Sécurité numérique
Ce qu’on doit savoir sur l’(in)sécurité de l’information
Dans un contexte où de nombreuses crises – environnementales, sociales, etc. – font rage, la gestion appropriée et sécuritaire de l’information devient une composante nécessaire à la citoyenneté responsable et à l’intégrité de campagnes militantes.
Les discours abondent lorsque vient le temps de parler de sécurité de l’information. Depuis les révélations du lanceur d’alerte de la NSA, Edward Snowden, journalistes, chercheur·e·s et militant·e·s du monde entier ont une tribune sans pareil pour parler d’un enjeu grandissant dans nos sociétés contemporaines : celui de la surveillance systématique et diffuse des citoyen·ne·s par les gouvernements et les géants du numérique. Effectivement, le fait que la majorité des activités quotidiennes des citoyen·ne·s soient désormais numérisées et stockées sur des serveurs et centres de données posent d’importants problèmes en matière de vie privée et de sécurité de l’information. Cette érosion systématique est d’autant plus problématique puisque – un peu comme pour les enjeux touchant les changements climatiques – ces conséquences sont lentes, complexes à comprendre et difficilement réversibles étant donné que les pratiques nocives sont profondément intégrées à la fois dans les systèmes économiques extrêmement lucratifs, dans les cadres juridiques et dans les pratiques quotidiennes des citoyens et citoyennes. Les phrases comme « je n’ai rien à cacher » ou encore « je ne suis pas assez intéressant·e pour être une cible » sont les principales barrières auxquelles font face les militant·e·s en sécurité numérique lorsqu’ils encouragent l’adoption de meilleures pratiques en sécurité de l’information.
C’est dans cet esprit que s’inscrit la nouvelle chronique sécurité numérique d’À bâbord !. Elle vise d’emblée à vulgariser les enjeux relatifs à la sécurité de l’information et à exposer les raisons pour lesquelles l’adoption de meilleures pratiques s’inscrivent dans un cadre de citoyenneté responsable tout en étant un élément déterminant dans le déploiement effectif de stratégies de mobilisations politiques collectives.
Qu’est-ce que la sécurité de l’information ?
Il importe tout d’abord de définir ce qui est entendu par sécurité de l’information. Sommairement, elle fait référence à un ensemble de processus à visant protéger l’accès, l’usage, la modification, la disruption et la destruction non-autorisée d’informations. Elle vise donc à protéger l’accès aux données jugées confidentielles (par exemple : mots de passe, adresses, communications stratégiques, positionnement GPS, etc.), mais elle va bien au-delà de cela : elle s’intéresse également aux méthodes permettant, entre autres, d’éviter l’interruption de services (d’un site web, par exemple), la perte ou la destruction de fichiers importants (documents de travail, contenu d’un ordinateur ou d’un téléphone cellulaire, etc.) ou encore à l’utilisation hors contexte de certaines informations (telles que des publications sur des groupes Facebook ou des fils Twitter). Il va donc sans dire que la sécurité de l’information ne vise pas uniquement la protection de la vie privée, mais protège aussi la liberté d’expression et d’association des individus, groupes ou organisations, ainsi que l’intégrité et l’efficacité de leurs activités.
Mieux comprendre son environnement numérique
En tant que citoyen·ne·s, groupe ou organisation militante, la première étape à l’amélioration des pratiques en sécurité de l’information est d’avoir une meilleure conscience des données et informations générées au quotidien. En somme, il est possible de distinguer deux grandes familles : les données et les métadonnées.
La donnée peut être comprise comme une unité d’information. Ces informations sont normalement visibles – ou, du moins, facilement reconnaissables – pour l’utilisateur et l’utilisatrice. Des exemples de données peuvent être : les identifications personnelles fournies dans un formulaire en ligne (données de services), des informations que l’on confie à un service web lors de la création d’un compte tel que Gmail, Dropbox, etc. (données confiées), la visite d’un site web (données de navigation), le contenu d’un courriel ou d’un message texte (données confiées), des publications Facebook (données révélées), etc.
Les métadonnées, quant à elles, sont des données contextuelles : des données à propos d’autres données. Par exemple, dans le cas d’un courriel envoyé via un compte Gmail, les métadonnées associées au message seraient des informations relatives au destinateur et au destinataire du message, au navigateur (Chrome, Firefox, Safari, etc.) utilisé pour envoyer le message, à la résolution de l’écran de l’ordinateur en usage, au positionnement géographique approximatif (obtenu via l’adresse IP de l’ordinateur ou encore par certaines configuration d’un navigateur). Les métadonnées sont donc des éléments contextuels qui peuvent permettre de déduire le contenu d’une communication ou des traits de personnalité des usagers et usagères. Mises ensemble, les données et les métadonnées servent à créer des histoires et des profils sur les individus : celles-ci sont nécessairement composées de faits, mais ne sont pas forcément vraies. De manière plus importante, il faut se souvenir que l’individu n’a presqu’aucun contrôle sur l’information récoltée ni sur l’interprétation qui en découle.
Cela nous mène aux notions d’interprétation et d’intégrité de l’information. Quand on parle de sécurité de l’information, l’erreur est souvent de tout ramener à la question de l’accès, c’est-à-dire au contenu de conversation privées ou encore aux informations figurant sur des comptes protégés par des mots de passe. Il s’agit certainement d’une composante primordiale à la sécurité de l’information. Il importe donc de porter attention au rôle clé que joue l’interprétation dans les processus de surveillance. En tant que citoyen·ne ou en tant que militant·e, certaines informations peuvent paraître anodines. Néanmoins, lorsque couplées avec d’autres, ou encore isolées de leur contexte complet, elles peuvent être utilisées à tort et à des fins difficiles à prévoir. En outre, dans le cas des manifestations s’opposant au projet d’oléoduc du Dakota Access Pipeline (DAP), des documents publiés par le magazine électronique The Intercept ont noté que la surveillance accrue des réseaux sociaux était effectuée dans le but d’articuler de manière plus efficace un contre- discours pour décrédibiliser les militant·e·s aux yeux du public. Ce type de stratégies, souvent simples et légales, peuvent jouer un rôle stratégique dans le démantèlement d’une mobilisation.
Que faire pour mieux protéger ses communications ?
En répertoriant, même rapidement, toutes les traces produites quotidiennement en ligne, il est facile d’avoir le vertige et de ne pas savoir par où commencer pour améliorer sa sécurité numérique. Malheureusement, il n’y a pas de méthode facile, ni d’outils infaillibles. C’est pourquoi les prochaines chroniques tenteront de fournir quelques pistes de solution utiles afin de mieux appréhender les risques associés aux pratiques communicationnelles. En attendant, il importe de garder trois choses en tête, et ce, particulièrement dans le contexte politique actuel marqué par la présidence de Donald Trump.
Il ne faut pas seulement protéger l’information que l’on juge secrète ou confidentielle. Les contextes changent et une information insignifiante pour une personne aujourd’hui ne le sera pas forcément pour une autre personne demain.
L’information est une source de pouvoir. Les mouvements sociaux ont une longue tradition à associer la transparence et l’imputabilité des actions de désobéissance civile à une forme de légitimité et de noblesse du mouvement. Bien que cela soit vrai et respectable, il est tout de même primordial de reconnaitre que l’accès et l’interprétation de certaines informations peuvent nuire aux relations publiques, à l’image du mouvement et à sa capacité subséquente à mobiliser des membres de la société civile.
La sécurité de l’information est un processus collectif. Pour reprendre l’analogie du changement climatique, la responsabilisation individuelle envers de meilleures pratiques est une composante essentielle à la lutte, mais n’est pas suffisante en elle-même : elle doit être accompagnée de changements au niveau politique, économique et technologique. Ainsi, dans l’immédiat, elles servent à prévenir des incidents (divulgation involontaire d’information, perte ou suppression de documents, etc.) ou, dans le pire des cas, à réagir efficacement face à des adversaires et menaces concrètes. Dans le long terme, ces changements ont le potentiel de porter les enjeux à l’attention de la classe politique et de modifier, en amont, le développement de technologies numériques et des cadres législatifs qui les régulent.