La fin de l'anonymat sur l'Internet français

2019-02-08 02:00:00 UTC

Sous couvert de protéger les français du harcèlement sur Internet, ou peut-être seulement les politiciens qui ne respectent jamais leurs promesses à la plèbe, le gouvernement français propose actuellement de mettre fin à “l’anonymat” des internautes sur les plateformes Internet.

De nombreux articles discutent surtout du côté légal ou éthique vis-à-vis de l’anonymat (ou du pseudonymat) sur Internet, je vous conseille de lire par exemple la lettre ouverte aux députés publiée par Numendil. J’aimerais me concentrer sur la partie technique du sujet.

Je ne suis pas juriste, mais il faut d’abord chercher à définir ce terme “plateforme” qui apparaît très souvent. Disons qu’il s’agit d’un service qui permet à des utilisateurs de publier du contenu sur Internet, qui sera hébergé par un tiers (on peut aussi appelé ça réseau social, je préfère d’ailleurs ce terme). Je préfère garder une définition vaste pour l’instant, je vais parler de la taille de l’hébergeur plus tard. D’ailleurs, le statut même d’hébergeur, défini par la loi LCEN, est menacé notamment par les ayants droit qui veulent forcer l’utilisation du filtrage automatisé des contenus, mais ce n’est pas le sujet de cet article.

Aujourd’hui, n’importe qui peut créer ce genre de service, en étant particulier, association ou entreprise. Il suffit d’enregistrer un nom de domaine chez un registrar (comme Gandi), puis d’installer un logiciel dédié sur un serveur (auto-hébergé ou loué chez un prestataire). Un exemple de logiciel est Mastodon qui permet non seulement d’héberger un réseau social, mais aussi d’interconnecter des instances, chacune ayant ses propres règles et thématiques, dans une fédération appelée Fediverse. Cela montre que plusieurs types d’acteurs avec des buts différents peuvent créer des espaces d’échange.

J’aimerais opposer ces acteurs aux mastodontes que sont entre autres Twitter et Facebook, deux multinationales basées aux États-Unis, qui tirent leur revenu de la publicité des annonceurs, qui est personnalisée grâce au contenu publié et vos interactions sur leur service. Ces acteurs sont présents sur toute la planète, or chaque pays peut avoir une vision différente sur l’anonymat sur Internet (les pays nord-européens ont en général une vision plus protectrice vis-à-vis d’Internet). Pensez-vous qu’ils vont appliquer des mesures très précises pour chaque pays ? Il y a deux possibilités : soit ils acceptent de se plier à chaque gouvernement (avec un potentiel coût en développement), en sachant que les lois peuvent changer très vite, soit ils s’y refusent en voulant harmoniser les interactions sur leur réseau social (après tout, leur réseau est mondial, et ne permet pas seulement des interactions entre utilisateurs d’un même pays).

Le problème est surtout de savoir ce que le gouvernement français souhaite. Soit ils veulent que chaque utilisateur ait une identité vérifiée et visible publiquement, soit ils veulent que chaque service collecte une information qui permettrait à la justice de retrouver l’identité d’un utilisateur. Dans le premier cas, je vois mal comment cela va diminuer le harcèlement : il est plus facile de croiser les informations pour trouver des éléments pour faciliter un tel harcèlement (qui existe aussi hors d’Internet où il est plus probable de connaître l’identité d’un individu). Dans le second cas, il existe déjà l’adresse IP qui, pour la majorité des cas, identifie précisément un utilisateur (les fournisseurs d’accès à Internet gardant l’historique de toutes les connexions, et les réseaux sociaux collectant aussi cette information). L’avantage de l’adresse IP est qu’elle fait partie du fonctionnement d’Internet et continuera d’exister. Le désavantage est qu’une adresse IP peut être partagée (par exemple avec le NAT, un VPN ou un réseau wi-fi public). De plus, en étant connecté depuis un autre pays, on peut être soumis à un traitement différent. Il peut donc être souhaitable d’avoir une identification authentifiée, où il est possible de vérifier l’identité précise d’un individu.

De plus, dans le premier cas, un réseau publicitaire (comme Twitter, Facebook mettant déjà en avant le fait d’utiliser son identité réelle) serait très intéressé par l’identité précise d’un utilisateur : le système des enchères publicitaires s’appuie sur l’échange d’informations entre plusieurs services (cette pratique est incompatible avec le RGPD mais malheureusement elle risque de continuer à exister).

Un moyen d’avoir une identification authentifiée serait d’utiliser un service d’identification tel que FranceConnect (aussi cité par Numendil) qui permet de vérifier son identité via des fournisseurs d’identité (comme La Poste ou Orange). Ce service est mis en œuvre par l’État (par la DINSIC), et est actuellement utilisé pour la connexion au site des impôts ou de la sécurité sociale, mais aussi pour une mutuelle. FranceConnect pourrait fonctionner dans les deux cas : il peut envoyer l’identité d’un utilisateur au réseau social (c’est le fonctionnement actuel), ou créer un identificateur unique par service qui permettrait à l’État, en possession de cet identificateur collecté par un réseau social, de retrouver l’identité d’un utilisateur. Le fait d’avoir un identificateur unique empêcherait les réseaux sociaux de pouvoir s’échanger ces identifiants pour identifier un individu sur différents services.

Sauf qu’il y a deux problèmes vis-à-vis de l’utilisation d’un service d’identification. Premièrement, comment s’assurer que tous les français sont identifiables (pour leur forcer l’utilisation du service d’identification à leur inscription) ? Deuxièmement, comment permettre à n’importe qui d’accéder à ce service (vu qu’actuellement, n’importe qui peut créer un réseau social) ?

Pour le premier point, il existe des listes d’adresses IP qui permettent de les localiser (par pays, par ville, par fournisseur d’accès à Internet) comme GeoIP de MaxMind (tien, on a déjà parlé des adresses IP avant) et ainsi savoir qu’un internaute se connecte depuis la France. Par contre, hors de France, seul le volontariat peut fonctionner (j’implique que cette mesure ne concerne que les français évidemment). Pour le second point, il risque d’y avoir une rupture avec l’Internet actuel qui va bénéficier aux entreprises (facilement reconnues par l’État) : il faudra forcément faire une demande officielle pour pouvoir accéder au service d’identification (et donc devenir hébergeur). Ce serait aussi une rupture avec la neutralité de l’Internet, qui je l’espère ne constitue pas seulement en l’accès équitable aux différents services sur Internet.

Je pense avoir fait le tour de la partie technique. Essayez de parler de ce sujet autour de vous pour mettre au jour les différents problèmes. Si vous avez des commentaires, vous pouvez me contacter sur Mastodon (ou Twitter).

Dernière modification : 2021-05-31 16:54:31 UTC