GuiGui's Show

«  ChaCha20 est un algorithme de chiffrement symétrique, plus rapide qu'AES sur un matériel générique (mise en œuvre purement en logiciel), Poly1305 est un MAC, et les deux peuvent être combinés pour faire du chiffrement intègre (et cela figure désormais dans le registre sur AEAD).

[...]

À l'origine, Poly1305 était décrit comme lié à AES, pour obtenir, par chiffrement du numnique, une chaîne de bits unique et secrète. Mais, en fait, n'importe quelle fonction de chiffrement convient, pas uniquement AES. (L'article du Wikipédia anglophone sur Poly1305 continue à colporter cette erreur.)

[...]

Poly1305 nécessite de travailler avec des grands nombres et le RFC déconseille d'utiliser la plupart des bibliothèques existantes de gestion des grands nombres comme celle d'OpenSSL. Celles-ci sont trop souvent vulnérables à des attaques par mesure du temps écoulé et le RFC conseille d'utiliser uniquement des bibliothèques qui font leur travail en un temps constant, comme NaCl. »

« Depuis quelques jours, l’affaire Krach.in fait couler pas mal de pixels. Si vous avez loupé les épisodes précédents, un blogueur a été condamné à 750 euros d’amende. Son crime ? Avoir rédigé des articles liés à la sécurité informatique, des articles précis, argumentés, démonstratifs, la seule manière de faire comprendre un problème de sécurité afin de s’en prémunir… et c’était bien évidement sur la prévention des risques que ces articles étaient ciblés. »

« C'est donc à partir du mardi 2 juin et jusqu'au mardi 9 juin 2015 que le Sénat examinera en séance plénière le projet de loi Renseignement. [...]  le vote solennel est programmé le 9 juin à 15h45.

[...]

Comme nous l'avions expliqué, ce calendrier devrait faire que le projet de loi Renseignement soit promulgué cet été, à l'ombre des cocotiers. Après le vote solennel du Sénat, qui devrait intervenir avant la mi-juin, le texte devra être renvoyé en commission mixte paritaire (CMP) pour que les quatorze représentants désignés des deux chambres parlementaires se mettent d'accord sur un texte commun, qui sera ensuite soumis à l'approbation de l'Assemblée nationale et du Sénat. Ceci prendra au minimum une semaine, mais très probablement davantage. Une fois le texte définitivement adopté par le Parlement, il faudra ensuite que le président de la République saisisse le Conseil constitutionnel, lequel disposera d'un délai d'un mois pour statuer, sauf si Manuel Valls lui demande de se prononcer en urgence, ce qui ne lui accorderait que 8 jours de réflexion. »

Et n'oublions pas :  « Mardi 12 mai, la commission des lois et la commission des affaires étrangères ont entendu Bernard CAZENEUVE, ministre de l'Intérieur, et Jean-Yves LE DRIAN, ministre de la Défense, sur le projet de loi relatif au renseignement. ». Source : http://www.senat.fr/espace_presse/actualites/201505/un_projet_de_loi_pour_renforcer_les_services_de_renseignement.html

« Le 8 avril, TV5 monde a été victime d’un piratage. La chaine a cessé d’émettre, ses réseaux sociaux ont été piratés et son site web rendu indisponible. Un groupe du nom de « cyber caliphate », apparemment pro-Daesh, a revendiqué l’attaque. Le lendemain, pas moins de trois ministres (link is external), Bernard Cazeneuve, Laurent Fabius, et Fleur Pellerin, se sont déplacés dans les locaux de la chaîne pour apporter leur soutien aux équipes.

[...]

Le groupe « cyber caliphate », qui revendique l’attaque sur son site (sache qu’en cliquant sur ce lien, tu t’exposes à être signalé par les “boîtes noires” du gouvernement censées traquer les terroristes ) a aussi diffusé « des documents présentés comme des pièces d’identité et des CV de proches de soldats français impliqués dans les opérations contre l’Etat islamique. »

[...]

Contrairement aux assertions des cybers califes, on n’y trouve aucun document classé secret défense. Pêle-mêle : il y a le règlement intérieur d’une mairie, des annonces d’emploi pour des services municipaux, des extraits de budgets ou des fiches d’inscription à des activités de loisir. Ces documents ont été probablement récupérés en piratant des systèmes mal protégés (Google est magique pour faire ce genre de choses (link is external)) et présentés comme top secret pour impressionner. De quoi donner une sacrée aura à nos cyber-djihadistes.

Détail amusant, parmi ces documents, on trouve une photo d’une dame d’un certain âge, nue, dans les bois, brandissant une arbalète (link is external). Plutôt étonnant pour des gens se revendiquant d’un mouvement religieux extrémiste qui interdit aux femmes de montrer plus que leurs yeux.

[...]

Si l’on en croit les déclarations assez confuses de l’équipe de TV5 Monde, ce serait la chaîne elle-même qui aurait décidé de couper la diffusion et de mettre son site web en carafe afin d’éviter une infection plus importante de son réseau. Il est donc très probable que les pirates aient vraiment réussi à s’introduire dans le réseau de TV5 Monde. Décelant des anomalies réseaux, l’équipe technique a pris la décision de couper celui-ci.

[...]

Et là j’en viens à TV5 Monde. Couper son réseau pour interrompre une attaque, c’est un peu comme se couper une jambe pour soigner un ongle incarné. C’est une solution radicale. Peut-être que les équipes techniques ont sur-réagi, et ce serait le moins pire des scénarios. Dans le cas contraire, cela signifierait que le réseau de TV5 Monde n’est pas compartimenté et ça, c’est très mal. N’importe quel ingénieur réseau vous expliquera qu’il est inutile, voire dangereux, de connecter des machines et des fonctions qui n’ont aucun rapport entre elles. En gros, si j’arrive à prendre le contrôle de la machine à café, celle-ci étant sur le même réseau que le serveur de mail, je peux non seulement changer le nombre de sucrettes dans les cafés mais je peux aussi lire les mails de tout le monde.

Il semblerait que les bonnes pratiques en matière de sécurité ne soient pas vraiment la spécialité de TV5 Monde. Le 9 avril, le lendemain de la « cyber attaque », un reportage du JT de 13h de France 2 dans les locaux de la chaîne montre certains des mots de passe des comptes de TV5, affichés sur une simple feuille A4 derrière le journaliste interviewé. Celui de YouTube était d’ailleurs « lemotdepassedeyoutube », un mot de passe assez peu résistant à une attaque par dictionnaire (link is external)…

Ce genre de pratique jette un nouvel éclairage sur « l’exploit » technique des cybers califes.

[...]

Il est quand même fort probable qu’on ait ici affaire à quelques ados malins et un peu dérangés plutôt qu’à de vrais experts acquis à la cause de Daesh. Le texte du communiqué des cybers califes vient mettre encore un peu plus de plomb dans l’aile de la thèse de super hackers planqués au fin fond du désert à la solde de Daesh. Ainsi que l’a expliqué le journaliste de France 24 (link is external) Wassim Nasr à Arrêt sur images : « celui qui a écrit le communiqué n’a pas pour langue maternelle l’arabe. Il y a trop de fautes. » En plus des problèmes de syntaxe, explique-t-il, l’auteur du texte ne « connait pas les bases de la religion musulmane. » »

Via http://seenthis.net/messages/367769

"Ainsi commence le fascisme. Il ne dit jamais son nom, il rampe, il flotte, quand il montre le bout de son nez, on dit : C'est lui ? Vous croyez ? Il ne faut rien exagérer ! Et puis un jour on le prend dans la gueule et il est trop tard pour l'expulser."
Françoise Giroud - 1916 - 2003

« Crypto-PAn is a  cyrptography-based sanitization tool for network trace owners to anonymize the IP addresses in their traces in a prefix-preserving manner.  Crypto-PAn has the following properties:

    One-to-one  The mapping from original IP addresses to anonymized IP addresses is one-to-one.

    Prefix-preserving    In  Cyrpto-PAn, the IP address anonymization is prefix-preserving. That is, if two original IP addresses share a k-bit  prefix, their anonymized mappings will also share a  k-bit prefix.

    Consistent across traces Crypto-PAn allows multiple traces to be sanitized in a consistent way, over time and across locations.  That is, the same IP address in different traces is anonymized to the same address, even though the traces might be sanitized separately at different time and/or at different locations.

    Cryptography-based    To sanitize traces, trace owners provide Crypto-PAn a secret key.  Anonymization consistency across multiple traces  is achieved by the use of the same key.  The construction of Crypto-PAn preserves the secrecy of the key and the (pseudo)randomness of the mapping from an original IP address to its anonymized counterpart. »

« Monsieur le Député,

Je fais suite à mes mails « À propos du projet de loi relatif au renseignement » des 01/04/2015, 12/04/2015 et 03/05/2015.

Vous avez choisi de voter en faveur du projet de loi relatif au renseignement le 5 mai dernier. Je déplore ce choix et je ne comprends pas comment un texte aussi liberticide, déséquilibré et disproportionné vis-à-vis des objectifs affichés par le gouvernement a pu être adopté dans notre Assemblée. L'adoption de ce texte m'attriste au plus haut point.

Au vu de la forte mobilisation contre ce texte, vous ne pourrez pas dire que vous ne saviez pas. Vous ne pourrez pas dire que ce texte est technique alors qu'au-delà des quelques notions techniques explicitées très tôt par les médias et les opposants, on parle de concepts simples et bien-connus depuis plusieurs siècles comme la séparation des pouvoirs et la nécessité de contre-pouvoirs dans une démocratie, le droit à la vie privée, le droit à la sûreté et donc à de solides garanties et à des recours concrets pour l'ensemble des citoyens.

Tout comme aux USA ou dans l'Affaire des écoutes de l'Élysée, je constate avec désolation que le mot "antiterrorisme" fait perdre la raison et octroie tous les droits à l'exécutif. Les terroristes ont gagné : nos représentants ont peur et tuent la liberté sans apporter la sacro-sainte sécurité.

En ce qui me concerne, ce vote renforce ma défiance vis-à-vis de nos représentants élus dont 438 d'entre eux (dont vous faites partie) viennent d'agir très clairement dans ce qui me semble être le sens opposé à l'intérêt général dans une démocratie saine.

J'espère que vous ne comptez pas trop sur l'article L. 821-7 pour vous "sauver" : dans la surveillance de masse, pour faire la différence entre un parlementaire, un journaliste ou autre, il faut avoir collecté les données au préalable puis les avoir analysées et croisées avec l'identité d'une personne. Seulement ensuite on peut savoir que cette personne fait partie d'une profession "épargnée". De plus, le Premier ministre peut toujours ignorer l'avis de la CNCTR réunie. De même, les affaires type Sarkozy/Squarcini dans l'Affaire Woerth-Bettencourt ont encore de beaux jours devant elles.

En tant que citoyen, je ne me reconnais pas du tout dans ce texte de loi et je continuerai à m'y opposer jusqu'à ce que tous les recours aient été épuisés (Sénat, Conseil constitutionnel, Cour européenne des droits de l'homme, QPC, ...). Ce texte ne sera pas voté en mon nom, je n'en assumerai pas les conséquences. J'espère que votre conscience sera toujours paisible et en paix.

Cordialement. »

Excellent travail de recherche dans la jurisprudence EU pour vérifier les propos de Cazeneuve qui s'appuie sur cette jurisprudence depuis le début pour faire passer ses pires saloperies. À lire absolument.

« Bernard Cazeneuve s'est donc montré plus prudent dans un nouvel argumentaire publié vendredi dernier, cette fois-ci concentré sur le rôle de garde-fou que remplirait avec soin la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR). "L’ensemble des techniques de renseignement fait l’objet d’autorisations personnalisées, à l’exception d’une technique qui est la surveillance sur données anonymes, qui par définition est une technique de détection", écrit-il en évoquant les boîtes noires, avant d'assurer que "la CEDH admet la possibilité de la mise en place d’une telle surveillance" et que "les garanties qu’apporte le projet de loi renseignement sont parfaitement conformes à la jurisprudence de la CEDH".

Or cette fois-ci, pas de note de bas de page. Chat échaudé craint l'eau froide. Il nous a donc fallu travailler un peu plus longuement pour ré-étudier le droit européen et nous assurer qu'aucune jurisprudence de la Cour ne donnait raison à Bernard Cazeneuve.

Sans vouloir trahir le suspense, nous n'avons rien trouvé qui permette d'affirmer avec Bernard Cazeneuve que les boîtes noires seraient conformes à la jurisprudence de la CEDH (qui ne s'est jamais prononcée sur un tel dispositif de "détection de suspects") et nous avons même trouvé de solides arguments pour affirmer le contraire.

[...]

Tout d'abord, il faut savoir que l'arrêt de référence de la Cour européenne en matière de mises sous surveillance par la police est l'affaire Klaas et autres c. Allemagne, qui remonte à 1978. D'une étonnante actualité près de quarante ans plus tard, cette affaire avait permis à la CEDH d'examiner la légalité de méthodes de renseignement dans un contexte de "progrès techniques réalisés en matière d’espionnage et parallèlement de surveillance (et) en second lieu, le développement du terrorisme en Europe au cours des dernières années". Tout en reconnaissant aux États un "certain pouvoir discrétionnaire" dans l'élaboration des lois sur le renseignement, elle prévenait que les pays adhérant à la Convention européenne "ne disposent pas pour autant d'une latitude illimitée", car elle était "consciente du danger, inhérent à pareille loi, de saper, voire de détruire, la démocratie au motif de la défendre".

Dans cette affaire, la CEDH avait validé la loi de l'Allemagne de l'ouest, après avoir vérifié "l’existence de garanties adéquates et suffisantes contre les abus".  Dit autrement, comme la CEDH l'avait elle-même résumé, "la législation incriminée n’autorise pas une surveillance dite exploratoire ou générale".

Or aucune de ces trois conditions n'est réunie par le projet de loi Renseignement français, dont les boîtes noires collecteront les données de tout le monde (au minimum certains services pour établir les traitements statistiques permettant ensuite de dégager plus précisément quelques uns d'entre eux pour une surveillance plus étroite), seront installées même s'il est possible de détecter les suspects par d'autres moyens, et ne viseront bien sûr pas que les suspects ou leurs proches, puisque les boîtes noires visent à les identifier.

[...]

Autre temps, autres moeurs, diraient aujourd'hui les responsables politiques. Dans cette affaire Kruslin c. France (identique à Huvig c. France rendue le même jour), la Cour européenne avait sanctionné l'absence d'encadrement législatif des écoutes téléphoniques, qui avait permis nombre de dérives. C'est la perspective de cette condamnation inévitable qui avait permis d'adopter très vite, dès 1991, la loi sur l'encadrement des interceptions de sécurité, qui créait la fameuse Commission nationale de contrôle des interceptions de sécurité (CNCIS) que fait disparaître la loi Renseignement au profit de la CNCTR.

A cette occasion, la CEDH avait énoncé une forme de canevas de ce que devrait au minimum respecter une loi sur les écoutes judiciaires. Sans entrer dans tous les détails (lisez le point 35 de l'arrêt si ça vous intéresse), notons simplement qu'elle exigeait notamment que le juge fixe "une limite à la durée de l’exécution de la mesure". Sur le papier, la loi Renseignement respecte cette préconisation puisqu'elle prévoit que les boîtes noires soient installées pour 4 mois, mais avec des reconductions possibles ad vitam eternam. Dans l'affaire Kruslin, le fait d'imposer une durée limitée visait à poser des bornes à l'écoute d'une personne en particulier, et permettait de dire que si au bout d'un certain nombre de mois toujours aucun élément compromettant ne surgissait des transcriptions des appels, il fallait arrêter l'intrusion dans la vie privée. Mais le mécanisme du projet de loi Renseignement ne vise personne en particulier, et il sera possible de continuer à écouter tout le monde tant qu'au moins un suspect aura été découvert de temps en temps grâce aux algorithmes. Le cadre fixé par Kruslin ne tient plus et le Gouvernement le sait très bien puisqu'il n'avait même pas prévu de durée dans le projet de loi initial.

[...]

AFFAIRE MALONE C. ROYAUME-UNI (1983) : L'EXIGENCE DE CLARTÉ
A cette occasion la Cour jugeait que le droit anglais et gallois de l'époque était "à tout le moins, assez obscur et sujet à des analyses divergentes".
A cet égard, notons que dans l'affaire Prado Bugallo c. Espagne (2003) la CEDH a jugé trop imprécise la loi espagnole qui autorisait les mises sous écoutes sur décision d'un juge d'instruction "s’il existe des indices donnant à penser que l’on pourra obtenir par ce moyen la découverte ou la vérification de faits ou circonstances importants pour la procédure".

[...]

 AFFAIRE S. ET MARPER C. ROYAUME-UNI (2008) : LA COLLECTE DE DONNÉES INUTILISÉES N'EST PAS UNE EXCUSE

Enfin et même si l'on pourrait continuer l'analyse juridique plus loin, citons l'affaire S. et Marper c. Royaume-Uni, en apparence éloignée de notre sujet puisqu'elle concernait la collecte de données biométriques, mais en réalité proche.

La Cour y jugeait en effet que "le simple fait de mémoriser des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8" de la Convention européenne des droits de l'homme, "peu importe que les informations mémorisées soient ou non utilisées par la suite".

Or c'est exactement ce que prévoient les boîtes noires, en collectant l'activité des individus sur internet, sous prétexte que les données seraient "anonymes", ce que même le Gouvernement a reconnu être faux lors des débats. Les données ne sont pas anonymes, elles ne sont simplement pas explicitement reliées à l'identité de l'internaute concerné jusqu'à ce que l'algorithme suggère aux autorités de le faire. Mais comme nous l'avions vu dans notre précédent article sur la jurisprudence européenne, il importe peu à la jurisprudence européenne de savoir que les données soient liées ou non à l'identité de la personne qui fait l'objet d'une surveillance. C'est le principe-même de la collecte des données qui pose problème. »

Excellente analyse, à lire.

Les principales "faux" viennent de la différence entre ce qui est écrit dans la loi même après le passage de l'amendement bidon du gouvernement et ce qui a été promis aux hébergeurs, ce qui sera précisé dans les décrets d'application auxquels ne croit pas, à juste titre, Numerama : un décret ça dépend (encore une fois dans ce projet de loi) de l'exécutif donc ça se change sans passage par le pouvoir législatif. ;)

« 1. "La loi (au sujet des boîtes noires) s’applique uniquement dans le cadre de la lutte antiterroriste. Elle ne peut pas être appliquée pour d’autres cas, par exemple l’activisme politique"

Le texte du projet de loi adopté par les députés dit effectivement que les boîtes noires ne peuvent être ordonnées que "pour les seuls besoins de la prévention du terrorisme". Les six autres critères permettant aux services de renseignement de glaner des informations sont exclus du dispositif. Mais encore faut-il savoir ce qu'est la "prévention du terrorisme".

[...]

"Les demandes doivent être ciblées et précises. (...) Par exemple, on doit nous préciser l'IP ou l'e-mail qui doit être écouté"

Absolument rien dans le texte de la loi ne dit que les demandes doivent être "ciblées et précises". L'article 2 de la loi dispose que le Premier ministre peut imposer aux FAI et hébergeurs "la mise en oeuvre sur leurs réseaux d'un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés". Il précise que l'ordre doit préciser "le champ technique de la mise en oeuvre" de l'algorithme, et respecter le "principe de proportionnalité", mais ce n'est pas là un langage suffisant pour dire que la collecte sera "ciblée et précise". En tout état de cause, absolument rien ne permet de dire que l'Etat devra préciser par exemple l'adresse IP d'un serveur sous surveillance, ou une adresse e-mail. Ce sont là des explications fournies lors d'une réunion avec les services de l'Etat, mais ce ne sont pas des promesses retranscrites dans la loi.

[...]

"la demande ne peut pas porter sur le contenu des communications elles-mêmes. Si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées sur l’IP écoutée. Si la demande est une boîte d’e-mail, les métadonnées sont une liste des adresses e-mails qui ont communiqué avec la boîte e-mail écoutée"

Là, c'est à la fois vrai et faux. C'est vrai que les boîtes noires n'auront en principe accès qu'aux données de connexion et autres métadonnées, et pas au contenu lui-même. Est-ce rassurant ? Absolument pas, tant les métadonnées peuvent être plus intéressantes que le contenu d'une communication. Par ailleurs, c'est un grand "si", lorsque OVH dit que "si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées". Ce n'est pas du tout ce que dit la loi, et ce n'est pas non plus ce qu'a expliqué le gouvernement lors des débats. Il s'agit de croiser différentes informations pour dégager ceux dont le comportement général a des caractéristiques identiques à celles identifiées chez des terroristes en puissance. "On sait quels sont leurs comportements et on sait, par conséquent que, par la mobilisation de techniques ciblées, il est possible de prévenir leurs actes en regardant sur internet la manière dont ils se comportent", avait expliqué Bernard Cazeneuve.

[...]

"la récupération des métadonnées doit être assurée par l’hébergeur lui-même. Il n’y a donc ni intervention d’une personne extérieure ni installation de boîtes noires au sein de datacentres"

Là encore il s'agit de promesses du gouvernement, mais pas exactement de ce que dit la loi. OVH fait référence implicitement à la disposition ajoutée au cours des débats, qui prévoit que les boîtes noires devront être installées par eux. Mais l'article précise qu'elles doivent l'être dans les conditions fixées par l'actuel article L242-9 du code de la sécurité intérieure, lequel dit que les opérations ne peuvent être effectuées "que sur ordre du ministre chargé des communications électroniques". Rien ne dit que les hébergeurs sont maîtres des flux entrants et sortants. En tout état de cause, l'hébergeur doit suivre les instructions qui lui sont données sous le sceau du secret défense.

[...]

"L’exécution de la demande ne relève plus du cadre de l’urgence, c’est-à-dire qu’elle doit passer par une commission de contrôle qui doit donner son avis au préalable"

C'est effectivement une précision ajoutée lors des débats. Aucune boîte noire ne pourra être installée sans l'avis préalable (consultatif et non impératif) de la Commission nationale de contrôle des techniques de renseignement. Celle-ci aura-t-elle la pleine compréhension de ce que feront les algorithmes censés détecter les suspects ? Un des membres de la CNCTR sera désigné par l'Arcep, et il a été promis que des ingénieurs télécoms seraient recrutés pour l'épauler dans cette difficile mission de contrôle.

[...]

"Pour nos clients hébergement français et étrangers, il n’y a pas de changements, sauf si le client a une activité terroriste"

OVH part du principe que les boîtes noires seront filtrées en amont pour ne collecter que les communications à destination de clients déjà connus des services de renseignement, qui hébergent leur site terroriste ou leur adresse e-mail chez OVH. On ne reviendra pas sur le fait que la loi ne dit pas cela. Partons juste du principe que ce soit effectivement le cas. Est-ce que Islamic News, qui était hébergé chez OVH et a été bloqué pour "apologie du terrorisme" (mais en réalité pour ses opinions politiques dérangeantes), avait une "activité terroriste" ? Certainement pas. Et pourtant c'est bien l'intention du gouvernement, explicitée comme telle lors des débats parlementaires, que de regarder qui regarde et diffuse quelles propagandes sur internet.

Enfin il est intéressant d'apprendre à cette occasion qu'OVH laissera des clients avoir une "activité terroriste" sur ses services, en toute connaissance de cause, pour permettre aux services de renseignement de les espionner. OVH devra-t-il demander l'autorisation à la DGSI avant de fermer un site qui ferait explicitement l'apologie d'attentats ? »

Heu WTF les gens ? Ça a été introduit lors de l'étude en commission des lois début avril ! Cf, par exemple : http://www.nextinpact.com/news/93724-on-vous-reexplique-projet-loi-sur-renseignement.htm qui en parle déjà.

Ça colle avec les demandes de certaines personnes et groupements qui demandaient à exclure des professions. Et s'il n'y a pas médecin, par exemple, dans la liste, c'est simplement car l'Ordre des médecins n'a pas hurlé alors que le Syndicat de la Magistrature, l'Ordre des avocats et des journalistes ont protesté contre ce projet de loi. ;)

Ensuite, le Premier ministre peut toujours bypasser la commission, il n'y a que la procédure d'urgence et le quorum de la CNCTR qui divergent des "honnêtes gens". Un peu comme un Sarko qui demande à Squarcini d'identifier les sources du Monde dans l'affaire Woerth-Bettencourt. Tout ça reste possible. D'où le très bon article de Reflets : https://reflets.info/pjlrenseignement-le-pistolet-qui-tire-dans-le-pied-des-politiques/ et d'où le fait que c'est un mensonge probablement pour calmer les esprits car il est évident que les boîtes noires ne peuvent pas faire la distinction entre médecin, informaticien ou avocat ou journaliste et collecteront tout. Ce n'est qu'à la dés-anonymisation qu'ils pourront se rendre compte... mais une vie sera potentiellement brisée (selon la nature des infos récoltées) d'un point de vue du regard des surveillants.