Hacker : une définition toujours parcellaire et à enrichir ?Nous en sommes convaincus.
Après KheOps, qui nous a parlé de la lutte numérique et de l’éthique des hackers et Sabine Blanc qui a évoqué avec nous le hack physique croisé à la bidouille et à l’artisanat, nous avons rencontré Amaelle Guiton, auteure d’un livre traitant de ce qu’elle nomme la « résistance numérique ».
Il sera cette fois encore question de politique, mais aussi de sécurité informatique et de pratique citoyenne du hack.
Qu’on le veuille ou non, une fois sur internet, nous sommes tous concernés par les enjeux que travaillent depuis des années les groupes de hackers. La paresse pourrait nous faire croire que la sécurité informatique ne nous concerne pas, mais dès que l’espace public numérique est investi, et a fortiori, surveillé, il faut être conscient des risques. Les hackers tentent avec pédagogie de le montrer de plus en plus : ce ne sont pas les pirates ou les cybertrucs et autres cryptoméchants qui peuvent vous nuire.
Scandale après scandale, SOPA, PIPA, Hadopi, et maintenant Prism aux États-Unis ou l’équivalent en Grande Bretagne, on commence à reconnaître qu’il y a une exigence de connaissance citoyenne pour se balader sans crainte sur internet. Citoyenne, car même si des groupes comme Anonymous ou Telecomix sont les plus médiatisés, leurs actions à l’échelle globale mériteraient d’inspirer les particuliers. Amaelle Guiton a travaillé le concept de résistance numérique, terme fort qui indique que le hacker n’est pas l’ennemi, mais le défenseur. Nous allons essayer de comprendre avec elle ce que ce changement lexical implique.
Vous parlez de « résistance numérique », qu’entendez-vous par là ?
Internet est à l’origine un réseau décentralisé où tout peut circuler mais sur lequel il y a de plus en plus de verrous. Nous sommes face à des mouvements au mieux de régulation, avec tout un tas d’arsenaux réglementaires qui s’appuient sur deux arguments : d’un côté il faut protéger les industries culturelles et de l’autre, lutter contre le terrorisme. Ces deux arguments justifient tout un tas de lois et de réglementations. En France, il y a la Hadopi, mais il y a eu aussi PIPA, SOPA aux États-Unis qui ne sont pas allés jusqu’au bout. De même que le projet européen ACTA qui n’est pas arrivé à terme. Aujourd’hui, il y a CISPA aux États-Unis qui est une resucée de tout ça.
Dans les démocraties, il y a des tentatives de régulations et dans les dictatures, les citoyens sont confrontés à de la censure, de la surveillance massive souvent avec l’appui d’entreprises occidentales. C’est ce qui s’est passé en Libye avec Amesys, mais aussi en Égypte, en Syrie. Mon point de départ dans ce contexte est : qui sont les gens qui luttent contre ça ? Ce que j’appelle la « résistance numérique » c’est tout ce petit peuple d’Internet, dans toute sa diversité, qui lutte contre les tentatives de prise de contrôle du réseau.
S’il y a « résistance », du coup, qui est l’occupant ?
Peut-on parler d’occupant à partir du moment où il n’est pas question d’un territoire défini ? Je ne parlerais pas d’occupant, car de fait Internet est un territoire que l’on ne peut pas occuper. Je parlerais de tentatives de mainmise et de contrôle de la part d’entreprises ou d’États.
Le citoyen du Net n’occupe-t-il pas l’espace numérique assiégé ? Il semble qu’il soit plus occupant que résistant, et les hackers s’assurant de sa sécurité…
Ce schéma pourrait s’appliquer si nous étions encore dans cet espèce d’utopie libertaire où le cyberespace est indépendant. Cela existe encore mais coexiste avec un espace marchandisé. C’est une lutte qui existait dès la fin des années 1990. Je me rappelle de la grande époque de ce que l’on appelait le web alternatif ; il fallait essayer de faire en sorte qu’Internet ne devienne pas un gigantesque centre commercial. Fort heureusement, cela ne l’est jamais devenu et aujourd’hui c’est un espace public, une agora où il y a de tout, des États, des entreprises, des citoyens, des consultants, des hackers. C’est un décalque du monde réel, même si je n’aime pas faire le distingo avec le monde virtuel. Nous ne sommes pas dans une situation où il y aurait des « cyber-natifs » attaqués de toute part. Ce qui est attaqué ce n’est pas le cyberespace, ce sont plutôt ses tuyaux, ses voies de communication que l’on essaie de corseter.
Et du coup, cette résistance n’a-t-elle pas de multiples visages ? Ne devrait-on pas plutôt parler de « résistances numériques », au pluriel ?
C’est plus la résistance numérique en tant que concept mais cela recouvre une diversité de profils, de mode d’actions, d’objectifs ; c’est ce qui fait sa richesse. On a l’impression que cela compose un tout cohérent mais quand on regarde au microscope ce sont des gens très différents qui communiquent pas mal entre eux, mais pas en permanence.
Sans entrer dans les détails vous serait-il possible, pour éclairer nos lecteurs, de dresser une typologie grossière ?
Il y a ceux qui construisent des réseaux pour permettre la libre circulation de l’information et de la communication, ceux qui fabriquent les outils, les logiciels libres, ceux qui développent des algorithmes de chiffrement, la cryptographie ; des personnalités comme Okhin ou Kheops (son interview introduisait le cycle hackers, NDLR) de Telecomix qui apprennent aux autres à se protéger en ligne ; il y a les Partis Pirates aussi. Plus précisément, j’ai fait dans mes travaux sur la question, une espèce de typologie, en distinguant tout ce qui relevait de la construction de réseaux, du partage cultuel et logiciel, de ceux qui sont directement dans la politique. Je souhaitais montrer toute la diversité du « petit peuple d’Internet ».
Ces résistants dont vous parlez sont souvent des hackers, dans un sens très large, ou bien associés à eux, de près ou de loin. Pourrait-on réhabiliter le terme « hacker » afin d’éviter de le confondre avec un pirate informatique ?
C’est vraiment une affaire de pédagogie. Plus on en parle, plus on l’explique, et mieux cela marchera ! C’est vrai que pour le très très grand public l’association « hacker-pirate » reste majoritaire. Une perception différente de la notion de hack commence à se diffuser pourtant. Par, exemple, entre mai et juin, il y un pas mal de festivals de hack : Hackito Ergo Sum, NoSuchCon, sur la sécurité informatique ; le festival de Toulouse (plus artistique), Pas Sage en Seine à Paris, la Nuit du Hack, etc.
Cela signifie que cela intéresse et touche de plus en plus de monde. J’ai tendance à penser que, de toute façon, nous sommes dans des sociétés tellement numérisées que des questions telles que la sécurité informatique ou la maîtrise de nouveaux outils va forcément se diffuser à un plus large auditoire. L’idée que mon smartphone fasse des choses dans mon dos, ça me défrise complètement, et je pense que cela sera probablement le cas de plus en plus de gens qui vont s’y intéresser et qui, peut être, auront envie de pousser la porte d’un hackerspace et discuter avec des hackers pour comprendre ce qu’ils font, ne serait ce que pour comprendre comment fonctionnent les outils dont on se sert tous les jours.
Il faudrait d’ailleurs que les journalistes s’y intéressent un peu plus, cela ne leur ferait pas de mal ! 99% des journalistes actuels sont des passoires. Justement, en janvier 2012, il y a eu une conférence à destination des journalistes : toute une journée sur comment sécuriser vos communications. Il faudrait probablement réitérer ce genre de conférence car arriver dans un hackerpsace, à une cryptoparty où tu ne connais personne, avec des mecs qui touchent leurs billes sévères, ce n’est pas forcément évident. Pourtant des hacktivistes tels que Telecomix sont dans une démarche de communication, car il y a un vrai enjeu à ce que l’image change, que l’on puisse parler de ce qu’ils font.
Même si KheOps nous a confié ne pas l’aimer, un nouveau mot est apparu, « l’hacktivisme » : comment peut-on le définir ?
Marcin de Kaminsky, l’un des fondateurs de Telecomix en Suède, définit cela de manière très claire : c’est l’application du hack à la politique. Hacker les processus politiques, donc agir très directement. Les communautés hackers ou cyber-activistes s’investissent dans le champ politique, s’intéressent à l’élaboration de la loi, à ce que font les régimes politiques, essaient d’aider des dissidents ; c’est une entrée très directe dans le champ politique au sens large. Ce n’est pas de la politique mais du politique, en ce que cela concerne la vie de la cité. Ce n’est jamais qu’une forme d’activité citoyenne de plus.
Employons des termes barbares qu’il s’agira du coup d’expliquer : qu’est-ce qui différencie l’hacktivisme de l’infosec ?
L’infosec (pour Information Security, Sécurité de l’Information NDLR), c’est un autre monde même s’il existe des passerelles. C’est le monde des mecs qui bossent dans la sécurité informatique, de ceux qui vont essayer de trouver des failles dans les systèmes d’information. Ce ne sont pas nécessairement des hacktivistes. Quand tu trouves une faille dans un système d’information, tu peux l’utiliser à des fins politiques pour faire passer des messages ; c’est typiquement ce que fait Anonymous. Mais tu peux aussi l’utiliser pour rentrer en contact avec des gens, c’est ce qu’a fait Telecomix en Syrie.
Quand des membres de Telecomix décident de scanner l’Internet syrien pour repérer quelles machines font du Deep Packet Inspection, (technique employée pour surveiller les échanges de données, pratiquée également en France au prétexte de la lutte contre le piratage, NDLR) ou pour savoir quelle société occidentale file un coup de main à Bachar El Assad – a leur corps défendant ou pas – c’est très politique ; mais quand ton job est de trouver des failles de sécurité dans le système d’information d’un client quelconque pour l’aider à renforcer sa sécurité ce n’est pas forcément politique. Il y a des mecs qui cherchent des failles juste parce que cela les éclate, pour l’amour de l’art. Et il y a le côté obscur de la force de ceux qui monnayent ces informations…
Un hacker qui se met à faire cela de manière professionnelle, dans la sécurité informatique, par exemple, reste-il un hacker ?
C’est la grande question… Je n’ai pas la réponse car les hackers eux-même ne l’ont pas. C’est compliqué car il y a toujours ceux qui te diront qu’à partir du moment où tu fais cela pour l’argent et pas pour l’amour de l’art ou pour accroître ta connaissance tu n’es plus un hacker. En même temps, il faut bien gagner sa vie à un moment ! Il y aura toujours ceux qui ont une activité publique et une activité à côté.
Le distingo se fait peut-être entre hacktivisme et non-hacktivisme. Depuis les années 1980, le Chaos Computer Club (CCC) s’amuse à trouver des failles et à faire des démonstrations, de manière très pédagogique. Aujourd’hui, le CCC est devenu un acteur politique, expert auprès de la Cour Constitutionnelle allemande, régulièrement consulté par des acteurs politiques. Et il n’y a pas de liens organiques avec le parti pirate, même si des gens sont liés au deux.
Par rapport à la Suède ou à l’Allemagne, la scène hacktiviste française n’est-elle pas à la traîne, notamment en ce qui concerne l’engagement politique ?
Il y aussi l’Islande qui vient de faire un gros score et la République Tchèque qui a trois élus au parlement national. En France, compte tenu de l’ancienneté du parti pirate (créé en 2006), nous sommes effectivement à la bourre. Il y a plusieurs raisons : le système électoral, scrutin majoritaire, ne les favorise pas. On est aussi à la traîne au niveau de la prise de conscience des enjeux numériques.
En Allemagne, il y a eu récemment un débat sur : « faut-il censurer les sites pédopornographiques ? » Le projet de loi a été abandonné car les politiques ont pris conscience que si on commence à censurer sur Internet, cela peut aller très loin. On ne censure jamais un site, en général il y a des tas de dommages collatéraux. Si ce débat avait lieu en France, le projet de loi aurait sans doute été adopté ! Les députés qui s’intéressent aux enjeux numériques et qui les comprennent, il y en a très peu, cinq ou six maximum. A l’UMP il y a Laure de la Rodière qui est très impliquée, Lionel Tardi ; au PS, Sandrine Mazetier. Nous sommes à la traîne car les enjeux ne sont pas bien compris, et donc pas discutés. Même les communautés hackers françaises commencent seulement à émerger et à se structurer. Le CCC (Chaos Computer Club, regroupement de hackers allemands, NDLR) a plus de 30 ans quand même !
Comment pourrait-on intégrer l’éthique hacker aux institutions républicaines ? En supposant d’abord qu’elle soit comprise…
Cela dépend quelle partie de l’éthique hacker. Si tu prends la libre circulation de l’information : au moment où cela devient une exigence citoyenne forte, le politique est obligé de l’entendre. Ce n’est pas un hasard si aujourd’hui le politique s’intéresse à l’open data. Car ils entendent aussi ce qu’on leur dit, ils n’ont pas le choix ; rapport de force traditionnel entre les citoyens et leur représentants. Quand beaucoup de monde descend dans la rue, ça marche. Ce fut le cas pour ACTA. Il y a tout un travail de fond, de La Quadrature Du Net notamment, et ensuite s’il n’y avait pas eu des tas de gens dans la rue avec des masques Anonymous pour braquer l’attention des médias sur le sujet, cela ne se serait sans doute pas passé de la même manière. Le travail de sensibilisation en amont et les mobilisations sur le terrain ont fait que le projet a capoté.
L’exemple tunisien est également édifiant : exigence de transparence très forte, l’open data se fait entendre et le personnel politique même ancien obligé de faire des concessions. Ce n’est pas pour rien si un mouvement comme Occupy revendique également plus de transparence.
Les français sont assez atones. Pour les indignés plus d’amortisseurs sociaux en France pas dans la même situation. Peut-être une des raisons mais pas la seule, un peu dans une démocratie un peu molle.
Dès lors, serait-il possible que l’idéologie hacker pollinise les modes de prise de décision traditionnels?
C’est sans doute très optimiste comme point de vue, mais je suis persuadée que cela se fera par la force des choses. Pour une raison toute simple. Horizontalité, partage, circulation de l’info, autant de notions au coeur de l’éthique hacker. L’un des héros du bouquin de Steven Levy (son interview ici), Greenblatt, dit que l’éthique des hacker a disparu, mais il ne s’en rend pas compte lui même. L’éthique hacker est au fondement de l’invention des ordinateurs et elle est aussi au fondement d’Internet. Internet fonctionne comme ça et par conséquent les gens naissent sur internet, ils ont été nourris de ça, ils ne fonctionnent pas autrement.
Les potentialités de Twitter, c’est absolument vertigineux. Un seul exemple pour illustrer combien cet outil vient heurter les logiques traditionnelles : j’ai regardé l’ultime débat entre Sarko et Hollande ; j’étais sur Twitter, et le factchecking se faisait en direct. Le jour où ce truc là aura vraiment pris, cela sera dingue ! Mon rêve serait que n’importe quel présentateur de JT ou journaliste, un Pujadas ou une Ferrari, ait derrière lui 5 factcheckers qui lui balancent des infos dans l’oreillette. Plus aucun politique ne pourrait dire des conneries ! Les générations qui ont appris à travailler en réseau et en ligne ont été infusées de cette culture ; même si ce n’est pas de l’éthique hacker chimiquement pure. Tout cela va se faire au travers du renouvellement générationnel tout simplement.
Le conflit de génération fait parti du problème, même si ce n’est jamais aussi caricatural ! C’est comme se poser la question en 1979 : « est-ce que l’ordinateur peur changer nos vies ? » Les choses étaient en train de se faire et à partir de 84, c’était évident que cela allait les changer. Nous sommes dans cet intervalle là.
Pourrait-on aller jusqu’à la « Do-ocracy », qui désigne un régime où le pouvoir revient à celui qui fait ? Comment ce modèle est-il transposable à toute une société ?
Je ne suis pas sûre que cela soit le cas. Je n’ai pas tranché du tout cette question dans ma tête. Il me semble qu’il y a potentiellement un problème d’élitisme. La Do-ocracy marche très bien dans les petits groupes humains, mais je me demande s’il n’y a pas un problème de masse critique. Tu n’obtiendras jamais de la part de toute la population, notamment sur la chose politique, un investissement. Parmi les expériences de démocraties participatives, je m’étais surtout intéressée, dans le 2ème moitié des années 1990, à ce qu’il se passait au Brésil, notamment à Porto Alegre.
Tu peux dire que tout le monde participe, au cours de réunions publiques, que les décisions qui se prennent dans un quartier se répercutent sur la ville, les décisions prises à la base, ce n’était pas de la consultation, c’est cela qui était nouveau. Mais ils se sont rendus compte que tu ne fais jamais participer tout le monde car après tout la conscience citoyenne n’est pas un devoir. Il y a forcément un moment où il faut des systèmes de délégation. Je ne crois pas forcément à un état do-ocratique, en revanche il me semble que les expériences tentées notamment par le Parti Pirate allemand, les expériences de démocratie liquide, des systèmes de délégation limitée dans le temps et dans l’objet. Tu peux t’estimer incompétent sur un sujet et donner ton vote à une personne. Cela créé un intermédiaire entre démocratique directe et participative.
En parlant de démocratie directe, quelle est ta position sur Anonymous ?
Anonymous me fascine du point de vue de l’idée et de la communication. Pour moi ce sont de vrais génies. Dans la tête de qui cela a-t-il germé, sinon dans la tête d’un publicitaire génial ?! Cela n’a pas germé dans la tête d’une personne, mais à un moment il y a des gens qui ont pensé le masque, le decorum, les voix synthétiques, toute la mise en scène, la phraséologie (« nous sommes Légion ») qui renvoie très directement à la déclaration d’indépendance du Cyberespace de John Perry Barlow et cette idée fabuleuse que c’est open bar.
N’importe qui peut se réapproprier toute cette iconographie et ces symboles pour en faire ce qu’il veut. Du coup cela a les défauts de ses qualités. Cela un potentiel de dingue et cela s’est vu sur certaines opérations : capacité à court-circuiter les circuit d’information et de com’, et puis à côté de ça tu ne sais jamais ce qu’il y a derrière et donc il y a des actions qui peuvent poser problème. J’avais beaucoup fréquenté Anonops au printemps dernier, et cela se contredit en permanence. Personne n’a la légitimité pour dire ça c’est Anonymous et ça ça ne l’est pas. Le fait qu’il y ait des trucs problématiques, selon moi, fait partie de la nature d’Anonymous. Il faut le prendre comme un tout. Cela peut donner le pire comme le meilleur.
Le masque, d’ailleurs, ne dessert-il pas la cause des hackers ?
Je n’en suis pas sûre. Les gens qui sont un peu sensibles au sujet comprennent très bien l’intérêt du masque. C’est cela aussi qui fait que c’est un concept, une idée, que chacun peut se réapproprier. Cette histoire d’Anonymous cela s’est construit comme une marque et c’est justement car il n’y a pas de côté mercantile que cela marche dix fois plus. C’est ce que toutes les marques essaient de faire : donner du sens. Tout le monde peut s’identifier. Steve Jobs a du baver quand il a vu arriver Anonymous ! Aucune boite n’a réussi à faire cela.
Et c’est justement parce que cela n’est pas une marque que cela fonctionne. On ne peut pas tout acheter, ce qui est assez rassurant. Peut-être que madame Michu, si tant est qu’elle existe, le masque la fait un peu flipper de même que les voix de robots ; mais plein de gens comprennent très bien, notamment les plus jeunes, le côté mémétique de ce masque qui appartient à tout le monde, de même que le côté ludique, un peu second degré. Pour les gens qui passent un peu de temps sur Internet, Anonymous est identifié comme un mouvement hacktiviste mais pas forcément comme une communauté de hackers.
Une partie du problème de la mauvaise image des hackers vient du manque terrible de culture technique, et plus en France qu’ailleurs. Pour beaucoup, l’informatique c’est de la magie. La plupart des gens n’y mettent pas les mains car ils ont la trouille des ordinateurs et d’Internet, donc comment veux-tu qu’ils n’aient pas la trouille des hackers et d’Anonymous ?! Le masque fait que tout le monde se ressemble, c’est un trait important de l’éthique hacker, tu comptes pour ce que tu fais, par pour qui tu es. Comment faire pour que les gens n’aient pas peur ? C’est une question très compliquée. Je ne valide pas tous les modes d’actions, mais il suffit de voir à qui Anonymous s’est attaqué, jamais au citoyen lambda : à des gouvernements, des entreprises.
Diffuser des données personnelles peut avoir des conséquences tragiques, et Anonymous a pu le faire…
L’éternel problème de la divulgation de données personnelles. J’ai trouvé des gens qui défendent le DDoS car finalement ce n’est jamais qu’un sitting numérique, j’ai trouvé des gens qui défendent le défaçage car finalement ce n’est jamais qu’un collage, mais des gens qui défendent l’exposition de la vie privée, cela reste très rare. Essentiellement chez Anonymous. Autant des données qui concernent des gouvernements ou des entreprises oui. Mais les cas critiques, ne concernant pas des citoyens lambda, toujours des cibles politiques. Et d’ailleurs leur discours est proche de celui d’Occupy, le fameux « nous sommes les 99% ».
On n’a donc finalement pas, derrière Anonymous, une société hiérarchisée ?
Pas une hiérarchie traditionnelle. Il faudrait être naïf pour penser qu’il n’y a pas de hiérarchie. Si tu prends Anonymous comme une espèce de nébuleuse, il va y avoir des agrégats de gens qui vont communiquer entre eux et être plus techniquement aguerris et donc ce sont eux qui vont trouver des failles, faire des defacing. Parler de hiérarchies c’est sous entendre qu’il y a des processus de prises de décisions verticaux et pour le coup ce n’est pas vraiment le cas. Quand tu coupes des têtes, que tu trouves ceux qui ont la maitrise technique, tu stérilises un endroit où il se passait des choses. Cela reste très horizontal.
Bon, et alors, les hackers peuvent-ils sauver le monde ?
Si je réponds oui, ils vont me trucider car ils détestent qu’on les présente ainsi. Et ils n’ont par tort ! Chez Telecomix ce sont les premiers à dire : « nous on a fait le job derrière nos ordinateurs. On a aidé des gens mais ceux qui risquaient leur peau ce sont ceux qui étaient sur le terrain ». Les hackers de Telecomix sont-ils des héros ? Non. Même parler d’avant-garde n’a pas vraiment de sens. Ce qui est évident, dans le monde de plus en plus numérisé dans lequel on vit, c’est qu’ils sont extrêmement nécessaires, ils ont des compétences dont on a besoin et dont on a besoin qu’ils nous transmettent. Héraut me paraît plus juste. Dans toutes les parties de ce vaste monde qui ont décidé d’intervenir de manière citoyenne, il y a un côté messager, passeur de connaissance, lanceur d’alertes. L’horizontalité permet une autorégulation de ces communautés.
Autres articles :