Par le
Mots de passe compliqués, gestionnaires de mots de passe, ça vaut le coup? Jason Dent, Unsplash, CC BY
Alors que les cyberattaques se multiplient, chacun d'entre nous peut potentiellement y être confronté. Certes, nous avons tous nos astuces pour les mots de passe que nous utilisons dans nos ordinateurs et nos portables : cachés sous un clavier, écrits sur un bout de papier ou issus de la date d’anniversaire du petit dernier.
Mais comment faire pour s'assurer que son mot de passe est véritablement in-cra-qua-ble ?
De nombreuses études constatent qu’une part importante des mots de passe ne protègent pas suffisamment les utilisateurs : les mots de passe sont trop faibles et trop souvent réutilisés. Par exemple, 51 % des Français utiliseraient le même mot de passe pour des usages professionnels et personnels – une statistique que l’on retrouve aux États-Unis.
À partir d’un mot de passe, les cybercriminels pourront récupérer des informations privées en se connectant à nos comptes en ligne (messageries, réseaux sociaux, etc.), notamment nos comptes bancaires ou de e-commerce, mais aussi pénétrer sur notre ordinateur et en chiffrer le contenu en vue d’obtenir une rançon.
Le vol d’un mot de passe peut avoir des conséquences financières, mais aussi psychologiques à travers des pratiques comme le « doxxing » (publier des informations sur l’identité ou la vie privée d’une personne dans le but de lui nuire) ou le « revenge porn ». Dans le cadre professionnel, les fuites de mot de passe exposent l’entreprise à des attaques par chantage, à des « dénis de service » (des cyberattaques consistant à interrompre ou malmener le service fourni par un tiers), ou encore à de l’espionnage économique.
Les deux grandes approches utilisées par les cybercriminels pour récupérer des mots de passe sont l’ingénierie sociale et le vol de bases de données d’identifiants.
L’ingénierie sociale consiste pour le cybercriminel à convaincre sa victime de révéler son mot de passe en ayant, typiquement, recours à l’hameçonnage : la grande majorité des attaques ne ciblent pas une victime prédéfinie et ces attaques de masse ont pour but d’hameçonner des victimes quelconques. C’est seulement dans un second temps que le cybercriminel concentrera ses forces sur la personne hameçonnée.
Quant au vol de bases de données d’identifiants, l’attaque consiste généralement à pirater un site web pour voler les noms et mots de passe des utilisateurs afin de se connecter sur le compte des victimes, de les utiliser sur d’autres comptes (par exemple, le fraudeur testera les identifiants Google de sa victime sur Twitter) ou de les revendre sur le dark web. Le site web « Have I been pwned ? » permet à chacun de vérifier si son mot de passe a fuité sur Internet ; il recense actuellement presque 12 milliards de comptes dont les identifiants ont fuité.
Dans la majorité des cas, ces bases de données d’identifiants ne contiennent pas des mots de passe, mais des empreintes de mots de passe : l’empreinte est le résultat d’une fonction dite « à sens unique » qui est appliquée sur le mot de passe. Par analogie, l’empreinte est au mot de passe ce que l’empreinte digitale est à l’humain : deux mots de passe différents ont des empreintes différentes et étant donné une empreinte, on ne peut pas identifier l’humain. Mais étant donné une empreinte et un humain, on peut dire si l’empreinte provient de cet humain. Dans le cas des mots de passe, on ne peut donc pas retrouver le mot de passe à partir de son empreinte, mais on peut tester un mot de passe pour voir s’il correspond à l’empreinte : on dit alors que le mot de passe est « cassé ».
Les casseurs de mots de passe utilisent différentes approches pour tester les mots de passe les plus probables : d’abord les plus courts, puis les mots du dictionnaire et leurs variantes (par exemple « repas », puis « Repas », « RepaS », « saper », « repas1 »…) et les mots de passe fortement structurés (par exemple démarrant par une majuscule, puis des minuscules, des chiffres et enfin des caractères spéciaux).
Les casseurs modernes peuvent également utiliser des techniques évoluées reposant sur l’intelligence artificielle ou l’algorithmique.
Enfin, tous les mots de passe possibles sont testés si les autres tentatives ont échoué : c’est ce que l’on appelle une recherche exhaustive, qui a généralement peu d’espoir de rencontrer un succès en un temps raisonnable. Notamment, les attaques qui consistent à tester directement sur un site web différents mots de passe pour un utilisateur donné jusqu’à réussir à se connecter sont peu praticables : elles sont très lentes à cause du temps de réponse du serveur web et facilement détectables.
Pour se protéger efficacement, il faut utiliser des mots de passe robustes, ne pas utiliser un même mot de passe pour plusieurs usages et changer de mots de passe régulièrement.
Pour qu’un mot de passe soit robuste, il faut qu’il soit choisi aléatoirement dans un ensemble de mots de passe ayant la même chance d’être choisis : par exemple, un mot présent dans le dictionnaire serait cassé en une poignée de secondes. Ajouter une majuscule ou des chiffres à la fin n’apporte qu’une sécurité illusoire.
Afin de mesurer la robustesse d’un mot de passe choisi aléatoirement (cas idéal, rarement atteint sans gestionnaire de mots de passe), on compte le nombre de tests que devra faire un pirate dans le pire des cas pour le casser. Cette valeur est généralement calculée par la formule nc_ où c est la longueur du mot de passe et n la taille de l’ensemble des éléments parmi lesquels piocher pour composer le mot de passe. Par exemple, dans le cas d’un mot de passe de longueur 8 (c=8), composé de lettres minuscules uniquement (n=26), le pirate devra tester 268 mots de passe (soit 208 milliards) dans le pire des cas. Bien que le chiffre semble astronomique, un ordinateur standard mettra moins d’une seconde pour le casser en utilisant la puissance de calcul de sa carte graphique.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) définit la robustesse d’un mot de passe par la taille de l’espace dans lequel il est choisi aléatoirement, et distingue quatre catégories.
Un mot de passe aléatoire, construit à partir d’un alphabet constitué de lettres, de chiffres et de 8 caractères spéciaux, devra ainsi contenir au moins 17 caractères (par exemple, « b !sDzf5w,5+W2s3k ») pour être considéré comme fort selon l’ANSSI, et il sera considéré comme très faible s’il est de taille inférieure ou égale à 10 caractères (« b !sDzf5w,5 »). Même très faible, le mot de passe sera difficile à mémoriser… surtout qu’il faut en mémoriser des dizaines !
Pour faciliter la mémorisation des mots de passe, une technique de plus en plus recommandée consiste à utiliser des « phrases de passe », c’est-à-dire des suites de mots choisis aléatoirement. Une phrase de passe de sept mots choisis dans un dictionnaire de 60000 mots pourrait ainsi être « contrefort fatalement semelle signifié distance revergète fourguer », plus facile à mémoriser que « b !sDzf5w,5+W2s3k » pour une sécurité équivalente.
Mais il est difficile pour un humain de choisir aléatoirement des mots dans un ensemble suffisamment grand, car nous n’utilisons que quelques centaines de mots au quotidien. Il est alors conseillé de rajouter des minuscules, majuscules et caractères spéciaux dans la phrase de passe.
Un gestionnaire de mots de passe est une application qui stocke de manière sécurisée tous les mots de passe de l’utilisateur pour qu’il n’ait pas besoin de les mémoriser. Il lui suffit de se souvenir d’un seul mot de passe, le mot de passe maître, qui doit être le plus fort possible tout en restant mémorisable. L’utilisation d’un gestionnaire de mots de passe, par exemple KeyPass, est recommandée par les grands acteurs de la cybersécurité tels que l’ANSSI, son homologue allemand, le BSI ou l’agence européenne ENISA, ainsi que par des organisations comme Reporters sans Frontières. Certains gestionnaires de mots de passe sont stockés dans le cloud, par exemple Bitwarden (gratuit et open source), 1Password (payant), DashLane (payant), ou encore LastPass (payant, mais il existe une version gratuite assez évoluée) qui est le gestionnaire le plus utilisé mais aussi le plus attaqué.
Notons que les gestionnaires intégrés dans les navigateurs (qui ne nécessitent pas d’installation) ne sont pas recommandés pour des raisons de sécurité, comme le souligne le BSI allemand.
Dans le cas où le gestionnaire stocke les mots de passe dans le cloud, il est fondamental que les mots de passe maîtres soient forts, au sens de l’ANSSI. Dans le cas contraire, un prestataire ayant accès au cloud pourrait les casser et ainsi accéder à tous les mots de passe qu’ils protègent. Il s’agit d’une menace sérieuse à prendre en compte par les entreprises, dans un monde où l’espionnage économique est légion. Recommander aux entreprises d’héberger elles-mêmes les gestionnaires de mots de passe de leurs employés n’est certainement pas un excès de prudence.
Enfin, l’usage de l’authentification par double facteur (par exemple la réception d’un code par mail) est fortement recommandé… même s’il ne faut pas pour autant baisser la garde.
Diane Leblanc-Albarel, Doctorante en Cybersécurité, INSA Rennes et Gildas Avoine, Professeur en Cybersécurité, INSA Rennes
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
Par le
Grâce à l'« intrication », on peut aujourd'hui crypter les communications quantiques sur une centaine de kilomètres. Fabio Ballasina, Unsplash, CC BY
« Téléportation Scotty ! », ces mots célèbres sont ceux du Capitaine Kirk de la fameuse série Star Trek à la fin des années 60 à son ingénieur de vaisseau pour qu’il puisse le téléporter du vaisseau spatial Enterprise à une planète à explorer à proximité.
Si la téléportation de Kirk n’est pas pour demain, la physique quantique a montré que la téléportation est possible dans des conditions très particulières : pour de tout petits systèmes, comme la lumière, et s’ils sont bien « protégés ». La téléportation quantique est connue théoriquement depuis le début du XXe siècle, a été démontrée expérimentalement dans sa seconde moitié, et aujourd’hui, ce phénomène est utilisé pour des applications bien concrètes… et notamment pour développer ce que l’on appelle l’« Internet quantique ».
Nos télécommunications actuelles, dont Internet, reposent sur des échanges d’informations codées, qui transitent, souvent sur de la lumière, via des fibres optiques ou à l’air libre entre les antennes relais et les téléphones et jusqu’aux satellites en orbite autour de la Terre. Un Internet quantique utiliserait les propriétés quantiques de la lumière, et en particulier le fait de l’on peut « intriquer » les particules de lumière, ce qui permet de « téléporter » l’information que portent ces particules. Ces propriétés permettraient d’échanger des informations de manière cryptée et infalsifiable, ce qui a des applications en cryptographie et donc pour la cybersécurité.
Des communications quantiques cryptées peuvent à l’heure actuelle être maintenues sur une distance maximale d’une centaine de kilomètres – ce qui reste un peu court pour les télécoms mondiales… mais des solutions techniques sont en développement.
Il existe de nos jours différents protocoles de cryptographie quantique et plusieurs entreprises et start-up sont sur ce marché de niche mais en pleine expansion.
Le but ultime de la cryptographie est de crypter ou cacher un message qui ne doit être lu que par la personne que nous avons en tête, appelons cette personne Bob. Pour cela, l’expéditrice, que l’on appelle Alice, doit générer une clé cryptée qu’elle pourra combiner à son message pour le cacher du reste du monde. Bob, de son côté, doit être le seul à avoir cette même clé pour pouvoir décrypter le message (il fera en fait l’opération inverse du cryptage d’Alice pour décrypter le message).
On commence par coder le message « Passe prendre le pain s’il te plaît » par une série de 1 et de 0, c’est le codage binaire. Puis on crypte le message en générant en parallèle de celui-ci, une clé cryptée faite également de 1 et de 0, et qui sera combinée au message. Mais ce système de cryptage possède plusieurs défauts si l’on veut qu’il soit sécurisé. Tout d’abord, il faut générer une clé qui soit aussi longue que le message (en termes de 1 et de 0), de façon le plus aléatoire possible – pour qu’on ne puisse pas la prédire – ce qui est possible mais à un coût économique et énergétique très grand.
Dans les faits, ces clés que l’on utilise ne sont pas complètement aléatoires. Et surtout, elles sont réutilisées en tout ou partie, ce qui pose de sérieuses questions de sécurité. Le deuxième souci technique de cette méthode est qu’elle suppose que la clé est partagée de façon sécurisée entre Alice et Bob à un moment donné. A minima, cela sous-entend qu’ils doivent se rencontrer de temps en temps pour se donner une série de clés cryptées pour leurs futurs échanges. Il existe plusieurs façons de crypter les messages mais en général, tous les systèmes classiques actuels de cryptage/décryptage vont souffrir de ces inconvénients.
C’est là que la cryptographie quantique peut apporter des solutions.
L’intrication quantique une forme de « super-corrélation » entre deux systèmes quantiques.
Prenons des pièces truquées de telle façon que si on lance ces deux pièces en même temps, le résultat sera toujours face/face. Il s’agit ici d’une corrélation.
Supposons à présent que les pièces ne sont pas truquées. Alice et Bob en possèdent chacun une. Lorsqu’ils vont lancer ces pièces, ils vont chacun d’entre eux trouver, de façon aléatoire, pile ou face. Les lancers des deux pièces ne sont plus corrélés. Il y a une probabilité de 25 % de tomber sur face/face, ainsi que de tomber sur pile/pile, pile/face, face/pile : les quatre résultats sont équiprobables, contrairement à l’expérience de corrélations où la probabilité de trouver face/face est de 100 % et de 0 % pour les autres options.
En revanche, si les deux pièces sont intriquées l’une avec l’autre, elles ne sont pas truquées pour tomber toujours sur face, mais pour tomber toujours du même côté que l’autre pièce. Alice a une probabilité de 50 % de trouver pile et 50 % de trouver face ; de même pour Bob. Mais lorsque Alice et Bob vont comparer leurs résultats sur un grand nombre de lancers de pièce, ils réaliseront que les résultats sont parfaitement corrélés : si la pièce d’Alice est tombée sur pile, celle de Bob aussi, et vice versa (en pratique, on peut préparer les systèmes quantiques pour qu’ils soient corrélés – face/face – ou anticorrélés – pile/face – mais l’idée est la même).
Ce qui est le plus impressionnant (et contre-intuitif), c’est que cette propriété est vraie quelle que soit la distance qui sépare Alice et Bob – et c’est ce phénomène « non-local » qui est à l’origine de la « téléportation » de l’information.’)
L’intrication quantique peut être utilisée pour servir de clé de cryptage. En partageant un système quantique intriqué, seuls Alice et Bob possèdent des corrélations parfaites entre leurs pièces : ils sont surs que cette clé, combinée à un message, ne pourra être décryptée que par eux.
C’est donc la nature quantique de la lumière, qui garantit gratuitement et naturellement la sécurité du système d’échange.
On peut créer des états quantiques sur un photon, ce grain de lumière qui constitue la lumière et qui est intrinsèquement quantique – dans le domaine de l’informatique quantique on parle de « coder des bits quantiques » (ou qubit) d’information. En effet, les photons peuvent être dans deux états de polarisation, qui jouent le rôle des « pile » et « face » des pièces d’Alice et Bob.
C’est précisément ce que John Clauser, dans les années 70, et Alain Aspect, dans les années 80, ont étudié avec leurs équipes : l’intrication « en polarisation » de paires de photons émis par des atomes qui se trouvaient dans une chambre à vide, en utilisant ce que l’on appelle la cascade atomique d’atomes de calcium. Cependant, cette méthode de produire des paires de photons n’est pas simple (d’où le prix Nobel).
Anton Zeilinger et son équipe ont ensuite réussi à créer des paires de photons intriqués en polarisation, mais en utilisant les propriétés de l’optique non-linéaire. Cette expérience n’est pas simple non plus, mais elle est plus facile à mettre en place et a donc permis le développement d’applications beaucoup plus rapidement, notamment dans les communications quantiques (d’où le prix Nobel aussi).
Ces sources de photons intriqués sont indispensables à Alice et Bob pour s’envoyer des messages.
Mais clairement, même s’il existe des entreprises qui vendent des systèmes de cryptographie quantique, même si tout s’accélère rapidement, le rêve d’un Internet quantique n’est pas encore pour demain. Bon nombre d’obstacles restent sur le chemin.
Par exemple, aujourd’hui, les sources les plus sophistiquées permettent au mieux de générer plusieurs millions de paires de photons par seconde, ce qui est encore mille fois moins que ce qu’il faudrait pour vraiment pouvoir déployer ce dispositif quantique.
De plus, l’intrication quantique est un phénomène fragile, ce qui limite toujours la distance sur laquelle on peut la maintenir et donc crypter les communications (avec une distance maximale d’une centaine de kilomètres).
Un peu comme nous avons besoin d’antenne-relai pour transmettre nos messages sur de grandes distances, Alice et Bob vont utiliser des « répéteurs quantiques » pour s’assurer que le signal ne perd pas en intensité et stocker l’information dans des « mémoires quantiques » – qui sont elles aussi des objets très difficiles à fabriquer et contrôler.
Tout cela ne fait que renforcer l’idée que les technologies quantiques restent fascinantes et qu’elles se développeront dans les prochaines décennies à venir, tout comme l’Internet et les fibres optiques se sont déployés dans les quarante dernières années.
Christophe Couteau, Enseignant-chercheur en physique quantique, Université de Technologie de Troyes (UTT)
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
Par le
Mastodon est-il l'eldorado des déçus de Twitter? Davide Bonaldo/SOPA Images/LightRocket via Getty Images
À la suite de la prise de contrôle bruyante de Twitter par Elon Musk, nombreux sont ceux qui ont cherché des alternatives à la plate-forme de microblogging de plus en plus toxique. Beaucoup se sont tournés vers Mastodon, qui a attiré des centaines de milliers de nouveaux utilisateurs depuis le rachat de Twitter.
À l’instar de Twitter, Mastodon permet aux utilisateurs de publier des messages, de suivre des personnes et des organisations, d’aimer et de rediffuser les messages des autres.
Mais si Mastodon prend en charge un grand nombre de fonctions identiques à celles que Twitter propose, il ne s’agit pas d’une plate-forme unique. Il s’agit plutôt d’une fédération de serveurs interconnectés et gérés indépendamment. Les serveurs Mastodon sont basés sur un logiciel libre développé par l’organisation allemande à but non lucratif Mastodon gGmbH. Les serveurs Mastodon interconnectés, ainsi que les autres serveurs qui peuvent « parler » aux serveurs Mastodon, sont collectivement appelés le « fédiverse ».
Un aspect clé du « fédiverse » est que chaque serveur est régi par des règles établies par les personnes qui le gèrent. Si vous considérez le « fediverse » comme une université, chaque serveur Mastodon est comme un dortoir.
Le dortoir dans lequel vous êtes initialement assigné peut être quelque peu aléatoire, mais il influence profondément le type de conversations auxquelles vous accédez et les relations que vous établissez. Vous pouvez toujours interagir avec les personnes qui vivent dans d’autres dortoirs, mais les chefs et les règles de votre dortoir déterminent ce que vous pouvez faire.
Si vous n’êtes pas satisfait de votre résidence, vous pouvez déménager dans une autre résidence – une sororité, un appartement – qui vous convient mieux, et vous emmenez vos relations avec vous. Mais vous êtes alors soumis aux règles du nouvel endroit où vous vivez. Il existe des centaines de serveurs Mastodon, appelés instances, où vous pouvez créer votre compte, et ces instances ont des règles et des normes différentes concernant les personnes qui peuvent s’y joindre et le contenu autorisé.
À l’inverse, les plates-formes de médias sociaux comme Twitter et Facebook placent tout le monde dans un seul et gigantesque dortoir. Au fur et à mesure que des millions ou des milliards de personnes se sont inscrites, les entreprises qui gèrent ces plates-formes ont ajouté des étages et des chambres. Tout le monde peut communiquer et, théoriquement, participer aux conversations des autres au sein du dortoir, mais tout le monde doit aussi vivre selon les mêmes règles.
Si vous n’aimiez pas ou ne suiviez pas les règles, vous deviez quitter le méga-dortoir, mais vous ne pouviez pas apporter vos relations avec vous dans votre nouveau logement – une plate-forme de médias sociaux différente – ou parler aux personnes qui étaient restées dans votre méga-dortoir initial. Ces plates-formes ont exploité la peur de manquer une information pour enfermer les gens dans un dortoir hautement surveillé où leur comportement, par ailleurs privé, était exploité pour vendre des publicités.
Les grandes entreprises de médias sociaux vendent des publicités pour payer deux services principaux : l’infrastructure technique du matériel et des logiciels qui permet aux utilisateurs d’accéder à la plate-forme, et l’infrastructure sociale de la convivialité, de la politique et de la modération du contenu qui maintient la plate-forme en conformité avec les attentes et les règles des utilisateurs.
Dans la collection de serveurs Mastodon, si vous n’aimez pas ce que fait quelqu’un, vous pouvez couper les liens et passer à un autre serveur tout en conservant les relations que vous avez déjà établies. Cela élimine la crainte de manquer quelque chose qui pourrait enfermer les utilisateurs dans un serveur où ils devraient supporter le mauvais comportement d’autres personnes.
Il y a quelques facteurs qui devraient mettre les serveurs Mastodon sous forte pression pour modérer activement et de manière responsable le comportement de leurs membres. Tout d’abord, la plupart des serveurs ne veulent pas que les autres serveurs coupent complètement les liens, il y a donc une forte pression de réputation pour contrôler le comportement des membres et ne pas tolérer les trolls et les harceleurs.
[Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]
Deuxièmement, les gens peuvent migrer entre les serveurs relativement facilement, de sorte que les administrateurs de serveurs peuvent rivaliser pour offrir la meilleure expérience de modération, celle qui attire et retient les gens.
Troisièmement, les coûts techniques et financiers de la création d’un nouveau serveur sont beaucoup plus importants que les coûts de modération d’un serveur. Cela devrait limiter le nombre de nouveaux serveurs qui apparaissent pour échapper aux interdictions, ce qui éviterait le défi sans fin des comptes de spam et de trolls auquel les grandes plates-formes de médias sociaux doivent faire face.
Le modèle de serveur fédéré de Mastodon présente également des inconvénients potentiels. Tout d’abord, il peut être difficile de trouver un serveur à rejoindre sur Mastodon, surtout lorsqu’un flot de personnes essayant de trouver des serveurs entraîne la création de listes d’attente, et que les règles et les valeurs des personnes qui gèrent un serveur ne sont pas toujours faciles à trouver.
Ensuite, il y a des défis financiers et techniques importants à relever pour maintenir des serveurs qui grandissent avec le nombre de membres et leur activité. Une fois la lune de miel terminée, les utilisateurs de Mastodon doivent se préparer à payer des frais d’adhésion, à participer à des campagnes de collecte de fonds ou à voir des publicités promotionnelles pour couvrir les coûts d’hébergement des serveurs, qui peuvent atteindre plusieurs centaines de dollars par mois et par serveur.
Malgré les appels lancés aux journaux, aux universités et aux gouvernements pour qu’ils hébergent leurs propres serveurs, il existe des questions juridiques et professionnelles compliquées qui pourraient sérieusement limiter les capacités des institutions publiques à modérer efficacement leurs « dortoirs ». Les sociétés qui disposent de leurs propres méthodes de vérification et de codes de conduite et établis pourraient être mieux équipées pour héberger et modérer les serveurs Mastodon que d’autres types d’institutions.
Autre problème, l’actuelle « option nucléaire » des serveurs qui coupent complètement les liens avec d’autres serveurs laisse peu de place à la réparation des relations et au réengagement. Une fois le lien entre deux serveurs rompu, il est difficile de le renouer. Cette situation pourrait entraîner des migrations d’utilisateurs déstabilisantes et renforcer les chambres d’écho polarisantes.
Enfin, il existe des tensions entre les utilisateurs de longue date de Mastodon et les nouveaux venus autour des avertissements de contenu, des hashtags, de la visibilité des messages, de l’accessibilité et du ton qui diffèrent de ce qui était populaire sur Twitter.
Malgré l’effondrement de Twitter et les problèmes persistants avec les principales plates-formes de médias sociaux, pour beaucoup de gens, le nouveau pays de Mastodon et du « fédiverse » n’est pas forcément idéal.
Brian C. Keegan, Assistant Professor of Information Science, University of Colorado Boulder
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
Par le
Après plus de six mois de péripéties qui ont jusqu’au dernier moment laissé planer le doute sur l’issue de ce processus, Elon Musk a pris le contrôle de Twitter le 27 octobre dernier. Les soubresauts et revirements qui ont caractérisé la phase d’acquisition de la plate-forme préfigurent-ils ce que sera désormais le quotidien de l’entreprise ?
Comme il l’a sans cesse répété, le nouveau propriétaire des lieux compte « rétablir » la liberté d’expression sur la plate-forme : il l’a réitéré dès qu’il a pris les commandes, dans un tweet proclamant que
Pourtant, il réalise d’ores et déjà que sa marge de manœuvre dans ce domaine est, en fait, très limitée.
Si elle se met en place comme souhaité par celui qui, le Jour J, se décrivait comme « Chief Twit » sur son profil Twitter, cette politique non interventionniste ne serait en réalité pas fondamentalement nouvelle pour la plate-forme : il s’agirait plutôt d’un retour aux sources, remontant à une époque où l’entreprise de l’oiseau bleu, dans la naïveté et l’idéalisme de ses jeunes années, se décrivait comme «
Or, si Twitter s’est progressivement écarté de cette posture initiale, c’est précisément parce qu’elle n’était pas tenable.
[Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd'hui]
Dans son ouvrage Custodians of the Internet, qui fait référence dans le domaine, le chercheur Tarleton Gillespie n’hésite pas à présenter la modération comme consubstantielle (« essentielle, constitutionnelle, définitionnelle ») aux plates-formes numériques : ce serait donc méconnaître leur nature même que de prétendre réduire cette activité à sa plus simple expression. Membre du Conseil Confiance et Sécurité (Trust and Security Council) de Twitter, la juriste Danielle Citron n’a pas exprimé autre chose lorsqu’elle a
L’expérience confirme l’écart béant entre les promesses d’une expression sans garde-fous avancées par certaines plates-formes à leurs débuts et les pratiques qui finissent par prendre forme sur celles-ci. Créées au cours des dernières années, les plates-formes Parler, Gettr ou Truth Social, s’étaient d’emblée présentées comme étant un refuge pour la liberté d’expression. Dans les faits, elles se sont rapidement converties à un filtrage intensif des contenus publiés par leurs utilisateurs, par exemple s’agissant de posts dénonçant l’invasion du Capitole par les partisans de Donald Trump le 6 janvier 2021. En outre, ces décisions de retrait se prennent souvent sur la base de critères non transparents, puisque leurs conditions d’utilisation sont parfois extrêmement succinctes ou se limitent à des formulations génériques sur ce point.
Le jour même de la prise de contrôle, le nouveau patron a tenu à rassurer les annonceurs sur le fait que la plate-forme ne deviendrait pas « un enfer où tout est permis », reconnaissant de fait la nécessité de la modération.
Il ne peut en effet ignorer l’impératif économique de préserver la capacité d’attraction de cet environnement numérique pour l’utilisateur moyen, et donc pour les compagnies qui souhaitent y déployer leurs efforts publicitaires. Tout sauf un détail pour une entreprise qui, pour l’heure, tire 90 % de ses revenus de la publicité.
Conscientes de la force de ce moyen de pression, plus d’une cinquantaine d’ONG ont récemment publié une lettre ouverte adressée aux vingt entreprises qui investissent le plus en publicité sur Twitter, pour les enjoindre à exiger que soient conservées les « pratiques basiques de modération déjà en vigueur sur la plate-forme ». Plusieurs compagnies ont d’ores et déjà annoncé suspendre leurs dépenses de marketing sur le réseau social. Bien que Musk ait cherché à rassurer en rappelant que les règles et pratiques existantes restaient
D’autres motifs économiques sont susceptibles de réduire substantiellement la marge de manœuvre du multimilliardaire. La grande majorité de sa fortune est constituée d’actions Tesla, qui ont perdu plus d’un tiers de leur valeur depuis qu’il a annoncé son intention d’acquérir le réseau social. En outre, compte tenu de ce contexte et des volumes concernés, Musk ne peut massivement convertir ces actifs en liquidités sans aggraver cette tendance à la baisse. Il a donc dû emprunter 13 milliards de dollars auprès de banques, ce qui le place dans l’obligation de générer un retour sur investissement, alors même que l’entreprise n’a été profitable qu’à deux reprises au cours de la décennie écoulée.
Cette configuration place Musk en porte-à-faux avec ses propres déclarations d’avril dernier, lorsqu’il
Une autre partie de son schéma de financement repose, à hauteur de 7 milliards de dollars, sur des apports d’une vingtaine d’investisseurs partenaires, qui ont également des attentes en termes de rentabilité. Une partie de ces fonds dépend des gouvernements du Qatar et de l’Arabie saoudite, qui risquent fort de ne pas partager les vues de Musk en matière de liberté d’expression.
Enfin, les multiples intérêts industriels de Musk, sources de revenus autant que de prestige personnel, pourraient être utilisés par divers gouvernements comme autant de moyens de pression pour que le chef d’entreprises prenne des décisions dans le sens désiré, y compris concernant les contenus disponibles sur ce qui constitue désormais « sa » plate-forme. Musk serait-il capable de ne pas donner suite à des exigences émanant de Pékin alors que la Chine est le second marché pour Tesla, qui vient d’ouvrir une usine géante à Shanghai ? Même si Twitter n’est pas autorisé en Chine, le gouvernement de Xi Jinping pourrait tenter d’exiger le retrait de certains contenus jugés inconvenants, du moment qu’ils sont disponibles sur la plate-forme dans le reste du monde.
Ironie du calendrier, le processus d’acquisition de Twitter par Musk et celui de l’adoption du « Digital Services Act » (DSA), législation européenne qui régulera de façon inédite le secteur du numérique, ont à deux reprises franchi des étapes clés de façon synchronisée : en avril, l’annonce du projet de rachat de la plate-forme par le milliardaire avait coïncidé, à deux jours près, avec la conclusion d’un accord politique entre institutions communautaires sur ce texte.
Six mois plus tard, l’acquisition est devenue effective au même moment où le texte législatif a été publié au Journal Officiel. Bien que fruit du hasard, cette concomitance a le mérite de souligner que limiter au strict minimum la modération sur Twitter n’est plus une option dans le cadre européen. Le Commissaire européen chargé du marché intérieur Thierry Breton a d’ailleurs souhaité le rappeler à Elon Musk, filant la métaphore que celui-ci avait amorcée un peu plus tôt.
Aux États-Unis, la modération des contenus ne fait pas l’objet d’une régulation au plan fédéral, sauf pour les cas particuliers liés au copyright et à la pédopornographie. Cependant, la fameuse « section 230 » du Communication Decency Act, qui garantit aux plates-formes une très large marge de manœuvre en la matière, est au centre de débats législatifs et pourrait être réformée à moyen terme dans un sens plus restrictif.
Dans le cadre étasunien, Musk est d’ores est déjà exposé aux effets produits par le haut degré de politisation la modération en ligne : les Démocrates poussent pour une plus grande intervention des plates-formes sur les contenus, à l’inverse des Républicains qui dénoncent une forme de « censure ». Dès lors, les décisions les plus emblématiques dans ce domaine sont systématiquement interprétées sous un angle partisan. Comme Musk est désormais le seul propriétaire de Twitter et qu’il a licencié l’ensemble de l’équipe dirigeante antérieure, ces mêmes décisions sont également vues comme les siennes.
Même s’il n’a jamais cherché à être perçu comme un acteur neutre – il ne fait maintenant guère
Pour échapper à ce statut peu confortable, il a annoncé la future création d’un «
En l’occurrence, ce nouvel organe très fortement inspiré de l’« Oversight Board » de Meta devra, une fois créé, délibérer pour confirmer ou annuler le choix fait par Twitter en janvier 2020 de suspendre indéfiniment le compte de Donald Trump.
Dans le même ordre d’idées, Musk s’est réuni en ligne le 1er novembre avec des organisations civiles de défense des droits, et leur a garanti que toute décision au sujet d’une éventuelle réintégration de Trump sur la plate-forme devra nécessairement être prise au terme d’un «
Cette stratégie de mise à distance des décisions sensibles, qui est loin d’être un fait nouveau dans l’univers des réseaux sociaux, révèle que Musk est en train de découvrir les implications de sa prise de contrôle. Ces premières mesures, qui entament sérieusement la portée de ses engagements initiaux, préfigurent une gouvernance de Twitter qui sera caractérisée par des tensions insolubles entre les aspirations libertaires de Musk et les contraintes pratiques auxquelles toute plate-forme de réseau social est désormais exposée.
Barthélémy Michalon, Professeur au Tec de Monterrey (Mexique) - Doctorant en Sciences Politiques, mention RI, Sciences Po
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
