertissement, ces contournements des « zonages », on ne peut certainement pas les mettre sur le même plan que le terrorisme.

Beaucoup de suspects

M. Bernard Cazeneuve, ministre de l'Intérieur, a affirmé à l'Assemblée nationale :

« Deux techniques sont donc en cause : le suivi en continu des terroristes et la détection sur données anonymes. […] S’agissant de la détection sur données anonymes, je voudrais citer des cas très concrets auxquels j’ai été confronté dans mes fonctions de ministre de l’intérieur – car la lutte contre le terrorisme amène aussi une expérience, une compétence, un vécu.

Mes services de renseignement ont pu, par des échanges d’informations, savoir que des terroristes procédaient, sur le darknet, à des communications cryptées donnant des éléments précis sur leur intention de commettre des actes terroristes. Par ailleurs, on sait que, et cela a été le cas dans les attentats du mois de janvier, des terroristes utilisent, pour poster des vidéos appelant au terrorisme et faisant la publicité d’actes terroristes qu’ils ont déjà commis, une multitude d’adresses IP qui se masquent les unes les autres, à partir de messages postés depuis différentes boîtes situées partout sur la planète. »

M. Cazeneuve fait assez clairement allusion à des systèmes comme TOR ou autres VPN, que d'ailleurs le député Lionel Tardy mentionne dans ses interventions.

Le député Pascal Popelin, quant à lui, affirme :

J’avoue en toute humilité que la technique n’est pas mon métier. J’essaie néanmoins de procéder avec logique. J’ai écouté avec attention les exemples que Mme Attard nous a produits hier soir pour démontrer combien les métadonnées pouvaient être parlantes. Mais, pour qu’elles le soient, il faut les recouper et les interpréter. Si les services ne faisaient que tout recueillir – à supposer qu’ils en aient les moyens – ils perdraient leur temps. En outre, ils auraient un bien piètre algorithme, puisqu’il est précisé que les données analysées sont uniquement celles qui sont liées à la lutte contre le terrorisme. L’exemple du club échangiste pris par Mme Attard s’inscrit-il vraiment dans ce cadre? Si les services faisaient entrer de telles données dans l’algorithme, on pourrait légitiment penser qu’ils sont très mauvais, et douter aussi que la CNCTR valide le processus ! Et, comme dans tous les autres cas cités par notre collègue, ils se placeraient de toute façon dans l’illégalité car leur action serait contraire aux finalités de la loi.

M. Popelin semble croire qu'il est possible de différencier facilement les indications relevant du terrorisme de celles relevant d'autres activités. Pour ma part, je suis plus réservé sur les pouvoirs des algorithmes ; il est vrai que je ne suis que chercheur en informatique et non député.

Je ne vois notamment pas comment, si l'usage de VPN ou TOR est considéré comme suspect, comme semble le suggèrer M. Cazeneuve, comment des algorithmes pourraient distinguer les usages terroristes de VPN ou TOR des autres usages que j'ai cités. En effet, le propre de ces dispositifs, leur raison d'être, est de dissimuler tant le contenu des communications que leurs destinataires réels.

Je crains donc que les procédés de « détection sur données anonymes » n'aboutissent qu'à produire d'immenses listes de « suspects », dont l'immense majorité n'auront rien à voir avec le terrorisme.

(*) Pour la petite histoire, ma collègue et un autre collègue qui discutait avec nous et disait, comme ma collègue, utiliser TOR, sont, comme moi, lauréats du Conseil européen de la recherche (ERC). Peut-être que l'ERC rend paranoïaque.