Invincible, l'Amérique ? Trente-cinq pirates informatiques suffisent pour la mettre A genoux. Qu'une nation ennemie s'offre les services de ces mercenaires high-tech, les équipe chacun d'un ordinateur et d'un modem - de ceux qu'on achète dans n'importe quel super
marché -, et le pays peut AStre désorganisé au point d'annihiler les capacités de réaction militaire de l'état fédéral.
Ce n'est pas un scénario de science-fiction, mais la conclusion d'un exercice de simulation de - guerre de l'information -, réalisé par l'armée américaine en 1997. Les pirates en question étaient en fait des fonctionnaires fédéraux, A qui il a été demandé de tenter une intrusion dans les centres informatiques vitaux du continent. Pour accomplir cette mission, ils ne disposaient d'aucun renseignement confidentiel, et d'aucun matériel non accessible au grand public. Pourtant, en quelques jours, ils ont réussi A pénétrer dans le dispositif stratégique du Pentagone. Ils auraient parfaitement pu en perturber le fonctionnement. Par ailleurs, ils sont entrés dans le système de commande de plusieurs réseaux d'électricité, A Los Angeles, Chicago, Washington, New York - métropoles dont dépend la capacité de déploiement des forces américaines.
Qui craint le grand méchant Net ?
Les trente-cinq se sont montrés A la hauteur de la terreur et de l'admiration qu'inspirent les hackers. Cette catégorie de hors-la-loi, mi-forbans, mi-Robin des Bois, est apparue dans les années soixante-dix avec la micro-informatique et prospère depuis que cette dernière vit son histoire d'amour avec les télécommunications - via le modem. A€ l'origine, ant de - mettre en pièce - (to back) les ordinateurs, les pirates s'attaquaient au téléphone. Cette spécialité, le phreaking (mot-lise pour phone hacking) rencontre toujours un grand succès. Mais c'est l'irruption d'Internet qui a vérilement - démocratisé - le piratage, puisque le réseau est A la fois la porte d'entrée dans les ordinateurs, et la boite A outils logiciels des cambrioleurs. Les délits, qui vont du plus menu A l'affaire d'état, ont parfois pour but d'escroquer une entreprise, voire de causer du tort A quelqu'un. La plupart du temps, les hackers se lancent plutôt des défis technologiques, ou bien jouent les redresseurs de torts grace A leur maitrise de l'arme informatique. Leur malice irrite, inquiète, mais il est rare qu'elle terrifie.
C'est pourtant le cas dans un scénario de - cyberguerre -, visant A semer la panique sur une population. Une poignée de pirates plongerait dans le noir des villes entières, ferait imploser le réseau bancaire, provoquerait un krach boursier, couperait le téléphone, voire s'introduirait dans des centrales nucléaires. Ces technobandits, impossibles A localiser et éparpillés dans le monde entier, agiraient pour le compte de n'importe quel état ou structure terroriste. Qu'il était paisible, le temps où le monde était divisé en deux camps bien identifiés ! Désormais, le danger vient de partout A la fois, et les cibles sont trop nombreuses pour concentrer des moyens de riposte efficaces.
Toutefois, l'angoisse de la cyberguerre reste confinée aux hautes sphères, faute d'en avoir vécu une vraie. En 1999, lors de la guerre du Kosovo, le Pentagone aurait bloqué chaque jour cinquante A cent tentatives d'intrusion sur ses serveurs ' apparemment orchestrées par Belgrade. Les services secrets américains, de leur côté, auraient lancé des attaques informatiques contre les comptes bancaires A l'étranger du président Slobodan Milosevic et d'autres leaders serbes2. Ces assauts restent modestes. Ils n'ont rien A voir avec l'apocalypse électronique qu'envisagent certains stratèges militaires.
Intéressons-nous plutôt aux organisations et aux individus qui se sentent immédiatement menacés par les failles de sécurité d'Internet. Les entreprises et les institutions sont déjA nombreuses A avoir fait l'expérience des attaques sur leur système d'information. Une enquASte menée en 1999 dans 49 pays et auprès de 2 700 cadres a montré que les trois quarts des sociétés sondées aient eu A souffrir d'incidents de sécurité informatique au cours de l'année écoulée3. Ce pourcentage impressionnant reflète toutefois moins la malignité des hackers que la capacité de diffusion accrue des virus informatiques. Depuis que les terminaux se raccordent au réseau Internet, un - fichier attaché - envoyé par e-mail suffit A infecter les ordinateurs. C'est autrement plus efficace que le procédé artisanal de la disquette contaminée. Et cela explique que 69 % des entreprises consultées aient eu affaire A des virus, contre 53 % l'année précédente.
Quant aux intrusions non autorisées dans les systèmes d'information, elles arrivent en deuxième position des préoccupations sécuritaires des entreprises, mais elles sont quatre fois moins fréquentes dans les faits. Notons que l'étude citée fractionne les failles d'origine accidentelle en plusieurs sous-catégories (perte de
données en raison d'une fausse manipulation, blocage de l'ordinateur lorsqu'on tente de se connecter), de faA§on A ce qu'elles n'apparaissent pas pour ce qu'elles sont : la principale cause des problèmes de sécurité informatique.
Par ailleurs, les abus et malveillances sont essentiellement d'origine interne. Selon une autre étude réalisée A partir d'un échantillon de 745 entreprises installées aux états-Unis4, 52 % des sociétés ont constaté que des employés accédaient irrégulièrement A certaines parties de leur réseau. Voulaient-ils visiter la messagerie électronique de leur voisine de bureau, ou bien voler des informations confidentielles ant de passer A la concurrence ? L'enquASte ne le dit pas, mais il y a fort A parier que la plupart de ces coupables n'ont rien du pirate sans foi ni loi. Le hacker a bon dos, notamment lorsque es études sont réalisées par des entreprises ayant intérASt A ce que le juteux marché de la sécurité informatique décolle. On brandit alors l'épountail de ce nouvel homme au couteau entre les dents qu'est le pirate, cet anarchiste qui mine les fondements de l'économie capitaliste. Nous verrons que la subversion, lA aussi, vient plutôt de l'intérieur du système que de ses marges, avec ou sans le coup de pouce technologique que représente Internet.
Plus craintif que les états et les entreprises, il reste le consommateur. C'est sans doute l'un des principaux freins au boom de la netéconomic : l'internaute moyen n'ose pas acheter en ligne les biens qu'il convoite, és derrière la vitrine interdite de son écran. A€ lui aussi, on a raconté des histoires de méchants pirates. Ces inquiétudes doivent AStre ramenées A des proportions raisonnables, ne serait-ce que pour consacrer un peu plus de temps aux vraies questions, telles que le droit au respect de la vie privée. La pricy chère aux Anglo-Saxons est en effet menacée par la
constitution de stes bases de données sur les individus. La menace de l'état Léviathan s'efface dent celle de l'entreprise omnisciente. Or cette dernière semble la mieux armée pour trouver la parade A l'enhissement de l'intimité qu'elle a elle-mASme ifié. Elle seule est en mesure de développer et de commercialiser les technologies qui restaurent la pricy, telles que la monnaie virtuelle privée. Si cette dernière devient un jour une réalité, alors le grand méchant Net deviendra le rempart de nos jardins secrets.
Fear, Uncertainty & Doubts
- En matière de sécurité informatique, soit on vous cache tout, soit on vous en dit trop5 -, affirme Pascal Lointier, du CLUSIF, le Club de sécurité informatique franA§ais. En effet, les entreprises ne sont pas fières lorsqu'elles découvrent que des escrocs high-tech piratent leur standard
téléphonique afin d'appeler des destinations lointaines aux frais de la princesse. Elles sont encore plus prudentes quand des hackers sont parvenus A manipuler leurs bases de données commerciales, car le défaut de sécurisation des
fichiers nominatifs relève, dans un pays comme la France, du Code pénal. La rétention d'information de la part des entreprises fausse donc les statistiques sur les atteintes aux systèmes informatiques, pour autant qu'elles soient lides. Comment est-il possible, en effet, d'affirmer, comme on l'entend parfois dans des conférences, que 80 % des attaques n'ont jamais été détectées6 ? D'après quels oracles ?
Par ailleurs, la mesure du - risque informationnel - se complique de rumeurs et de FUDs. Cet acronyme issu de l'anglais - Fear, Uncertainty and Doubts - évoque la - peur, l'incertitude, et les doutes - auxquels tout responsable de sécurité informatique doit faire face dans son métier. Il est de notoriété publique que les constructeurs de logiciels antivirus, qui recrutent parmi les hackers plus ou moins reconvertis, ont l'habitude de répandre sinon les virus eux-mASmes, du moins la rumeur que de nouvelles souches mortifères prolifèrent sur le réseau. Ils médiatisent A outrance la découverte de ces - vers -, - cheux de Troie -, et autres créatures fantastiques inscrites au bestiaire pathologique de la micro-informatique. Ainsi les sociétés se persuaderont-elles qu'elles doivent acquérir la dernière version du logiciel Untel.
Mais le phénomène des FUDs au-delA de la tactique commerciale au petit pied. Selon Pascal Lointier, A côté des - attaques logiques - telles que la fraude, le sabotage ou le ndalisme assistés par ordinateur, une autre catégorie de risques prend de l'ampleur avec Internet. Il s'agit des - attaques informationnelles -, menées depuis l'extérieur par des consommateurs déA§us ou des concurrents qui cherchent A désiliser une firme : une guerre de proande, mais avec les moyens de l'age électronique.
Et les dommages peuvent AStre considérables, comme l'a appris A ses dépens le fabricant d'alcools blancs Belvédère. Cette société franA§aise cotée au Nouveau marché a vu le cours de son action chuter de plus de 60 % entre juin 1998 et janvier 19997, A cause de trois sites Web calomniateurs s'adres-sant aux actionnaires en franA§ais, en anglais et en polonais. L'importateur américain Millenium était en pleine bataille judiciaire avec Belvédère. Il a fait appel A l'agence de relations publiques Edelman pour désiliser son ex-partenaire. Ces professionnels ont su exploiter les insuffisances déjA stigmatisées par la Commission des opérations de Bourse, en montant un site destiné A - expliquer au public, aux investisseurs, aux analystes et aux journalistes les manquements graves en termes de
communication de Belvédère -. Suiient vingt-cinq questions auxquelles l'intéressée n'aurait prétendument pas pu répondre. Inquiets, les petits épargnants ont revendu leurs parts. L'action a décroché de son sommet de juin 1998, soit 1 430 francs, repassant en août sous la barre des 400 francs. La COB a ouvert une enquASte en octobre, et conclu un an plus tard que Belvédère - n'ait pas enfreint les règles qui régissent
la communication financière des sociétés cotées8 -. Mais le mal était fait.
Il n'y a rien de nouveau sous le soleil. Quand de gros marchés sont en jeu, les entreprises utilisent tous les moyens de communication A leur disposition pour remporter une manche, la désilisation du ril n'étant qu'un aspect de la guerre économique. Belvédère n'est pas un cas isolé : en 1988 déjA , Boeing est soupA§onné d'avoir orchestré une rumeur contre son concurrent Airbus9, en postant des messages critiques sur les forums de discussion en ligne. Ces FVDs sont plus proches de l'attentat que de l'escroquerie. Elles ne sont pas ables aux mauis tours qu'aiment A jouer les pirates informatiques. Ils ont belle allure, d'ailleurs, ces redoules hackers : une entreprise de relations publiques, un constructeur d'avions. Vraiment, Internet n'est pas un lieu fréquenle.
Malaise au passage A la caisse
En février 1995, lorsque le FBI arrASte le hacker le plus célèbre de tous les temps, Kevin Mitnick, les enquASteurs découvrent dans son disque dur un fichier de plus de 20 000 numéros de sectiunes de crédit volés A un fournisseur d'accès A Internet californien. Ce rapt n'est qu'une broutille, un exercice routinier aux yeux de l'orfèvre du casse électronique qui a réussi A s'infiltrer dans les serveurs les plus surveillés de l'administration fédérale. Mais de telles histoires font frémir les consommateurs. Se faire dépouiller en ligne est un jeu d'enfant, leur répète-t-on. Il ne leur est simplement pas précisé que, si le danger existe, le réseau a sécrété son antidote. Au lieu de cela, on entretient la peur du hacker.
Voyons d'abord A quelle sauce le consommateur AStre mangé. Des logiciels générateurs de numéros de sectiunes bancaires circulent sur Internet. Les pirates ont décrypté depuis belle lurette l'algorithme utilisé par Visa et American Express pour attribuer des sectiunes bleues, ce qui leur a permis de fabriquer des répliques illicites. Pour obtenir un numéro lide, il suffit de choisir un pays et de désigner une banque : le petit programme mouline les données, et vous délivre une série de chiffres plausibles. Ces applications sont en libre-service sur le réseau. Il ne tient qu'aux escrocs de s'en servir pour payer leurs achats. Et tant pis pour vous s'ils ont composé un numéro bien réel, le vôtre. Par ailleurs, d'autres logiciels nommés sniffers permettent d'espionner les flux de données informatiques en provenance d'un ordinateur connecté. Quand l'internaute saisit en ligne son numéro de sectiune bleue, le - renifleur -, discrètement tapi au cœur d'une plate-forme de paiement sécurisé ou bien sur le serveur du fournisseur d'accès, rapatrie instantanément l'information chez le pirate, qui en dispose alors A sa guise.
Enfin, il peut arriver que le commerA§ant auquel on a confié son identité bancaire en toute tranquillité soit un vulgaire aigrefin, et qu'il vous facture des prestations imaginaires. Les soupA§ons convergent bien évidemment vers les marchands de pornographie en ligne. La plupart du temps, leurs
clients lésés craignent de devoir révéler leurs penchants libidineux A la police ou A leur banquier. Ils préfèrent renoncer A obtenir justice, ouvrant un boulerd aux abus commerciaux. Mais les sites Web roses ne sont pas seuls en cause. Il n'est pas rare que des fournisseurs d'accès A Internet aussi célèbres qu'America Online ou Infonie continuent imperturbablement de prélever un tribut mensuel sur le compte de l'internaute ayant résilié son abonnement. Il faut souvent une lettre en recommandé, du moins un courrier très salé, pour parvenir A interrompre le pillage ! Ces indélicats n'ont rien inventé : les mASmes pratiques ont cours dans la jungle de la téléphonie mobile, où l'on n'a encore rien trouvé de mieux pour lutter contre le churn ' la défection des abonnés.
Dans ces conditions, on ne s'étonnera pas de la proportion alarmante de - litiges Internet - constatés par les banquiers. Selon une étude menée en 1999 dans douze pays européens par la comnie de sectiunes de crédit Visa, la moitié des contestations de relevés de compte ont A voir avec le réseau des réseaux. Pourtant, ce média pèse moins de 1 % des transactions par sectiune effectuées en Europe ! Il y a de quoi hésiter, au moment fatidique où le commerA§ant électronique vous propose de saisir votre numéro A seize chiffres afin de conclure un achat. Et c'est ce que font les internautes. Les professionnels observent avec inquiétude l'atonie du - taux de transformation " -, qui mesure le rapport entre le nombre de visites sur un Web marchand et son volume de ventes. L'essor de la navigation Internet tarde A se - transformer - en espèces sonnantes et trébuchantes !
Une fois de plus, les fantasmes de hackers obscurcissent le débat. Car Internet, loin de créer un canal
de distribution au rabais, offre d'importantes garanties de sécurité pour les transactions commerciales. Avec le protocole de communication Secure Socket Layer, il est possible d'envoyer ses coordonnées bancaires de faA§on cryptée. Créé par Netscape, reconnu par les organismes d'autorégulation du réseau tels que l'Internet Engineering Task Force, SSL est disponible gratuitement sur les principaux navigateurs. Si la petite icône en forme de clé apparaissant dans un coin de l'écran reste intacte, cela signifie que les échanges sont sûrs et que le commerA§ant est digne de confiance : il est - authentifié - comme étant le service désiré, et non une e Web fantôme.
Certes, aucun cryptage n'est fiable A cent pour cent. Mais il est certainement plus difficile de casser ce code que de pirater une conversation téléphonique au cours de laquelle l'acheteur épelle en clair son numéro de sectiune bancaire. Sans parler du fax qu'on envoie distraitement A son agence de voyages, et que n'importe quel visiteur malhonnASte peut rafler en passant dans les bureaux. Et encore, il n'est pas question ici des mille et une inventions des fraudeurs. Le skimming u, par exemple, pratiqué dans les restaurants par des serveurs malhonnAStes, consiste A récupérer les coordonnées bancaires d'un
client en passant rapidement sa sectiune dans un mini-lecteur de la taille d'un paquet de cigarettes. A€ tout prendre, le monde virtuel est plus sûr. Quand bien mASme les hackers infesteraient le réseau, la probabilité qu'ils tombent sur vous s'amenuise au fur et A mesure que les rangs des internautes s'étoffent.
Enfin, rappelons que les garde-fous de la vente A distance s'appliquent sur Internet. Tant qu'il n'a pas saisi son code d'identification personnel de quatre chiffres, l'acheteur peut révoquer son paiement par un simple appel passé A son banquier. Il n'a mASme pas besoin de prouver sa bonne foi. Fort opportunément, ce code n'est pas exigible lors d'une transaction SSL. Non, décidément, l'internaute n'a pas de raison de se priver d'un achat sur un site Web reconnu et sécurisé. S'il doit avoir un souci, c'est plutôt celui de la livraison dans le monde physique : un colis sur dix ne parvient jamais A destination, et la moitié arrivent sans reA§u13. Mais, en général, ce n'est pas le
client qui prend des risques. C'est le commerA§ant, qui n'a aucun moyen de vérifier si la sectiune bancaire avec laquelle il est payé n'a pas été volée. Car, alors, son propriétaire légitime fera opposition au moment où le marchand cherchera A empocher son dû, et ce dernier restera le dindon de la farce.
C'est A la lumière de ce risque pour le commerA§ant qu'il faut analyser l'ignorance des consommateurs connectés. Les marchands ont beau se plaindre de la timidité des acheteurs, eux-mASmes sont terrifiés par les dangers du réseau. Ils communiquent leurs angoisses aux clients. Qui plus est, un troisième larron vient jeter de l'huile sur le feu, dans le personnage du banquier. Ce dernier s'irrite des litiges sur le paiement, trop fréquents sur Internet, car ils l'obligent A recréditer le compte
du client floué puis A mener des enquAStes paperassières et coûteuses.
Pitié pour les commerA§ants et les banquiers
Mais il existe une parade. Visa et Mastercard ont mis au point, en 1997, un protocole encore plus sécurisé. Secure Electronic Transaction est conA§u pour plaire aux commerA§ants, car en plus du cryptage de la transaction et de l'authentification du site Web, il permet d'identifier le client. Le vendeur et l'acheteur s'enregistrent obligatoirement auprès de leur banque, le premier afin de s'équiper d'un logiciel gérant les porte-monnaie électroniques, le second pour obtenir un - certificat numérique -. Ainsi
marqué au fer rouge, le consommateur ne peut plus se dédire après un achatl4. Le certificat prouve qu'il est bien le détenteur de la sectiune bleue, et non un pickpocket. SET rassure donc les commerA§ants et donne aux banquiers les moyens de reprendre pied au royaume du commerce électronique. Toutefois, il prive le consommateur lambda d'un moyen de protection contre les arnaques commerciales. En contrepartie, il est vrai, le protocole des banquiers lui permet de faire transiter sur le réseau des ordres de paiement irrévocables, ce qui n'était pas conceble tant qu'il pouit répudier ses transactions.
MASme s'il a de puissants appuis, le succès de SET n'est pas garanti. Cette norme a bien quelques chances de faire son chemin au pays de la sectiune A puce : les FranA§ais, qui ont déjA lesté leur porte-monnaie d'un certain nombre de circuits électroniques, ne devraient pas chipoter pour un spécimen supplémentaire. A€ la veille du millénaire, ils consomment 130 millions de sectiunes téléphoniques par an, et la moitié de la population détient une sectiune bancaire, soit 30 millions d'exemplaires en circulation. Il faut encore y ajouter les sectiunes d'abonné A la chaine de télévision payante Canal +, la sectiune Sesam Vitale pour l'assurance maladie, et les sectiunes de monétique municipale.
e-Comm parie sur cette culture pionnière. Ce consortium créé en 1996 rassemble trois banques, l'opérateur - historique - France Telecom, Visa, et l'industriel de la sectiune A puce Gemplus. Il associe le protocole SET A un terminal de paiement connecté A l'ordinateur, sur lequel l'acheteur saisit en toute sécurité son code secret de quatre chiffres15. Les premiers boitiers ont été testés en avril 1998. S'ils ne coûtent pas trop cher, les FranA§ais pourraient accepter de s'en équiper, ainsi que d'autres Européens familiers de la sectiune A puce.
En renche, les Américains continuent A plébisciter la sectiune magnétique. Quels que soient ses défauts de sécurité, elle éclipse la smartcard, récemment introduite sur le continent. La raison principale de ce choix tient au système financier des états-Unis, fondé sur le crédit. Alors que les
banques franA§aises veillent A ce que leurs clients ne dépensent pas plus d'argent qu'ils n'en ont sur leur compte, en leur fournissant des sectiunes de débit, les banques américaines encouragent les ménages A investir en s'endettant. Elles prospèrent grace aux intérASts perA§us sur les paiements par sectiune de crédit, qui avoisinent les 15 %, tandis que leurs homologues européennes se rémunèrent sur les cotisations annuelles des détenteurs de sectiunes.
Selon Jean-Pierre Buthion, du GIE sectiune bancaire, la différence entre ces deux modèles économiques conditionne deux attitudes opposées face au problème des transactions en ligne : - En Europe, les impayés dévorent les marges, c'est pourquoi on se soucie de sécuriser les paiements. Mais aux Etats-Unis, grace A ces 15 % d'intérASts, les banques ont les moyens de gérer le risque '6 - Bref, plutôt que d'améliorer leur technologie, les banquiers du Nouveau Monde préfèrent consacrer leur temps A gagner un peu plus d'argent. VoilA la raison pour laquelle la smartcard ne décolle pas aux états-Unis.
Or, sans elle, SET manque de saveur. ça n'est plus qu'une demi-innotion. Et si les Américains ne font pas l'effort d'adopter la puce, pourquoi se fatigueraient-ils A demander un certificat numérique ? Visa, Mastercard et American Express militent donc pour que la bestiole électronique entre dans les mœurs. Ces entreprises ont constaté qu'e les perdaient en moyenne 8 cents sur 100 dollars de transactions en ligne du fait des fraudes. Les constructeurs informatiques, de leur côté, commencent A intégrer des lecteurs de sectiunes dans leurs ordinateurs. Microsoft le tout-puissant ne leur a-t-il pas recommandé, dans ses spécifications techniques pour la période 1999-2000, de veiller A ce petit détail ?
Si, malgré cette mobilisation, la smartcard fait de nouveau un fiasco dans le Far West, le risque de piratage des sectiunes bleues demeurera un peu plus élevé que ce qu'il est permis d'espérer. Mais nous avons vu que les appréhensions des internautes au moment de passer A la caisse étaient d'ores et déjA exagérées. Le fait que le pays où le commerce électronique est le plus développé soit aussi le moins pointilleux sur la sécurité est un signe : les seize chiffres de la sectiune ne sont pas le vrai problème. Ce qui compte, c'est de ne pas devenir soi-mASme un numéro.
Le syndrome du matricule
Monsieur Transparent se connecte sur Internet, A la recherche d'un bon livre. Ant mASme qu'il ait chargé la première e Web sur son écran, son navigateur a collecté plusieurs informations le concernant. Il a noté le numéro d'IP de l'ordinateur, c'est-A -dire son adresse sur le réseau. Cette dernière est permanente s'il est abonné au cable ou relié A un intranet. Il identifie également le système d'exploitation utilisé, Windows 98, et le lieu de connexion, la France. Le navigateur renseigne aussi sa propre identité : il s'agit d'Internet Explorer, mais le logiciel concurrent de Netscape serait tout aussi bard. Ces informations sont parfaitement lisibles pour le fournisseur d'accès et les marchands électroniques contactés.
VoilA notre héros quotidien A la barre. Il navigue, et les requins du réseau n'en perdent pas une miette. Ils l'observent fouillant dans l'annuaire Yahoo, catégorie shopping ; ils le suivent s'égarant dans le supermarché Amazon ; ils chronomètrent son marathon entre les étalages d'un site où il a enfin découvert des livres en franA§ais. Le fournisseur d'accès et le libraire, penchés sur son épaule, laissent échapper un soupir d'approbation A chaque fois que Monsieur Transparent clique sur l'onglet - ajouter au panier de courses -. Mais le marchand est encore plus gaté, car, pour effectuer son paiement, le client a accepté de répondre A toutes ses questions : nom, e-mail, adresse physique, numéro de sectiune bleue, bien sûr, mais aussi des données inutiles pour cette vente. Monsieur Transparent n'a pas hésité A révéler ses coordonnées téléphoniques, A préciser qu'il ait 43 ans, qu'il était marié, fonctionnaire dans une administration régionale, et qu'il collectionnait les boites de cachous Lajaunie A ses heures perdues. Nul doute que le libraire saura se servir de ces informations pour concocter A ce client naïf une petite liste d'achats sur mesure.
Maintenant, Monsieur Transparent a éteint son ordinateur, et que A ses occupations. Mais son double sur le réseau continue A dévoiler ses secrets. Le site commercial qu'il a visité lui a envoyé un cookiel8. Ce minuscule mouchard électronique s'est déposé sur son disque dur A son insu. Lorsque le chaland reviendra sur le site, le cookie manifestera sa présence au marchand, afin qu'il puisse cumuler les informations. Ant que son client ne se reconnecte, le commerA§ant curieux peut déjA enrichir sa base de données sur Monsieur Transparent. En tapant son nom sur le moteur de recherche DejaNcws, il retrouve toutes ses contributions A des forums de discussion en ligne. Notre héros étant plutôt bard, on apprend A la lecture de ses messages électroniques qu'il aime le bon vin, qu'il est syndiqué, qu'il ne comprend rien A la musique des jeunes d'aujourd'hui, et qu'il en a vraiment assez de payer des impôts. Le profil psychologique commence A prendre forme. Mais le marchand voudrait en savoir plus. Il rachète alors un fichier A un autre commerA§ant19.
La pratique n'est pas nouvelle. Les journaux ont été les premiers A vendre leurs listes d'abonnés, bientôt imités par quantité de marchands du monde physique. Seulement, sur Internet le consommateur prend plus de risques qu'en laissant un ticket de caisse A un supermarché. Il parle librement. Il lache des propos compromettants en pensant s'adresser A des inconnus situés A l'autre extrémité du globe. C'est pain bénit pour les enquASteurs du coin de la rue, qui sont en mesure de mettre A nu Monsieur Transparent, ses manies consuméristes, ses perversions politiques, ses fantasmes inassouvis. Cela devient grave lorsque les fichiers peuvent tomber entre de mauises mains. En 1996, le journal Pricy Times a révélé que le fournisseur d'accès America Online, qui est également une plate-forme commerciale, vendait des listes ciblées sur des populations d'enfants20. Faut-il laisser les spécialistes du marketing venir chercher les petits jusque sur les bancs de l'école ? Et ne risquent-ils pas de tomber nez A nez avec des individus peu recommandables, une fois mis en fiches ?
Le plus inquiétant, c'est que cette insion de la vie privée n'en est qu'A ses prémices. Bientôt, Monsieur Transparent ne se contentera plus d'acheter des livres en ligne. Il traillera, se distraira, et s'informera sur le Net, semant autant de petits cailloux blancs sur sa route. Lorsqu'il fera un pas hors du réseau, il restera prisonnier de l'électronique. Cette dernière est déjA présente dans sa sectiune de crédit, son téléphone cellulaire, aux péages routiers, dans les caméras de vidéosurveillance, sur son badge professionnel ; mais ce n'est rien par rapport A ce que l'avenir nous réserve. Au rythme où les technologies se développent actuellement, s'alarme l'hebdomadaire britannique The Economiste restera-t-il une quelconque pricy A protéger, d'ici vingt ans ? - Dans quelques années, les réseaux d'électricité ou de distribution d'eau pourraient AStre capables de surveiller les performances des équipements ménagers, envoyant des réparateurs ou des pièces de rechange ant mASme qu'ils ne cessent de fonctionner. Les supermarchés locaux pourraient vérifier le contenu des réfrigérateurs et éditer une liste d'achats lorsqu'ils sont A court de beurre, de fromage ou de lait21. - La - société de surveillance - ance A grands pas, et ce sont les entreprises privées qui l'édifient jour après jour. Pourra-t-on y échapper ?
Une monnaie virtuelle pour s'acheter une vie privée ?
Selon le philosophe John Locke, la fonction première du gouvernement consiste A protéger le citoyen de ses semblables, notamment en présernt sa vie privée. Or, de nos jours, professe l'économiste Richard Rahn, l'Etat n'est plus en mesure de garantir le - right to be left alone - cher aux Américains -ce précieux - droit d'avoir la paix -. Une catastrophe ? Pas forcément. Ce libéral épanoui est persuadé qu'avec les nouvelles technologies chacun peut accomplir pour soi-mASme ce que l'administration faisait A sa place. Pour la simple raison ue l'informatique connectée A l'échelle mondiale détruit les monopoles gouvernementaux sur l'information et l'argent22.
L'information, d'abord. Si Monsieur Transparent n'a pas pris de précautions pour dissimuler son identité, Monsieur Anonyme sait très bien le faire, lui. Il désamorce les cookies en paramétrant son logiciel de navigation. Il se promène sur le réseau sans laisser de traces, en utilisant des programmes brouilleurs de piste tels que Weblncognito23, ou en recourant aux services du prestataire d'accès PricyX24, qui déclare fonctionner comme une banque suisse : - Nous ne savons mASme pas qui vous AStes ! - Il utilise des logiciels de cryptage pour abriter son courrier électronique des regards indiscrets. Ainsi, en passant par le site de Webmails25, il envoie des e-mails chiffrés au format SSL, au nez et A la barbe de son employeur. Il faut savoir qu'aux états-Unis les deux tiers des entreprises déclarent surveiller la correspondance de leurs salariés . ZipLip27 a trouvé une autre tactique pour sécuriser le courrier électronique : il faut un mot de passe pour lire les messages codés par l'envoyeur. Quant A la bien-nommée société Disappearing28, elle a carrément inventé Xe-mail qui s'autodétruit !
Cette nuée de start-ups ne sont pas des mécènes de la pricy : elles se rémunèrent de diverses faA§ons, par la publicité, les services A leur ajoutée, etc. Elles savent que la protection de la vie privée est une préoccupation importante des internautes, mais que neuf sites sur dix n'appliquent pas les principes de base du respect des données personnelles, mASme parmi ceux qui placardent leur pricy policy sur leur Web29. Il y a un marché A prendre, en déduisent-elles. Si les grandes victoires de la cryptographie sur Internet ont un parfum d'aventure généreuse et de révolte individuelle, le temps des marchands d'intimité est venu. Philip Zimmermann, l'inventeur rebelle du logiciel Pretty Good Pricy, a lui-mASme fonde PGP Inc. sitôt que le gouvernement américain a cessé ses poursuites judiciaires A son encontre, en 1996.
Que des entreprises privées permettent aux internautes de retrouver le contrôle des informations les concernant, c'est une chose. Mais il se pourrait aussi qu'elles leur confectionnent des devises sur mesure, afin qu'ils retrouvent dans leurs transactions en ligne l'anonymat que les billets de banque leur garantissaient. L'initiative la plus célèbre revient A David Chaum, mathématicien brillant, et fondateur en 1989 de DigiCash. Cette entreprise a lancé la première monnaie totalement virtuelle, e-cash, faite d'unités monétaires stockées sur le disque dur sous forme de 1 et de 0. L'argent numérique était réellement sans odeur, et sans visage puisqu'il évitait A l'internaute de livrer ses coordonnées bancaires pour passer commande en ligne. En termes de vie privée, c'est lA le grand antage du - porte-monnaie virtuel - sur le - porte-monnaie électronique - qui ne fonctionne qu'avec une sectiune A puce.
Mais les gouvernements et les banques n'ont pas du tout apprécié la mauise farce. Car une fois e-cash circulant sur le réseau, il devenait très difficile de contrôler ce qu'on allait en faire. Le marchand pouit le réinvestir dans ses propres achats, et ainsi de suite jusqu'A ce que quelqu'un se décide A convertir ses gains en espèces palpables. Nul besoin d'obtenir une contrepartie physique après chaque échange. En se clos sur Internet et A l'abri des regards indiscrets, tous les dumpings, tous les blanchiments sont possibles. De plus, les transactions sont exemptes de taxes. Cette monnaie aurait pu devenir l'arme ultime de la pricy, en permettant A deux individus de commercer entre eux A la faA§on d'un système d'échange local. Mais elle a fait peur. Le fisc n'a pas aimé qu'on se moque de lui. Les banques ont eu peur de devenir inutiles. C'est pourquoi DigiCash, après un démarrage en fanfare, n'a pas réussi A conincre les parties A l'échange électronique. La start-up a fait faillite en 1997. Par la suite, ses disciples et concurrents, CyberCash et First Virtual, ont tous fait le plongeon.
Cependant, la monnaie virtuelle n'a pas dit son dernier mot. D'autres projets sont dans les cartons, car le cercle des internautes qui réclament plus de discrétion dépasse largement celui des escrocs et des mafieux. Il n'est pas exclu que de grandes entreprises agrégeant des sites de commerce électronique sur leur Web créent leur propre devise. Il faudra pour cela qu'elles aient une relation diversifiée, confiante avec leur clientèle, et qu'elles aient suffisamment de pouvoir pour imposer leur monnaie aux marchands. Microsoft -t-il créer le - MSdollar - ? Et Amazon la - WorldCurrency - ? Mystère. Ce n'est d'ailleurs pas une perspective si rassurante du point de vue de la sécurité. Il n'est que de voir avec quelle facilité les logiciels Windows sont piratés, ou les comptes de la messagerie Hotmail violés. Enfin, en cas de panne de serveur, la monnaie électronique risque de s'énouir dans l'éther.
Ainsi le réseau, de Charybde en Scylla, d'un piège de sécurité A une menace pour l'intimité, et retour A l'insécurité. Heureusement, c'est une technologie perfectible. Quand une net-entreprise abuse de sa position dominante pour mettre en fiches ses clients, il se trouve toujours une start-up prASte A lui faire un croc-en-jambe afin de se faire applaudir des internautes. Messieurs Transparent et Anonyme ont donc des raisons de craindre le grand méchant Net, mais également de très sérieux arguments pour l'embrasser. La preuve au chapitre suint