29
Mai
2016
Vie privée : faites du bruit pour vous protéger de Google et compagnie, par Clair Richard
22Source : Le Nouvel Obs, Clair Richard, 30/03/2016
Générer de « fausses » recherches pour égarer les traqueurs, c’est l’idée de l’extension TrackMeNot (« Ne me piste pas »).
Pour brouiller vos traces, plutôt que de couper le fil de votre routeur, d’installer des systèmes pour anonymiser vos discussions et d’emballer votre téléphone dans du papier aluminium, mieux vaut générer du bruit.
C’est le principe de l’« obfuscation », une tactique développée par des chercheurs et des activistes, et dont on vous parle parce qu’en ces temps de surveillance généralisée, c’est de salut public.
L’idée est de se protéger de la surveillance en générant des informations superflues, inutiles, ambiguës ou inexactes, qui rendent alors le ciblage peu précis et inefficace.
Pour en parler, nous avons rencontré Vincent Toubiana, qui s’occupe d’un programme appelé TrackMeNot, cas d’école en matière d’obfuscation. Il travaille à la Cnil mais insiste pour dire qu’il ne parle qu’en son nom.
TrackMeNot (littéralement « Ne me piste pas ») a été développé par deux chercheurs américains, Daniel C. Howe et Helen Nissenbaum, en 2006.
A l’époque, la société AOL vient de mettre en ligne par erreur les données de recherche de plus de 650 000 de ses utilisateurs, révélant non seulement l’ampleur de ses archives mais aussi à quel point les recherches effectuées en disent long sur un utilisateur.
L’historique de l’utilisatrice n°711391
Un exemple ? La bande-son du film documentaire qui suit est constituée des recherches effectuées par l’utilisatrice enregistrée sous le numéro 711391 par AOL. Elles révèlent son manque de confiance et ses histoires d’amour.
Suivez les recherches effectuées par l’utilisatrice 711391 : touchant et glaçant à la fois, ce film montre tout ce que nos données disent de nos rêves et de nos fragilités.
Le principe de TrackMeNot est simple et efficace : une fois installée sur le navigateur (pour l’instant Firefox et Chrome), elle génère automatiquement des recherches sur le moteur de recherche choisi (Yahoo, Google, Bing), noyant celles de l’utilisateur dans une nuée de recherches non pertinentes. Ainsi, explique la page de l’extension :
« TrackMeNot cache vos recherches dans un nuage de recherches “fantômes” afin de complexifier le profilage des utilisateurs et de le rendre inefficace. »
L’extension est totalement paramétrable par l’utilisateur, qui peut décider d’exclure certains mots clefs des recherches générées automatiquement.
Des vertus de « Dragon Ball »
Vincent Toubiana a rejoint le projet en 2008, à New York, où il était alors post-doctorant. Il a pris conscience pendant ses études du rôle essentiel que jouent les recherches sur les moteurs, à la fois dans l’économie du Web et dans le marketing :
« A l’époque, j’étais en thèse à Télécom Paris et Google parrainait l’une des promos. Ils étaient venus nous expliquer leur business model, comment les mots clés généraient de l’argent. Et ils nous ont raconté que le mot clé qui générait le plus d’argent, c’était “mesothelioma” (mésothéliome en français) : c’est un cancer rare pour lequel le traitement est très cher. Donc si quelqu’un cherchait ce mot clé, il était probablement malade et prêt à débourser des dizaines de milliers de dollars. »
A l’époque, le discours de protection de la vie privée se concentre beaucoup sur l’anonymat. Vincent Toubiana, lui, imagine une approche différente – avec des sources d’inspiration peu orthodoxes :
« Dans un épisode de “Dragon Ball”, Son Goku s’énerve et fait en sorte que son ennemi absorbe trop d’énergie pour qu’il explose. »
Extrait de « Dragon Ball », en anglais : aux origines de l’obfuscation.
Une évidence est apparue à Vincent Toubiana : la surveillance ne marche que parce qu’on fournit nous-mêmes des informations exactes.
« Je ne mens pas beaucoup, en général. Mais pourquoi est-ce qu’on ne ment pas plussouvent aux moteurs de recherche ?Bien sûr, on les utilise pour obtenir des informations précises et on perd du temps si on leur donne de fausses informations. Mais si on arrive à automatiser le processus, ça n’a presque plus de coût pour l’utilisateur. »
Aujourd’hui, TrackMeNot est utilisé par 28 000 utilisateurs sur Firefox et 11 000 sur Chrome. Vincent Toubiana insiste :
« C’est le seul moyen de pression que les gens ont contre ces grosses sociétés. Le retrait, les sociétés peuvent l’ignorer et le jour venu, couper l’accès. »
L’arme des faibles
On a reproché à l’extension de surcharger inutilement les bandes passantes ou de consommer trop
d’électricité. Vincent Toubiana hausse les épaules : par rapport à l’énergie qu’utilise Google lui-même, c’est une goutte d’eau.
Helen Nissenbaum, professeure à l’université de New York et l’une des créatrices du projet, a récemment publié avec Finn Brunton (auteur d’une passionnante histoire des spams) un petit ouvrage sur l’obfuscation, mi-plaidoyer mi-manuel.
Pour eux, l’obfuscation est « l’arme des faibles ». Car la déconnexion est une option de plus en plus irréaliste, réservée aux plus puissants ou aux plus radicaux. Surtout, la plupart des gens ne veulent pas se priver de toute interaction en ligne mais ils veulent avoir plus de contrôle sur l’utilisation de leurs données, ou être moins pistés.
De « Spartacus » à Best Buy
Les tactiques d’obfuscation sont vieilles comme la domination. Dans « Obfuscation », les auteurs donnent de nombreux exemples, parmi lesquels :
- « Spartacus » : dans le film de Kubrick, les Romains viennent chercher Spartacus, mais ils ignorent qui il est. Chaque esclave se lève alors et déclare « C’est moi Spartacus ».
L’obfuscation en toge version Kubrick, en anglais
- Le papier argenté pour semer les radars : pendant la Seconde Guerre mondiale, certains avions larguaient, au moment de passer dans une zone de radars, des papiers argentés, qui les masquaient quand ils traversaient la zone dangereuse, comme le raconte aussi ce témoignage :
« Les premières fois que nous avions vu des nuages de rubans scintillants descendre du ciel, nous avions cru qu’il s’agissait de tracts, de messages d’amitié et d’espoir semés par les Alliés. Tout le monde avait couru pour les attraper, en ramasser. Déception, ce n’étaient pas des messages, mais de simples bandes de papier métallisé. […]Nous avons finalement appris que ces nuages de bandelettes, s’éparpillant en altitude et sur de grandes distances, avaient pour but de brouiller les ondes du radar allemand : ils réfléchissaient vers le poste radar des échos imprécis venant de toutes les altitudes et de tous les azimuts, empêchant de détecter la position exacte et la direction des avions. »
- Plus récent et plus drôle : les trublions américains de Improv Everywherese sont rendus dans un supermarché Best Buy tous vêtus comme les vendeurs du magasin, semant ainsi une confusion totale.
Parmi ces gens vêtus de T-shirts bleus, certains sont employés par Best Buy. Mais lesquels ?
Un « epsilon de bruit »
Contrairement aux techniques d’anonymisation, souligne Vincent Toubiana, l’obfuscation est une tactique plus généreuse car elle protège potentiellement tout le monde :
« Le retrait est assez individualiste parce que ça ne protège que vous.Mais si vous savez que 5% de vos utilisateurs utilisent TrackMeNot, sans savoir qui en détail, vous êtes obligé de supposer que toute personne que vous essayez de “profiler” masque potentiellement ses actions.Avec cette probabilité non nulle, vous ne pouvez plus affirmer avec certitude que telle personne a fait telle action. Ça protège tout le monde – de façon diluée, certes, mais chacun y gagne un droit à la répudiation. »
Pour ce faire, il suffit de rien, d’un « epsilon de bruit » dans les données.
« Epsilon de bruit » : c’est une formule de matheux qui résonne aussi comme un concept poétique. Mentir un peu, introduire des intervalles entre soi et le monde, des intervalles d’imprécision ou de mystère.
Source : Le Nouvel Obs, Clair Richard, 30/03/2016