Le 21 novembre, Mediapart révélait comment un hacker avait piraté les mails de plusieurs eurodéputés et assistants parlementaires pour montrer les failles dans la sécurité informatique du Parlement européen. Deux assistantes parlementaires visées par ce piratage écrivent aujourd'hui une lettre au hacker. 



 

Cher M. Le Hacker, 

On ne se présente pas, étant donné l'intimité unilatéralement partagée ces derniers mois, on s'imagine que tu vois bien qui on est. Faut dire, depuis juillet, t'en as vu défiler. De la réforme ferroviaire aux fonds structurels, de l'esclavage traditionnel en Mauritanie à l'orpaillage illégal en Guyane, tu sais sur quoi on travaille, de quand date notre dernier rendez-vous chez le dentiste, qui de nous deux prend un double expresso le matin et qui prend un lait russe, à quelle heure et où on rejoint nos collègues pour aller à la cantine.

A qui en douterait, c'est sûr, ce n'est pas très agréable de savoir que tu as eu un œil sur toutes ces correspondances. Surtout, ce n'est pas très agréable de voir nos noms sur Mediapart sans même avoir été prévenues (mais ça tu n'y es pour rien).

On sait, on est juste des « assistantes parlementaires ». Mais quand même.

Bref, on ne se présente donc pas mais on voulait quand même un peu te remercier.

Déjà, parce qu'on est célèbre maintenant, jusqu'à la semaine prochaine au moins, et que dans les couloirs de ce grand Parlement, on parle de nous. Et ça, c'est la grande classe. 

Ensuite, parce que tu relances ce grand débat, celui que les écologistes ne cessent de ramener sur la table depuis des années, et que tu fais la démonstration qu'une fois encore, on n'avait pas complètement tort. Ce débat, c'est celui de la révolution numérique et de la protection des données, de la transparence en politique et du rôle des lobbys, de l'état de surveillance et des libertés individuelles, alors puisqu'on en a l'occasion, allons-y, et allons-y franchement. 

On voudrait donc d'abord te préciser un truc : la vérité, c'est qu'il n'y a rien de très confidentiel dans nos boîtes mail. Et c'est un peu normal. Oui, des lobbyistes, des ONG, des citoyens, des industries nous envoient sans cesse leurs positions sur tel ou tel dossier. Oui, nous les lisons. Oui, nous rencontrons ces gens. Mais les « documents confidentiels » auxquels tu fais référence n'ont souvent rien de tel. Les vrais secrets, ils ne sont pas au Parlement européen. 

Parmi les échanges les plus confidentiels que nous pouvons avoir, ceux sur nos stratégies de négociations, nos constitutions d'alliance, sache qu'on le fait généralement autour d'un café (un double expresso tu sais), sur le fauteuil d'un couloir. Sans doute, on pourrait s'améliorer, et on te remercie de le rappeler, mais ce n'est, à notre avis, pas le plus grave. 

Le véritable scandale, ce n'est pas que des positions transitent par emails, ni que tu puisses, toi, les intercepter, ce serait que tu démontres que ces intérêts privés nous ont détournées de notre travail : récolter les positions de chacun, dessiner une ligne politique en fonction de nos valeurs, de nos idées, et la défendre, jusqu'au bout.

Pas besoin de mail pour cela, le risque de soumission du politique aux intérêts privés n'est pas né avec internet. Mais si ça rend le démasquage plus simple, allons-y donc sans crainte.

Et de ce côté-là, nous n'avons, chez les écologistes du reste, rien à craindre. Nous perdons souvent, c'est vrai, mais nous perdons la tête haute. Le groupe des Verts a d'ailleurs été le plus actif au moment des révélations d'Edward Snowden, jusqu'à vouloir lui attribuer le prix Sakharov et ne cesse, sans succès, de demander l'arrêt des négociations avec les Etats-Unis sur le TTIP.

Tu l'auras donc compris, à part les petits mails entre deux dossiers (ceux-là, ils ont dû te faire bien rire mais tu les gardes pour toi ok ? On fera gaffe maintenant), nous n'avons pas peur de la transparence.

Nous avons fait le choix de travailler dans cette grande assemblée et de nous occuper d'affaires publiques. Nous avons fait le choix de l'engagement politique et, nous le savons, ces choix impliquent des responsabilités. La confidentialité, lorsque l'on s'occupe de dossiers législatifs, est une notion très relative, et c'est tant mieux.

Nous en venons donc au deuxième vrai scandale. Que le Parlement européen soit une passoire, soit. Mais qui est de l'autre côté ?

La plupart du temps, ce n'est pas toi, et comme tu le pointes à juste titre, dans notre cas, c'est Microsoft.

Or les écologistes se sont toujours opposés aux contrats passés entre Microsoft et le Parlement européen. Pas parce que ce système ne t'empêche pas, depuis le parc Léopold ou un café place Luxembourg, de pirater nos mails, mais parce qu'il est justement opaque. Parce que nous n'avons pas le contrôle sur l'utilisation de nos données, qui peuvent être transférées, revendues, ici et là, à ceux que nous combattons, parce que la surveillance est permise à certains (les agences de renseignements), et pas à d'autres (les citoyens).

Ce n'est donc pas la publicité de nos échanges professionnels (donc politiques) qui nous fait peur, mais leur accaparement par des intérêts privés.

La révolution numérique doit être celle de toutes et tous. Les logiques politiques d'hier ne valent plus aujourd'hui. Merci à Edward, merci aux autres. 

Dans le village-monde, le contrôle citoyen des données personnelles, la protection des libertés individuelles et de la vie privée figurent parmi les grandes batailles à venir, avec celle de la transparence de la vie politique et de la liberté d'expression.  

La révolution numérique impose une réflexion nouvelle sur l'équilibre entre secret et transparence. Si la publication des conflits d'intérêt, la déclaration des intérêts financiers des élus (et on en passe) sont indispensables, l'exercice de la démocratie ne peut se passer d'une certaine dose de confidentialité. Le secret des correspondances, la liberté d'expression sans autocensure, la protection des blogueurs dissidents, le droit individuel au cryptage des données personnelles sont autant de garanties indispensables de la souveraineté individuelle et collective.

Pour cela, les écologistes, avec les pirates, ont toujours prôné l'utilisation de logiciels libres, c'est-à-dire qui n'appartiennent à personne, et open source, c'est-à-dire où les utilisateurs ont accès aux codes. Quand tout le monde voit ce qu'il se passe, ça devient plus dur d'être malveillant. Quand tout le monde participe, ça donne aussi de meilleurs outils. Que cela commence par notre lieu de travail, quand ce dernier s'appelle le Parlement européen, serait le premier signe de notre refus de voir l'intérêt général placé dans les mains de Microsoft.

Une société de la transparence ET du respect de la vie privée est donc possible et c'est la seule solution. Dans l'ère de la révolution numérique, c'est la sécurité par la transparence qui sauvera la démocratie. Pas le secret. 

Oui au droit de regard et de critique donc, oui à la transparence des prises de positions, mais pour la confiance, pour l'ouverture. L'opacité a créé l'amertume, assurons-nous que la transparence ne suivra pas le même dessein. 

À nous donc, la jeunesse un peu geek, un peu politique, un peu engagée, de montrer aux géants de l'information que nous sommes libres.

M. le Hacker, merci encore.

On se boit un café un de ces quatre? Tu regardes nos agendas et tu bloques un créneau?

 

Mélanie Vogel et Sonia Rouabhi, assistantes parlementaires de l'eurodéputé Jean-Jacob Bicep (France, Verts)

----------------------

L'article de Mediapart est ici: Les mails des eurodéputés ont été piratés par un hacker

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

Tous les commentaires

Ce texte qu'on peut trouver drôle ou pas, peu importe, contient une information très intéressante : le personnel espionné s'estime naturellement protégé parce qu'il pense ne manipuler que des informations sans importance ou publiques. C'est très intéressant parce ce que c'est l'une des toutes premières raisons de l'extrême incompétence et de la très grande fragilité de toutes les administrations, publiques ou privées, en matière de sécurité informatique. Cela montre que le problème est d'abord psychologique ou social avant d'être technique.

Une très grande part des attaques "informatiques" réussies repose d'ailleurs en partie sur ce que les anglo-saxons appellent "social engineering" et qu'on pourrait traduire par "attaques psychologiques". Une fois en possession de l'annuaire de l'organisation il est très facile de téléphoner à Madame l'assistante parlementaire pour lui dire : "Bonjour, c'est bob, du service informatique. A cause des récents problèmes de sécurité on va devoir changer tous les mots de passe. C'est très facile, je viens de vous envoyer un mail, vous n'aurez qu'à cliquer sur le lien et suivre les instructions. Merci de votre coopération à notre mission de lutte contre les attaques informatiques. Bonne journée et n'hésitez pas à m'appeler au 331457702 si vous avez le moindre problème." Et lorsque le prétendu Bob est en mesure de se faire passer pour Madame l'assistante parlementaire il peut continuer à escalader les privilèges en attaquant un peu plus haut.

L'immense majorité des agents qui travaillent dans ces organisations (ou, pour être plus précis, qui y sont employés) ne voient pas l'intérêt de mettre en place des protections, même si les moyens techniques existent. Ils pensent que l'annuaire interne n'a pas d'importance, pas plus que les horaires et lieux de tel ou tel évènement interne, les adresses personnelles des agents, leurs agendas, leurs carnets d'adresses, leurs déclarations d'activité ou de congés, ...

Ils croient aussi qu'un attaquant capable de s'introduire dans le réseau interne en usurpant leur identité et leurs privilèges ne saura pas en tirer d'avantage (généralement parce qu'ils ne connaissent eux-même qu'une infime partie des possibilités que leur offre leur compte informatique).

C'est la posture "ce que nous disons, écrivons, pensons, n'a pas d'importance ou n'est pas secret". C'est un peu l'équivalent du "si on a rien à se reprocher pourquoi s'offusquer du fichage policier ?" Posture d'une grande naïveté qui montre surtout une abyssale ignorance et une désolante absence de réflexion.

Ce manque de conscience des enjeux, on le trouve aussi chez tous les drogués des réseaux sociaux qui se répandent, sans jamais imaginer à quel point ils franchissent les barrières du raisonnable et abandonnent toute idée de vie privée ou d'intimité.

Certains commentaires font des erreurs de nature comparable en expliquant par exemple que Microsoft n'est pas en cause puisque c'est une borne WiFi qui a été attaquée. Ils se trompent, bien sûr. Que l'on espionne une borne WiFi ou un câble Ethernet, si les données qui circulent sont chiffrées et que les correspondants s'authentifient correctement, la collecte d'informations utiles est bien plus difficile. Et ça, ça dépend de ce que proposent les outils qu'on utilise et de ce que les utilisateurs en font. Parmi ceux qui lisent ceci combien savent envoyer et recevoir des courriels chiffrés et signés ? Et ceux qui ne savent pas sont-ils seuls responsables ? L'entreprise qui leur a vendu leur outil de messagerie n'a-t-elle pas une part de responsabilité en ne fournissant pas d'office une solution standard et simple d'emploi ?

L'éducation est sans doute une bonne parade à tout ceci, même s'il est difficile d'éduquer celui qui ne veut pas apprendre. En tout cas, elle constitue sûrement un bon complément à la lutte contre la corruption qui explique, elle, bon nombre de choix techniques tout aussi onéreux que désastreux.