Compte-rendu du Chaos Communication Congress à Hambourg

30c3

Impressions, expressions, réflexions etc. autour et en marge du 30e Chaos Communication Congress (30C3) à Hambourg (Allemagne, Terre, Voix lactée), du 27 au 30 décembre 2013.

Par Amaelle Guiton

 

1. CONTEXTE

Dire d’un groupe de hackers qu’il est une institution devrait tenir de l’oxymore. Dans le cas du Chaos Computer Club, pourtant, le terme fait sens. Trente-deux ans d’existence, plus de 4500 membres à ce jour, beaucoup de « faits d’armes » remarqués – du piratage du Minitel allemand, le Bildschirmtext, en 1984, à la publication des empreintes digitales du ministre de l’Intérieur en 2008 –, un statut d’expert auprès de la Cour constitutionnelle allemande, l’oreille des politiques (qui n’entendent pas toujours très bien, mais c’est un autre problème) : sa situation est unique en Europe. Le terme « hacker » est d’ailleurs beaucoup moins négativement connoté en Allemagne qu’ailleurs.

J’avais été frappée, la première fois que j’avais croisé « AFK » le CCC, il y a un an et demi à Berlin, par sa cohérence politique. Si, comme dans tous les groupes de hackers, on y croise des gens qui se soucient plus de virtuosité technique, de blinkenlights, que de paramètres idéologiques, il y a, depuis longtemps, une « colonne vertébrale » solide qui lie sécurité des systèmes d’information et défense de la vie privée, et qui s’explique évidemment par l’histoire particulière du pays. Quand je l’avais interviewée l’an dernier, Constanze Kurz, l’une des porte-parole, avait eu des mots très durs contre la communauté hacker US, trop perméable à son goût aux sirènes des agences de renseignement. Quelques jours plus tôt, Keith Alexander, le patron de la NSA, avait donné la keynote de la DEF CON, le grand rassemblement annuel de Las Vegas. Edward Snowden et ses documents n’étaient pas encore passés par là.

Tout ça prend, dans le contexte précisément créé par les révélations de Snowden, un relief particulier. Le CCC se retrouve de facto au cœur du travail – technique, politique, social – contre la surveillance de masse. Notamment parce que dans la « psychogéographie » de la surveillance, Berlin fait peu ou prou figure de « zone libre » – la ville ayant vu successivement s’y installer Laura Poitras, l’une des deux journalistes contactés par l’ancien analyste, l’expert en sécurité Jacob Appelbaum, puis Sarah Harrison de WikiLeaks, qui a escorté Snowden jusqu’à Moscou, et Der Spiegel étant désormais en première ligne sur le front journalistique depuis le départ du Guardian de Greenwald. Sur le plan diplomatique, Merkel a été l’une des plus virulentes contre l’administration Obama sur ces questions, sans doute pas uniquement pour faire plaisir à son opinion publique (après tout, son portable a été espionné pendant des années) – pas de quoi, à ce stade, modifier en profondeur les équilibres géopolitiques, mais c’est tout de même significatif.

Au fil du temps, les congrès du CCC ont attiré de plus en plus de monde – d’où leur délocalisation, l’an dernier, au Centre des congrès de Hambourg, plus vaste que son équivalent berlinois. Il fallait s’attendre à ce que, après six mois de révélations sur la surveillance d’État, la jauge explose. De fait : plus de 9000 congressistes, et un nombre conséquent de communications consacrées aux activités de la NSA et de ses petites camarades, et plus généralement à la surveillance en ligne. Pendant quatre jours, Hambourg fut un épicentre militant de la bataille pour la privacy.

2. IMMERSION

Assister aux conférences, c’était donc, bien souvent, plonger la tête la première dans le grand bain des prying eyes et des eavesdroppers. Sans gilet de sauvetage – je ne sais d’ailleurs pas ce qui est le pire, avoir les connaissances techniques suffisantes pour tout suivre, ou se retrouver par moments un peu perdu/e et ne saisir que la surface de l’information qui vous parvient. Dans les deux cas, je crois, c’est extrêmement dense, aussi déprimant qu’instructif, et pour tout dire assez épuisant.

Trente ans d’expérience faisant toujours la différence, les conférences sont toutes enregistrées et mises en ligne dans la foulée. Ceux et celles qui voudraient avoir une vision d’ensemble des programmes de la NSA se reporteront utilement à la présentation de Kurt Opsahl de l’Electronic Frontier Foundation, « Through a PRISM, Darkly » (les slides sont également téléchargeables). Pour un « round up » du (très) juteux marché de l’espionnage numérique et de ses acteurs, voir « To Protect and Infect – Pt. 1 » donnée par les deux experts en sécurité Claudio Guarneri et Morgan Marquis-Boire (tous deux rattachés au Citizen Lab de Toronto). La partie 2 était assurée, le lendemain, par Jacob Appelbaum, et consacrée notamment à la très impressionnante « boîte à outils » de l’unité spéciale de la NSA dite TAO (pour Tailored Access Operations) – une « brigade de plombiers appelés quand l’accès normal à une cible est bloqué », ainsi que la définit la copieuse livraison du Spiegel parue quelques heures auparavant. Livraison à la lecture de laquelle on a appris que ladite unité avait, parmi beaucoup d’autres activités, piraté le réseau du consortium de 16 entreprises (dont Orange) gérant le câble sous-marin qui relie Marseille à Singapour, via l’Afrique du Nord et les pays du Golfe.

On signalera aussi, pour ceux qui n’auraient pas encore leur compte, « The Year In Crypto » par les chercheurs Daniel J. Bernstein (université de l’Illinois), Nadia Heninger (université de Pennsylvanie) et Tanja Lange (université d’Eindhoven) – attention, haut niveau mathématique donc fort risque de décrochage, mais délicieux clin d’œil à Glenn Greenwald à 9’43 (« What I found most interesting from the beginning of the year, was that for the first time in recorded human history, a non-technical user actually tried to use cryptography »). Ou encore, pour un focus du côté des capacités d’interception des forces de l’ordre, « Backdoors, Government Hacking & The Next Crypto Wars » par Chris Soghoian, analyste pour l’American Civil Liberties Union. Les germanophones trouveront sans doute des choses intéressantes du côté de « Keine Anhaltspunkte für flächendeckende Überwachung » (sur le traitement politique des révélations de Snowden en Allemagne) et de « Kryptographie nach Snowden » – pour ma part, j’ai dû déclarer forfait, faute d’un niveau suffisant dans la langue de Goethe. Et parce qu’il ne faudrait pas rester bloqués sur nos chers pays occidentaux, des détours par la surveillance des mobiles en Inde et le cauchemar de la carte d’identité chinoise (qui liste opinions politiques, statut sérologique et état de santé mentale – oui oui, c’est possible) sont également à disposition.

3. SATURATION

N’en jetez plus ? C’est tout le problème, en effet. Pas seulement parce qu’au bout de quatre jours on est sur les rotules – ce qui n’a pas qu’à voir avec le rythme particulier de ce genre d’événement, la fameuse hacker time zone et l’inévitable manque de sommeil –, mais parce que depuis six mois, on se noie dans tout ça. Il se trouve toujours, ici et là, des gens pour reprocher à Greenwald et Poitras leur stratégie du compte-gouttes, et pour se demander pourquoi diable ils ne publient pas tout d’un coup. Outre que c’est faire peu de cas du nécessaire travail d’expertise, je trouve, depuis le début, plus intelligent d’y aller par paliers – ça évite l’assommage pur et simple, et ça maintient la pression. Il n’empêche : à moins d’y passer 24 heures par jour, on finit par perdre le compte des programmes et celui des techniques employées. La seule chose qui semble à peu près claire, c’est que tout ce qui pouvait être compromis l’a été.

Et on voit bien la conséquence de ce genre d’effet de saturation. Il n’y a plus seulement ceux et celles qui pensent qu’ils n’ont « rien à cacher », ou que la surveillance est un mal nécessaire à la sécurité des populations – il y a aussi tous ceux et toutes celles (nombreux, me semble-t-il) qui pensent qu’on ne peut tout simplement rien y faire. On objectera qu’on peut encore croire – d’après Snowden lui-même – en la solidité des mathématiques, autrement dit les algorithmes de chiffrement. Le souci, c’est tout ce qu’il y a autour, et surtout le fossé béant entre l’immense majorité des utilisateurs et les outils dans lesquels il est encore un tant soit peu possible d’avoir confiance. « Le manque d’empowerment citoyen est stupéfiant », me disait à Hambourg Smári McCarthy, l’un des initiateurs du projet Mailpile – qui y voit un échec du mouvement du logiciel libre.

Combler ce fameux fossé, assurer la sécurité des utilisateurs sans les noyer sous les détails techniques, concurrencer les solutions propriétaires sur leur terrain – design et usabilité –, c’est la pierre angulaire, le Graal d’un nombre grandissant de projets, du mail au SMS en passant par la messagerie instantanée. Pour certains très prometteurs, pour beaucoup très ambitieux. Trop ? Chris Soghoian, par exemple, est d’un optimisme pour le moins mesuré – il rappelle qu’aboutir à une adoption de masse nécessite bien souvent de gros frais de marketing. Lui croit plus à une pression de la société civile sur les géants de la Silicon Valley, pour les contraindre à sécuriser les données des utilisateurs (il cite, par exemple, l’adoption progressive de la connexion en https par tous les fournisseurs de webmail). Point de vue qui n’est d’ailleurs pas très éloigné de ce qu’a pu me dire Constanze Kurz sur la nécessité de s’appuyer sur la sphère économique, ou de réguler les hébergeurs de contenus dans un sens favorable à la protection des données. Plus fécond et dynamique, en tout état de cause, que la posture qui consiste à ne voir dans les géants du Net que des supplétifs de l’appareil de surveillance (alors que leurs intérêts sont par nature différents). Mais qui laisse entière la question du fatalisme (ou du manque d’intérêt) de la (grande) majorité des utilisateurs du réseau.

Alors certes, on peut toujours, comme le porte-parole de La Quadrature du Net, Jérémie Zimmermann, avoir foi dans la capacité des minorités agissantes :

À chaque fois que des gens ont conquis des libertés, ont obtenu des victoires politiques, c’était face à une majorité qui disait : c’est impossible, on n’y arrivera jamais. On n’a pas besoin d’être 50% de la population pour espérer agir.

Encore heureux, mais tout de même : les victoires politiques nécessitent aussi la rencontre avec des mouvements sociaux plus vastes, et des mutations culturelles profondes. On en est, à ce stade, encore loin. Ou disons, pour être optimiste, qu’on n’en est qu’au début. Pour sortir de l’état de saturation – voire de sidération, au sens presque psychanalytique du terme – il faut (sans d’ailleurs se faire d’illusions sur son efficacité à court terme) une réponse politique, au sens large, à la surveillance. Comme dirait l’autre : the hardest part.

4. POLITISATION

Comme je l’ai écrit dans Slate, ce qui me semble avoir changé depuis les révélations de Snowden, c’est la perception que la scène hacker – du moins une part significative de cette scène, notamment en Europe – a d’elle-même : comme le cœur d’un mouvement plus global de défense des libertés civiles et de protection de la vie privée sur le réseau. Si le hacktivisme n’est pas une nouveauté, et si la dimension politique du hacking est sensible au moins depuis le lancement du mouvement du logiciel libre par Richard Stallman, on change manifestement d’échelle et de conscience de sa propre centralité – à l’aune du changement d’échelle de la perception de la surveillance. « Je n’ai jamais vu autant de gens se poser les mêmes questions à ce point », dit Jérémie Zimmermann. Pour Smári McCarthy, « les hackers n’ont plus le droit d’être apolitiques – on perd le droit d’être apolitique dès qu’on allume un ordinateur ».

De fait, les points de vue se durcissent. Cet été à OHM, la présence parmi les sponsors d’une entreprise néerlandaise travaillant sur des solutions d’interception (et à ce titre listée dans les SpyFiles de WikiLeaks) avait provoqué un débat très vif – c’est ce débat qui avait d’ailleurs entraîné la constitution de Noisy Square comme « voix alternative » au sein du camp (avec son slogan « Putting the resistance back in OHM »). Le CCC avait d’ailleurs largement déserté l’événement, et y a fait référence lors de la conférence de clôture du 30C3, avec l’aide d’un comédien incarnant le représentant d’une entreprise fictive, « Security Solutions Ltd », qui finit par se faire sortir – aussi drôle sur la forme que violent sur le fond. Autre moment symptomatique, la conférence commune « Sysadmins of the World, Unite! » donnée par Jacob Appelbaum et Julian Assange, et animée par Sarah Harrison. Si le fondateur de WikiLeaks a partiellement changé de braquet – lui qui, il y a quatre mois, n’avait pas de mots assez durs contre ceux qui « prostituent leur intelligence » à l’appareil d’État encourage désormais la jeune génération à se faire embaucher pour faire fuiter des documents –, il en appelle désormais à l’émergence d’une conscience de classe :

Nous, les travailleurs du secteur de la haute technologie, sommes une classe, et il est temps que nous nous reconnaissions en tant que tels […]. Beaucoup d’entre nous participent à administrer le système, et nous avons un pouvoir extraordinaire, d’un ordre de grandeur bien supérieur à celui qu’avaient les travailleurs de l’industrie au 20e siècle.

Significativement, ni lui ni Jake Appelbaum n’ont parlé de classe sociale mais bien de classe politique – manière de faire synthèse (syncrétisme) entre l’éthique hacker (on est jugé sur ce qu’on fait, pas sur ce qu’on est) et la notion marxiste traditionnelle de classe pour soi. Curieux retournement, tout de même, par lequel la culture libertarienne, matrice intellectuelle de la communauté hacker, se retrouve donc battue en brèche – ou à tout le moins contaminée – par le retour d’un marxisme à peine corrigé des variations saisonnières. Il est vrai que, depuis qu’il est dans le collimateur de l’administration américaine, Assange cultive les rapprochements avec les « non-alignés », de sa série d’émissions sur la chaîne pro-Kremlin Russia Today à son asile équatorien au cœur de Londres, et un discours anti-impérialiste au fond assez classique.

Cette radicalisation – certes pas homogène – ne fait pas que des heureux. Ainsi Nadim Kobeissi, le créateur du chat chiffré Cryptocat, qui était, cet été à OHM, le premier à mettre en avant le rôle de la communauté hacker comme « mouvement civil pour la sécurisation des droits et de la vie privée dans le monde numérique », a-t-il, cet hiver au 30C3, passé un certain temps à fulminer contre ce que, dans d’autres sphères, on appelle le « campisme ». Et de citer, entre autres, une grille de lecture simpliste du conflit syrien, ou encore les applaudissements aux sorties de Dilma Roussef qui, dit-il, sont plus à mettre au passif des rivalités commerciales avec le Canada qu’au crédit d’une prise de position sincère – « Dilma Roussef est juste une politique intelligente ». Kobeissi craint le discours réducteur qui deviendrait inaudible par le grand public, la tentation « tribaliste » et les « cultes de la personnalité » :

On ne peut pas envisager la politique de la même manière qu’on envisage de résoudre un problème mathématique. On peut formuler une ligne politique autour de buts communs, et essayer de les atteindre de manière diplomatique et collaborative, au lieu de diaboliser les gens. Il faut se concentrer sur les résultats.

Cette tension-là non plus n’est pas nouvelle, mais à l’époque des guerres pichrocolines entre tenants du logiciel libre et promoteurs de l’Open Source, elle était peu ou prou cantonée aux informaticiens. Le contexte comme les enjeux ont changé, et les effets en sont potentiellement différents. Cela dit, le passage de la critique des systèmes à la dénonciation de ceux qui les incarnent, la réduction des nuances à la cuisson et la tentation « campiste » sont inhérents aux phases de politisation – on peut le déplorer intellectuellement, mais c’est une constante historique. C’est un problème, mais ce n’est pas le seul, et peut-être même pas le plus urgent.

5. FRUSTRATION

J’ai déjà expliqué longuement à quel point je suis frustrée de ne pas trouver de cadre intellectuel propre à penser la surveillance de masse. Quatre jours à Hambourg n’ont en rien réglé le problème. J’ai beau avoir beaucoup de respect et d’admiration – qui n’en aurait pas ? – pour Annie Machon, cette ancienne du MI5 britannique qui s’est attirée beaucoup d’ennuis en rendant publics les agissements de son agence, je suis ressortie presque furieuse de sa conférence « The Four Wars ». Que la comparaison, décidément en vogue, avec la Stasi puisse faire sens dans son cas personnel s’entend – elle a été effectivement, pendant des mois, soumise à une surveillance permanente, dont elle a eu une conscience très physique. Mais à l’échelle de la société, je continue à trouver le parallèle aussi inopérant que stérilisant.

Pour le dire brutalement : ce n’est pas en continuant à agiter le spectre de l’ex-Allemagne de l’Est, ni même le panoptique de Bentham ou celui de Foucault, ce n’est pas en faisant l’économie d’une analyse de la participation consciente de l’utilisateur à l’accumulation des données, ou en ne voyant, à chaque fois, qu’un côté de la médaille – potentialités de contrôle du réseau versus potentialités émancipatrices, comme si elles n’étaient pas intrinsèquement liées – qu’on réussira à penser le présent. La boîte à outils a pris la poussière, les références tournent en boucle, là-dessus comme sur le reste – qu’un « call to resistance » de hackers en 2013 face explicitement référence, pas seulement sur la forme mais aussi sur le fond, au Manifeste du parti communiste (1848, pour mémoire) plutôt que, par exemple, à la pensée de la multitude chère à Toni Negri et Michael Hardt – une des rares à avoir saisi l’émergence du politique en réseau(x), au début des années 2000 – est assez significatif des difficultés à l’update de certains « logiciels ».

La critique est sans doute injuste – après tout, je n’ai pas passé quatre jours dans un symposium de philosophie. Mais je suis parfois frappée de voir à quel point des pensées « techno-politiques » brillantes (lire, par exemple, cette conversation entre Assange et Eric Schmidt, le patron de Google, sur la démarche qui a conduit à la naissance de WikiLeaks) peuvent s’appauvrir, dès lors qu’elles se déplacent sur le terrain géopolitique ou économique, en un succédané d’altermondialisme expliqué aux « n00bs ».

Et le problème, c’est que sur cette question, les intellectuels™ sont manifestement aux abonnés absents. On voit passer des choses stimulantes et qui appellent à discussion chez Evgueni Morozov (récemment sur le rôle croissant des données dans les économies capitalistes, par exemple). Bien de chez nous, la récente Théorie du drone de Grégoire Chamayou ouvre des perspectives conceptuelles. Mais personne, à ce stade – ou bien ça m’a échappé – ne nous a encore dit de quoi PRISM est le nom. On en a besoin, pourtant. Je recite ici la décidément très fine Quinn Norton (dont je recommande au passage la conférence avec Eleanor Saitta : « No neutral ground in a burning world », sur ce point une des plus intéressantes du congrès) : « Ce que la surveillance nous dit, c’est que la forme du monde est en train de changer. Nous avons besoin de comprendre ce que voudra dire, à l’avenir, la vie privée sur un réseau comme celui-là. »

6. DISRUPTION

En attendant, essayer de dérouler la pelote ; tirer des fils, là où on le peut. Quinn Norton, justement, a soulevé, lors d’une conversation sous la tea house de La Quadrature du Net, un point passionnant : celui de la nécessité de l’oubli dans les processus cognitifs. Or, dit-elle, « la NSA » – et on peut sans doute appliquer ça à n’importe quelle agence de renseignement moderne – « n’a pas appris à se débarrasser des données ». Tout avoir, c’est ne rien savoir. Toutes les données du monde ne peuvent pas changer leurs catégories de pensée. Et c’est ainsi qu’on ne voit venir ni la chute du communisme, ni les printemps arabes. Le jour, dit-elle, où une agence aussi puissante sera véritablement capable de comprendre les données qu’elle stocke, elle en sera bouleversée de l’intérieur. Je ne sais pas encore très bien quoi faire de ça – mais il y a quelque chose à en faire.

Le réseau, lui, n’oublie jamais. Il n’est pas fait pour ça : comme dit la blague, « ça ne sortira pas d’Internet ». Ça non plus, on ne sait pas encore ce que ça veut dire. Mais on va l’apprendre à nos dépens, dit Chris Soghoian, le jour, pas si lointain, où les algorithmes de reconnaissance faciale seront directement intégrés aux moteurs de recherche. Où, par exemple, la photo postée sur un site de rencontres, ou le home made porn, jusque là pseudonymisés, se retrouveront dans la première page de résultats de Google :

Il n’y a aucun moyen d’arrêter ça. C’est une question sociale, une question légale, mais il n’y a pas de protection technologique possible. Ça va être vraiment disruptif. Notre compréhension, nos normes sociales en matière de vie privée vont devoir changer. Ça ne veut pas dire qu’on entre dans la post-privacy, ça veut dire qu’on va changer notre perception de ce qui peut être protégé ou pas. Et tout ce qui aura été créé jusque là ne pourra plus être protégé. Ça vivra plus longtemps que nous.

Pour le coup, ce n’est plus (du tout) une histoire d’appareil de surveillance – c’est le réseau, le nôtre, la manière dont il a absorbé nos vies. Et c’est demain. À part ça, bonne année, bien sûr.

7. MISC.

Quatre jours à Hambourg, ce furent aussi, dans le désordre : un rickrolling drone (autrement dit, un quadcopter diffusant en boucle Never Gonna Give You Up de Rick Astley) ; des gens qui codent dans des piscines à boules ; les ateliers soudure de Mitch Altman ; la « potion magique » de Shackspace, le hackerspace de Stuttgart (un mélange de sherbet, de caféine et de guarana – personne n’est mort) ; une consommation déraisonnable de Club-Mate et de jiaogulan (qui devrait, paraît-il, m’éviter d’attraper le cancer en 2014) ; et une nuit dans un squat de Valentinskamp qui confirme que Nadim Kobeissi, si d’aventure il se lasse de la cryptographie, peut espérer une fructueuse reconversion derrière les platines.

Ce fut aussi Martin, mon hôte AirBnB qui, alors que je lui expliquais que je venais pour le congrès du CCC, m’a raconté le refus de visa de tourisme que venait de lui faire parvenir l’administration américaine. Martin est un average guy, sans casier ni passé militant. L’ami chez qui il se rendait est d’origine iranienne. Il ne voit rien qui puisse expliquer sa mésaventure – sinon des blagues pas très politiquement correctes en conversation privée sur Facebook. Martin se pose des questions. Il n’aura sans doute jamais les réponses.

Ce fut, enfin, une soirée lors de laquelle j’ai appris (grâce à Okhin, que sainte Jude Milhon le couvre de ses bienfaits) à cloner un dépôt Git, compiler un programme et miner des dogecoins, la monnaie virtuelle préférée des Shiba Inus du monde entier.

Mais ça, c’est une autre histoire.

L’article original sur Techn0polis.net