27/08/2015

La saga de la page facebook (2/ 2 ; carnet de campagne, épisode 2)

(suite du précédent billet...)

3ème étape : répondre aux messages avant qu’ils ne se perdent dans les limbes

Comme il était annoncé que les messages allaient être perdus, j’ai tout d’abord pris le temps de répondre au plus de 130 messages reçus à l’occasion de mon 36ème anniversaire dimanche dernier (j’espère n’avoir oublié personne). Ainsi, si d’aventure ces message se perdaient, j’aurais au moins pu leur répondre…

4ème étape : la transformation du « profil » en « page », et ce qu’il advint…

Tout étant prêt, j’ai donc cliqué sur « convertir le profil en page ». Après le premier clic, rien ne se passe. Inquiétude. Y’a-t-il du réseau ? Petit coup de poing au modem pour être sûr… Après quelques autres clics, un message : « vous gérez déjà une page qui porte ce nom ». La page a donc été créée, mais mon profil est toujours là, même si c’est la nouvelle page qui a repris l’ancien identifiant du profil. Aucune donnée ne s’est égarée, les messages, les images, les publications, les autres données tout est là, à ce qu’il me semble. La page est là, aussi. Première surprise, elle compte 413 « fans » de plus que je n’avais (n’ai) d’« ami-e-s» (5411 contre 4998 au moment de la création de la page). D’où sont-ils sortis ? Mystère… Cela dit, j'ignore si c'est un résultat normal et si désormais toute transformation de profil en page donnera le même résultat...

Profil vérifié, page pasLa seule chose que la nouvelle page n’a pas reprise, c’est la « vérification ». C’est en effet toujours le profil qui est « vérifié ». C’est donc bien moi qui gère une page qui à mon sujet (enfin, peut-être). Allez comprendre… La politique de vérification de facebook me semble d’ailleurs être des plus aléatoires. Parmi mes collègues au Parlement, tous n’ont pas été « vérifiés », même en ayant plus de « fans » que moi. En Suisse romande, il me semble être le seul parlementaire fédéral a l’avoir été. Et cette vérification a été pour le moins cavalière, facebook m’ayant demandé, sans me dire pourquoi, une copie d’une pièce d’identité. Et même si j’ai bien entendu refusé de la fournir (peu importe que ça ait été une tentative de hameçonnage ou une vraie vérification), mon profil a quand même été vérifié, sans que je n’ai rien à faire. Bref, autant dire que cette procédure ne semble pas être si fiable…

Bon, et maintenant, qu’est-ce que je fais du second profil ?

Finalement, je me retrouve avec un profil vérifié, qui ne peut pratiquement plus accueillir de nouveaux ami-e-s, une page, qui aurait dû remplacer le précédent et un second profil qui aurait dû palier les problèmes générés par le remplacement du premier par la page. Je vais laisser ce second profil en ligne, mais ne vais probablement pas l’utiliser, car pour les contacts plus personnels que permettent les profils, j’ai mon premier profil qui n’a finalement pas été vérifié. Nous verrons bien s’il sert à quelque chose

Et pourquoi pas deux pages, hein ?

Mais ce n’est pas tout. En plus de deux profils, je me suis aperçu aujourd’hui qu’il y a en fait non pas une, mais deux pages à mon nom. La seconde a été générée automatiquement sur la base de l’entrée à mon nom sur wikipedia

Deuxième page FB jcsVoilà, voilà. Celle-ci, on verra bien ce qui adviendra d’elle. En tout cas, risque de dédoublement de la personnalité (ou d'écho, c'est selon), il y a bel et bien:

CNRQyFPVEAApxcZ.png_large

(Fin de la saga. Pour lire la première partie, c’est par ici !)

25/08/2015

La saga de la page facebook (1/2; carnet de campagne, épisode 1)

Comme cela fait quelques temps que j’ai atteint la limite fatidique de 5000 « ami-e-s » sur facebook, je me suis résolu à transformer mon profil en page, ce qui permet un nombre de contacts illimité. Ce qui devait être une opération facile s’est avéré beaucoup plus ardu que je ne le pensai, n’a pas donné exactement le résultat annoncé et m’a permis d’en apprendre un peu plus sur le fonctionnement du plus grand réseau social au monde (même si ça reste très opaque). L’histoire mérite donc d’être racontée. A vous de juger si elle mérite d’être lue ! J’ai mis du temps à prendre la décision de convertir mon profil en page, d’une part parce que je craignais de perde le côté très personnel que peuvent avoir les contacts sur facebook, même si j’utilise ce réseau social principalement à des fins de communication politique. D’autre part, j’ai réussi à jongler un temps avec la limite des 5000, en supprimant parmi mes « ami-e-s » les comptes inactifs, ou les personnes tenant des propos extrémistes. Mais il a bien fallu se résoudre à faire le pas de la transformation en page, comme l’ont fait par exemple mes collègues Susanne Leutenegger-Oberholzer ou Cédric Wermuth. J’ai en outre choisi de transformer mon profil en page et pas de créer une nouvelle page, puis d’y inviter mes contacts, car la première option devait garantir que je ne perde pas le statut de « profil vérifié »corps-3-zoom-verified-pages (on verra par la suite que ça ne s’est pas exactement passé ainsi) et m’aurait épargné des démarches longues et fastidieuses…

1ère étape : télécharger les données que facebook a à mon sujet…

Comme il est indiqué qu’au moment de transformer un profil en page, on perd la quasi-totalité des données (notamment les photos, les publications et les messages), j’ai commencé par demander un téléchargement de mes données détenues par facebook. Ça a pris du temps, car, si le lien pour faire le téléchargement a été envoyé tout de suite, il a mis plusieurs jours (et plusieurs essais) à fonctionner. Et je n’ai pas pu obtenir la garantie que facebook allait effacer lesdites données de ses serveurs, même si elles ne devaient plus apparaître à l’écran. C’est encore une preuve de son opacité et de ses méthodes douteuses en matière de protection des données. (Et cela donne du grain à moudre à mes postulats pour le « privacy by design » et « privacy by default »…)

2ème étape : un 2ème profil au cas où… (mais pas d’usurpation d’identité)

Une fois mes données mises à l’abri, j’ai ensuite créé un deuxième profil facebook, dans le but de pouvoir le cas échéant garder un contact personnel avec mes ami-e-s une fois mon profil actuel converti en page. Ce profil a été laissé dormant quelques semaines, ce qui n’a pas empêcher facebook de me faire des suggestions d’« ami-e-s » étonnamment précises, bien que n’ayant assez peu d’information à mon sujet et qu’aucun lien ne pouvait être établi entre mon profil principal et mon second profil (la protection des données, encore !). Lorsque je l’ai activé et ai envoyé des demandes de contact à quelques jours de la conversion du profil principal en page, beaucoup de monde a cru à… une usurpation d’identité (il faut dire que je me suis assez bien imité ;) ). Je tiens d’ailleurs à remercier pour leur vigilance tous ceux qui m’ont prévenu de leurs soupçons. Puis, c’est facebook qui a cru que ce second profil était abusif, et m’a soumis à une sorte d’interrogatoire lors duquel je devais reconnaître des « ami-e-s » sur leurs photos, afin de prouver que je les connaissais vraiment. Bizarrement, je n’ai pas eu à me reconnaître moi-même (ouf !). Ce deuxième profil opérationnel, je pouvais enfin commencer...

(La suite au prochain numéro !)

*   *   *

Ce billet me permet d’ouvrir mon carnet de campagne en vue des élections fédérales du 18 octobre prochain. Comme lors des élections cantonales 2007, j’y raconterai la campagne, ses anecdotes drôles ou pas, ses rencontres, ses débats et découvertes. J’espère que cela suscitera votre intérêt et me réjouis d’ors et déjà de lire vos commentaires !

 

07/07/2015

Surveillance des télécommunications (LSCPT, #BÜPF) : où en sommes-nous ?

Le piratage de « Hacking Team », entreprise produisant entre-autres des « chevaux de Troie », a (re)mis la question de la surveillance des télécommunications numériques sur le devant de la scène. Or il se trouve que le Conseil national a récemment fini le traitement de la révision de la loi sur la surveillance des télécommunications (LSCPT, BÜPF en Allemand). Cette loi a été accusée de tous les maux. On l’a, en vrac, considéré comme l’introduction de l’Etat fouineur, comme étant anticonstitutionnelle ou comme la possibilité donnée à l’Etat de surveiller des milliers de citoyens innocents. La plupart de ces reproches sont mal fondés (on se demande d’ailleurs si leurs auteurs ont lu le projet de loi). Voici donc un petit état de la situation.

 Pourquoi la révision ?

Les télécommunications ont évolué. Les criminels s’en sont aperçu et font usage des nouveaux moyens de communications. Ils utilisent des logiciels ou des applications cryptées. Ils planifient leurs mauvais coups par consoles de jeu interconnectées. Et lorsqu’ils se savent écoutés, la dernière chose qu’entendront les forces de l’ordre, c’est « finissons cette conversations sur skype ou sur facebook messenger ». Ou encore sur un autre service crypté.

Parfois, ils n’ont même pas besoin de changer d’appareil. Avec un simple téléphone intelligent, il n’y a qu’à changer d’application, à appuyer sur le logo bleu doté d’un « s » ou sur le logo bleu arborant un « F » au lieu du logo vert orné d’un combiné téléphonique pour passer d’un mode que les autorités de poursuite pénales peuvent écouter à un autre qu’il n’est pas possible de surveiller.

Un des objectifs de la révision de la LSCPT est donc de donner aux autorités de poursuites pénales les moyens d’écouter ces télécommunications actuellement inaudibles et de pouvoir pour cela faire usage des instruments adéquats : IMSI-Catcher, GovWare (chevaux de Troie). Actuellement, la base légale fait défaut (et l’affaire « Hacking Team » le rappelle) et il convient de corriger cela rapidement.

Ces instruments provoquent des craintes légitimes au sein de la population, craintes renforcées par les récentes affaires d’espionnage et de surveillance massive des télécommunications par des services secrets étrangers. Il y a aussi des craintes – légitimes là aussi – que ces instruments perturbent les télécommunications, en particulier les services d’urgence, voire permettent de mener de véritables perquisitions en ligne, de falsifier des contenues et donc des preuves. Le danger est en effet réel que ces instruments soient utilisés à tort et à travers pour surveiller les communications d’honnêtes citoyens, ou de personnes vaguement soupçonnées d’avoir commis un délit mineur. Le Conseil national a donc renforcé le cadre légal. Il repose sur les principes élémentaires suivants :

  • Subsidiarité : l’instrument de surveillance n’est utilisé que lorsque d’autres, moins invasifs, ont échoué ;
  • Proportionnalité : on ne s’en sert pas pour traquer la petite criminalité ;
  • Autorisation par un juge ; la police ne peut mettre ne œuvre une surveillance invasive de sa seule initiative ;
  • Inexploitabilité des preuves obtenues en dehors du cadre légal : si l’instrument de surveillance sert à autre chose que surveiller une communication, les règles habituelles de la procédure pénale en matière d’exploitation des preuves s’appliquent ;
  • Dernier principe (pour les « GovWare ») : protocole et contrôle de chaque étape de la surveillance, afin de pouvoir garantir le respect des principes précédemment cités.

Comme on le verra plus loin, le respect de ces conditions fonde la constitutionnalité des mesures précitées.

Il y a d’autres points où la révision de la LSCPT vise à adapter les instruments de poursuite pénale à l’évolution des technologies. Il doit être désormais être possible d’identifier les utilisateurs de télécommunications qui utilisent des moyens aussi banals que des cartes SIM à prépaiement ou réseaux sans-fil mis à la disposition du public. La nouvelle loi permet par ailleurs de rechercher une personne disparue qui court ou fait courir un danger, ainsi qu’une personne qui doit effectuer une peine privative de liberté, mais qui a plutôt choisi de prendre la clef des champs.

Les débats

Lors des débats, le Conseil national a accepté toutes les propositions de la commission pour durcir les conditions d’utilisations des GovWare. Malheureusement, il a accepté de prolonger la conservation des données secondaires de 6 à 12 mois, ce qui n’est en pratique guère utile, sauf dans quelques cas de criminalité en ligne pour lesquels une entraide internationale est nécessaire.

Deux de mes propositions de minorité ont été acceptées, ce qui a permis d’améliorer deux détails de la loi : la première proposition pour que les données secondaires de télécommunications soient conservées en Suisse (afin d’éviter qu’elles ne soient soumises à un droit étranger de la protection des données), et la deuxième pour que Conseil fédéral, Préposé à la protection des données et le cas échéant le public soit informés en cas de perte ou de piratage de données sensibles. Les récents déboires de « Hacking Team » montrent l’intérêt d’une telle disposition.

Au sein du groupe socialiste, les avis étaient partagés entre la nécessité de fournir aux forces de l’ordre les instruments dont elles ont besoin pour traquer les (cyber)criminels et les craintes de voir ces mêmes instruments utilisés pour ficher les citoyens. Convaincu que les garanties sont suffisantes, j’ai défendu la première position.

Qu’a-t-on dit de faux au sujet de la LSCPT ?

Les débats sur la LSCPT ont été houleux, peut-être pace qu’un certain nombre de bêtises ont été dites à son sujet. Voici les trois exemples les plus fréquents :

  • « La conservation des données secondaire est anticonstitutionnelle ». Les adversaires de la LSCPT se basent sur une décision non-contraignante pour la Suisse de la Cour de Justice de l’UE. Et même si cette décision était contraignante pour la Suisse, cette décision ne saurait être interprétée comme une interdiction de principe de la conservation des données secondaires. En effet, il ne s’agissait que d’examiner le respect du principe de proportionnalité, bien mieux respecté dans la loi helvétique qui impose des contraintes beaucoup plus strictes à l’utilisation de ces données. Par ailleurs, la Cour Européenne des Droit de l’Homme admet les méthodes invasives de surveillances des télécommunications et la récolte de données si les citoyens sont précisément informés de l’existence cette possibilité. Cela dit, comme toute atteinte à un droit fondamental, il s’agit de respecter les conditions de l’art. 36 de la Constitution : base légale (LSCPT), intérêt public (combattre la criminalité en ligne) et respect du principe de proportionnalité (cf. les conditions d’utilisation évoquées plus haut).
  • « L’Etat va surveiller les faits et geste de tout le monde ». C’est faux. Les données secondaires de télécommunications permettent certes de retracer les faits et gestes de toute personne qui fait usage de moyens de communication, mais elles ne seront pas stockées par l’Etat, qui ne pourra les obtenir qu’en cas de soupçons avérés d’un crime grave, sur autorisation d’un juge.
  • « Les chevaux de Troie seront utilisé pour fouiller les ordinateurs de gens ». C’est faux. La base légale prévoit que ces instruments ne pourront être utilisés que pour écouter des télécommunications cryptées. Tout autre usage rendra en règle générale l’exploitation des preuves ainsi obtenues irrecevable en justice, selon les règles habituelles de la procédure pénale en vigueur. Par ailleurs, la « perquisition en ligne » sera explicitement interdite, tout comme l’utilisation de la caméra ou du micro de l’ordinateur-cible pour écouter ce qui se passe dans la pièce où il se trouve.