Je déjeunais hier avec mon poussient dans une brasserie quelconque,
et nous n'avons pas pu nous empêcher d'entendre la conversation de la
table voisine, qui portait sur l'usage d'Internet. Le genre de
conversation qui a tendance à m'alarmer que les gens puissent être
d'une ignorance aussi profonde. Bon, en l'occurrence, ce n'était pas
si affolant que ça (et les personnes en question étaient probablement
septuagénaires, ce qui compte comme circonstance atténuante face aux
nouvelles technologies), leur façon de discuter de la barre
d'URL du navigateur était plutôt drole qu'effrayante, et
il n'est pas très clair si c'était le genre de personnes qui
tapent Google
dans la barre de recherche de Google pour pouvoir
accéder à Google et faire leur recherche (si, si, ça existe), mais ce
qui m'a surtout frappé, c'est la façon dont elles avaient l'air de
considérer Internet comme un truc géré par une sorte d'autorité
centrale, comme si leur navigateur Web, leur fournisseur Internet,
Google, et la plupart des sites Web relevaient d'une unique
organisation. Est-ce vraiment une erreur grave de ne pas comprendre
que ce sont des choses totalement séparées ? En un sens, oui, parce
que seule une compréhension minimale des acteurs en présence permet
d'espérer s'armer correctement contre les arnaques et les trous de
sécurité (il faut commencer par comprendre que votre navigateur est
votre allié — même s'il peut souffrir de problèmes de sécurité — et
que Google l'est un petit peu, mais qu'un site Web aléatoire doit être
vu avec soupçon sauf si on est certain qu'il est bien ce qu'il prétend
être).
Je me suis souvent dit, puisqu'on exige des utilisateurs d'une voiture qu'ils aient un permis de conduire lorsqu'ils veulent s'en servir sur les routes, ne faudrait-il pas demander des internautes potentiels, lorsqu'ils veulent souscrire à un abonnement Internet, de passer d'abord un permis de surfer qui attesterait de leur maîtrise de certains concepts très basiques, par exemple :
- comprendre qu'Internet est un réseau décentralisé d'ordinateurs, et que le Web en est sa face la plus visible (et savoir un petit peu la différence entre ces deux termes),
- savoir qu'un navigateur Web est un logiciel qui permet de consulter des pages Web, et qu'il y en a plusieurs possibles (et peut-être aussi savoir ce qu'est un système d'exploitation, et qu'il y en a plusieurs possibles),
- savoir un minimum utiliser son navigateur, par exemple créer un bookmark, ouvrir un nouvel onglet, etc. (mais pas forcément : ces choses n'ont guère d'impact sur la sécurité),
- comprendre un petit peu comment est organisée l'adresse d'une page
Web (et peut-être le terme URL), par exemple pour savoir
que quand on va visiter
http://www.example.tld/blah.htmlon se connecte à l'ordinateur nomméwww.example.tldqui est géré par la personne qui a loué le domaineexample.tld, - en particulier, comprendre la différence entre saisir une adresse Web et rechercher un mot-clé dans un moteur de recherche ou dans l'historique du navigateur,
- comprendre comment sont attribués les noms de domaine (notamment, que l'identité de personne n'est vérifiée, sauf pour le HTTPS, et encore pas grand-chose),
- comprendre les rudiments de la sécurité : savoir choisir un mot de passe, savoir le faire retenir à son navigateur, savoir qui peut connaître ce mot de passe, etc., et aussi comprendre la notion de trou de sécurité, de virus, etc.,
- comprendre les bases de l'anonymat : ce qu'un site Web peut savoir de vous (et pour commencer, ce qu'est une adresse IP), ce qu'est un cookie, etc.
Tout cela serait sanctionné par un petit QCM, beaucoup plus facile que pour le code de la route (les questions possibles seraient moins nombreuses, on en aurait vite fait le tour : l'idée serait que n'importe qui puisse apprendre les connaissances requises en un jour ou deux). Rendre la chose obligatoire, même simplement pour souscrire à une offre ADSL/fibre (pas question d'exiger ça pour rentrer dans un cybercafé), est sans doute un chouïa liberticide, mais on peut peut-être imaginer des mesures incitatives, juste proposer ces cours gratuitement comme on fait des cours de secourisme, il y a sans doute des possibilités.
Pourquoi ? Parce qu'il est faux de dire que celui qui connecte son ordinateur à Internet sans comprendre quoi que ce soit à la sécurité ne met en péril que son propre ordinateur : si cet ordinateur se retrouve enrôlé dans un botnet (voilà un concept qu'il faudrait introduire dans un cours de ce genre), il cause du mal à tous les internautes et à Internet dans son ensemble, il peut participer à des attaques DDoS ou à l'envoi de spam, dont l'utilisateur ne sera pas judiciairement responsable mais qui méritent sans doute qu'on s'en soucie.
Bon, en fait, ce qui me pose surtout problème, c'est que si on instaurait un tel brevet de sécurité, d'aucuns se précipiteraient pour y mettre de la propagande sur la propriété intellectuelle. (Voyez les affiches totalement ridicules que l'HADOPI nous a récemment concoctées.)