4e pouvoir sous surveillance

Mon entrevue, tirée du Devoir

Avez-vous été surpris par les récentes révélations sur l’ampleur de l’espionnage des journalistes québécois ?

Pas du tout. Chaque fois que je parle de surveillance depuis des années et que je dis aux journalistes qu’ils sont les premières cibles, la plupart d’entre eux lèvent les yeux au plafond parce qu’ils n’y croient pas. Ils me traitent de parano parce que je suis dans les études de la surveillance. Je suis certain que le phénomène est d’une ampleur bien supérieure à ce qui vient d’être dévoilé. Je pense que les révélations de la SQ — arrivées très, très rapidement et concernant, comme par hasard, des écoutes datant d’anciens directeurs de ce corps de police — sont faites pour détourner l’attention. Mais bon, il va y avoir une commission d’enquête et, si elle peut lever des pierres, on va en trouver bien plus, de ces histoires de surveillance.

En quoi cette surveillance des journalistes est-elle différente de celle de la population ?

On sait depuis des années que les agences de maintien de la loi comme le Centre de la sécurité des télécommunications et le Service canadien du renseignement de sécurité vont à la pêche en ramassant des métadonnées sur la facturation des comptes de cellulaire ou de courriel. Cette surveillance de masse recueille, plusieurs dizaines de fois par jour, chaque année, depuis des années, d’énormes montagnes de données sur des centaines, sinon des milliers, de personnes. Il n’y a donc pas que les journalistes sous suspicion au Canada. Mais eux, évidemment, sont plus au courant de certains crimes ou de certaines histoires. Et c’est tellement facile de récolter des données maintenant : dans notre monde, très, très peu de gens protègent leurs données, y compris les journalistes.

Vous y voyez une responsabilité professionnelle ?

De ne pas protéger ses communications pour le mortel moyen, ce n’est peut-être pas grave. Pour un journaliste, c’est l’équivalent de brûler toutes ses sources. Un des premiers articles publiés par le magazine en ligne The Intercept après les révélations d’Edward Snowden [en 2013], sur les écoutes dans le monde, expliquait pourquoi et comment un reporter devait protéger ses données. Ça dépasse l’entendement qu’en 2016 des journalistes soient assez patates, assez naïfs pour penser qu’une source contactée avec un cellulaire personnel est à l’abri ! Ce que la police a fait est absolument et grossièrement inacceptable, on s’entend, et je pense que les têtes devraient rouler bientôt. C’est quand même triste de voir les journalistes pleurer parce qu’ils perdent leurs sources alors qu’ils ont été négligents, puisqu’un enfant pouvait pirater leurs informations.

Pourquoi la police s’intéresse-t-elle aux métadonnées ?

À partir d’un compte de téléphone, on peut savoir qui parle à qui, à quel moment, de quel endroit, à quelle fréquence. On peut en tirer toutes sortes de déductions. Si vous appelez votre secrétaire à 15 h, c’est une chose. Si vous l’appelez à 3 h du matin, c’est autre chose. Des fois, même le contenu de la conversation ne révèle rien. En sociologie, on appelle conversation indexicale celle qui se réfère à d’autres conversations. Les métadonnées, elles, parlent toujours, et les logiciels les font parler en essayant d’établir des patterns qui permettent ensuite de remonter aux individus.

La loi n’interdit pas de surveiller les citoyens ?

La loi interdit de cibler des citoyens canadiens. Les agences la contournent en expliquant qu’elles ne ciblent personne en particulier puisqu’elles ramassent toutes les métadonnées.

Les agences canadiennes coopérant au sein de l’alliance Cinq Yeux (Australie, Nouvelle-Zélande, Royaume-Uni, États-Unis et Canada) peuvent-elles aussi contourner la loi en demandant à un pays tiers de surveiller certains Canadiens ?

C’est le mur du son que les chercheurs n’ont pas encore dépassé. On ne peut qu’avancer des hypothèses. Même Snowden ne nous a pas beaucoup aidés à ce sujet avec ses révélations. En fait, on est rendus a environ 18 membres plus ou moins informels de cette alliance fondée en 1947. Israël reçoit toutes les données en vrac et c’est un membre des Five Eyes plus important que le Canada.

Comment sommes-nous arrivés à cette ère de surveillance généralisée ?

Nous y sommes arrivés avec une combinaison de transformations politiques et technologiques. Pendant la guerre froide, les espions écoutaient le bloc de l’Est. L’ennemi était bien identifié et ses messages, bien cryptés. Après 1989, pendant dix ans, on s’est retrouvés dans un flou. On cherchait de nouveaux ennemis. Les attaques du 11 septembre 2001 en ont fourni un paquet. La différence, c’est que les messages peuvent être captés et déchiffrés très facilement, mais qu’on ne sait plus qui sont nos ennemis. Ils semblent partout, cachés chez nos voisins, dans les écoles, sur Internet.

N’y a-t-il pas comme une impression de nouvelle chasse aux sorcières, en tout cas d’une situation de panique morale généralisée ?

Si on s’en tient aux prétextes des autorités, il y a une menace à la sécurité nationale qui justifie un moyen de surveillance beaucoup plus efficace. Si on regarde la taille de la menace par rapport à la taille des moyens pour y faire face, on a d’un côté un maringouin et de l’autre un marteau-piqueur pneumatique. C’est complètement disproportionné. En plus, la police dit : on aimerait ça, aussi, surveiller les journalistes, et les syndicalistes, et les étudiants au carré rouge, et les manifestants anti-pipeline, et les autochtones. Ça commence à faire du monde. Finalement, les moyens de surveillance ne sont presque jamais utilisés contre les terroristes et presque toujours contre les contestataires et les opposants. Nous avons donné aux autorités des possibilités de surveillance inégalées dans l’histoire de l’humanité. Ça va continuer tant qu’on ne se réveillera pas pour exiger que nos données personnelles demeurent privées.

Ça va s’arrêter où ?

Nous offrons de plus en plus de facettes de nos vies à la surveillance avec la numérisation croissante, les appareils mobiles et maintenant les appareils connectés. Les télés sont intelligentes, les frigos aussi et les ampoules ou les jouets pour enfants. Une brosse à dents branchée dit si vous êtes à la maison ou pas. Pour le moment, les agences n’ont pas de dispositifs qui permettent de tirer profit de ces données comme dans l’univers de 1984 de George Orwell. Mais elles travaillent très fort pour y arriver.

Publié dans cybersécurité, Enquêtes, espionnage intérieur, Médias, Renseignement, Surveillance, Surveillance informatique | Laisser un commentaire

Conférence: la déontologie policière à la québécoise

berthometoct2016

Image | Publié le par | Laisser un commentaire

Sécurité internationale, sécurité intérieure: connexions et fractures

Colloque d’une journée le jeudi, 6 octobre 2016.

Le Canada, comme la plupart des autres pays de l’Occident, est engagé dans de multiples activités vouées à assurer sa sécurité sur la scène internationale. Certaines sont présentées et justifiées comme visant à assurer la sécurité personnelle des Canadiens sur le territoire du Canada. C’est le cas entre autres des opérations menées pour faire la guerre au terrorisme à l’étranger, qui visent en partie à éviter que des groupes non-étatiques utilisent des tactiques terroristes au Canada. Lire la suite

Publié dans Cybercrime, cybersécurité, espionnage intérieur, forces armées, Sécurité | Laisser un commentaire

Hacking for all

Reblogged from Mobilizing Ideas

Review of
CODING FREEDOM: THE ETHICS AND AESTHETICS OF HACKING
E. Gabriella Coleman

There is a future where hackers have become irrelevant. In that future, abundant “free” or nearly free software (“apps”) flows on magical devices such as intelligent phones, tablets, eyeglasses, watches, televisions and refrigerators. Few people use actual, general purpose computers, and those who do rely exclusively on (free) cloud-based services.

Of course those intelligent devices are anything but. They are in fact dumb as bricks and are mostly meant to monetize user habits and personal information through the offering of “4G » and “5G” connections to videos of toilet-flushing cats and Technovikings on Youtube. Equally evident is that the word “free” in this scenario has a very specific meaning, as in “free of direct monetary cost” (or nearly so). It is definitely not free as in “open,” nor as in “no strings attached.” This is proprietary, closed software offered in proprietary environments, delivered through proprietary networks on tethered devices, and it runs on consumer behaviour modification.

In that future there is almost nothing to hack, and little interest for what remains. Nevertheless, IT/contents conglomerates and their governmental backers still perceive the very possibility of non-industrial software or contents as a threat to quarterly revenues and pre-electoral economies. Combined with fears of paedophiles, terrorists, leakers and spies, this threat will justify the imposition of grossly disproportionate punishments and the filtering of all internet traffic through multiple levels of DPI appliances operated or imposed by governments and corporations. Criminologists might call this an “industrial moral panic” — as opposed to a classic moral panic such as the Salem witch hunts of the 17th Century — where spiralling and mutually supporting apprehensions lead to extreme responses.

Coleman’s book is most definitely not about that future. In fact the title can be read to mean that coding leads to freedom (at least in the limited sense of the freedom to code), which seems overly optimistic. Can hacking protect us from the future described above?

The book does not set out to answer that question but offers some clues. Much of the text retells the recent heroic past of the more “respectable” hackers who work on free (and later rebranded as the more capitalist-friendly “open”) software, and more specifically the Debian Linux distribution. Though the antisec and warez crowds are mentioned in passing, along with the famous DeCSS and the Sklyarov/Adobe cases, controversies are mostly kept at the margins of the story, which is more concerned with the victories of the free software hacker ethic over the proprietarization of computing (eg. the GPL licencing scheme).

Those victories, however, reside in a political fog. Even within her specific hacker subset, Coleman finds few commonalities — and none has to do with politics. Hackers may or may not be “freedom fighters,” “dangers to society,” both or neither: most of what they think about is code and the recognition they get from their peers for their performance. This is observable with the warez hackers as well, who strive to be first to crack the best protected industrial software. For the most part, the hacker ethic is the framework by which performance is measured and rewarded. In fact the Debian hackers explicitly avoid politics and systematically represent their (rare) clashes with industry and governments in terms of an apolitical, natural right to “free speech” (p. 189). To Coleman’s hackers, free software is free of politics as well.

Yet, as Coleman rightly notes, whether they like it or not hackers don’t simply hack code: they hack (at) the system. They enact, they “do” politics with each new line of code, not because they want to, though they of course may, but because their actions have been politicized by empowered elites. Their persistence is a form of resistance to a powerful discourse that labels them as deviants in order to impose a specific form of production and consumption structure. Few hackers wittingly set out to beat this system, for two reasons that Coleman brings out cogently. First, as already mentioned, hackers are not a political lot: they love coding. Second, it was the other way around: the software/contents copyright empire (and in particular the infamous US DMCA) was invented carve out an industry, and in order to do this it had to beat the freeware and shareware coders. It was its relentless attacks that politicized some hackers.

Whether it is explicitly political or not, non-industrial or anti-industrial hacking — just like the work of remixers, mashers, etc. — also constitutes a continuous demonstration that the copyright logic has no basis in fact or in ethics. It is simply not true that this protection is necessary in order to maintain the quality or the quantity of the protected material, or that the only way to have software, books, music, movies at all is industrial production and locked distribution. If this system was ethically defensible the problem would be less serious. But it is not. It protects corporations, not creators; and it protects them by transforming citizens into force-fed, disempowered consumers through the imposition of draconian punishment.

There are powerful, yet hidden or complex variables that make predicting the future of communications technologies highly imprudent — for instance, the fact that most new netizens come from developing countries (Kenya, Columbia), failed states (Somalia; see Deibert, 2013) or info-totalitarian states (eg. China, India). So even though the dystopian future described above is already almost here — some may even say it is old news — a few months could change everything.

In that context it is difficult, if not impossible, to determine what role hackers might, wittingly or not, play. To the extent that the definition of “hacking” is to tinker with pre-existing, pre-structured code (as in Lessig’s language), and whether it merely adapts the existing object or subverts it entirely, it engenders a dilemma. On one hand, such hacking is an absolutely necessary wrench in the works of the totalitarian machine that the info society could become. In fact if we are to challenge the disproportionate, and increasing, order and control that are being imposed on those aspects of our lives that are IT-mediated (i.e. nearly all), perhaps we should all, each according to his or her skills, hack (at) something. On the other, this is precisely the type of activity that is invariably used to legitimate new broader and stricter laws. It remains to be seen if that conundrum can only be resolved by an “internet Spring.”

Reference
Deibert, Ronald (2013). Black Code: Inside the Battle for Cyberspace. Toronto: Random House.

Publié dans Cybercrime, cybersécurité, Internet, qui sont les pirates?, Surveillance | Laisser un commentaire

Surveillez-moi, je n’ai rien à me reprocher, ma vie est plate!

Notre vie personnelle se retrouve dans ses moindres détails sur de multiples banques de données commerciales et gouvernementales. C’est une tendance lourde qui est à l’augmentation accélérée pour les années qui arrivent.

Mais la plupart des gens jugent qu’ils n’ont rien à cacher et donc que ceci est peu préoccupant pour eux: «s’ils veulent me surveiller, qu’ils me surveillent! Ils vont trouver ça plate!» Ça tombe bien, parce que justement plusieurs lois récentes ont grandement amélioré la capacité de plusieurs agences publiques d’explorer de vastes banques de données et d’en combiner les contenus pour construire des portraits de plus en plus détaillés de leurs cibles.

Qui sont ces cibles? Pour ce qui est de combattre l’extrémisme et le terrorisme, comme les suspects sont inconnus, tout le monde est suspect; donc un outil potentiellement puissant d’identification de suspects serait d’analyser les comportements de tous. Mais encore une fois, si je n’ai rien à me reprocher, pourquoi pas? Il y a plusieurs raisons, dont:

  • Le fait que je n’utilise pas mon droit a l’expression au profit d’une cause «sous surveillance» — ou en fait que je ne l’utilise pas du tout, ne signifie pas que je n’en bénéficie pas. Je profite d’une démocratie dynamique et en santé parce que d’autres font usage de ce droit. Je ne suis peut-être pas toujours d’accord avec eux, mais quand je le serai je serai bien heureux qu’ils puissent parler pour moi (ou de pouvoir les rejoindre): au sujet de l’environnement, des taxes municipales, des radars photo, de mon fonds de pension, du puits de pétrole de schiste dans ma cour, etc. Aimez-vous voir les administrations municipales se faire ramasser pour leur mauvaise gestion? Elles, elles n’aiment pas ça. Et elles veulent des outils pour vous faire taire (Granby; UMQ).
  • Il est dangereusement naïf de croire qu’on a rien à se reprocher. Des sondages de «délinquance révélée» (dans lesquels les répondants décrivent leurs actes) montrent que plus de 90% des adolescents et des jeunes adultes commettent au moins une infraction pénale par année. D’immenses tranches de la population canadienne commettent des infractions aux règlements et aux lois de manière routinière: cacher des revenus sur sa déclaration d’impôts (travail au noir, revenus d’intérêts, etc.), embellir une déclaration de vol pour sa compagnie d’assurance, rouler plus vite que la limite permise ou avec plus de 0,08mg/100ml d’alcool dans le sang, télécharger un fichier musical ou un film, partager sa carte Opus, acheter du tabac ou de l’alcool de contrebande, consommer des drogues, régler une facture «sans taxe» pour les services d’un homme à tout faire, dire qu’on n’a pas de saucisson ou de bouteille extra dans sa valise et une foule d’autres infractions plus graves mais, heureusement, un peu moins routinières.
  • Pour être efficaces un grand nombre d’actions politiques parfaitement légales doivent se préparer en secret. Pour une foule de raisons, autant les partis politiques que les gouvernements que les organisations communautaires évitent de préparer leurs stratégies en public. Ceci est impossible si une entité intéressée (que ce soit le pouvoir fédéral, provincial ou municipal, sans oublier les compagnies privées) est toujours là à regarder par-dessus votre épaule. Ce droit à l’autonomie, à l’action libre de surveillance gouvernementale, même si cette surveillance ne peut résulter en une sanction officielle, est fondamentale dans une démocratie.
Publié dans Surveillance | Laisser un commentaire

Hello Barbie : le jouet qui vous écoute

Mattel vient tout juste d’annoncer la commercialisation d’Hello Barbie, jouet connecté wi-fi qui promet d’interagir verbalement avec les enfants. Pour accomplir ce miracle (censé sauver les ventes de Barbie qui sont en ralentissement) la compagnie s’est alliée avec Toy Talk, promoteur de personnages interactifs fondés par des anciens de Pixar.

Hello Barbie doit apprendre à reconnaître la voix et la prononciation de votre enfant et accomplit ceci en se connectant à des serveurs chez Toy Talk. Ces serveurs reçoivent des bribes d’enregistrements de voix, des mots clés et autres sons qui sont utilisés pour personnaliser les réponses de Barbie.

Évidemment il ne s’agit aucunement d’une technologie nouvelle ou rare: si vous avez un téléphone Android ou Apple contrôlé par la voix (qui démarre avec «ok Google» ou «hé Siri») vous trimbalez déjà un gadget qui vous écoute 24/24h. Si vous avez une télé Samsung contrôlée par la voix, c’est aussi un autre micro dans votre salon qui envoie des informations à un serveur de l’autre côté de la planète. Cependant, outre l’idée saugrenue voulant qu’un enfant ne puisse s’amuser avec son imagination seule et nécessite des jouets qui lui parlent — qui risque de s’étendre comme un feu de broussailles — c’est de donner une fenêtre directe dans l’intimité de nos enfants à des multinationales qui risque le plus de nuire aux ventes.

Cela dit, tout comme on ne trouve plus aujourd’hui de jouet ne nécessitant pas de batterie, ma boule de cristal me montre un monde, tout proche, où tous les jouets sont «connectés» et interagissent avec les enfants, et certainement en partie pour leur rappeler combien tel ou tel nouvel accessoire serait super cool. La télé Samsung le fait pour les adultes, qui se croient immunisés contre le marketing ciblé. Bientôt, dans le web des objets, on pourra mettre en commun les babillages recueillis par Babie, les commentaires des parents devant leur télé, l’usage du thermostat (déjà disponible), de l’éclairage (aussi déjà disponible au Ro-Na du coin), de la porte d’entrée (…ouaip. Weiser, entre autres), du réfrigérateur (d’ici quelques mois), de la voiture (bon là c’est même plus nouveau), etc. Bref dans la prochaine demi-décennie notre monde branché sera constitué de milliers de capteurs d’information à notre sujet.

Bien sûr si vous êtes absolument certain de ne faire entorse à aucune des 33000 lois pénales du Canada, ça devrait bien aller. Et si vous êtes certain de ne jamais vouloir protester à gauche (non au pipeline!) à droite (non au registre des armes à feu) ou au centre (non au désinvestissement en éducation) ça devrait bien aller aussi. Pour le reste tout va pour le mieux: les êtres humains impliqués dans la collecte, l’analyse et l’utilisation des informations sont tous bien intentionnés, leurs algorithmes et leurs robots sont neutres et il n’y a aucune erreur dans les bases de données. Et il n’y a pas de hackers qui pourraient être intéressés à tout ça non plus. Tout va bien, retournez faire dodo.

Publié dans cybersécurité, Internet, Surveillance, Surveillance informatique | Laisser un commentaire

NOUVEAUX POUVOIRS POUR LE SCRS

Le gouvernement fédéral a enfin pu déposer son projet de loi pour augmenter les pouvoirs du SCRS.

En gros, le projet s’attaque à deux problèmes parfaitement inconnus de la plupart des Canadiens, tout en ignorant totalement l’éléphant assis sur le sofa. Le premier est celui des activités du SCRS à l’étranger. Dans une cause essentiellement secrète (X (Re) 2013 FC 1275), le SCRS s’était fait passer un savon par le juge Richard Moseley (probablement le juriste canadien le plus féru en matière de sécurité nationale). C’est que le SCRS avait obtenu un mandat pour intercepter des communications de Canadiens à l’étranger, ce qu’il avait ensuite donné pour tâche au Centre de la sécurité des télécommunications Canada (CSTC), agence spécialisée dans l’interception électronique (mieux connue des Canadiens depuis le scandale Snowden). Or, le CSTC est membre des «cinq yeux», l’alliance de surveillance électronique des pays anglo-saxons (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande). Lorsque l’interception de communications doit se faire outremer, le CSTC passe souvent le flambeau à un autre membre du groupe, ce qui équivaut à accuser un Canadien à l’étranger d’être un terroriste, avec les conséquences qu’on peut imaginer. Bref, on avait caché au juge cet aspect de l’opération lors de la demande de mandat. Il fut fâché. On le voit, c’est une question complexe, hautement spécialisée, rarement soulevée, mais qui désormais est réglée par le projet de loi C-44: un juge donnera tout bonnement un mandat d’écoute à l’étranger, qui pourra être réalisé au bon vouloir du SCRS et du CSTC, et sans égard aux lois en vigueur dans le pays où il sera appliqué (ce qui soulèvera sans doute d’autres problèmes, mais bon: ce gouvernement n’est pas connu pour sa vision d’ensemble des situations).

Le second problème résolu par le projet de loi est l’anonymat des informateurs du SCRS. Dans la procédure où Mohammed Harkat tentait de faire lever le certificat de sécurité qui pesait contre lui, l’avocat spécial (qui seul a le droit de consulter la preuve secrète) avait obtenu que soient révélées les sources du SCRS. Le projet C-44 permettra de cacher ces sources, sauf lorsqu’il s’agit d’une cause criminelle (contrairement au certificat de sécurité, qui n’est qu’une procédure administrative) et si l’identité de la source est un élément de preuve disculpatoire. On voit qu’il s’agit encore d’une question assez pointue.

Bref, il y a très peu dans tout ceci qui améliore la «protection du Canada contre les terroristes» comme l’annonce en grande pompe le titre du projet.

L’éléphant sur le sofa reste invisible. Depuis des années, tous les experts demandent que soit réformé le mécanisme de surveillance des polices chargées de la sécurité nationale, surtout le SCRS, le CSTC, l’Agence des services frontaliers et la GRC. En 2006, le rapport de la commission Arar déposait une suite de recommandations simples à cet effet. L’an dernier, les révélations d’Edward Snowden ont démontré à quel point les organismes actuels de surveillance sont dépassés par les événements et l’enflure historique de notre appareil de sécurité nationale. Il faudrait peut-être laisser les pauvres moulins à vent tranquilles et s’attaquer aux vrais problèmes de sécurité.

Publié dans Surveillance | Laisser un commentaire