L’obfuscation : brouiller ses traces numériques pour mieux embrouiller les plateformes

L’obfuscation est cette démarche consistant à brouiller ses traces en ligne, elle est un peu « l’arme du faible » du citoyen qui ne souhaite pas jeter sa vie en pâture aux plateformes et tente de brouiller les pistes comme on affiche un poker face. Les scandales récurrents concernant les données personnelles devraient lui assurer un bel avenir. Encore faudrait-il que ça marche…

Issu du latin obfuscare, qui traduit l’action d’obscurcir ou d’opacifier, le terme obfuscation connaît un emploi marginal jusqu’à l’avènement du langage de programmation Java, à la fin des années 1990. Se développe alors la technique qui consiste à rendre illisible – et de fait non réplicable – le code source d’un programme ou d’une application qu’un espion industriel tenterait de copier, pour mieux l’optimiser ou le détourner.

On « obfusque » depuis toujours sans s’en apercevoir
Mais dans son acception la plus contemporaine, l’obfuscation ne renvoie plus seulement à l’univers de la cybersécurité. En 2010, Helen Nissenbaum et Finn Brunton, chercheurs activistes à l’université de New York, proposent une redéfinition du terme qui encapsule l’idée de tromper l’adversaire en occultant délibérément une information. D’après eux, on « obfusque » depuis toujours sans s’en apercevoir. La pratique de l’argot ou d’un jargon professionnel relève, par exemple, de l’obfuscation car elle participe d’une mécanique d’exclusion des profanes. Et quand, en pleine Seconde Guerre mondiale, les bombardiers britanniques et américains larguent des paillettes d’aluminium pour brouiller le signal des radars allemands, ils déploient une tactique d’obfuscation préinformatique. Enfin, afficher un poker face revient bien à « obfusquer » la valeur de ses cartes en composant un visage d’une totale neutralité.
L’arme du faible
Dans leur livre Obfuscation, A User’s Guide for Privacy and Protest, Nissenbaum et Brunton (The MIT Press) proposent en 2015 une théorie inédite : dans un contexte de surveillance de masse où entreprises et États s’adonnent à un profilage abusif, l’utilisateur doit entrer en résistance avec les moyens du bord. À la différence du hacker, qui peut recourir aux solutions de chiffrement et disparaître des radars en combinant Tor avec un VPN étranger, l’internaute lambda n’accédera jamais à l’anonymat.

Pour reprendre un semblant de contrôle sur ses données, il dispose donc de « l’arme du faible », à savoir brouiller ses traces numériques en générant du bruit. Cette tactique, Nissenbaum et Brunton la définissent comme « la production, l’inclusion, l’ajout ou la communication de données trompeuses dans le but de se soustraire, de susciter la confusion et de diminuer la fiabilité (et la valeur) des agrégateurs de données ».
Couverture du livre de Finn Brunton et Helen Nissenbaum © MIT Press
Parmi les outils à disposition des résistants, les chercheurs citent TrackMeNot, une extension du navigateur Firefox qui multiplie les requêtes aléatoires dans Google pour noyer les requêtes bien réelles et empêcher le moteur de recherche d’en savoir trop sur nous. Un autre système, baptisé AdNauseam, clique automatiquement sur toutes les annonces publicitaires rencontrées au fil de la navigation en ligne et archive l’ensemble pour aider l’utilisateur à mieux comprendre ce que les traceurs pensent de lui.
Enfin, des outils tels que Spellfucker, Text Obfuscator et Bbboing se proposent de saboter notre orthographe (en recourant à la phonétique et à l’homophonie) et de rendre nos propos compréhensibles des seuls humains pour tromper les bots chargés de recueillir nos infos. Le risque, pour l’utilisateur, est de se retrouver justement assimilé à un vulgaire robot par un algorithme dégourdi, et de se faire exclure de la plateforme qui siphonne ses données.
I kan cy eaed een jour ejesse, ou les nouvelles paroles d’Hello.
« Empoisonner ses données »
Malgré la succession des data-scandales, l’obfuscation ne s’est pas démocratisée. L’intention initiale de Nissenbaum et Brunton était d’éveiller les consciences, de familiariser les citoyens numériques à la marchandisation des données personnelles pour faire pression en faveur d’une réglementation plus stricte fondée sur une éthique algorithmique claire.
Mais si l’obfuscation n’a pas pris, c’est d’abord en raison de son inefficacité. Pour Steve Bellovin, professeur en informatique à Columbia, on peut facilement filtrer le bruit créé par les applications d’obfuscation et reconstituer les parcours et les habitudes de l’utilisateur. Il estime qu’un bon tracker est tout à fait capable, face à un générateur de trafic aléatoire, d’identifier les sites que nous consultons en dormant ou ceux que nous n’avons visités qu’une seule fois.

Laura Encinas, Usbek & Rica, 12.06.18.

Publicités