Analyse et réflexion · Répression - prisons

Mets pas tes potes en zonzon, un article sur la sécurité informatique

Dans un contexte où les outils numériques jouent un rôle important pour réunir les gens et organiser des actions de groupes, il nous a semblé important de faire un énième point sur les risques que présentent ce type d’outils. Le but c’est d’avoir une lecture politique des risques numériques, pour ne pas sombrer dans la paranoïa et l’inaction, mais au contraire pour renforcer nos dynamiques collectives en adaptant nos pratiques.

Note : si vous avec la flemme, le premier et dernier chapitre sont les plus importants.

## La base

Ici, on va insister sur la critique d’une pratique qui met vraiment les gens en danger : les conversations de groupe avec numéro de téléphone, type Whatsapp, Telegram, Signal.

Soyons clairs : si vous parlez de choses illégales sur ces réseaux, qu’ils soient chiffrés ou pas, vous vous mettez en danger vous et toutes les personnes avec qui vous êtes proches.

Règle number one en sécurité : je pars du principe que la personne à laquelle je parle est potentiellement un flic.
Règle number two en sécurité : si je suis dans une conversation avec 100 pélos, ya un flic obligé dans le tas.
Ne jamais oublier : il suffit qu’une personne finisse en garde à vue, et tous ses conversations et groupes sont connus des flics… (sauf s’il sait protéger sont tel, mais peu de gens savent, voire la partie sur le chiffrement).

Donc les malins qui expliquent des choses dont on ne parlera pas ici, soyez plus prudent s’il vous plait. On vous aime, la prison c’est nul, prenez soin de vous.

Votre numéro de téléphone c’est un numéro qui est relié à votre identité administrative et qui laisse des traces pendant longtemps. Tous les comptes qui ont votre numéro de téléphone doivent être considérés comme compromis d’un point de vue de l’anonymat. Ceci **INCLUT** les applications chiffrées comme Whatsapp, Signal, Telegram. Donc, juste arrêtez de planifier des trucs de ouf là-dessus.
Au moins, utilisez des trucs comme deltachat, Mattermost, Riot. Ça ne manque pas d’alternatives. Et obligez les gens intéressés à changer d’appli, pour leur sécurité et pour la vôtre. Et parlez-vous IRL.

## La théorie technique

L’enjeu c’est de comprendre avec quelles techniques on peut identifier une personne sur un réseau numérique. On va aussi voir comment on peut déterminer son rôle dans le mouvement social.

### Réseau égocentré et déanonymisation

Grâce aux statistiques et au big data, il est assez simple d’identifier des individus à partir de leur réseau social égocentré. Chacun de nous a un réseau social qui est morphologiquement unique. C’est-à-dire que si vous faites un dessin avec vous au milieu et les connexions à vos contacts, et les connexions de vos contacts entre eux, ça fait un dessin qui est unique. C’est comme une empreinte digitale.
Si vous avez Facebook, et que tout le monde peut voir qui sont vos amis (le réglage par défaut) alors, la planète entière connait votre réseau égocentré. Si vous avez synchronisé vos contacts sur Google, alors Google connait votre réseau égocentré. Si vous avez votre boite mail chez La Poste, alors La Poste connait votre réseau social égocentré. Etc.

Quel risque pour l’anonymat ?
Imaginons que vous souhaitiez parler à un groupe d’interconnaissances de façon anonyme. Disons, en utilisant un pseudonyme sur un réseau safe genre Riot. Étant donné qu’on n’a pas besoin de connaitre l’identité des personnes du réseau pour les identifier, mais qu’il suffit juste de connaitre la forme du réseau. Les personnes qui connaissent votre réseau social égocentré seront, théoriquement, en mesure de vous identifier.

Concrètement.
Ça demande beaucoup de ressources de mettre en place ce genre d’analyse. Mais ces connaissances invitent à :

  • avoir différents pseudos selon nos différents cercles (avoir un, ou plusieurs, compte Facebook pour les amis, un mail pro chez Google, un mail pour sa vie personnelle chez Protonmail, etc.)
  • ne pas centraliser vos connexions sur un seul réseau
  • ne pas connecter vos comptes entre eux
  • Et surtout : **avoir un réseau dédié, déconnecté de votre vie perso pour les actions politiques / militantes**

### Analyse de réseaux et points centraux

Les géographes et statisticiens ont développé depuis longtemps des outils pour analyser les réseaux. L’enjeu de l’analyse des réseaux est de trouver les points de fragilité des réseaux (eg : si un point tombe, à quel point le réseau global est impacté). Cela peut servir à optimiser les réseaux de transport par exemple. Ces sciences nous apprennent des choses très intéressantes qui sont bien connues des militaires : il faut être résilient, c’est-à-dire il ne faut pas de point central, il faut un système décentralisé.
Ces sciences permettent aussi d’analyser les réseaux militants et d’utiliser des techniques militaires bien connues qui consistent à sélectionner des cibles précises afin d’affaiblir la résilience d’un ennemi. Dans le cas des mouvements sociaux, on peut craindre que des personnes qui ont un rôle central dans la création de dynamiques collectives seront ainsi identifiées et la répression se focalisera sur elles. Remarquons que ces personnes peuvent très bien complètement ignorer le rôle qu’elles jouent.

L’enjeu ici c’est de ne pas laisser les flics avoir assez de données pour mettre en prison les personnes les plus importantes pour nos luttes. Même dans le cadre de luttes décentralisées, de stratégies par groupe affinitaire, s’il y a des conversations de groupe avec 200 utilisateurs, s’il y a des groupes Facebook qui disséminent des données comme des petits pains, ça suffit pour trouver lesquels d’entre nous il faut mettre en zonzon.

Concrètement, on peut mettre en place les mêmes choses que pour le premier risque, plus :

  • Sortez des réseaux propriétaires (Facebook, Twitter, etc.). Peut-être qu’on écrira un autre article là-dessus.

### Chiffrement, une fausse impression de sécurité

Il faut bien comprendre que le chiffrement ne vous protège que si les personnes qui cherchent à avoir accès à vos informations n’ont pas accès à vos appareils électroniques (sauf s’ils sont éteints et leur espace de stockage chiffré).

En gros : Les applications de télécommunication chiffrées ne servent à rien si :
- Vous allez en manif avec votre téléphone non chiffré
- Vous allez en manif avec votre téléphone chiffré, mais qu’il n’est pas éteint.

Remarque :
L’autodestruction des messages c’est une demi-sécurité. S’il y a un flic dans la conversation, le message a été enregistré. Par contre si c’est une conversation à deux, vous serez bien content que vos messages se soient supprimés si l’un de vous finit en GAV. Mais il y a toujours possibilité de trouver les données supprimées sur un disque dur, donc, la règle de sécurité de base : chiffrer son tel et l’éteindre en manif.
Remarque 2 :
Les données sur votre téléphone mettent d’autres personnes que vous en danger.

## La conclu’

Il nous parait important de rappeler : vous pouvez finir en prison, ou avec des procédures judiciaires, par le simple fait d’avoir exprimé votre volonté d’entreprendre des actions illégales. Pas besoin de preuve que vous l’ayez fait vraiment. Donc, faites attention à ce que vous dites et où vous les dites. Prenez soin de vous quoua <3.

Grâce aux techniques dont on a parlé, l’appareil répressif peut cibler des militants importants pour nos réseaux. Pour être capable de le faire, il faut avoir accès à des sources qui permettent d’analyser ces réseaux. Ces sources sont :

  • les grosses conversations avec les numéros de téléphone
  • les téléphones portables pas chiffrés ou allumés qui finissent en GAV
  • les grosses conversations avec plein de gens qui mélangent leur vie politique et personnelle
  • les réseaux sociaux (en particulier, le fait de les utiliser beaucoup)

Avec ces sources, les flics peuvent, théoriquement, sélectionner les personnes à réprimer, ce qui affaiblit tout le mouvement social. À notre connaissance, nous n’avons pour le moment pas de preuve que les techniques autour des réseaux égocentrés que nous avons décrites ici soient réellement utilisées. Mais il parait évident que si les moyens techniques, financiers, et humains sont disponibles, ces techniques seront/sont mises en place.

Enfin, l’ultime règle en sécurité informatique c’est que tout système informatique est hacké (every computer is broken). Ainsi, le chiffrage, les pseudos, les réseaux décentralisés, ou toute autre méthode d’autodéfense numérique ne doit pas se substituer à et ne sera jamais aussi efficace que le face-à-face. Néanmoins, il faut relativiser et prendre en compte contre qui on se protège. Voici un article sur le sujet. De plus, si vous avez des compétences techniques, vous pouvez utiliser les télécoms pour être bien plus safe que IRL. Mais ça demande de savoir utiliser Tor, Tails, Qubes, Gnugp et c’est une approche qui complique les dynamiques de groupe, car il faut « beaucoup » de compétences techniques et de confiance.

Donc, pas de panique :) Juste parlez à vos potes IRL. Prendre soin de vous, c’est rester proche de vos potes, physiquement. Et prendre soin de vous, c’est aussi prendre soin des autres et de tout le mouvement social. Alors protégez-vous les copaings <3

La bise
Compagnie les noobs

Note

La ’tite biblio :

« Analyse des réseaux sociaux », in Wikipédia, 22 janvier 2020. https://fr.wikipedia.org/w/index.php?title=Analyse_des_r%C3%A9seaux_sociaux&oldid=166620341.
« Cellebrite s’implante dans l’Hexagone | Magazine Channel BP (Channel Business Partners) ». Consulté le 15 février 2020. https://www.channelbp.com/content/cellebrite-s%E2%80%99implante-dans-l%E2%80%99hexagone.
« Compte-rendu d’une séance de comparutions immédiates dédiée aux "Gilets jaunes" ». Consulté le 5 janvier 2020. https://paris-luttes.info/compte-rendu-d-une-seance-de-11198.
« Data Re-Identification », in Wikipedia, 8 février 2020. https://en.wikipedia.org/w/index.php?title=Data_re-identification&oldid=939713840.
« Modèle et techniques de dérivation de profils utilisateurs à partir de réseaux sociaux égocentrés. », s. d., 16.
Narayanan, Arvind, et Vitaly Shmatikov. « De-Anonymizing Social Networks ». In 2009 30th IEEE Symposium on Security and Privacy, 173‑87, Oakland, CA, USA : IEEE, 2009. https://doi.org/10.1109/SP.2009.22.
Solove, Daniel J. Understanding Privacy. Cambridge, Mass : Harvard University Press, 2008.

Vous trouverez beaucoup de ce qu’on a dit dans cet article en anglais : https://itsgoingdown.org/signal-fails/

Mots-clefs : informatique | sécurité informatique | réseaux sociaux

À lire également...