C'est l'une des personnes qui comptent beaucoup sur la planète cybersécurité. Auteur de 16 livres dans ce domaine, enseignant à Harvard et oeuvrant notamment au sein des associations Electronic Frontier Foundation and Access Now, Bruce Schneier est aussi l'auteur d'un blog de référence en matière d'informatique et de défense des libertés individuelles. Ce jeudi soir, Bruce Schneier s'exprimera à l'EPFL lors d'une conférence intitulée « Comment reprendre le pouvoir dans le monde numérique? » . Avant cela, il a accordé une interview exclusive au Temps.

 

De plus en plus de gens pensent qu'ils n'ont rien à cacher et que...

Quel est votre salaire? Quels sont vos fantasmes sexuels?

 

Euh...

Vous voyez, on ne parle pas de quelque chose que l'on veut cacher. On parle de dignité personnelle. Vous portez des habits. Qu'avez-vous à cacher? L'argument que vous avez quelque chose à cacher est idiot. Car il sous-entend que tout ce que vous voulez garder privé est mal, en quelque sorte. Le respect de la vie privée, c'est la dignité humaine. Vous décidez avec qui vous partagez quoi. Vous allez dire des choses à vos amis que vous ne me direz pas. Et c'est OK. Vous n'avez pas quelque chose à cacher. La vie privée, c'est la liberté de décider comment nous nous montrons au monde.

 

Reste que de nombreux internautes se moquent de savoir ce que Meta (Facebook) ou d'autres géants de la tech savent sur eux.

Demandez-leur alors leur salaire. Et ils vont vite comprendre qu'ils ne vous diront pas tout.

 

Mais en même temps, certains pensent qu'offrir ses données personnelles à ces sociétés permet d'avoir des publicités vraiment personnalisées, ce n'est pas un souci.

Pourquoi ces sociétés devraient savoir des choses si intimes sur moi et les utiliser face à moi?

 

N'est-ce pas trop tard pour tenter de protéger ses données personnelles?

C'est comme si l'on disait, aux États-Unis, qu'il est trop tard pour légiférer sur les armes, parce qu'il y en a des millions en circulation. Et que nous devons accepter tous les meurtres. Pourquoi serait-ce trop tard? Cela veut dire que parce que nous avons sacrifié notre vie privée, nos petits-enfants devraient forcément faire de même? C'est un autre argument idiot. Il faut défendre la vie privée, car les libertés individuelles sont importantes, comme la justice et la liberté de manière générale.

 

Vous n'êtes donc pas si pessimiste.

La plupart des gens ne prennent pas conscience de leurs droits jusqu'au moment où ils disparaissent. Je pense aussi que la majorité des gens se sentent impuissants face au pillage de leurs données. Les sondages montrent que les gens tiennent aux lois qui protègent la vie privée, mais se sentent ensuite impuissants face aux multinationales de la tech. Aux gouvernements d'agir pour protéger les citoyens. La surveillance est devenue le modèle d'affaires d'internet, les entreprises vous espionnent pour leurs profits.

 

Pensez-vous que les futures lois européennes pourraient être positives à cet égard?

L'Europe fait bien mieux que les États-Unis avec les lois sur la vie privée et les géants de la tech. Mais cela prend du temps et du courage pour les rédiger et faire appliquer des lois fortes. Je ne peux pas prédire l'avenir, tout dépendra de la volonté de rendre ces lois opérationnelles et efficaces. Prenez le règlement général sur la protection des données (RGPD): il a fallu de nombreuses années pour le mettre en place puis le faire appliquer, mais désormais les amendes pour les contrevenants sont gigantesques. Et cela protège la vie privée des Européens.

 

Mais en même temps, payer ces amendes fait désormais partie du modèle d'affaires des géants de la tech.

C'est vrai. Aux États-Unis, des amendes contre des grandes entreprises comme Facebook sont minuscules par rapport à leur chiffre d'affaires. Du coup, elles s'en fichent. En Europe, c'est différent, avec des amendes de plusieurs milliards d'euros. Il faut donc augmenter le coût de l'insécurité pour ces empires technologiques, augmenter le coût des violations de la vie privée, pour que ces entreprises choisissent la sécurité et se conforment au droit. Il faut de bonnes lois, des lois appliquées et des sanctions sévères pour que cela fonctionne.

 

Sensibiliser les internautes à ces enjeux est important.

Oui, et je pense que les jeunes générations sont au courant de ces problématiques. Les recherches montrent que lorsque les gens, surtout les jeunes, peuvent choisir de protéger leur vie privée, ils le font.

 

Mais n'y a-t-il pas le risque de faire davantage confiance aux géants de la tech qu'aux gouvernements pour nos données?

C'est le cas aux États-Unis, oui, les gens se méfient de l’État et ont confiance dans les entreprises. En Europe, c'est l'inverse. Je pense que tant les entreprises que l’État peuvent violer notre vie privée et les deux doivent être régulés.

 

Sommes-nous entrés dans une société de la surveillance en Occident?

Prenez le plus grand salon de la téléphonie mobile qui s'est tenu récemment à Barcelone: la reconnaissance faciale était utilisée pour accéder aux conférences. Des caméras, une identification, et un système qui décide si vous pouvez entrer ou non. Des compagnies aériennes commencent à utiliser la reconnaissance faciale pour l'accès dans les avions. Ce qui compte, c'est le processus d'identification: cela peut être l'adresse numérique de votre smartphone, votre Bluetooth, votre façon de marcher, n'importe quoi. Et cela devient de plus en plus commun, avec des risques immenses. Aux États-Unis, les arrestations d'innocents se multiplient, basées sur des systèmes d'identification qui ne fonctionnent pas, souvent par la reconnaissance faciale.

 

« Il faut augmenter le coût des violations de la vie privée, pour que les empires technologiques choisissent la sécurité et se conforment au droit »

 

Peut-on imaginer qu'un système de surveillance comme en Chine se développe en Occident?

Probablement pas, car nous n'avons pas ici de régimes autoritaires comme en Chine. C'est le cas là-bas, comme en Russie, avec un contrôle social très fort. En Suisse, sans doute pas. Le gouvernement ne se fixe pas comme but de contrôler les citoyens à ce niveau. Il n'y a pas d'ambition de contrôler ce qu'ils disent et ce qu'ils pensent.

 

Parlons de cybersécurité. Les « ransomwares » (rançongiciels) sont-ils toujours la principale menace?

Les ransomwares sont toujours une menace très importante, même si les versements de rançons ont diminué en 2022. Certaines sommes versées sont ensuite récupérées par les autorités. C'était par exemple le cas concernant Colonial Pipeline [société piratée aux États-Unis, ndlr], mais c'est beaucoup moins le cas avec des rançons de plus petite taille. Les ransomwares sont encore incroyablement profitables pour les cybercriminels.

 

Peut-on imaginer que les « ransomwares » aient un impact plus important sur nos vies?

Il y a déjà eu des morts liés à des cyberattaques contre des hôpitaux, et cela va sans doute se poursuivre. Mais les autorités sont en parallèle plus efficaces pour lutter contre les cybercriminels, que ce soit le FBI ou des polices d'autres pays.

 

Dans quelle mesure l'intelligence artificielle pourrait-elle être utilisée par des criminels?

C'est possible, mais il est encore trop tôt pour saisir l'ampleur de ce risque. Nous voyons que l'intelligence artificielle écrit du code informatique, et c'est nouveau. C'est sans doute important, ce n'est pas encore très sophistiqué, mais c'est à surveiller de près.

 

Les internautes se protègent-ils de mieux en mieux contre les cyberattaques?

Je ne pense pas. Mais ce ne devrait pas être à eux de le faire. Je veux que les fournisseurs d'accès à internet les protègent. Je veux que les éditeurs de sites web les protègent. Ma mère ne devrait jamais devenir une experte en cybersécurité.

 

La conférence de Bruce Schneier aura lieu jeudi à 17h30 au Forum Rolex de l'EPFL, entrée libre et inscription obligatoire sur le site internet de l'EPFL.