Le Patriot Act, ce n'est pas juste un nom

Par SwissTengu @SwissTengu @SwissTengu — 05.05.2014
Grosse nouvelle dans les journaux en ligne : les sociétés américaines fournissant des services en ligne de type cloud, messagerie ou autres doivent être en mesure de fournir les données aux autorités (normal…), y compris si les contenus sont hébergés en-dehors des USA (pas normal)1

Mais, en soit, ce n'est pas une nouveauté : le Patriot Act2 prévoyait déjà ce genre de choses. Depuis 2001.

La décision de la justice fédérale ne montre qu'une chose : le Patriot Act est bel et bien appliqué, en parallèle des autres mesures "préventives" telles que remontées par Snowden.

Quelles sont les implications ?
Relativement simple : si vous voulez réellement avoir une vie privée, évitez les services "made in US". Y compris ceux arborant fièrement un "Hosted in Switzerland" ou assimilés. Le lieu d'hébergement n'entre plus en ligne de compte (et, en fait, n'est jamais entré dans le débat à cause du PA).
Aussi, il faut faire attention aux fournisseurs tiers : par exemple, le mail de Sunrise est basé sur la technologie de Google3. Je vous laisse réfléchir aux implications.

On peut aussi se demander ce qu'il en est des appliances que certaines entreprises mettent à disposition : par exemple, Google… Leurs appliances sont dans des réseaux d'entreprise, sont employées pour indexer des documents locaux… Légalement, est-ce que les USA peuvent demander à Google de fournir les contenus de ces appliances ? Après tout, c'est un appareil leur appartenant, loué à une entreprise (ou autre entités… l'État, qui sait ?).

On peut aussi se demander ce qu'il advient de la sécurité des certificats SSL fournis par une société US. Qui nous dit que Verisign ou autres n'a pas été une fois ou l'autre forcé de fournir un certificat contre-fait aux autorités pour leur permettre d'écouter le traffic d'un site ?

Pour revenir à la Suisse, je vous rappelle juste que la fameuse Suisse ID4 est, entre autres, fournie par QuoVadis, filiale d'une société US… Que se passera-t-il le jour où les USA voudront, pour une raison ou une autre, obtenir des informations via ce biais ? QuoVadis pourra-t-il les envoyer promener ? J'en doute. Fortement.

Pour revenir à la Suisse toujours, la plupart des certificats SSL des sites du gouvernement sont fournis soit par le BIT5, soit par des entités US du type de Verisign, Thawte etc. Ah, et  je ne mentionnerai pas le fait que le BIT est "couvert" par Baltimore CyberTrust6… 

Mais je n'ai toujours rien à cacher !
Faux : tout le monde a quelque chose à cacher, un jour, une fois.
Imaginez ce qu'il se passerait si, au hasard, vos mails dans lesquels vous conversez à propose d'un problème de santé arrivait entre les mains de, au hasard, une assurance maladie ?
Imaginez ce qu'il se passerait si, au hasard, votre video-conversation avec votre copain/copine se retrouvait exposée sur le Net ? Vidéo comprises ?

Plus concrètement : des données médicales transitent en clair sur des serveurs de Micorsoft (personnes employant les services Office365), ça ne vous dérange pas ? Ces données médicales concernent les personnes bénéficiant de soins en EMS ou "appartements protégés". Rien n'est chiffré, des numéros de dossier et autres données personnelles voire confidentielles se promènent dans la nature.

Et, entre nous, vous n'avez jamais employé un VPN une fois ? Ou été faire un petit tour sur Tor, ou I2P ou Freenet pour voir comment c'est ? Si oui, vous êtes suspects pour les USA (et, sans doute d'autres gouvernements), parce que ces technologies, bien que neutres, sont employées par des terroristes.
Cela peut donc vous faire sortir dans les résultats de personnes à mettre sous surveillance. 

Toujours rien à cacher ? Réfléchissez bien avant de répondre.

Que pouvons-nous donc faire ?
Comme dit précédemment, trier les services. Chiffrer ce que vous pouvez. Sensibiliser vos proches à la problématique

Malheureusement, tant que les pays et l'UE ne font rien pour protéger leurs citoyens, on ne peut pas faire beaucoup plus : on a besoin des services fournis par ces entités, qu'on le veuille ou non. On est, au final, pieds et poings liés, à la mercie d'une puissance étrangère voulant instaurer sa paranoïa, son contrôle et la pudibonderie à travers le monde.

Aussi, ce jugement n'implique rien de nouveau. Il ne faut pas perdre de vue qu'il n'est que l'application d'une loi de 2001, passée dans un climat de peur post-traumatique par un paranoïaque notoire, Georges W. Bush. Ce gouvernement a ouvert la boîte de Pandore et, malheureusement, bien trop de pays et de sociétés privées se sont engouffrés dans cette ouverture. Des business models entiers reposent sur la paranoïa, la peur de l'autre, la peur de l'étranger, la peur du "non-contrôle". Business models qui, en plus, ne s'assument pas7.


Commentaires (0)

Ajouter un commentaire