Personne n'est à l'abri du piratage. Nos comptes Facebook sont-ils bien sécurisés pour qu'ils ne soient pas investis par d'éventuels hackers ? Comment se protéger de la malveillance informatique ? Aymen Jerbi, consultant en sécurité informatique et coordinateur technique du projet BSS 216, projet en coordination avec l'ONG canadienne Alternative Internationale et l'ONG tunisienne, le Forum des droits économiques et sociaux, œuvrant dans le cadre de la protection de la sécurité numérique d'un espace internet libre de tout contrôle gouvernemental, nous offre quelques pistes pour nous protéger d'éventuels risques de piratage. Comment pouvez-vous définir la sécurité numérique ? Il s'agit d'un ensemble de stratégies qu'on met en place pour préserver des données et des informations qui sont en format numérique, à savoir des fichiers, des conversations, des communications ou aussi des méta données sur les réseaux qui consistent à connaître votre position, votre localisation et tout ce que les réseaux retiennent de vous. Contrairement à ce qu'on peut penser, la sécurité numérique n'est pas un ensemble d'outils, mais plutôt un processus actif qui responsabilise chaque individu. L'architecture d'Internet est libre. Internet ne dispose pas de pouvoir central. Imaginer la sécurité numérique avec l'analogie de sécurité physique, qui est gérée généralement par les gouvernements ou les autorités compétentes, est une fausse image parce que c'est de la responsabilité de chacun de nous de définir et de préserver sa sécurité. Y a-t-il des pratiques de la part des grands moteurs de recherche qui peuvent avoir des effets néfastes sur les données personnelles des utilisateurs ? Oui, si l'on en croit les révélations d'Edward Snwoden, ex- ingénieur américain qui travaillait pour la NSA (Agence nationale de sécurité), qui sont bien corroborées et bien documentées et ont même provoqué un scandale il y a une année et demie. Ces révélations montrent que les grandes multinationales à l'image de Google, Facebook, Apple, Microsoft... avaient des accords secrets avec la NSA leur permettant d'accéder à tous les ordinateurs et d'avoir ainsi une surveillance de tout le contenu qui profite à ces multinationales. A lui seul Google génère 33% du trafic d'Internet. En donnant à la NSA un accès illimité de sous-traiter cet accès dans le cadre de convention entre gouvernements et entre appareils d'espionnage divers, il faut s'imaginer que ces organismes vivent des données personnelles des gens. Leurs premières rentes principales consistent à vendre les rentes personnelles sous forme de publicité. Il faut s'imaginer aussi que l'accès qu'ils donnent à la surveillance et à l'espionnage américain et israélien est quelque chose de nocif par rapport au libre accès à l'information. Cela enfreint pas mal de législations à l'échelle nationale et internationale. Le combat pour un internet plus libre passe par un plaidoyer obligeant les multinationales à se conformer aux lois locales. Ce combat est mené dans divers pays en France, en Allemagne, cela peut donner des fruits à partir du moment où il existe une conscience citoyenne. La sécurité informatique peut être gérée par nous-mêmes et peut être menée au niveau des législations. A cet effet, notre travail dans le Centre TSS 216 s'articule sur deux axes. Le premier axe : c'est essayer de faire de la sensibilisation et de donner des formations aux gens qu'on pense les plus ciblés : les activistes des Droits de l'Homme, les journalistes et les avocats qui sont parfois les plus vulnérables et les plus mal conseillés. Le deuxième axe : en agissant de concert avec les ONG intéressées par la question, nous les orientons à établir un plaidoyer national et régional, voire international à l'aide de nos amis canadiens d'Alternatifs, marocains et partout dans la région, et ce, dans le but d'uniformiser les législations en vue de les rendre plus actualisées et plus modernes par rapport à ce qui peut se passer comme crimes numériques qu'ils soient faits par des individus ou des multinationales. Les systèmes pratiqués par nos entreprises publiques, notamment, sont-ils fiables ? Il faut comprendre qu'Internet en Tunisie reste assez peu développé dans le sens où nous n'avons pas la culture de service sur Internet. Nous n'utilisons encore Internet que pour naviguer. Il n'y pas un service conséquent derrière. Le modèle économique du commerce électronique en Tunisie n'est pas encore développé pour des restrictions légales et donc il n'y a pas à juger la sécurité d'un service inexistant. Le seul service existant sur Internet pour l'instant, c'est le service de paiement des factures des grands opérateurs historiques, à savoir Tunisie Télécom, la Steg, la Sonede. Je pense que ce sont des services assez bien sécurisés. Jusqu'à maintenant, il n'y a pas eu de cas d'intrusion ou de faille, mais ce n'est pas pour autant qu'on peut parler d'un service en Tunisie en général puisqu'il reste restreint à quelques entreprises concernées par la législation et mandatées pour avoir ces services en ligne. Sommes-nous exposés à des risques ? Et quels sont les signaux qui alertent d'un danger préalable ? Nous sommes tout le temps exposés à des risques dans le sens où la liberté qu'offre Internet est quasi-totale. Certaines personnes reliées à cette toile sont malveillantes et peuvent avoir des intérêts croisés avec d'autres personnes ou purement personnels en quête d'exploit personnel. Il s'agit du piratage, des pratiques d'usurpation d'identité ou d'action malveillante sur Internet. Les risques existent, c'est à nous de définir ces risques et de les réduire au maximum. Comment éviter cette malveillance informatique ? Il faut se poser quatre questions : qu'est-ce que je veux protéger exactement sur Internet ? Qui veut faire une action dans le but de me nuire ? De quoi est-il capable réellement ? Qu'est-ce qui se passe lorsqu'il gagne ? Si on arrive à définir des réponses exactes à ces questions, là, on a déjà un aperçu de la stratégie à adopter pour nous sécuriser sur Internet. Les questions sont plus ou moins personnelles et les réponses le sont aussi. Comment mettre en place une politique de sécurité numérique? Y a-t-il des modèles à adopter ? Une politique de sécurité numérique passe par deux moyens. Le premier : encourager les logiciels libres dont le code est ouvert au public et qui sont le fruit de collaboration de plusieurs individus volontaires ou pas. Tout le monde peut y contribuer. Je vous donne un exemple de produit collaboratif : Wikipédia. La production des logiciels libres que ce soit dans l'enseignement ou dans la pratique courante est un bon garant déjà d'avoir des solutions fiables parce que les logiciels propriétaires, on ne peut pas leur faire confiance à 100%. Le deuxième : mettre en place une politique de sécurité numérique. Chacun peut définir sa politique lui-même, compte tenu que c'est un problème personnel. Pour ce qui est de l'Etat, il faut qu'il réfléchisse à la question du point de vue scientifique et non d'un point de vue de censure. S'il y a du contenu malveillant qu'il faut empêcher, la censure n'a jamais été une solution. C'est vrai que les gouvernements ont tendance à censurer les sites qui peuvent poser problème, c'est toujours l'argument qu'ils mettent en avant en matière de terrorisme. Cela paraît à première vue légitime, mais ce n'est pas en censurant un site qui publie des vidéos tutorielles de création de bombe ou de fabrication d'explosifs que ce contenu va disparaître de la Toile. La meilleure politique de sécurité informatique que l'Etat tunisien puisse adopter, ce sont des relations de partenariat avec les grands organismes et par la voie de la diplomatie qui, eux, sont capables d'agir et d'établir des liens directs avec les grosses multinationales comme Facebook, Google, et les gros hébergeurs de sites Internet qui ont le pouvoir d'exécuter des mandats judiciaires. S'il y a un site dont le contenu a été jugé par un tribunal comme illicite et contraire à la loi, le gouvernement tunisien n'est pas en mesure d'appliquer le retrait de ce contenu puisqu'il est hébergé dans un serveur quelque part dans le monde, mais s'il y a des relations de coopération et de travail transparent avec les organismes comme Facebook ou Google, ces derniers peuvent le retirer et faire exécuter ce mandat judiciaire. Ces solutions coûtent moins cher que d'acheter du matériel de censure qui revient énormément cher à la Tunisie et qui n'est même pas efficace.
