 Il est un guest de l'Université et il ne travaille pas seulement, il est le directeur et le Général de la Fondation d'Electronique Frontier et il travaille longtemps. Notre présentateur est Kurt Obsal, il est directeur exutif délégué et conseiller juridique de l'Electronique Frontier Foundation qui nous vit en des États-Unis et il vient de parler aujourd'hui des Five Eyes. On a l'impression que les Five Eyes nous regardent sans arrêt. Un tonnerre d'applaudissement pour Kurt s'il vous plaît. Merci, merci beaucoup tout le monde. C'est un vrai plaisir d'être de retour ici au CCC. Je sais qu'il y a énormément de choses intéressantes à faire ici donc merci beaucoup d'avoir pris du temps de votre expérience du CCC pour venir voir cette présentation. Aujourd'hui je vais vous parler des Five Eyes, des cinq yeux. Les Five Eyes c'est une alliance d'intelligence, d'espionnage. Il y a cinq états membres qui se sont mis d'accord pour partager des données et pour autant qu'on sache c'est l'alliance d'espionnage la plus importante, la plus grande du monde. Ces membres sont l'Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis d'Amérique. Cinq membres, cinq yeux et ils partagent des données, toutes sortes de données, en particulier des signaux mais aussi des renseignements humains, toutes sortes d'informations sur qui et qui et ce qu'ils font et de l'information géospatiale des données obtenues par satellite et ils dérivent des données à partir de ça. Les cinq yeux c'est quelque chose qui a commencé pendant la Seconde Guerre mondiale et qui a continué pendant la guerre froide et qui jusqu'à ce jour continue à nous espionner tout autant qu'on aime. Donc dans ces membres il y a les États-Unis en particulier la NSA, la National Security Agency mais aux d'autres agences gouvernementales également, notamment la CIA, le FBI. Il y a aussi le Royaume-Uni, en particulier le GCHQ, le service de renseignement britannique mais également d'autres services de renseignement, en particulier le fameux M6 de James Bond. Il y a aussi l'Australie avec le Australian Signals Directorate qui est également un service de renseignement et quand on parle de certains de ses partenaires ils ont tous une zone de responsabilité par exemple l'Australie a des responsabilités dans toute la zone pacifique on peut voir ici cet extrait de documents qui parlent d'Indonésie, Malaisie, Singapour en particulier parce que l'Australie a un accès géographique et des capacités en matière de langue qui lui permettent d'avoir plus d'enseignement là-dessus donc chacun des membres a des zones ou des responsabilités qui leur sont exclusives le Canada a le CSEC, CISEC, Communication Security Establishment Canada ainsi que d'autres services de renseignement cet extrait de documents ici montre la profondeur de coopération entre les pays notamment des échanges de personnel, d'officiers mais d'informations, des projets conjoints, etc et la Nouvelle-Zélande avec le GCSB et d'autres agents de renseignement à nouveau et dans cet extrait ici ça parle de l'intérêt que la Nouvelle-Zélande a pour partager ces données ils sont très envie de partager ces données pour atteindre un niveau de partage qui leur permet d'accéder au projet Ex-QuiScore dont on parlera plus tard et ce document dit qu'un partage de données complets sera mis en place pour pouvoir avoir accès à énormément de données et de surveillance de masse accessible aux agences de Nouvelle-Zélande donc ça a commencé comme je l'ai dit pendant la secondaire mondiale avec un série d'accords entre les États-Unis et le Royaume-Uni ça a lieu dans les années 1940 c'était entre leurs agences de renseignement à l'époque il y a eu aussi d'autres alliés qui ont été impliqués là-dedans mais après la secondaire mondiale ça s'est réduit à peu près aux cinq colonies ou dominions du Royaume-Uni Australie, Canada, Nouvelle-Zélande, Royaume-Uni et les U.S. également alors Five Eyes s'est devenu à ce moment-là le terme formel pour déterminer ces cinq pays à l'époque on pouvait dire Australie, Canada, Nouvelle-Zélande, Royaume-Uni et États-Unis pour ces yeux là seulement et ça a été raccourci dans cet acronyme FVEY5I qui disignait ces pays là donc l'accord original c'était l'accord UK-USA qui était donc entre Royaume-Uni et USA qui a été écrit donc par la secondaire mondiale et qui a été révisé en 1955 pour devenir l'accord UK-USA et le Royaume-Uni et les USA sont toujours les partis principaux de Five Eyes le Canada, l'Australie et Nouvelle-Zélande sont des partis secondaires ce sont des membres pas complets mais très proches quand même alors il y a eu beaucoup de plans pour augmenter le nombre de dieux dans cette extaliance il y a eu plusieurs propositions pour jeter un sixième pays pour faire six yeux notamment la France, l'Allemagne qui ont été en contact avec à divers niveaux de négociations pour devenir le sixième oeil il y a aussi des propositions pour des groupes plus larges notamment pour neuf oeufs les documents de Snowden ont révélé qu'il y avait une proposition pour le Danemark, la Norvège, les Pays-Bas et la France comme quatre nouveaux yeux il y a aussi un groupe qui s'appelle Seagin's Signals Europe, SSUR qu'on pourrait appeler les 14 oeufs puisque ça ajoute les neuf oeufs plus la Belgique il y a la France à nouveau, c'est une petite erreur ici mais aussi l'Allemagne, l'Italie, la Suède et je pense qu'il en manque un pour faire 14 mais vous pouvez voir tout en bas ici la liste complète avec notamment l'Espagne l'accord des Five Vives a pendant longtemps été extrêmement confidentiel cet accord, le fait même qu'il existe était secret jusqu'à 2005 et le texte de l'agrément du l'accord était secret jusqu'à 2010 c'était accessible, je vous ai mis le URL si vous voulez le regarder vous voyez qu'il y a beaucoup d'appendices beaucoup d'occus, c'est un document très long la plupart des agences qui étaient impliquées étaient elles-mêmes secrètes pour la plupart jusqu'aux années 1970 et parfois même bien après que des informations soient résistantes et fuite les États-Unis par exemple ont continué à nier leur existence en disant qu'une telle agence en parlant de la NSA n'existait pas il y a un cas intéressant c'est celui de l'Australie où le premier ministre n'a découvert que son pays ne faisait partie de cet accord qu'en 1963 suite à un des conflits intérieurs qui les ont conduits à se renseigner sur les services de renseignement et de découvrir l'existence de cet accord maintenant c'est beaucoup plus formel il y a des réunions annuelles et ils font des communiques et de presse pendant la guerre froide les Five Vives se concentraient principalement sur l'Union Soviétique et la Chine c'était surtout une coopération très profonde entre le NSA et le GCHQ britannique vous les voyez là leur siège sur la slide quelques moments clés pour cette agence ça a été la guerre du Vietnam le coup d'état en Iran que la CIA a soutenu le coup d'état au Chili qui a mis pinochet au pouvoir les informations obtenues par les Five Vives ont été utilisées pour faire ces coups d'état un des programmes clés pour tout ce qui est du renseignement a été le programme échelon c'est un des programmes les plus connus même son nom est devenu connu même s'il en a eu plusieurs au long des années en fait il a commencé dans les années 60 et il utilisait des stations pour obtenir des données à partir des satellites à cette époque les informations étaient envoyées jusqu'au satellite puis du satellite jusqu'à la terre et il était possible d'intercepter ces communications dans certains cas dans ce cas là il utilisait toutes les versions géographiques des Five Vives et leur avance technologique pour obtenir des renseignements de partout dans le monde et les concentrer entre leurs mains au fil du temps échelon est devenu plus ou moins obsolète la fibre optique a remplacé les communications satellites bien sûr les ces communications satellites utilisent encore mais elles sont maintenant beaucoup plus utilisées pour des choses comme la vidéo enfin vous voyez pas forcément ce qu'on essaie de d'espionner puisqu'on s'intéresse plus souvent au métat d'état au métat donné qu'au donné en Allemagne donc dans les années 2000 il n'y avait plus assez d'informations qui étaient accessibles depuis ce moyen et c'est internet qui est devenu bien sûr le moyen clé au début du millénaire après le 11 septembre 2001 il y a eu un désir très fort d'éteindre les capacités de repourcer les limites des renseignements pour avoir de meilleures informations sur toutes les parties du monde qui était couvert par la communication en effet la plupart du trafic internet mondial passe par des terres géographiques qui appartiennent au membre des Five Vives ce qui leur permet facilement de collecter ces données c'est leur permet de collecter ces données en gros grâce à des programmes qui sont devenus connus avec les révélations de Snowden comme upstream ou tempore alors ça c'est un exemple du programme upstream de la NSA donc ça ça vient de de l'IFF ça fait à peu près dix ans que quelqu'un a attaqué en justice la NSA et ce qu'on voit ici c'est c'est un bâtiment sur Folsom Street à San Francisco et on voit qu'il y a NTNT qui est un fournisseur d'accès et on voit que ça va dans un tuyau optique et on voit qu'il y a un peering link et que l'autre lien va directement à une salle de contrôle de la NSA et les informations vont directement à la NSA et donc avec ce design de splitter est assez commun et c'est comme ça qu'il faisait pour récupérer les informations Temporas c'est un autre qui marche un peu pareil le GCHQ dont on parle comme un buffer donc en fait ça va le prendre directement des fibres optiques et c'est partagé directement avec les Five Eyes avec des X-Kiss tour donc ils ont énormément de données grâce à cette méthode et ils sont très fiers de dire qu'ils ont beaucoup plus de données beaucoup plus de quelque chose comme 40 millions milliards de pièces de données par jour et ils s'en sont très fiers en plus de cette collection de données les Five Eyes ont aussi un programme de collection active donc ils développent des malware ils développent des backdoor ils ont des accès directement ciblés et ils ciblent directement des personnes ou des entités et ils ont des accès corporate donc d'entreprises par exemple des des boîtes qui donnent internet téléphone etc ils utilisent Prism donc ils utilisent des garanties et ils ont d'autres méthodes légales qu'ils utilisent et c'est les documents que Snowden a révélés on provait qu'à Google il y avait certaines données qui n'étaient pas encryptées et que du coup ils réussissaient directement récupérer les données et c'était directement dans Google et ils pouvaient y accéder parce que la sécurité SSL était deactivée d'autres exemples de cette coopération c'était les malware de Reagan qui étaient fait par GCHQ et la NSA qui travaillent ensemble ça est trouvé à belgacom en Belgique et sur certains d'ordinateurs en Europe ça a été utilisé par les membres des Five Eyes pour espionner un peu ce qui se passait en Europe les documents de Snowden ont montré que la NSA était derrière cette intrusion dans les réseaux en Europe un autre exemple Eternal Blue qui montre comment ça peut vraiment mal se passer dans ces cas-là donc il y avait un exploit de SMB qui permettait d'enlever du code pendant que ça d'ajouter du code pendant que ça tournait et donc c'était on a trouvé ça dans les outils de la NSA ça a été utilisé par Wannakai et ça a donné plein de problèmes à tout le monde dans le monde entier beaucoup de choses ont liqué et c'était très dangereux parce que beaucoup beaucoup de gens ont mis très longtemps à patier le problème c'est un exemple qui montre comment ces outils qui ont été designés pour rendre le monde plus sûr peuvent se retourner contre le créatoire un autre exemple c'est celui de Jennifer c'est quelque chose que la NSA c'est un défaut que la NSA a incerté, inséré dans un un générateur et ça lui permet de plus facilement déchiffrer le trafic de manière passive tout ce qui est utilisé c'est créé une OS en fait mais en fait ce qui s'est passé c'est que quand on l'a découvert on s'est rendu compte que ça n'utilisait pas exactement les mêmes constantes pour le chiffrement que celles que la NSA avait fait breaker ce qui suggère que cette porte d'air obé avait été compromise par une tierce partie donc la NSA a perdu le contrôle de cette porte d'air obé pour dire un peu plus comment les Fivris fonctionnent mais ça c'est assez facile ils font des collectes de renseignements ils le partagent avec les oeuvres membres uniquement les membres des Fivris ils ont aussi un accord pour ne pas espionner les chefs d'état ou des gouvernements les uns des autres mais bon c'est un petit peu moins clair pour tout ce qui est citoyen si un membre des Fivris est impliqué dans l'espionnage d'un pays, les autres peuvent dire qu'ils ne sont pas tactiquement serrés et pourtant ils ont quand même les données par exemple il arrivait que les membres des Fivris qui n'étaient pas en charge de renseignements sur un pays ont nier à avoir fait partie de ce renseignement même si ils avaient les données ça ça permet ce qu'on appelle des contournements des régulations domestiques ça c'est quand il y a des restrictions légales au sein d'un pays qui disent dans quel cadre on peut ou ne peut pas être citoyen, il faut peut-être passer par exemple par le système judiciaire il y a peut-être beaucoup de procédures à suivre mais c'est pas forcément le cas pour les autres membres de Fivris qui peuvent peut-être espionner vos citoyens et ensuite vous partager la formation à nouveau par exemple David Blanquette qui a été secrétaire domestique au Royaume-Uni a dit au parlement que la NSA marchait évitait les restrictions interne du Royaume-Uni et comme ça les Royaumes-Uni pouvaient accéder sa formation et le Royaume-Uni n'avait même pas besoin de demander sa formation à la NSA ce qui aurait été illégal la NSA offrait directement sa formation et ça c'était légal ce qui est important à comprendre ici c'est qu'en général la collection non intentionnelle c'est ok à partager ça c'est si vous collectez énormément de données de façon très large que ce soit des données ou des métadonnées il peut y avoir par exemple en Australie des lois qui interdissent de ciblés un citoyen australien mais si vous surveillez tout le monde et il s'avère qu'il y avait un citoyen australien là dedans, là c'est ok de le partager ça c'est une notion extrêmement dangereuse une notion qui est au coeur de l'espionnage de masse c'est que s'il y a des lois qui vous empêchent de cibler quelqu'un à la place vous ciblez tout le monde en fait vous ciblez tout le monde c'est pas que vous ciblez personne c'est que vous ciblez tout le monde mais c'est toujours ok légalement de partager cette information alors ça par exemple ce qu'on a pu voir c'est dans le programme XQScore il y a des données qui vont être affichées et les opérateurs peuvent voir donc il y avoir des données et une boîte qui va pouvoir se sélectionner qu'est ce que vous partagez à quel pays c'est pas forcément nécessaire de tout partager mais donc on attache à ces pièces de données collectées ce qu'on appelle des sélecteurs et ces sélecteurs peuvent être plus ou moins réduits par exemple pour les neuf yeux ou les quatorze yeux que sur les cinq yeux originaux pour donner un exemple de comment ça marche en pratique de tirer ce parti aux cinq yeux, aux five eyes qui accessionnaient en Allemagne le BND utilise aussi XQScore notamment des programmes d'écoute de lignes ADSL et le BND cherchait plus de données donc il cherchait des données disponibles dans XQScore et la NSA semblait ravie de leur donner accès à ces données mais il y avait quand même un fort niveau de coopération indiquée par ces données partagées donc pour ramener cette discussion un petit peu sur où est-ce que ça nous mène tout ça et quels sont les problèmes aujourd'hui on va plonger un peu comment marche le chiffrement le chiffrement fournit la vie privée et la sécurité pour des milliards de personnes dans le monde et ce sont des choses qui sont nécessaires des choses nécessaires à une vie démocratique mais les five eyes veulent retourner à un monde où c'était facile pour eux d'avoir accès à des quantités massives de données et donc ils ont un intérêt aigu en matière de chiffrement par exemple ici dans le PDF de XQScore il y avait ce slide qui vous disait par exemple dans XQScore vous pouvez dire montrez-moi tous les usages d'un document Word chiffré en Iran ou tous les utilisations de PGP en Iran et eux ils veulent pouvoir garder ces données chiffrées quelque part stockées pour aussi long que ça que nécessaire jusqu'à pouvoir le déchiffrer mais alors ce qu'on peut voir quand même c'est que le chiffrement c'est devenu de plus en plus frustrant pour les five eyes on peut voir ici l'adoption de HTTPS dans Chrome depuis 2015 jusqu'en 2018 donc on peut voir que ça partait de 25 et 50% selon les pays mais on peut voir que maintenant on est rendu à 50, à 75, 80% même alors selon les pays ça varie mais on peut voir que ça augmente énormément et il y a des projets comme Let's Encrypt qui ont rendu ça beaucoup plus facile de chiffrer plus de trafic sur AT&T ça ça rend les vies plus difficiles au five eyes qui essayent d'espionner énormément de données ils sont aussi frustrés de voir que les appareils qu'ils peuvent saisir sont aussi chiffrés leurs discutures sont chiffrés en juillet 2017 les ministres responsables des problèmes des five eyes se sont rencontrés et ont publié un communiqué de presse sur le chiffrement ils disent non voilà notre problème nous sommes concernés par le chiffrement et nous voulons plus travailler avec les entreprises spécialisées dans la communication pour qu'il y ait plus d'échange entre nous donc ce qu'ils veulent c'est avoir ce lien avec les entreprises parce qu'ils appellent ce lien c'est quand même quelque chose d'assez lourd on voit par exemple si c'est passé au Royaume-Uni avec l'Université de Paris Powers Act bon le texte bien sûr n'utilise pas le mot de porte dérobée mais en fait le texte est tellement large qu'on n'a pas besoin d'utiliser ce mot ça permet d'assez facilement avoir le droit d'espionner des entreprises ou des individus en fait ça montre assez bien leur mot de porte de travailler pour contourner le chiffrement ils disent on ne veut pas de porte dérobée on est pour le chiffrement mais on veut juste que vous ayez la capacité technique de nous tenir au courant de ce qu'il se passe dans ces documents donc en fait il faut pouvoir leur donner le contenu des données chiffrées donc c'est exactement le contraire du principe du chiffrement alors comment est-ce qu'ils font ça ? on a eu un petit peu d'informations cette année quand Ayane Lavi le directeur technique du GCSQ a proposé une solution ce qu'il appelait l'utilisateur fantôme c'est quelque chose qui permet de surveiller des des chats en chiffré et c'est un utilisateur qui est sur le chat mais que vous ne pouvez pas voir par exemple si vous utilisez signal il y a vous vos amis et c'est cet utilisateur fantôme que vous ne pouvez pas voir pour que ça marche c'est qu'il faut pouvoir supprimer tout ce qui est le message de l'artissement aux utilisateurs pour pas qu'on puisse savoir à qui on parle et voir précisément si quelqu'un a été au chat ça c'est un exemple des genres de solutions qui proposent de mettre où ils disent bon on ne casse pas le chiffrement c'est vrai qu'ils ne font pas du côté mathématique mais à la place ils le font avec les questions d'authentification un peu plus tard en septembre 2018 les FIWISE se sont retrouvés en Australie et ils ont fait un autre communiqué commun où ils discutaient de beaucoup de choses donc certaines sont tout à fait remarquables en particulier ils ont dit qu'ils voulaient garder une naturalité technologique dans leur capacité de renseignement ça s'avène de ce qu'on appelait la crypto-war des années 90 ou des étudiants de ce renouement américain avaient proposé d'insérer une chip qui permettait de dessiner les communications même chiffrées et ils ont été obligés de se retirer ils peuvent maintenant plus proposer de solutions qui sont mal perçues par l'industrie mais ils ont décidé d'utiliser des solutions plus larges donc ce qu'ils disent c'est que les fournisseurs de services créent un problème et donc c'est à eux de proposer la solution on voit dans le paragraph sur le slide c'est qu'ils disent si vous ne le faites pas et que nous nous allons confronter sans arrêt à ce doute nous allons devoir prendre des mesures technologiques légales ou tout type de mesures qui sera nécessaire donc on les voit là qui disent bon le chiffrement c'est bien mais si vous ne nous permettez pas d'avoir accès au contenu il va falloir qu'on se vise à peu près au même moment en Australie travailler sur un nouveau projet de loi l'Australie c'est un endroit un peu spécial pendant le débat sur le chiffrement le premier ministre le premier ministre a dit les lois de la mathématique sont très bien mais elle ne s'applique pas en Australie ce qui s'applique en Australie c'est la loi australienne donc quand les gens lui disaient ça ne marche pas vous ne pouvez pas faire de portes dérobées qui donnent accès aux textes directement et avoir un système sécurisé lui il ne voulait pas entendre cet argument et pourtant plutôt ce mois-ci ils ont quand même passé la loi qui s'appelle assistance access act donc ça c'est une loi qui est assez large et on va juste lier quelques aspects ici un aspect donc c'est similaire à l'investigative power act du Royaume-Uni on peut dire que c'est l'investigative power act sous stéroïde c'est qu'on peut secrètement forcer des entreprises à reconcevoir du logiciel ou du matériel pour permettre l'accès aux données il y a des amendes importantes pour les entreprises ça peut monter jusqu'à 10 millions de dollars australiens et pour les individus ça peut monter jusqu'à 50 000 dollars australiens et du temps des années de prison pour un refus de coopération en matière de despionnage il y a aussi quelque chose qui cherche à empêcher l'expression qui est de dire que donner des conseils à quelqu'un conseiller à quelqu'un de s'opposer à cette loi en soi ça c'est un crime aussi donc ça ça crée un environnement législatif très dangereux et ça crée cette idée que si une entreprise ne coopère pas suffisamment avec le gouvernement un jour elle sera approchée par le gouvernement qui lui demandera sous secret de faire quelque chose l'entreprise ne pourra probablement pas en pratique collaborer suffisamment puisqu'on ne peut pas changer forcément le code si facilement que ça les gens vont probablement s'en rendre compte donc ça c'est quelque chose qui inquiète beaucoup les ingénieurs en Australie et ailleurs il y a aussi la question de qu'est-ce que ça peut atteindre ça et que les fournisseurs de communication désignés ne doivent pas être forcés à concevoir un système qui est volontairement affaibli la problème avec ça c'est que la notion de qu'est-ce que c'est une faiblesse systémique dans le texte qu'est-ce que ça veut dire et ça ce n'est pas défini dans la loi donc on peut imaginer que tout au moins ils veulent exclure quelque chose qui affecteraient un petit nombre d'utilisateurs par exemple mais ce n'est pas clair du tout si leur interprétation de ce que veut dire ce mot systémique ce sera la même chose que ce qu'un ingénieur qui travaille sur la sécurité informatique par exemple pour élires par exemple la notion de fantôme dans la machine d'utilisateur fantôme proposé par le GCHQ moi j'apprends à ça une vulnérabilité systémique puisque ça enlève de façon systémique la sécurité du système mais on peut tout à fait imaginer que le gouvernement et le système judiciaire australien donne une autre interprétation à une situation comme celle-ci donc on va attendre de voir ce que ça donne on n'a pas d'autre choix autre chose c'est que la notion de fournisseur de communication désigné ce n'est pas bien défini non plus et ça ça peut vouloir dire à peu près à n'importe quelle entreprise qu'il y a quelque chose à voir avec l'Australie alors ça peut être plus compliqué que ça parce que beaucoup d'entreprises font des affaires en Australie mais n'ont pas forcément de bureau ou d'ingénieur là-bas donc beaucoup d'entreprises qui sont probablement ciblées par ça ne sont pas vraiment en Australie d'une manière significative donc pour savoir si oui ou non ces entreprises se sentent concernées par cette loi ça reste à voir et on peut aussi voir la question de certains projets open source il y a des projets open source qui ont dit on enverra plus personne d'Australie mais c'est plus difficile à faire par exemple Google ou Apple qui veulent créer des systèmes de messagerie sécurisés par exemple donc pour donner une idée quand même d'une notion de ce que l'Australie considère comme étant l'assistance qu'ils peuvent demander aux entreprises on a des choses comme par exemple enlever une forme de protection électronique cryptographie chiffrement si l'entreprise a la capacité de le faire il y a une discussion pour savoir si c'est est-ce que vous avez la clé ou est-ce que vous avez la capacité de fournir les informations du design de conception d'un système aux agences ça ce serait par exemple si il y a une agence grandementale vous voulez créer son propre système d'attaque contre un système et ça nous amène au point suivant qui est installer, maintenir, tester etc un logiciel ou du matériel fourni par une agence à l'entreprise donc ça c'est l'agence qui vient voir la entreprise qui dit voilà une boîte noire, vous la mettez sur votre réseau vous posez pas de questions ou voilà un morceau de code ou un logiciel que vous devez installer sur vos serveurs et posez pas de questions, ça fera quelque chose il y a aussi des choses comme par exemple d'aider à tester ou développer ces systèmes donc ça permet carrément d'aborder le problème des deux côtés non seulement l'entreprise doit l'installer mais doit aussi aider l'agence à le concevoir il y en a une aussi qui est d'avertir les agences de changement majeur sur leur système qui ont à voir avec qui pourrait empêcher ou affecter l'exécution de cette surveillance ça veut dire que si vous avez une entreprise et que vous ajoutez une nouvelle forme de sécurité avant les agences étaient capables d'espionner ou d'accéder à cette information et maintenant ils vont devenir incapables de le faire parce que vous ajoutez de la sécurité ils veulent le savoir à l'avance pour pouvoir faire quelque chose pour empêcher ça ou le contourner donc par exemple si votre iPhone fait des backups sur iCloud régulièrement il y a des copies de ces données avec Apple et Apple a la clé de ces données si le gouvernement prend le contrôle de votre téléphone ils ont besoin de la clé mais il peut avoir la même information depuis depuis iCloud maintenant si Apple change ça pour que vous ayez le contrôle de la clé au lieu d'eux ça ce serait un genre de changement dont le gouvernement voudrait avoir la formation préalable puisque ça affecterait leur capacité à recueillir ces données il y a aussi des choses comme par exemple de devoir cacher le fait que ces données que ces impérations sont faites sur le système par exemple si vous devez installer quelque chose ou supprimer quelque chose vous n'avez pas le droit d'en parler à quelqu'un d'autre et vous pouvez avoir à faire des activements chercher à dissimuler ces informations beaucoup de gens ont dit au législateur australien que ce n'était pas faisable, pas pratique et qu'on ne pouvait pas modifier le chiffrement de cette façon sans le rendre inutile le directeur général de la sécurité donc un des responsables du récemment le plus élevé dans le pays qui d'habitude ne fait pas ce genre d'éclaration enfin où il se trouve que seulement maintenant les assises techniques entre agences de renseignements ne peuvent être faites que si le directeur général de la sécurité s'est assuré que le côté le côté pratique est faisable des obligations imposées par le loi et t'attends alors pourquoi est-ce que ça apporte pour nous ? pour beaucoup de raisons la première c'est que les Five Eyes conduisent des opérations de renseignements et de surveillance à l'échelle de la planète ce qu'ils construisent c'est un système similares aux panneaux petit cons c'est un design de prison qu'on voit sur la slide c'est une sorte de demi-cercle autour d'une cellule de renseignements une cellule de surveillance centrale donc tous les prisonniers pourraient être regardés depuis ce centre mais ils ne seraient jamais s'ils étaient regardés à un moment donné donc ils ne seraient jamais s'ils étaient soumis à la surveillance ou pas le but c'est de des intimités pour polisser leurs comportements si on crée un régime où toutes nos co-unification sont septibles d'être espionnés s'il n'y a pas de sécurité dont on puisse être satisfaite s'il n'y a pas d'entreprise vers laquelle on peut aller pour se dire bon je suis sûr qu'il n'y a pas de défaut volontairement introduit dans le système comme l'utilisateur fantôme dont on parlait tout à l'heure alors vous êtes en fait soumis à l'œil de ce palompticon à l'œil de Big Brother la deuxième chose c'est que ce n'est pas juste pour les personnes certaines personnes identifiées ce n'est pas un texte qui vise juste les méchants ou les criminels ils collectent toutes les données et ils essaient de faire quelque chose de remonter dans le temps c'est-à-dire ils collectent toutes les données et ils peuvent ensuite aller regarder a posteriori des fois il y a des années plus tôt qu'est-ce qu'ils avaient cherché sur internet avant qu'on s'intéresse puisqu'ils ont regardé toutes ces données on voit aussi des choses comme la NSA qui construit en Utah des data centers capables de stocker des années et des années de metadata et de communication voilà quelque chose qui va contrairement complètement à l'inverse notre droit fondamental à la vie privée c'est un droit qui est protégé par l'éclaration universelle des droits de l'homme dans l'article 12 la vie privée est reconnue comme un droit important dans la plupart des constitutions par des textes sur les droits humains alors là, les textes sont semblants de ne pas y toucher avec un argument qui dit vous avez toujours la vie privée on regarde que certaines données, celles qui nous intéressent ont des cas très précis mais ça va complètement à l'encontre du principe qui dit que la surveillance devrait être nécessaire et proportionnelle il ne faudrait être soumis à la surveillance que quand c'est absolument nécessaire que quand on est soumis à une enquête ou si on est une personne d'intérêt en intérêt particulier mais il faut aussi que ce soit proportionnel que le type de surveillance utilisé soit proportionnel ou dangereux qu'une personne représente à la société pour en savoir plus sur ces deux principes vous pouvez voir l'URL qui s'affiche ici necessaryandproportionnet.org ou des spécialistes des ONG on réfléchit sur qu'est-ce qu'il pourrait être une bonne balance d'intérêt entre les besoins de sécurité des états membres et nos droits individuels il ne faut pas oublier qu'on fera nos lois par la suite qu'il est tout à fait nécessaire que les lois de renseignement obéissent à ces deux principes c'est particulièrement important en ce qui concerne l'encryption en ce qui concerne le chiffrement s'il y a une cible qui est particulière qui est ciblée à un moment, les services de renseignement peuvent tout à fait s'en sortir avec les outils qu'ils ont à leur disposition mais ça avec le chiffrement les empêche de faire des collectes en gros, des collectes massives de pouvoir tout garder pour ensuite pouvoir les regarder à leur convenance plus tard dans le temps et ça c'est quelque chose qui pourtant est nécessaire à notre vie démocratique alors le problème avec ça c'est que ça ça rend normal la surveillance de masse quand des pays comme les Five Eyes qui sont des démocraties occidentales font ça, on pense mais c'est les gentils ils vont pas mal utiliser ce pouvoir mais même si vous pensez que c'est le cas ça rend quand même la surveillance de masse comme ça tout à fait normal et il faut bien se rendre compte qu'il y a d'autres pays qui sont plus autoritaires et peut-être même que ces pays deviendront autoritaires peuvent dire ah mais non on fait juste la même chose que ce que font les bons pays, les gentils pays et du coup c'est normal le fait de casser le chiffrement ou de forcer les gens à ne pas chiffrer tous les pays devraient pouvoir le faire et même si vous pensez vous que par exemple l'Australie c'est légitime qu'elle ait accès à ces données et qu'elle ait partagé avec disons les quatre anciens est-ce que ça vous semble normal quand même que par exemple la Chine et accès à toutes ces données que la Chine ou la Russie par exemple puisse forcer toutes les entreprises à installer des portes dérobées etc donc le problème c'est que ça rend les choses trop normales, ça rend la surveillance de masse trop normal un autre problème c'est que les faiblesses qui ont été introduites dans les systèmes par les Five Eyes peuvent être et ont été utilisés par d'autres c'est des systèmes qui peuvent échapper à leur contrôle et même si on se dit que c'est pas une faiblesse systémique pour utiliser leur vocabulaire ça peut le devenir quand cette vulnérabilité devient disponible pour d'autres comme par exemple le Shadow Brokers ou si cette vulnérabilité est redécouverte par un chercheur indépendant ce qu'on sait c'est que ces vulnérabilités sont découvertes et qu'elles deviennent exploitées si vous mettez une vulnérabilité dans les systèmes elle sera exploité de plus les Five Eyes n'ont plus ou moins aucune protection pour leurs alliés de fait on a des preuves formelles que les Five Eyes ont espionné à des pays qui le considéraient leurs alliés comme par exemple des membres de l'OTAN il n'y a évidemment aucune protection pour les citoyens des Five Eyes et il n'y a rien du tout pour l'haste du monde les Five Eyes ont très très peu ou presque rien en matière de protection sur ce qu'ils peuvent faire contre les autres pays donc si la sécurité est si important la clé c'est que le problème c'est pas que la sécurité est trop forte on a déjà bien assez de faiblesse et de vulnérabilité dans nos systèmes de sécurité et en trouver plus pour permettre l'espionnage c'est contre-productif à la fin donc de cette façon les Five Eyes qui disent qu'ils sont complètement pour la sécurité plus sûr en fait ce qu'ils font c'est qu'ils introduisent une insécurité globalisée et l'exemple du chiffrement c'est vraiment la clé pour comprendre tout ça puisque c'est là où il dépense énormément d'efforts en relation publique ils veulent un accès à l'admande aux données chiffrées et ça c'est ce que eux appellent le chiffrement responsable en fait le chiffrement responsable il n'y en a qu'un seul, c'est le chiffrement fort si vous avez un accès à la demande à des données chiffrées vous détruisez toute confiance dans le chiffrement de bout en bout qui rendait la confiance possible donc il est impossible d'avoir un système complètement dans lequel on a une complète confiance si vous avez un accès à la demande vous avez détruit cette confiance donc les Five Eyes essaye d'introduire chez les chercheurs la notion qu'il faut continuer à avoir un débat sur comment est-ce qu'on peut avoir le beurre et l'argent du beurre comment est-ce qu'on peut détruire le chiffrement et garder la confiance et ce que les Five Eyes disent c'est qu'il faut qu'on recherche et qu'on trouve des solutions non en fait ce qu'il faudrait qu'il fasse c'est qu'il cherche des données publique qui existent déjà et qu'on essaye de les résoudre vous laissez pas séduire par des gens qui vous disent qu'il faut qu'on trouve un meilleur système de tierce partie de confiance qui peut garder vos clés c'est pas possible ne croyez pas ce qu'il dise ce qu'on doit chercher c'est des moyens d'avoir des communications plus sûres et c'est comme ça qu'on peut avoir une société démocratique merci merci à vous nous avons encore pas mal de temps pour les questions n'hésitez pas à vendre au microphone on va commencer avec une question de l'internet commenter le bassinare arrangement qui cherche à prévenir l'utilisation d'enquêpsion forte en matière de ce qu'on appelle le personnel arrangement l'arrangement personnel l'accord personnel c'est un accord dans lequel les Five Eyes essayent de dire certaines munitions ne peuvent pas être exportées pour la plupart des gens on va penser à des tanks des fusils mais dans certains cas ce qu'ils regardent c'est des outils de sécurité de plainte testing et ça tombe sous le coup de ces restrictions on a aussi eu le cas d'appliquer ces restrictions à du chiffrement fort par exemple je pense que ça c'est une erreur de ne pas réaliser tester la sécurité il faut utiliser des outils qui peuvent casser la sécurité même si ces outils peuvent aussi être utilisés pour faire le mal donc la controverse qui a eu là dedans c'est en partant de bonnes intentions pour rendre ça plus difficile de vendre les outils qui permettraient d'attaquer la sécurité pour rendre ça plus difficile de vendre à des régimes oppressifs ils ont aussi rendu les choses plus difficiles en occident pour faire de la recherche en sécurité merci beaucoup pour cette présentation très informative ma question est ils ont les technologies pour faire cette surveillance est-ce qu'ils ont aussi la capacité de faire des manipulations de ces données et est-ce qu'ils les font ce genre de manipulation c'est une excellente question je n'ai pas de preuve que ça a été fait à une quelconque échelle mais la capacité si vous avez par exemple un splitter sur une fibre optique avec la compréhension qu'on a de leur système tout ce qu'ils ont c'est qu'ils ont un splitter qui fait deux copies et qui envoie une copie vers eux mais c'est tout à fait possible d'avoir un système un peu plus complexe à la place qui permettrait de regarder certaines des données de déterminer ce qui doit être changé et en quoi ça doit être changé alors peut-être que ça pourrait être trop facile à détecter ils sont très paranoïques d'être détectés donc je suis pas sûr de comment ça pourrait marcher à une grande échelle sans ajouter de la latence et des signaux visibles et on n'a pas vu de documents qui indiquent que ça a été fait à une quelconque échelle maintenant si on parle à très petite échelle il y a certainement eu de la manipulation d'information au cours des presque 100 ou en tout cas 80 ans qui ont mené à la création des fibre eyes et on sait que pendant ces années durant de nombreux conflits comme par exemple la guerre du Vietnam ou l'incident du golf du Tonkin on sait qu'il y a eu ici de la manipulation d'information qui a été modifié pour faire de la désinformation de l'adversaire mais je suis pas sûr que ça puisse être appliqué à une échelle massive merci pour cette présentation déprimante tout cela peut se résumer aux enjeux l'ego et plus qu'aux enjeux techniques dans votre présentation mais est-ce qu'il reste encore des juridictions neutres je sais pas par exemple la Suisse les pays nordiques ou au moins on peut pas être rationné sans le savoir ou est-ce que cette bataille est complètement perdue c'est une bonne question et je pense qu'il y a toujours moyen de vous placer dans un pays en regardant leurs lois et les restrictions qu'ils ont au sein de ce pays sur faire de la surveillance de leurs citoyens et on pourrait imaginer des pays qui ont par exemple suffisamment de transparence et de contrôle pour que vous puissiez vous sentir en confiance que vous n'êtes pas espionné au quotidien mais ce que vous pouvez pas contrôler est-ce que si ce pays lui-même est compromis par un tiers par exemple les Five Eyes donc si par exemple vous allez disons en Suisse est-ce que c'est possible que les Five Eyes ait un certain contrôle et puisse faire de la surveillance en Suisse sans permission de la Suisse c'est certainement possible je n'ai pas vu d'information qui dit que ça s'est passé mais beaucoup de choses très intéressantes sont passées en Suisse très intéressées les Five Eyes par les mouvements financiers la Suisse est très connue pour son système bancais et le secret qui l'entoure un peu moins secret depuis quelques années mais les principes restent quand même là donc ça c'est le risque qu'il y aurait si vous pensez il faut faire les choses à plus haut niveau il vous faut la loi qui vous dit que vous allez être protégé il vous faut dans lequel cette loi peut réellement être appliquée il faut un pays qui s'intéresse qui soit en état de droit et il vous faut aussi techniquement un système dans lequel vous pouvez avoir confiance dans lequel même si quelqu'un était en train d'essayer activement d'accéder à vos données il serait bloqué par la technologie donc on espère qu'ils ne le font pas parce qu'il y a un cadre de la loi il y a un état de droit qui les en empêche mais s'ils essayent ils n'y arriveront pas et des systèmes comme ça existent ils existent et continueront à exister vous pouvez développer un système open source vous pouvez le rendre disponible à des gens peut-être dans ces pays en dehors quelqu'un peut lire le code et se rendre compte qu'il n'y a pas de backdoor intentionnel le porte dérobé intentionnel que vous avez mis dedans qu'il n'y a pas de système qui dit que quelqu'un va être ajouté secrètement à une conversation et que les clés sont vérifiés et que le processus est respecté et avec cette étape technologique de protection c'est comme ça qu'on peut devenir qu'on peut être réellement confortable avec l'idée qu'on n'est pas surveillé c'est plus un commentaire qu'une question dans les programmes de messagerie comme signal maintenant ce qu'on pense c'est que ce genre de programmes permet de savoir si le chiffrement a été compromis ou pas donc ça permet d'être plus sûr des communications entre utilisateurs quelque chose d'intéressant dans la question de l'utilisateur fantôme c'est une question qui a été posée au niveau académique d'ailleurs c'est comment est-ce qu'on ce qu'on utilise les meilleurs systèmes de sécurité pour le chat entre plusieurs personnes peut-être que la meilleure façon de penser à cette question c'est comment est-ce qu'on fait pour faire des systèmes résistants ou des systèmes où c'est mathématiquement impossible ou très difficile d'ajouter des utilisateurs en plus ou même de savoir qui sont les utilisateurs de la messagerie de groupe merci pour ce commentaire c'est un peu une réponse alors moi je suis un juriste pas technologiste je travaille énormément technologiste donc je ne pourrai pas vous dire spécifiquement pour ce système pour autant que je sache signal essaye de résoudre ce problème et bien d'autres d'ailleurs font une sorte de messagerie le sont aussi ce que je peux dire peut-être à un niveau un peu plus à un plus haut niveau c'est que en tant que technologiste ce que vous les gens dans cette salle et qui nous écoutent pourraient faire s'il vous plaît créer une interface utilisateur qui marche bien et qui simplifie le problème de gestion des clés et de transfert des clés pour que les gens puissent rapidement et simplement transmettre et vérifier les clés des autres membres de leur groupe et avec ça ça rendra les choses beaucoup plus difficiles pour ajouter une tierce personne non authentifiée une autre question de l'internet alors première question qu'est ce que vous pensez qu'il est arrivé en termes de renseignements depuis les révélations snodennes est ce que vous pensez que c'est pire que depuis 2013 ? alors c'est une autre bonne question on a on a un vrai trésor d'information qui est sorti en 2013 avec les révélations snodennes certaines informations n'étaient pas vraiment courantes en 2013, il y avait des informations sur ce qui avait été fait avant donc on sait certaines choses sur ce qui s'est passé depuis et il y a eu plusieurs réactions dans certains endroits comme par exemple dans certains pays il y a eu des réactions qui ont été de mettre en place des lois pour autoriser des choses qui étaient déjà faites avant par exemple le Investigative Powers Act au Royaume-Uni ou le Foreign Intelligence Surveillance Act aux États-Unis qui modifiaient le droit pour légaliser des pratiques qui avaient déjà lieu qui avaient déjà cours donc ça ne donne pas beaucoup de fois dans l'idée qu'ils auraient rectifié ou qu'ils auraient limité les activités qu'ils faisaient avant et dans le contexte de certaines de ces lois il y a des choses qui ont été mises un peu comme un coup de chapeau quand même à des craintes en matière de liberté civile par exemple dans certaines lois ils disent non on ne fait pas de vulnérabilité intentionnelle ou on a acheté des choses qui disent quand vous présentez ça à une cour de justice la cour peut ramener des experts ce qui rend ça plus difficile ce qui empêche l'agence gouvernementale de confondre le juge en racontant des bêtises ou en noyant le juge sous des détails techniques mais globalement toutes ces lois ne nous ont pas donné beaucoup de confiance sur ces capacités et on a aussi l'inquiétude en même temps que leur capacité de renseignement augmente et que la vitesse augmente également par exemple on sait que leur capacité à stocker des données en 2013 ça coûtait maintenant ça coûte moins et si on pense à ça on peut voir combien de trafic ils peuvent capturer et stocker avec un budget donné combien d'années de données ils peuvent stocker sur leur disque dur et ça c'est un nombre qui va continuer à augmenter parce que stocker des quantités massives de données c'est quelque chose qui va devenir de moins en moins cher et donc avec leurs machines à revenir en arrière dans le temps et pour revenir de plus en plus loin donc moi ce qui m'inquiète c'est que la décroissance c'est quelque chose qui permet d'augmenter leur capacité à une époque c'était trop cher d'espionner tout le monde à une époque pour savoir où vous étiez il fallait avoir quelqu'un qui vous suivait toute la journée ou une voiture qui vous suivait ensuite on a commencé à avoir des technologies quand il fallait mettre un petit transpondeur sur votre voiture mais bon il fallait quand même réussir à mettre un transpondeur sous toutes les voitures maintenant on a tous des téléphones dans nos poches et ce téléphone c'est où vous êtes en permanence donc il suffit de demander à une entreprise où vous allez ce téléphone en particulier et ça s'augmente leur capacité à récupérer plus de données ils sont dans l'âge d'or de la surveillance malgré leur propos dans lesquels ils disent qu'ils perdent l'accès aux données Bonjour, que pouvez-vous nous dire à propos de la position et du rôle de la commission européenne sur toutes ces questions la position de la commission européenne le Royaume-Uni ah non d'accord, l'Union européenne donc quand ces révélations sont sorties l'Union européenne a lancé plus d'investigation sur les révélations Snowden et Domain Gérald a dit c'est un problème ils ont réagi principalement au fuite documents de Snowden mais pas seulement et il y a aussi tous les efforts de protection des données en Union européenne ces efforts ont été surtout centrés sur quelle information est disponible à des entités commerciales ça a un certain effet sur des entités gouvernementales mais pas de restriction forte sur les utilisations pour tout ce qui est sécurité nationale donc l'Union européenne pourrait faire beaucoup plus pour montrer que c'est quelque chose qui n'est pas acceptable en Europe Je me posais la question de l'accès et de l'accessibilité en Australie par rapport à ce que vous nous avez dit du point de vue légal par rapport aux entités commerciales est-ce que les compagnies sont en faveur de cette politique et est-ce qu'au contraire ils peuvent la limiter en limitant leur business en Australie et est-ce que c'est déjà le cas ou est-ce que des compagnies ont dit qu'ils feraient une de tes pratiques Je pense qu'il y a plusieurs entreprises qui se sont exprimées contre ce projet de loi notamment Apple qui a envoyé des commentaires qui indiquaient divers failles dans ce projet de loi c'est une chose de dire qu'il y a des problèmes avec ce projet de loi et d'essayer de l'arrêter mais c'est plus difficile de dire puisque c'est comme ça on va arrêter de faire des affaires dans ce pays et ça a été un des problèmes pour la plupart des entreprises globales où ils doivent faire des choix sur est-ce que oui ou non ils vont faire des affaires dans certaines juridictions dans certains pays, sous certains régimes et de faire des choses que peut-être ils ne veulent pas le faire on a vu des exemples par exemple de ça après que Google est découvert une attaque sur leur système par la Chine dans laquelle la Chine accédait des informations sur certains dissidents grâce à cette attaque après ça Google a arrêté de faire des affaires en Chine pendant un moment mais je pense qu'ils sont toujours intéressés par les possibilités commerciales le fait de travailler sur un moteur de recherche qui serait acceptable pour le gouvernement chinois donc ces marchés commerciaux sont une tentation forte pour des entreprises l'Australie n'est pas seulement un marché important c'est aussi un marché dans lequel certains entreprises pourraient peut-être arrêter de faire du travail sans perdre une quantité énorme de leur business mais il faut voir ça autrement si ils arrêtent de faire des affaires dans ce pays combien d'argent ils perdent mais si ils continuent à faire du travail des affaires ici et que pour ça ils doivent compromettre leur service à l'échelle mondiale quel est l'impact sur leur business l'autre option est de dire on va faire une version spéciale australie et ça il y a des histoires qui ne sont pas très bien passées là-dessus par exemple dans les années 90 pendant tout un moment il y avait des navigateurs les plus populaires par exemple Netscape il y en avait un pour l'utilisation domestique et un pour l'utilisation internationale et celui dans l'intentionale avait un chiffrement très faible pour que la NSA et les partenaires de Five Eyes puissent plus facilement déchiffrer ces communications mais c'était vraiment stupide puisque c'était très facile pour quelqu'un d'accéder à une copie du chiffrement plus fort qui n'était pas censé être exportée aux États-Unis donc comme je disais en plus cette notion de contrôle des exports s'est avérée illégale donc je pense que maintenant si on dit bon j'ai ce système de messagerie par exemple et voici ma version australienne beaucoup de gens vont dire peut-être que je n'aurais pas utilisé la version australienne parce qu'ils vont se dire c'est pour ça qu'il y a 2 produits je pense qu'on a dépassé notre temps j'aurais bien aimé qu'on puisse avoir d'autres questions mais ils peuvent venir vous voir directement merci de donner un tonnerre d'atolice pampe pour Kurt s'il vous plait