Journal d'investigation en ligne et d'information‑hacking
par Laurent Chemla

La surveillance de masse induite par la loi sur le renseignement n'empêchera aucun attentat

(très très librement traduit de l'article de Bruce Schneier http://digg.com/2015/why-mass-surveillance-cant-wont-and-never-has-stopped-a-terrorist) Un des arguments les plus entendus de la bouche des défenseurs de cette loi est "si nous ne la votons pas, nous serons responsables du prochain attentat". Autrement dit "vous autres, opposants, vous faites les complices du terrorisme". L'argument porte, comme tous les arguments bassement populistes qui parlent aux tripes plutôt qu'à la cervelle.

(très très librement traduit de l'article de Bruce Schneier http://digg.com/2015/why-mass-surveillance-cant-wont-and-never-has-stopped-a-terrorist)

Un des arguments les plus entendus de la bouche des défenseurs de cette loi est "si nous ne la votons pas, nous serons responsables du prochain attentat". Autrement dit "vous autres, opposants, vous faites les complices du terrorisme".

L'argument porte, comme tous les arguments bassement populistes qui parlent aux tripes plutôt qu'à la cervelle.

Il est faux, et voici pourquoi.

Le texte prévoit de repérer des "signaux faibles", en comparant (via un algorithme tenu secret) les activités en ligne de terroristes connus avec l'activité quotidienne de l'ensemble de la population. On espère repérer ainsi ceux qui se cachent dans la masse. C'est - donc - de la surveillance de masse, mais comme (en théorie) l'algorithme n'indiquera que de potentiels terroristes, le gouvernement prétend que ce n'en est pas.

C'est comme de dire que les surveillants de nos prisons ne surveillent que les prisonniers qui déclenchent une émeute (puisque seuls ces derniers seront punis): un mensonge total.

Mais, là encore, à première vue ça semble cohérent, si on considère que tout est acceptable quand on entend lutter contre le terrorisme.

Sauf que ça ne marchera pas.

Le comportement des terroristes avant un attentat, que ce soit en ligne ou pas, est relativement facile à retracer après. C'est la raison pour laquelle les services de renseignement se retrouvent toujours sur la sellette: "il auraient dû pouvoir le prévoir, c'était évident". Nassim Taleb, un expert en gestion du risque, appelle ça "la tendance à l'erreur narrative": les humains aiment se raconter des histoires, et les histoires sont toujours beaucoup plus propres, prédictibles et cohérentes que la réalité.

La réalité, elle, c'est qu'aux États-Unis (qui ont voté le même genre de loi après le 11 septembre) il y a 680000 noms sur la liste de surveillance du FBI, parce que les humains ont une tendance naturelle à se comporter de façon assez étrange pour attirer l'attention d'un surveillant.

Rapporté à la population française, ce seraient environ 128000 personnes à surveiller. Quand on sait qu'il faut 20 policiers pour surveiller une personne 24/24h, il ne reste plus qu'à en embaucher 2,5 millions et résoudre le problème du chômage en même temps.

Bien sûr, un algorithme peut être mieux calibré qu'un humain: après tout Google arrive bien à tout savoir de chacun de nous, et Amazon est capable de prédire quel article nous voulons acheter. Mais 3 éléments font que ces techniques ne peuvent pas s'appliquer à la recherche des terroristes.

Le premier, et le principal, c'est le taux d'erreur. Si Amazon se trompe en nous conseillant un livre, ou si Google nous affiche une publicité sans rapport avec nos préoccupations, ça n'a aucune importance. Ça ne coûte rien à personne. Mais si l'algorithme se trompe croyant identifier un terroriste, il faudra des humains pour s'en occuper: personne ne comprendrait, après coup, que le poseur de bombe avait été repéré par la "boite noire" sans que personne ne s'en soit occupé.

Il faudra une enquête longue et fastidieuse pour s'assurer, avec une certitude totale, que la personne identifiée ne présente aucun risque. Une enquête qui mobilisera des hommes et des moyens qui ne seront pas utilisés pour à d'autres tâches, plus utiles. Chaque alerte venant du système nous fera dépenser du temps et de l'argent.

Cet algorithme là n'aura pas le droit à l'erreur: il faudra le calibrer de façon à être sûr qu'il ne relèvera que des risques réels.

Et c'est précisément ce que le deuxième élément rend impossible: chaque attaque terroriste est unique. Qui aurait pû prévoir l'attaque de Charlie ? Qui aurait pû prévoir que deux cocottes-minutes explosives étaient dans les sacs à dos d'un collégien et de son grand-frêre au marathon de Boston ? C'est justement parce que ces attentats sont inimaginables qu'ils nous choquent tant: tout l'objectif d'un terroriste, c'est d'agir de façon tellement démente que nous ne savons plus à quoi nous attendre. Ils ne reproduisent jamais les mêmes comportements.

Chaque nouveau cas ne fera qu'introduire dans l'algorithme des comportements qui ne seront jamais reproduits, et augmentera le taux d'erreur, exactement comme Amazon se met à vous proposer n'importe quoi après que vous avez passé une commande pour votre petite soeur.

Le troisième et dernier élement, c'est qu'évidemment les apprentis terroristes se cachent. Le client d'Amazon et l'utilisateur de Google agissent en pleine lumière. Ça n'a aucune importance pour Google si vous protégez votre vie privée en ligne: il vous ignorera, voilà tout. Le monde du commerce n'a que faire de ceux qui veulent s'en protéger, ce qui est exactement l'inverse de ce qui se passe dans un contexte de sécurité nationale.

L'algorithme, en surveillant tout le monde, ne surveillera que ceux qui ne s'en cacheront pas. Et les rares terroristes réels qu'il repèrera seront ceux qui auront commis tellement d'erreurs qu'ils l'auraient été tout aussi bien par une surveillance ciblée.

Aucun de ces trois éléments ne peut être corrigé: l'exploitation des données personnelle n'est tout simplement pas le bon outil pour ce boulot, ce qui signifie que la surveillance de masse qu'elle implique, et la perte de liberté afférente, n'ont aucune justification.

Malgré les milliards de dollars dépensés par la NSA dans le même type de solutions, l'attentat de Boston n'a pas pû être évité. L'un de ses auteurs était pourtant sur la liste de surveillance, tous les éléments étaient là, mais noyés dans une telle masse d'informations que ça n'a servi à rien. Le fait de demander la légalisation d'outils qui ne feront que fournir encore plus d'informations ne peut, à l'évidence, que rendre la tâche encore plus difficile.

Le pire, donc, dans tout ceci, c'est que tout l'argent et les moyens dépensés en vain, toutes les atteintes aux libertés publique que cette surveillance de masse implique, ne servent à rien d'autre qu'à nous exposer d'avantage.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée