Vie privée, protection des données, cybersécurité : ce n’est pas possible sans le logiciel libre !

De Wiki FACiLe
Révision datée du 20 septembre 2019 à 18:44 par Mathieugp (discussion | contributions) (Page créée avec « ''Le samedi 3 août 2019, quatre élus du Parti libéral du Québec (PLQ), Marwah Rizqy, Gaétan Barrette, Lise Thériault et Marc Tanguay, faisaient paraître au nom de l... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Le samedi 3 août 2019, quatre élus du Parti libéral du Québec (PLQ), Marwah Rizqy, Gaétan Barrette, Lise Thériault et Marc Tanguay, faisaient paraître au nom de leur parti un plan d’action « pour assurer la cybersécurité et la confidentialité des données des Québécois ». Ce plan était diffusé dans Le Journal de Montréal et Le Journal de Québec la même journée. Jugeant important de réagir le plus rapidement possible, le 14 août, le conseil d’administration de FACiL envoyait aux grands médias (Le Journal de Montréal, Le Journal de Québec, La Presse, Le Devoir et Métro) une réponse d’environ 700 mots intitulée « Ce n’est pas possible sans le logiciel libre ». Aucun de ces médias n’ayant jugé bon de diffuser notre texte d’opinion, nous avons dû nous contenter de le publier sur notre propre site et de le relayer dans les médias sociaux. Ce texte annonçait la publication ultérieure d’une « réponse plus détaillée, point par point » qui serait diffusée en septembre dans le cadre de la Semaine québécoise de l’informatique libre (SQiL) 2019. C’est cette réponse que nous publions, tel que promis, en cette Journée internationale du logiciel libre (JiLL) du 21 septembre 2019 qui inaugure la SQiL.

Le plan d’action du PLQ s’ouvre sur une inquiétude exprimée par ses auteurs quant à la bonne protection par l’État des renseignements personnels des Québécois à la lumière de quelques-uns des plus récents scandales de fuites de données chez Équifax, Desjardins, Capital One, etc., et dans le contexte du débat qui a suivi l’annonce du 4 février 2019 du ministre délégué à la transformation numérique gouvernemental, Éric Caire, relativement au « recours prioritaire » à l’infonuagique publique des grands fournisseurs privés. Rappelons que le ministre Caire avait alors annoncé que des fournisseurs externes, dont les principaux (Amazon, Microsoft, Google, IBM) sont des multinationales américaines, hébergeraient éventuellement jusqu’à 80 % des données des 457 centres de traitement informatique (CTI) du Québec, qui sont de propriété publique. Les CTI sont en outre appelés à être progressivement regroupés en seulement deux grands centres. Le texte du PLQ se termine sur « 5 pistes de solutions concrètes pour un État au service des Québécois, libre de toute ingérence de la part des entreprises étrangères », que les analystes politiques ne manqueront pas de voir comme une avancée libérale sur le terrain du nationalisme dont se réclame le gouvernement caquiste de François Legault.

Dans le présent texte, nous répondons dans l’ordre aux cinq pistes proposées dans le plan d’action du PLQ. Nous exposons également ce qui constitue selon nous le principal angle mort de l’analyse de ce parti politique et plus généralement de la classe politique québécoise : l’absence de critique de la collecte massive, de la centralisation d’Internet et de la surveillance généralisée des internautes par les Google, Apple, Facebook, Amazon et Microsoft (GAFAM).

Maintenir notre souveraineté sur les données collectées par l’État

Cette proposition est pleine de bon sens, malgré le très mauvais choisir du verbe « maintenir » par lequel elle commence. En réalité, il y a peu à maintenir : presque tout est à conquérir.

Les géants américains du numérique exercent déjà depuis de nombreuses années une réelle emprise sur nos vies numériques, fait qui nous expose à des problèmes qui vont bien au-delà de la simple « gestion des données des Québécois » par des entreprises étrangères. Que ce soit par les bases de données d’Oracle, le système d’exploitation Windows et la suite bureautique Office de Microsoft ou les mainframes d’IBM, les géants de la Silicon Valley s’imposent par la propriété qu’ils détiennent sur les logiciels installés dans pratiquement tous les organismes rattachés à l’État québécois. Déjà privé de libertés essentielles au niveau des logiciels qui traitent nos données, le gouvernement de François Legault propose maintenant aux Québécois de renoncer petit à petit à la propriété des équipements où s’effectuent les traitements. L’essentiel du stockage et une large part du traitement se fera dorénavant dans les centres de données des GAFAM : adieu à l’expertise permettant le contrôle sur les logiciels, les équipements et les données ! Pour la souveraineté numérique, on repassera !

Mais au fait, comment doit se traduire concrètement la « souveraineté » (c’est-à-dire l’autorité suprême, le pouvoir ultime) du peuple ou de l’État sur le « numérique » ? Vaste question. Voici ce que nous répondions à ce sujet dans un mémoire déposé à Québec en août 2015 dans le cadre de la consultation générale et des auditions publiques sur le document intitulé Orientations gouvernementales pour un gouvernement plus transparent, dans le respect du droit à la vie privée et la protection des renseignements personnels :

« Si l’on pense principalement à la protection des renseignements personnels des citoyens et citoyennes, l’État devrait au minimum :

  1. s’assurer de détenir la propriété des appareils qui opèrent le traitement de l’information (contrôle physique)
  2. conserver à l’interne l’expertise de la gestion, de l’administration, du développement et de l’opération de tous ses systèmes (contrôle logique et administratif)
  3. exiger que ses centres de données et autres serveurs soient majoritairement situés en sol québécois (contrôle législatif)
  4. collecter et conserver le moins de renseignements personnels possible (pas de pistage et de profilage des internautes) »

Ces mesures étaient naturellement loin d’épuiser le sujet de la souveraineté numérique ou celui de la sécurité de l’information ou encore celui de la surveillance de masse des internautes.

FACiL a traité plus en profondeur de quelques-uns de ces sujets dans un long article intitulé « La tête dans les nuages. Le secteur public face aux offres commerciales d’infonuagique publique », paru dans la revue L’Action nationale, vol. CIX, no 5, mai 2019, p. 54-103. Ce long article se termine sur l’esquisse d’une politique québécoise sur l’utilisation de l’infonuagique par le secteur public.

Tenir une vraie réflexion nationale

Une vraie réflexion nationale est certainement essentielle, mais une commission d’enquête au mandat aussi limité que celui qu’on nous propose n’y aidera pas beaucoup. Le mandat de l’enquête doit être bien plus vaste pour produire un éclairage vraiment utile aux nombreuses réformes qui doivent être entreprises.

Depuis février 2015, un regroupement de plus de quinze organismes dont FACiL fait partie demande la mise sur pied d’une enquête publique qui sera responsable d’analyser « l’ensemble des problèmes » liés à l’informatique au sein de l’État québécois. Le texte de la déclaration commune initiale diffusée par le regroupement mentionnait en outre la nécessité d’un véritable débat national sur les défis et les enjeux du numérique qui nous rattrapent aujourd’hui sous la forme de nouveaux scandales.

Cette demande recevait l’appui de tous les partis de l’opposition (PQ, QS, CAQ) juste avant les élections générales québécoises du 1er octobre 2018. Parvenue au pouvoir, la CAQ renonçait à la tenue d’une enquête, le nouveau ministre Éric Caire annonçant aussi rapidement qu’en décembre 2018 qu’elle n’était plus nécessaire. C’est une erreur.

La protection des données, la cybersécurité et la souveraineté numérique ont tout à voir avec la vision, les stratégies, les politiques, les lois et les plans d’action que nous nous donnons collectivement pour faire face aux enjeux et aux défis du numérique !

Pour avoir une idée de ce que sont ces défis et ces enjeux du point de vue de FACiL, nous référons nos lecteurs et nos lectrices à la liste des questions que nous avons posé aux partis politiques dans le cadre des élections générales québécoises du 1er octobre 2018 (https://wiki.facil.qc.ca/view/EGQ2018).

Assurer que l’État et les entreprises soient imputables envers les citoyens

En plus d’exiger l’imputabilité des gouvernements et des entreprises qui collectent des données, les auteurs proposent quatre actions concrètes sous cette rubrique : la création d’une identité numérique, des mesures de prévention inspirées des meilleures pratiques, la création d’une équipe mixte d’enquête et un programme québécois de littératie numérique. Nous commenterons ici sur deux d’entre elles.

Identité numérique – Un système d’identité numérique, contrôlé par un organisme central, pourrait fatalement s’avérer une fausse bonne idée. Il faut plutôt redistribuer le contrôle des données d’identification à la collectivité. Des solutions fortement décentralisées reposant sur la cryptographie asymétrique (pairs de clés privées et publiques) et la transparence du logiciel libre sont déjà en opération à grande échelle partout à travers le monde. La confiance du public dans les systèmes qui traitent ses données implique nécessairement que le code source des logiciels puisse être librement utilisé, étudié, amélioré, partagé, redistribué et audité de manière indépendante. La cybersécurité déborde bien sûr la simple sécurité du code source, mais il est certain qu’elle ne peut pas faire sans !

Littératie numérique – FACiL est hautement favorable à l’instauration de programmes de littératie numérique. Mais de quelle littératie numérique parle-t-on ? Il y en a plusieurs. Pour nous, dans le présent contexte, cela veut dire répondre au phénomène de la surveillance de masse des États et les géants du numérique par une éducation de masse aux enjeux de la surveillance, de la centralisation, etc. Concrètement, il nous faut apporter un soutien aux campagnes et autres projets de la société civile visant la démystification et l’adoption par le plus grand nombre des solutions reposant sur les logiciels libres, les réseaux décentralisés et la cryptographie forte (en particulier le chiffrement de bout en bout).

Développer une expertise interne québécoise

Le recours prioritaire à l’infonuagique publique prôné par Éric Caire ne comblera pas les besoins de compétence en cybersécurité dans le secteur public. Il grandira même, car s’ajouteront aux risques habituels tous ceux propres à Internet, qui reliera les appareils numériques des fonctionnaires et des citoyens aux centres de traitement des GAFAM. Dans tous les scénarios envisagés jusqu’à maintenant, les données des Québécois sont centralisées : vulnérables et attrayantes pour les malfaiteurs.

Comme nous l’avons soutenu dans notre article de mai 2019 dans L’Action nationale, professionnaliser la cybersécurité dans tous les milieux de la société est plus intelligent que déménager tous en masse dans les installations centralisées les plus attaquées du monde sous prétexte que leurs fortifications sont les plus hautes, que leurs experts sont les meilleurs.

La question peut-être la plus utile à se poser lorsqu’on étudie l’industrie de l’infonuagique est la suivante : comment l’entreprise de commerce en ligne Amazon a-t-elle bien pu doubler de vitesse Google, Microsoft, Apple ou IBM à compter de 2006 avec ses Amazon Web Services (AWS) ? Réponse : en internalisant une forte expertise en logiciels libres. Amazon s’est emparée de la virtualisation, de la conteneurisation, du calcul et du stockage distribués sur Internet, c’est-à-dire pour l’essentiel des technologies libres et de modes d’organisation typique de la culture du logiciel libre.

Notre intérêt collectif n’est pas de devenir client d’Amazon, mais d’imiter Amazon en investissant massivement là où ça compte pour opérer la montée en compétence du secteur public et de la petite et moyenne entreprise par le biais des contrats publics. La participation massive des Québécois aux communautés de logiciels libres facilitera grandement le développement de notre expertise en cybersécurité, infrastructures, plateformes et applications pour Internet. L’État québécois peut montrer l’exemple et tirer la collectivité dans la bonne direction.

Légiférer

La loi pourrait même exiger un tel niveau de transparence non seulement pour le secteur public, mais également pour les entreprises qui calculent des scores de crédit et des primes d’assurances. On peut penser à d’autres exemples de données d’intérêt public dans pratiquement tous les secteurs du privé. Nous devrions être capables, moyennant certains efforts certes, d’accéder aux données et de reproduire le calcul par nous-mêmes. De quoi véritablement rétablir la confiance !

Peu importe les solutions qui seront retenues au final, il nous faut instaurer un cadre législatif plus rigoureux qui contraindra les entreprises à adopter les meilleures pratiques de l’industrie en matière de sécurité et de vie privée. C’est le citoyen qui doit décider explicitement si oui ou non il consent à l’utilisation de ses données par des tiers. Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne, promulgué en 2016 et applicable depuis mai 2018, rend responsables les acteurs qui traitent les données des personnes, qui de leur côté jouissent d’un droit à la portabilité de leurs données. Les sanctions infligées aux fautifs sont proportionnelles au chiffre d’affaires et n’épargnent donc pas les oligopoles. Car nous ne devons pas mettre tout le poids de la protection des données sur la petite et moyenne entreprise. Avec des moyens financiers limités dédiés à l’informatique, les offres faussement « rassurantes » des géants du numérique seront à nouveau sur la table. Et nos données se retrouveront encore entre leurs mains…

L’angle mort de l’analyse libérale : rien sur la collecte massive, la surveillance de masse et la centralisation

Le plan d’action du PLQ est proposé dans un contexte particulier qui amène ce parti à réagir rapidement à des événements récents : les scandales de fuites de données chez Équifax, Desjardins, Capital One, etc., et le débat qui a suivi l’annonce par le ministre Caire, le 4 février 2019, que Québec aurait recours de manière « prioritaire » à l’infonuagique publique. Il ne faut donc pas s’étonner que les enjeux auxquels il propose de s’attaquer soient ceux des vols de données et d’identités, de la cybersécurité et de la souveraineté numérique. Il nous faut néanmoins souligner à quel point une telle réponse hâtive laisse dans l’angle mort les problèmes de fond : la collecte massive opérée par les GAFAM, la centralisation qui l’explique, et la surveillance de masse qui en résulte et qui est très néfaste pour nos droits fondamentaux comme pour la redistribution du pouvoir, de la connaissance et de la richesse en ce 21e siècle numérique.

Il nous faut de nouvelles politiques et une action publique forte non seulement pour protéger nos données contre les tiers malveillants qui accèdent illégalement aux données que nous leur avons confiées, mais aussi contre les usages de nos données qui sont peut-être légaux, mais pas forcément légitimes et respectueux de notre vie privée, et auxquels se livrent très certainement les grandes entreprises installées au cœur de l’économie marchande de la donnée.

Depuis plus de 30 ans, la philosophie du logiciel libre nous enseigne que le domaine de liberté protégé par les licences des logiciels libres n’est pas seulement utile et bénéfique aux utilisateurs et aux utilisatrices d’appareils numériques, il est devenu essentiel à la préservation des libertés qui sont au fondement de la société démocratique. Il n’y a que dans le mouvement du logiciel libre qu’existe véritablement le souci de protéger les utilisateurs et les utilisatrices d’appareils numériques à la fois contre les filous qui cherchent à exploiter les failles de sécurité des systèmes numériques et aussi contre les abus et les erreurs des personnes et des entreprises qui conçoivent les logiciels qui traitent nos données.

Récupérée de « https://wiki.facil.qc.ca/index.php?title=Vie_privée,_protection_des_données,_cybersécurité_:_ce_n’est_pas_possible_sans_le_logiciel_libre_!&oldid=9787 »