Des enjeux de la désobéissance civile organisée en 3.0 : Différence entre versions

De e-glop
(Des modalités de fonctionnement strictes)
Ligne 62 : Ligne 62 :
 
Quant aux risques, l'intégrité des informations est assurée par le principe d'imputabilité et par le nécessaire chiffrement de "bout-en-bout" (le chiffrement de bout-en-bout est un chiffrement qui démarre de l'émetteur d'une information et qui abouti entre les mains de son destinataire, et qu'au milieu personne n'a pu lire les données ni les modifier) des outils utilisés. La disponibilité des informations est gérée par l'aspect "organique" des groupes, le stockage de l'information étant réalisé principalement dans la tête des membres. Ainsi une information manquante serait rapidement reconstituée et délivrée à nouveau par la mémoire du groupe (une information oubliée étant le plus souvent le reflet de son inutilité).
 
Quant aux risques, l'intégrité des informations est assurée par le principe d'imputabilité et par le nécessaire chiffrement de "bout-en-bout" (le chiffrement de bout-en-bout est un chiffrement qui démarre de l'émetteur d'une information et qui abouti entre les mains de son destinataire, et qu'au milieu personne n'a pu lire les données ni les modifier) des outils utilisés. La disponibilité des informations est gérée par l'aspect "organique" des groupes, le stockage de l'information étant réalisé principalement dans la tête des membres. Ainsi une information manquante serait rapidement reconstituée et délivrée à nouveau par la mémoire du groupe (une information oubliée étant le plus souvent le reflet de son inutilité).
  
=== Risque de perte d'intégrité ===
+
=== Risque de perte de disponibilité ===
  
 
Le dernier risque, crucial, est celui de la perte de confidentialité. Mettre en œuvre tous les mécanismes disponibles pour éviter ce risque est facteur de réussite des actions de désobéissance civile, qui nécessitent de prendre de vitesse les systèmes de surveillance établis pour défendre l'ordre établi de la dissidence, son poison mortel.
 
Le dernier risque, crucial, est celui de la perte de confidentialité. Mettre en œuvre tous les mécanismes disponibles pour éviter ce risque est facteur de réussite des actions de désobéissance civile, qui nécessitent de prendre de vitesse les systèmes de surveillance établis pour défendre l'ordre établi de la dissidence, son poison mortel.

Version du 5 juin 2021 à 09:45

Introduction

La désobéissance civile, au XXIè siècle, est probablement "connectée". Cela pose un certain nombre de questions et impose une organisation rigoureuse, prenant ses racines dans les pratiques historiques de la désobéissance civile comme dans la connaissance académique en matière de "cybersécurité". C'est ce que nous allons étudier ici.

Contexte

Le XXIè siècle est le premier à connaître une accélération des communications de cette ampleur, c'est à dire autant par la vitesse de communication que par l'abolition même du concept de distance entre interlocuteurs, y compris quand ils sont (très) nombreux.

Le XXIè siècle c'est aussi celui des conséquences du changement climatique, du durcissement des démocraties établies au XXè siècle glissant vers des régimes totalitaires de surveillance, des Organismes Génétiquement Modifiés (OGM), des véhicules autonomes (ex: drones), de la dématérialisation du commerce, de pandémies foudroyantes, des manifestations de masse sans conséquence politique aucune, et d'une prise de conscience passionnante d'êtres humains qui n'ont connu que ce siècle là.

Ce document est produit par Baptiste LARVOL-SIMON et n'exprime que son point de vue. Il n'est ni chercheur universitaire, ni intellectuel de renom, ni même homme de grande expérience. Ce document existe donc pour produire un éclairage, modeste, et soumis à vos propres lumières, qui doit nécessairement être éclairé par celles-ci et non pris pour argent-comptant.

Définitions

La désobéissance civile

Selon Wikipedia, la désobéissance civile est le refus assumé et public de se soumettre à une loi, un règlement, une organisation ou un pouvoir jugé inique par ceux qui le contestent, tout en faisant de ce refus une arme de combat pacifique. Le terme fut créé par l'Américain Henry David Thoreau dans son essai "La Désobéissance civile", publié en 1849, à la suite de son refus de payer une taxe destinée à financer la guerre contre le Mexique. Si la désobéissance civile est une forme de révolte ou de résistance, elle se distingue pourtant de la révolte au sens classique. La révolte classique tend à opposer la violence à la violence. La désobéissance civile, plus subtile, refuse d'être complice d'un pouvoir jugé illégitime et de nourrir ce pouvoir par sa propre coopération.

La désobéissance civile est donc un acte public et assumé, d'insoumission pacifique. Qui dit "acte", dit qu'il faut agir pour pouvoir se revendiquer de la désobéissance civile. Qui dit "public", dit que cette action se fait au grand jour, publiquement. Qui dit "assumé", dit que l'action doit être revendiquée par une personnalité ayant une personnalité "civile", c'est à dire en particulier une personne physique, ou plusieurs, sous sa véritable identité.

Et puisque désobéir c'est échapper à l'ordre établi, pour le remettre en question, ce dernier est constitué et organisé pour ne pas "laisser faire" et s'installer les désobéissants. C'est d'ailleurs l'un des grands enjeux de la société de surveillance qui nous est de plus en plus imposée (décrets Darmanin de fin 2020, loi de sécurité globale, loi contre les séparatismes, Health Data Hub, etc. etc. etc.), souvent allant à l'encontre de ses propres lois votées en toute démocratie (ex: le règlement général sur la protection des données personnelles voté par le parlement européen).

La désobéissance civile peut s'opérer individuellement, en solitaire, mais également en collectif, de manière organisée. Elle a pour objectif la conquête de droits plus jugés plus justes par les personnes qui sont engagées dans l'action directe subséquente de l'organisation. Par ce que l'enjeu de notre XXIè est l'interconnexion des individus, les facilités de communication, nous allons surtout nous focaliser sur l'aspect collectif de l'organisation, qui peut être amenée à subir les enjeux de l'époque, et nous considérerons donc les risques par rapport à cet objectif, un risque étant l'effet de l'incertitude sur les objectifs (ISO31000 §3.1).

L'Organisation

S'organiser pour désobéir impose aux individus de communiquer entre eux. Certains groupes ont choisi une organisation uniquement en présence, des télécommunications presque inexistantes... là où d'autres ont choisi d'embrasser les technologies en considérant leur pouvoir émancipateur et fédérateur.

Dans tous les cas la désobéissance civile organisée se renforce par la puissance du collectif. Les Faucheurs Volontaires d'OGM utilisent par exemple le mécanisme de la comparution volontaire, pour empêcher l'isolement des camarades dans leurs actions, permettant même jusqu'à établir l'état de nécessité en justice pour leurs actions.

Une action menée par 100 individus, organisés, est nécessairement plus crédible qu'une action réalisée seul. On glisse alors d'une désobéissance individuelle à une désobéissance collective, avec une réflexion proche de celle du droit de grève, qui est un droit nécessairement collectif, c'est à dire ne pouvant se réclamer seul, mais s'exerçant à titre individuel. C'est subtil, mais c'est un fondement profond du droit social.

3.0

Les groupes organisés de désobéissance civile qui auront choisi d'embrasser l'époque et ses moyens de communication, c'est à dire de les utiliser dans toute leur subvertivité, utiliseront probablement les réseaux sociaux numériques publics (Twitter, Facebook, Instagram, LinkedIn, TikTok, etc.) mais également des réseaux sociaux numériques confidentiels, tels Signal ou Telegram.

Leur force réside dans leur capacité à augmenter la valence sociale des individus (le nombre de relations qu'un individu est capable de nouer), à réduire les temps de communication, à effacer la notion de distance géographique (un temps au moins). Mais il n'est pas possible d'isoler une médaille sur sa seule face émancipatoire.

Pourquoi 3.0 ? Par ce que l'Internet 1.0 était un Internet relativement descendant, où les contenus étaient figés par des producteurs "officiels" en mesure de déployer des moyens techniques inaccessibles à la plupart des individus. Internet 2.0 est un réseau poly-centralisé, par exemple chez les GAFAM (Google, Facebook, Amazon, Microsoft, Apple), où tout le monde est amené à contribuer aux contenus, que les acteurs ne se privent pas de trier et ordonnancer selon leurs critères prores. Internet 3.0 pourrait être un Internet décentralisé, où tout le monde produit et "consomme" l'information en fonction de ses propres critères. Les modes d'organisation que j'appelle de mes vœux pour la désobéissance civile sont donc inspirés de cette description de ce que pourrait être l'Internet 3.0.

Les enjeux

Si nous nous intéressons avant tout à l'organisation de la désobéissance civile "connectée", les risques intrinsèques la menaçant se rapprochent et tendent à se superposer avec les ceux de la sécurité des systèmes d'information, appelée "cybersécurité" par les acteurs du marketing, du fait que l'aspect "connecté" de la désobéissance constitue un système d'information.

Par ce que la recherche académique est florissante sur le sujet, en tant qu'enjeu de l'époque et en particulier enjeu d'un monde capitaliste où la protection des "actifs" (du patrimoine) débordants devient une obsession, nous disposons maintenant d'une connaissance approfondie du sujet. Même s'il reste en mouvement perpétuel, il repose sur des fondements qui aujourd'hui, et peut-être étonnamment, se sont stabilisés.

Il y a donc trois grands risques en matière de sécurité des systèmes d'information, et un principe :

  • La perte de confidentialité
  • La perte d'intégrité
  • La perte de disponibilité
  • La nécessité d'imputabilité / la traçabilité des actions

Principes et risques de la sécurité du système d'information de la désobéissance civile 3.0

Principe d'imputabilité

Le principe d'imputabilité concerne la désobéissance civile pour deux raisons, qui se distinguent clairement de l'approche capitaliste du sujet : le fait qu'elle engage des actions "civiles", c'est à dire rattachées à des individus identifiables et agissant "au grand jour" ; la nécessité d'une organisation "en confiance", c'est à dire que les individus ne peuvent s'organiser que s'ils sont en confiance dans le groupe, confiance qui ne peut être atteinte que si les individus se reconnaissent entre eux comme dignes de confiance, et donc que leurs avatars connectés, leur représentation numérique, corresponde bien aux individus qu'ils prétendent représenter.

Risques de perte d'intégrité et de disponibilité

Quant aux risques, l'intégrité des informations est assurée par le principe d'imputabilité et par le nécessaire chiffrement de "bout-en-bout" (le chiffrement de bout-en-bout est un chiffrement qui démarre de l'émetteur d'une information et qui abouti entre les mains de son destinataire, et qu'au milieu personne n'a pu lire les données ni les modifier) des outils utilisés. La disponibilité des informations est gérée par l'aspect "organique" des groupes, le stockage de l'information étant réalisé principalement dans la tête des membres. Ainsi une information manquante serait rapidement reconstituée et délivrée à nouveau par la mémoire du groupe (une information oubliée étant le plus souvent le reflet de son inutilité).

Risque de perte de disponibilité

Le dernier risque, crucial, est celui de la perte de confidentialité. Mettre en œuvre tous les mécanismes disponibles pour éviter ce risque est facteur de réussite des actions de désobéissance civile, qui nécessitent de prendre de vitesse les systèmes de surveillance établis pour défendre l'ordre établi de la dissidence, son poison mortel.

Là aussi la confidentialité s'acquière par le chiffrement de bout-en-bout qui, non content de garantir l'intégrité de l'information, garantit également l'authenticité des échanges, c'est à dire la certitude que c'est bien Mme X qui a envoyé le message, et que le message était bien destiné à M. Y. L'authenticité des échanges ne peut être assuré que si les avatars numériques de Mme X et de M. Y sont également authentiques, et donc nous revenons sur le principe d'imputabilité.

Synthèse

Pour éviter les risques inhérents à la désobéissance civile 3.0, le principe de base d'imputabilité est, nous l'avons vu, central. Le chiffrement de bout-en-bout des communications est également un moyen incontournable du système. Ce sont ces composants que nous allons étudier dans la prochaine partie, pour comprendre leurs implications sur le terrain.

Imputabilité et chiffrement de bout-en-bout

Chiffrement de bout-en-bout

Il arrive que le terme "chiffrement" soit plus connu par son faux-ami issu de l'anglais "cryptage". Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clef de (dé)chiffrement. Les mécanismes modernes de chiffrement utilisent un mécanisme dit de "clefs asymétriques", c'est que toute clef a deux composantes, l'une dite "privée" est connue de son seul propriétaire authentifié (sa clef lui est "imputable"), et l'autre publique est connue de tou⋅te⋅s, la clef publique seule permettant d'ouvrir un message chiffré par la clef privée et inversement. Ainsi (pour faire simple) si Mme X chiffre un message deux fois, une fois avec sa clef privée et une fois avec la clef publique de M. Y, alors le message ne pourra être déchiffré que par M. Y, qui est le seul à connaîttre sa clef privée, qui pourra s'assurer que l'expéditeur ne peut que être Mme X, car il aura utilisé la clef publique de Mme X, seule détentrice de son pendant privé qui aura "fermé" le message lors de son expédition.

Trêve d'explications mathématiques, si les clefs sont imputables de manière certaine à Mme X et de M. Y, alors leurs échanges sont secrets et nécessairement intègres... et donc tout l'édifice tient à cette authenticité des clefs en relation avec l'identité de Mme X et M. Y. Nous vous laissons maintenant vous projeter dans un groupe composé de plusieurs individus, sans vous emmêler d'explications. Si vous avez compris le principe jusqu'ici, le plus dur est fait.

Imputabilité, lier un avatar numérique à une personne physique

L'"avatar" numérique d'une personne est sa paire de clefs (publique et privée). Nous avons vu que l'organisation 3.0 de la désobéissance civile est construite sur la notion d'imputabilité. Cette imputabilité tenant au lien entre la personne physique et son avatar, il est de la première importance que le groupe se constitue comme un réseau de personnes de confiance, ayant des connaissances minimales (d'où ce document par exemple) en sécurité des systèmes d'information, et dignes de la confiance du groupe, capable d'authentifier mutuellement le lien entre personnes physiques et avatars numériques.

Dans les milieux geeks du tout début du XXIè siècle, des "PGP parties" étaient organisées pour authentifier les clefs / les avatars numériques des personnes souhaitant rejoindre un réseau de confiance, avec pour objectif de se passer de systèmes centralisés de confiance (l'État se positionne en étant le fournisseur de pièces d'identité authentiques par exemple), prenant quelque part la forme d'actions de désobéissance visant une décentralisation de la confiance, ce qui est insupportable pour l'ordre établi.

Imputabilité, être capable de palier à la rupture du lien avatar / personne physique

Maintenant que nous avons vu les moyens nécessaires pour s'assurer une imputabilité initiale, la vie n'est pas un long fleuve tranquille, et nous avons probablement tous et toutes eu à vivre la mauvaise expérience d'une perte de nos clefs de maison, de bureau, de voiture, etc. Ici il faut bien comprendre que la perte d'une clef privée par un membre du groupe, c'est la rupture du lien de confiance du groupe envers lui-même, et donc la perte de la capacité d'une organisation à atteindre ses objectifs de remise en cause de l'ordre établi.

Quels sont les événements générateurs d'une perte de clef numérique ? En effet dans la vie matérielle, cette situation est plus palpable, plus facilement compréhensible. La vie numérique étant immatérielle, il est essentiel d'être en mesure de détecter une telle situation. Celle-ci survient donc :

  • quand un membre du groupe change de clef
  • quand un membre du groupe n'assure par son accès exclusif de ses supports de communication avec le groupe, c'est à dire que l'un des logiciels (des applications, ou leur support comme un téléphone ou un ordinateur) utilisé pour communiquer de manière sécurisée avec le groupe est momentanément égaré dans un espace accessible à d'autres, quand une application est accédée par des personnes indésirables, ou encore quand on ne s'assure pas de la confidentialité de l'environnement au moment où la personne accède à ses communications réservées.

Des outils, des cas pratiques

Des composants du système d'information intéressants

Il faut donc chercher des composants dont les propriétés permettent l'imputabilité des échanges, ainsi que leur chiffrement de bout-en-bout, ou a minima le chiffrement complet entre chaque personne et un composant centralisé dont la sécurité est assurée par le groupe et dans lequel chaque individu a confiance. Ces instruments sont à la fois nombreux et très minoritaires dans le paysage. A date de rédaction de ce document, je peux indiquer :

  • Signal (en version téléphone portable et ordinateur, surtout si le composant est géré de manière stricte par ses membres d'un point de vue sécurité)
  • des systèmes de visioconférence déployés par le groupe (Big Blue Button, Jitsi Meet...)

Vous noterez qu'il s'agit toujours de logiciels libres, déployés par le groupe ou par un tiers réputé et fondé sur une technologie extrêmement robuste et auditable (dont il est possible d'étudier avec certitude le fonctionnement).

Des modalités de fonctionnement strictes

L'identité d'un nouveau membre du groupe devrait être contrôlée selon les standards définis comme suffisants par le groupe (je ne parle pas de pièce d'identité, mais plus d'intérêt et de motivation), par exemple par la cooptation par au moins un ou deux membres déjà enrôlés. L'authenticité de son avatar numérique devrait être contrôlée au moment de la cooptation de l'individu.

Chacun des situation suivantes devrait faire l'objet d'une exclusion sans délai du membre le temps de réitérer le processus de cooptation :

  • Tout changement de clef, donc d'avatar ;
  • Toute perte d'exclusivité de l'accès à un support des conversation : saisie d'un téléphone ou d'un ordinateur ; accès à distance à un logiciel ou au système d'information ; perte de "vue" par son propriétaire, même temporaire, d'un appareil ou d'un logiciel ou de leur accès.

Tout changement technologique d'un composant du système d'information ayant un impact sur le chiffrement de bout-en-bout et/ou l'imputabilité devrait engager sa révocation du système sans délai.

Les échanges numériques devraient être "volatils", c'est à dire que les règles valables dans le cadre de discussions en face-à-face devraient s'appliquer dans l'espace numérique. Cela signifie que les échanges ne devraient pas être archivés, et ne devraient être conservés que sur des temps courts, fonction des réalités terrain (1h à 1 semaine), et leur purge devrait être assurée par les supports eux-mêmes (sans avoir besoin d'une action humaine). Cette volatilité est une forme d'assurance que les échanges passés ne puissent pas se retourner indéfiniment contre les individus ou le groupe en cas d'intrusion d'un tiers illégitime.

Ressources externes