Entretien avec Laurent Chemla, hacker de légende
Il y a comme ça des figures d’Internet. Des dinosaures à qui l’on doit beaucoup sans toujours le savoir. Des Jean-Michel Billaut, des hackers de légende qui ont dépassé depuis longtemps l’envie d’être les vedettes éphémères de la presse. Dans cette liste, il y a Laurent Chemla. Lors du lancement de Reflets, il nous a paru évident de lui poser des questions, comme cela avait été le cas en 2005. Pour faire le point.
Laurent est comme Reflets, il n’est pas pressé et préfère prendre le temps de la réflexion. Ses réponses arrivent un peu plus d’un an plus tard. Et vous savez quoi ? Cela valait la peine d’attendre !
- En 2005, je t’avais déjà posé toute une série de questions sur l’évolution d’Internet. Depuis, pas mal de choses ont encore changé. La tentation du contrôle par les Etats est de plus en plus forte. On l’a vu notamment dans les pays arabes qui avaient installé des outils de DPI pour contrôler les internautes. Outils souvent exportés par la France. Ici aussi le DPI fait son trou. Il va où le Net qu’on a connu ? Qui conduit le tracteur ?
Si j’ai mis longtemps (bon, plus d’un an, d’accord) avant de répondre à tes questions, c’est surtout la faute à celle-ci : « Il va où le Net ? ». Sérieusement ?
Prédire l’avenir d’un réseau en évolution constante, c’est d’une difficulté sans nom. Il faut dans le même temps se remettre dans le contexte des années passées, et tenter d’imaginer le futur, alors qu’on tente de rester dans le mouvement et l’immédiateté inhérente au média. On risque à tout instant une élongation du ciboulot.
En 2005, le DPI n’était guère envisageable parce que le matériel ne permettait pas son existence. Un routeur de coeur de réseau traite des térabits de données à chaque seconde : il était impossible de croire qu’il pût dans le même temps les analyser (ce qui n’est pas son job) et les envoyer dans la bonne direction (ce pourquoi il est fait). Même de nos jours, et malgré une fantastique augmentation de puissance, il ne fait (de ce que je comprends d’un système comme Eagle) que les stocker pour analyse ultérieure mais il ne filtre pas (ou en tout cas pas suffisamment intelligemment pour rendre tout à fait effective une censure utile).
Concernant la tentation de contrôle des Etats, il faudrait remonter encore plus loin. La première fois que je l’ai croisée, c’était en 1996 quand j’essayais de convaincre un auditoire incrédule de grands sages de l’inexistence d’un « responsable central » d’Internet. Cette seule idée leur semblait tout simplement inimaginable. Alors quoi d’étonnant si leurs semblables cherchent depuis à imposer l’émergence d’une entité qui leur semble à ce point nécessaire ? La seule question qui vaille c’est la faisabilité de la chose, et je n’y crois pas une seule seconde.
En 2005 je disais ma confiance dans l’issue de ce combat, et je n’ai pas changé d’avis depuis : même si, en effet, on voit partout arriver de nouvelles lois potentiellement liberticides, je ne crois pas que le public qui a investi le réseau soit prêt à abandonner la liberté nouvelle qu’il y a trouvée.
Bien sûr on peut s’interroger sur la capacité de mobilisation d’un public trop gâté face à la démagogie outrancière des pouvoirs en place – qui n’ont jamais hésité à utiliser les boucs-émissaires de la pédophilie ou du terrorisme pour justifier leur volonté de contrôle du réseau – mais quand je vois tous ces jeunes de LQDN ou d’ailleurs qui ont repris avec un brio stupéfiant le relai des vieux combattants comme nous, je ne peux pas ne pas croire en l’avenir.
Il y a eu des défaites et des victoires, et il y en aura encore. Il y aura des joies et des déceptions, mais le combat pour les libertés citoyennes va dans le sens de l’histoire : tout ce que la répression peut faire, c’est retarder l’échéance inéluctable d’un réseau dont la liberté sera un jour inscrite dans toutes les constitutions.
- En 2005, on se disait que le Net était en passe de devenir une galerie marchande. C’est fait ? Ou bien les outils comme Twitter et Facebook ont-ils redonné un petit souffle à la liberté d’expression et la capacité de publication, donc de contribution aux contenus ?
Même si j’aime bien me moquer de la numérotation « 2.0″ du Web actuel, il faut bien reconnaître qu’il s’agit d’une évolution réelle. Quand je disais (dans mes tout premiers articles publiés) que le Web était l’avènement d’une culture de distribution – à rebours de la culture de partage qui sous-tend Internet, je ne prévoyais pas qu’un jour les développeurs sauraient détourner à ce point un simple système de publication pour en faire une interface aussi interactive que ce qu’elle est devenue.
Il ne faut jamais sous-estimer la capacité du public à s’approprier les technologies de réseau pour en faire autre chose que ce qui était prévu par ses concepteurs. On l’a vu très vite avec le Minitel et ses messageries, on l’a vu moins vite avec le Web (parce qu’il existait déjà d’autres outils sociaux sur Internet avant son avènement), mais c’était couru d’avance. Il n’existe plus guère de site un tant soit peu important qui ne prévoie au minimum d’accueillir et de publier les commentaires de ses visiteurs. Et même les sites purement marchands reposent de plus en plus sur l’interactivité (par le biais de l’évaluation des produits, ou des vendeurs, par exemple).
Partout, le public est entré dans les vitrines de la galerie pour en faire des panneaux d’affichage. Et il a démontré ce faisant que c’est lui, et pas le marchand, qui crée la richesse et la variété des contenus. Plus personne ne cherche à offrir un look clinquant avec des mickeys qui clignotent quand il crée un site : il s’agit d’abord de penser l’interaction avec le visiteur, la facilité d’utilisation et de publication, l’interface dépouillée qui montre moins qu’elle n’invite à la participation. Adieu, la galerie marchande à sens unique que l’on craignait, et bienvenue à l’intelligence collective dont on rêvait. Le Web devait la tuer, il l’a multipliée.
- Un jour tu as écrit « je suis un voleur ». Tu ne trouves pas que de nos jours, il y a des voleurs bien plus balaises que toi ?
Il y a une tendance qui se dégage de l’évolution récente d’Internet : les grandes fortunes semblent se construire en vendant à ses clients leur propre intelligence.
C’était, plus ou moins, le modèle de Gandi : tu inventais un nom et Gandi te vendait le droit exclusif de l’utiliser. C’était malin, mais ce n’était rien par rapport à Google : face à des concurrents qui tentaient de développer l’intelligence de leurs moteurs, Google a choisi d’utiliser l’intelligence des humains – qui citaient leurs sources – pour établir lesquelles étaient les plus utilisées et les classer en tête des recherches associées. L’algorithme qui a fait son succès était en réalité beaucoup moins intelligent que les autres. Mais plus malin.
Et c’est pareil avec toutes les grandes réussites actuelles. Facebook vend les contenus réalisés par ses clients. Tout comme Twitter. Tout comme Meetic dans un autre genre. Megaupload n’a fait que suivre le mouvement, en vendant des accès privilégiés aux contenus mis en ligne par ses propres clients.
C’est tout le modèle du Web 2.0 qui est basé sur le profit fait grâce au travail de celui qui l’utilise.
C’est très fort, mais ça coûte encore cher parce qu’il faut développer de grosses infrastructures techniques pour faire fonctionner ces mastodontes. Le plus grand voleur sera sans doute celui qui réussira à nous vendre l’accès au contenu de nos propres disques durs, partagés en P2P, pour économiser en bande passante et en espace de stockage.
- L’HADOPI, c’est une évolution logique ?
Naïvement, j’ai tendance à associer le mot « évolution » avec l’idée de progrès. Et considérer la mise en place d’une justice privée comme un progrès est un exercice délicat, non ?
L’Hadopi, comme toutes les lois qui tendent à éviter la création de nouveaux modèles économiques pour préserver des rentes anciennes, n’est qu’une tentative pitoyable pour retarder l’inéluctable. Elle n’est même pas utile à ceux qu’elle dit vouloir défendre, et sa seule vertu éducative (ou « pédagogique » mais je déteste ce mot) aura été de former toute une génération à l’exercice du débat citoyen dans la lutte pour ses libertés.
Il y a cependant là un point qui m’intéresse au moins à titre personnel (même si je ne crois pas être le seul, loin de là, à le constater) : je ne vais pas dévoiler un grand mystère en affirmant que je suis plutôt très très de gauche. Et donc plutôt partisan d’un état qui intervient dans la régulation sociale pour garantir d’avantage d’équité et de coopération dans les interactions sociales.
Et pourtant dès qu’il s’agit d’Internet, toute évocation du mot « régulation » me fait sauter au plafond, et chaque loi qui touche à Internet m’inquiète.
Il me semble que la contradiction n’est qu’apparente (mais je n’en suis pas sûr) : malgré les dérives – toujours dénoncées – de quelques profiteurs qui chercheront toujours à utiliser le bien commun à leur unique avantage, le réseau s’est développé sur une base de coopération à tous les niveaux. Que ce soit sur le plan technique (par l’usage de protocoles et de standards libres et ouverts, par les échanges de liens de peering hors-marché, par l’évolution des normes basée sur un dialogue constructif et ouvert à tous) ou sur le plan social (grâce à des projets comme Wikipedia, grâce au P2P mais aussi par l’évolution largement coopérative du Web 2.0), Internet semble chaque jour démontrer qu’on peut tous vivre ensemble sans nous entre-déchirer et pourtant sans que les états ne nous l’imposent par la loi.
C’est quelque chose de précieux, je crois, et qui nous apprend sans doute quelque chose d’important : livrée à elle-même, l’humanité semble capable non pas de s’auto-réguler (berk) mais de s’auto-organiser dans une sorte de « coopétition » non imposée. L’homme ne serait pas toujours un loup pour l’homme, et c’est peut-être là qu’Internet est vraiment révolutionnaire.
Dans ce cadre, oui, j’ai très peur qu’avec ses gros sabots et sa tentation de contrôle (forcément nécessaire à toute volonté régulatrice), l’état ne se comporte en éléphant dans un magasin de porcelaine et que ses lois ne précipitent dans une compétition forcenée (mais régulée) plutôt que vers une coopération librement consentie.
- Est-ce que ça ne va pas contribuer à généraliser les technologies de cryptographie, de maquillage du trafic, contribuer à bouffer de la bande passante via les Mégaupload, etc ?
Je ne vois personnellement rien d’inquiétant dans une possible généralisation de la cryptographie dans les échanges non-marchands, qui n’ont aucune vocation à être publics : ce ne serait après tout que l’équivalent numérique de l’enveloppe ou du carton qui préserve la confidentialité des échanges privés dans le monde physique.
Ça viendra sans doute, et on reparlera alors de la pénalisation de son usage (en prétextant comme toujours l’utilisation qui pourrait en être faite par les méchants terroristes), et on luttera contre une nouvelle LSI : depuis 1995 j’ai plus qu’un peu l’impression qu’on tourne en rond, de toutes façons.
Je suis beaucoup plus inquiet de l’évolution « jacobine » des services d’échanges de contenus : Internet est de nature acentrée. Vouloir revenir à un modèle centralisé dans lequel l’utilisateur passe par Google pour accéder à Youtube, Twitter ou Facebook est forcément dangereux, parce qu’en créant de tels points de passage obligatoires on rend possible un contrôle théoriquement impossible du fait de la nature même du réseau : il est tellement plus facile de contrôler quelques autoroutes qu’une infinité de chemins privés. Et ça c’est beaucoup plus grave qu’un simple gâchis de bande passante.
A ce titre on pourrait (presque) dire qu’Hadopi est une loi intelligente, parce qu’en ciblant le P2P plutôt que les services marchands centralisés du type Megaupload elle rend possible les actions des ayant-droits (qui sinon devraient s’attaquer directement à leurs propres publics). Mais on voit bien qu’en réalité le jusqu’au-boutisme des majors et l’instrumentalisation de nos représentants politiques ne fait que radicaliser toujours d’avantage une société civile qui se sent de plus en plus surveillée et qui voit toujours augmenter les droits des ayant-déjà pendant qu’on restreint les siens.
Dans ce dossier, il faut toujours et sans cesse rappeler qu’une oeuvre ne peut pas exister sans la société qui l’entoure, qu’elle n’est jamais que le produit de tous les progrès humains faits avant sa création, et qu’à ce titre elle ne peut pas ne produire de bénéfices qu’au profit unique de son auteur et de ses représentants. A force de nier le droit au public de se partager la culture en dehors de tout cadre marchand, comme il l’a toujours fait, l’industrie culturelle veut refaire l’histoire à son seul profit.
Ce n’est plus de la simple propagande : c’est ce que j’appelle du négationnisme culturel.
- En 2005, tu disais que l’avenir de la publication indépendante dépendrait de l’existence ou non d’une masse critique d’internautes avertis résistants à l’auto-censure. Elle est là ?
On est bien au-delà déjà. En réalité je me demande même s’il restera encore une place pour autre chose que de la publication indépendante, dans le futur.
- Que penses-tu de l’apparition et des actions de groupes comme Anonymous ou Wikileaks ?
Quoi qu’on pense de leurs méthodes, on ne peut que constater là encore l’auto-organisation dont je parle plus haut. Ce sont, de nouveau, des mouvements coopératifs, organisés au niveau mondial, sans contrainte et avec le bien commun pour objectif.
Avec en plus, et c’est peut-être nouveau, la disparition de l’aspect « auto-promotionnel » souvent inhérent aux actes gratuits : on n’agit plus avec le but (plus ou moins caché) de se faire (re)connaître – puisque l’anonymat est de rigueur dans un cas comme dans l’autre – mais uniquement pour la réalisation de l’objectif annoncé. Il est possible que ce soit là encore une évolution sociale majeure.
Bien sûr, il a toujours existé des groupes agissant pour le bien commun : en cela, Internet n’a rien inventé. Mais – il me semble – ils étaient le produit de cultures et de morales imposées, sinon par les états, au moins par les sociétés et les religions. Là il s’agit – mais je le dis avec beaucoup de précautions – d’actes politiques plutôt que bien-pensants, avec toujours pour objectif davantage de libertés publiques. Et c’est nouveau.
Il y a eu des précurseurs, peut-être, avec des mouvements comme Greenpeace, qui déjà s’opposaient aux états pour essayer de garantir un monde meilleur pour tous. Ce n’est donc sans doute pas une évolution qu’on doit à Internet.
Mais il ne fait aucun doute que le réseau permet une généralisation de ce type d’activisme, de plus en plus facile d’accès et qui ne se limite plus à des groupuscules plus ou moins éclairés.
- Tu dis souvent que les tentatives de contrôle du Net sont vaines. Mais elles s’empilent les unes sur les autres. On est quand même de plus en plus surveillés. A un point qui semblerait inconcevable si tout cela était transposé dans le monde réel. Il est pour quand le sursaut ?
Bon, voilà un point où je me distingue de la plupart de mes coreligionnaires hacktivistes : si je suis opposé au contrôle, je suis en revanche de moins en moins motivé par la lutte pour la vie privée.
Du moment que personne ne tente de m’imposer tel ou tel style de vie, je n’ai que faire qu’on me surveille, qu’on sache tout de moi, qu’on m’espionne et qu’on m’épie, du moment que je sais qui le fait, comment, pourquoi, et que moi aussi je sache tout de ceux qui me surveillent.
Je pose donc deux préalables : la transparence totale pour tous (y compris et surtout celle de tous les pouvoirs et de tous les surveillants) et la non-ingérence totale. Et je crois que c’est, sinon souhaitable, au moins inévitable et probablement pas si grave que ça.
Est-ce grave si mon voisin (mon gouvernement, mon patron…) sait combien je gagne, combien de fois par jour je me brosse les dents, quelles séries je télécharge illégalement et que mon password est « tapioca » ? Franchement, ça m’est égal. Tant qu’il n’utilise pas ce qu’il sait pour tenter de modifier mon comportement, il peut bien me surveiller autant qu’il veut si j’ai moi aussi la possibilité de tout savoir de lui à tout instant.
C’est, je crois, le prix à payer si on veut garantir à tous la transparence nécessaire à l’usage réel de la démocratie : si nous voulons tout savoir de ceux qui nous gouvernent, alors faisons-nous à l’idée qu’ils puissent tout savoir de nous. Nous, nous avons la puissance du nombre pour forcer les pouvoirs à changer de méthodes. Eux n’ont que le secret pour essayer de nous contrôler. C’est le peuple qui a tout à gagner d’une transparence à tous les niveaux, pas les gouvernements.
On l’a vu récemment avec ACTA : sans le secret, cette tentative de contrôle global est sinon vouée à l’échec, au moins largement réduite. Et chacun d’entre nous a pu (ou aurait dû) faire pression sur son député pour qu’il se saisisse de ce projet et s’y oppose.
Ce n’est qu’un exemple, et le mouvement de l’opendata va encore beaucoup augmenter les pouvoirs du public quand il sera vraiment utilisé (et il y a là un gisement de pouvoir et de libertés énorme et qui va à mon avis être à l’origine de très grands changements sociaux dans un futur proche).
Alors, bien sûr, on pourrait vouloir dans le même temps garantir la vie privée du public pendant qu’on augmente toujours plus la transparence du pouvoir, mais où doit se situer la limite ? Est-ce que Mediapart devait refuser d’écouter les enregistrements Bettencourt, et laisser le public dans l’ignorance des magouilles du pouvoir, au motif que la vieille dame n’était pas, elle, au pouvoir ?
Dès qu’il y a secret, où que ce soit, il y a possibilité pour le pouvoir de l’utiliser à son seul profit. S’il est le seul à savoir combien vous déclarez de revenus, alors il est aussi le seul à pouvoir vous dispenser de payer l’impôt (en échange de quelques retours d’ascenseur). Si chacun peut le savoir, alors le pouvoir devra respecter l’égalité de tous. C’est comme ça.
A l’inverse, si je peux tout savoir sur tous, et que tous peuvent tout savoir de moi, alors – après un ajustement temporaire des usages et des moeurs – plus personne ne s’intéressera à ma petite vie (ni moi aux leurs) et chacun pourra surveiller efficacement ceux qui ont du pouvoir sur nous.
Dans son roman « Sur l’onde de choc » – à plus d’un titre visionnaire – John Brunner met en scène un hacker qui, pour protéger ce qui reste de liberté dans son pays, finit par créer un virus qui va tout rendre public (toutes les données informatiques deviennent accessibles à tous au lieu de n’être possédées que par les institutions). Il transforme ce faisant tout un monde, et fait plier un gouvernement corrompu.
Je ne saurais trop conseiller la (re)lecture de ce chef‑d’oeuvre prophétique qui nous dit tout ce qu’il y a à savoir sur notre société de l’information et sur notre futur.
- As-tu suivi les développements du High Frequency Trading ? Sais-tu que les institutions financières se font des DDoS sur les marchés, le tout à la vitesse de la lumière ? Qu’elles envisagent de vendre du cloud computing sur leurs machines qui sont installées au coeur des systèmes des Bourses ? Ca t’inspire quoi ?
Ecoute, honnêtement je n’y connais rien. Les finances c’est pas mon truc : tout ce que j’en comprends c’est que quand j’ai du fric je le dépense et que quand j’en ai plus j’essaie de survivre, c’est tout. Mais dans ce que je lis de ton texte, on en revient pile-poil à ce que je disais juste avant : sans le secret qui entoure ces transactions, les dérives que tu dénonces auraient beaucoup de mal à exister.
- La sécurité des réseaux et applications, elle s’améliore au fil des années ou elle régresse ?
A l’époque où j’étais un « pirate » compétent (ça remonte au début des années 80 parce que je suis vieux), j’utilisais un minitel et un Thomson TO7 pour m’introduire dans des gros ordinateurs de l’époque, partout dans le monde.
Pour faire ça j’avais un petit programme en basic qui testait l’une après l’autre les adresses Transpac et qui notait dans un fichier celles qui répondaient sans demander de mot de passe. J’ai pu comme ça trouver ce qu’on appelait des « brasseurs » (aujourd’hui on dirait routeurs j’imagine) et par leur biais je pouvais aller un peu partout (et pas seulement chez les cafés Grand-Mère) sans payer ni fournir la moindre identification.
Est-ce qu’on peut imaginer ça de nos jours ? Je sais bien que je suis largement dépassé, et qu’on trouve pléthore de serveurs pas ou mal protégés, mais quand même : je vois bien que le niveau de compétence nécessaire pour s’introduire quelque part est très largement supérieur à celui qui était le mien quand « j’exerçais » encore.
Ce qui augmente, c’est le niveau global des connaissances informatiques dans le public. Et donc, forcément, le nombre d’aspirants pirates qui – comme moi à l’époque j’imagine – cherchent à exercer leurs compétences (que ce soit dans un but malveillant ou juste pour le challenge). Avec le nombre, il est normal qu’on trouve toujours plus de failles dans des systèmes qui ne sont que l’oeuvre d’humains forcément faillibles.
Ce qui compte à mon sens ce n’est pas la sécurité des systèmes, c’est la capacité de réparer les failles et de remettre en route ce qui est cassé rapidement. Je préfère un bon backup à une bonne sécurité, parce que tant que mes données sont intactes et peuvent être restaurées sans perdre trop de temps, je refuse d’investir toujours plus de temps et d’énergie à me garantir contre les intrusions inévitables.
Mais tu sais, j’ai aussi toujours préféré une maison ouverte qu’on peut cambrioler – sans tout casser au passage – à un château fort dans lequel je serais enfermé et où il me serait impossible de rentrer le jour où j’ai perdu mes clés.
- Si je pars du monde réel et que je pose comme postulat que la crise économique et financière associée à des mesures drastiques d’austérité peuvent amener des troubles sociaux, y compris en occident, Internet sera-t-il un outil de propagation comme dans les pays arabes ?
Ben, bien sûr. Si des pays totalitaires n’ont pas réussi à empêcher son utilisation alors même qu’ils avaient un contrôle presque total de leur Internet local, je vois mal comment des pays dits démocratiques pourront empêcher l’usage de cet outil de communication particulier.
Ceci étant dit, je reste dubitatif quant à la capacité à organiser autre chose que de tout petits mouvements s’il n’y a pas d’abord une volonté d’action préalable largement partagée. Internet ne sera peut-être qu’un catalyseur : non pas une source de troubles mais plutôt l’outil par lequel le public se rendra compte que le mécontentement a atteint un point où il est temps de sortir de chez soi et d’agir.
- Quelle est la question que j’ai oublié de te poser ?
Tu m’as parlé sociologie, politique, technique et économie, ça laisse assez peu de place aux chats.