Ou comment entreprises informatiques et gouvernements tentent de gérer la censure des contenus terroristes en ligne ?
Le web est connu pour avoir quasiment Ă©liminĂ© toute barriĂšre dâentrĂ©e Ă la publication. Auparavant, les obstacles Ă la publication Ă©taient multiples. Pour le livre il fallait trouver un Ă©diteur, ou au moins rĂ©unir de lâargent et trouver un imprimeur, pour diffuser une idĂ©e qui aurait, de toute façon, une circulation matĂ©riellement assez restreinte. Et de nombreux agents (Ă©diteur, radio, tĂ©lĂ©vision, etc.) jouaient un rĂŽle de filtre permettant dâempĂȘcher assez facilement la circulation des idĂ©es les plus « dangereuses ». Ce systĂšme avait de nombreux revers, comme de limiter souvent indĂ»ment la circulation dâidĂ©es qui, jugĂ©es dangereuses par les gardiens du temple, nâĂ©taient en rĂ©alitĂ© quâexcentriques ou originales, quand ce nâest pas tout simplement « en avance sur leur temps ». Mais au moins le systĂšme rendait son office sur un point : les idĂ©es les plus dangereuses nâaccĂ©daient pas facilement Ă la publication.
Avec le web, elles le peuvent. Le coĂ»t de publication y est ramenĂ© Ă un niveau trĂšs bas, quand il nâest pas nul, et gĂ©nĂ©ralement les compĂ©tences et moyens matĂ©riels Ă rĂ©unir pour pouvoir publier sont trĂšs faibles. Par ailleurs, le systĂšme est extrĂȘmement dĂ©centralisĂ© : il nây a plus, si on veut, dâĂ©diteurs contrĂŽlant la porte dâentrĂ©e, juste des millions et des millions dâimprimeurs web qui, rĂ©partis dans le monde entier, diffusent les contenus quâon leur envoie. Et le volume de ce quâon leur envoie est si massif quâeux-mĂȘmes sont dans lâincapacitĂ© de regarder de quel contenu il sâagit. Les contenus extrĂ©mistes sont donc dĂ©sormais diffusĂ©s, quâon le veuille ou non : cette barriĂšre a priori a cĂ©dĂ©. Peut-on reconstruire cette barriĂšre a posteriori ? Peut-on repĂ©rer les contenus illĂ©gaux et indĂ©sirables a posteriori et les supprimer ? IdĂ©alement, pourrait-on mĂȘme remonter cette barriĂšre jusquâau moment mĂȘme de la publication plutĂŽt quâaprĂšs ?
Câest ce problĂšme que cherche Ă rĂ©soudre, pour les contenus terroristes et de violence extrĂȘme, le Global Internet Forum to Counter Terrorism (GIFCT).
GIFCT : comment ça marche ?
Expliquons un peu la technique avant de nous prĂ©occuper des aspects organisationnels. GIFCT est dâabord une base de donnĂ©es : comment fonctionne-t-elle ?
Un partenaire du projet, mettons Facebook, repĂšre sur son propre site une image ou une vidĂ©o Ă caractĂšre terroriste ou de violence extrĂȘme. Facebook va inscrire dans la base GIFCT non pas lâimage elle-mĂȘme, mais son « empreinte numĂ©rique » (un hash). Le principe gĂ©nĂ©ral en est le suivant : prenez une image, transformez chaque pixel en un caractĂšre en fonction de ses caractĂ©ristiques. Un pixel entiĂšrement noir devient « 0", le voisin qui est de telle nuance dâorange devient « b », et ainsi de suite. Au final, votre image devient une longue chaĂźne de caractĂšres : 0bhsf658njknjk, etc. Par contre, si Facebook procĂ©dait rĂ©ellement ainsi il serait facile de contourner lâalgorithme : si on modifie ne serait-ce quâun pixel de lâimage, lâempreinte change et mon image nâest plus repĂ©rĂ©e. Donc lâalgorithme, plutĂŽt que de procĂ©der pixel par pixel, extrapole : il vaut mieux prendre par exemple la moyenne de la couleur de carrĂ©s adjacents de 8 pixels, plutĂŽt que leurs valeurs individuelles. Cette simplification permet de couvrir mon image en prenant en compte diverses variations possibles (cadrage, couleur, etc.). Ăvidemment, revers de la mĂ©daille, plus on simplifie, plus on augmente en thĂ©orie le risque de collisions, câest-Ă -dire que deux images distinctes gĂ©nĂšrent un hash identique. En pratique, la qualitĂ© de lâalgorithme permet probablement dâĂ©viter cette situation. Si vous souhaitez en savoir un peu plus sur cet aspect technique, je vous recommande pour dĂ©marrer lâarticle de Wikipedia sur les fonctions de hachage.
Une fois lâempreinte de cette image calculĂ©e, Facebook lâinscrit dans la base de donnĂ©es partagĂ©e. Un autre rĂ©seau social, mettons Twitter, entre dans la danse. Un utilisateur charge la mĂȘme image sur leur plateforme. Ils calculent de leur cĂŽtĂ© un hash de lâimage en utilisant exactement le mĂȘme algorithme que celui utilisĂ© par Facebook, constatent que la signature obtenue existe dĂ©jĂ dans la base de donnĂ©es, et peuvent donc flagger cette image dans leur processus interne de modĂ©ration de contenu.
Ă lâheure actuelle, la base de donnĂ©es contient environ 300 000 hashes.
Une autre partie de lâaction de GIFCT, câest la crĂ©ation dâun Content Incident Protocol (CIP) qui est un protocole Ă la fois technique et opĂ©rationnel permettant de rĂ©pondre Ă une situation de crise. Il a Ă©tĂ© dĂ©clenchĂ© pour la premiĂšre fois en octobre 2019 lors des attentats de Halle en Allemagne. 30 minutes aprĂšs le dĂ©but de lâattentat, que son auteur diffusait en direct sur Twitch, le CIP Ă©tait dĂ©clenchĂ© : tous les membres du GIFCT, le gouvernement allemand et Europol sont informĂ©s du dĂ©clenchement, les hashes du stream sont chargĂ©s dans la base avec un marquage spĂ©cifique permettant une identification plus rapide, un protocole de communication entre les membres du GIFCT est activĂ© pour permettre le partage dâinformations sensibles et, encore une fois, amĂ©liorer la rapiditĂ© de leur intervention. Entre le dĂ©but de lâattentat et la suppression des contenus, il sâest Ă©coulĂ© une demi-heure.
GIFCT : de qui parle-t-on ?
Les membres fondateurs du GIFCT, en juillet 2017, sont Facebook, Microsoft, Twitter et YouTube. Il sâagit donc dâune initiative privĂ©e, portĂ©e par les principales entreprises du web qui, confrontĂ©es aux mĂȘmes difficultĂ©s, partagent informations et expertise.
Lâinitiative change de nature aprĂšs les attentats de Christchurch, en Nouvelle-ZĂ©lande, en mars 2019. Cette attaque contre deux mosquĂ©es fait 51 morts et 50 blessĂ©s. Le terroriste a diffusĂ© la premiĂšre attaque en direct sur Facebook pendant 17 minutes. Deux mois plus tard, est mis en place Ă Paris, portĂ© par la Nouvelle-ZĂ©lande et par la France, lâAppel de Christchurch. De quoi sâagit-il ?
Lâappel de Christchurch est un engagement des gouvernements et des entreprises technologiques Ă Ă©liminer les contenus terroristes et extrĂ©mistes violents en ligne. Il repose sur la conviction quâun Internet libre, ouvert et sĂ©curisĂ© offre des avantages extraordinaires Ă la sociĂ©tĂ©. Le respect de la libertĂ© dâexpression est fondamental. Cependant, personne nâa le droit de crĂ©er et de partager du contenu terroriste et extrĂ©miste violent en ligne.
Cet engagement est signĂ© initialement par 17 pays et la Commission europĂ©enne dâun cĂŽtĂ©, et de lâautre par 8 entreprises (Amazon, Daily Motion, Facebook, Google, Microsoft, Qwant, Twitter, YouTube). Il nâest pas contraignant et semble donc assez cosmĂ©tique⊠mais ça nâest en rĂ©alitĂ© pas le cas, car la consĂ©quence directe de cette signature, câest une refonte du GIFCT.
Celui-ci se structure. Il y a dĂ©sormais un Operating Board composĂ© dâun reprĂ©sentant pour chaque fondateur, au moins un reprĂ©sentant des entreprises non fondatrices, et le prĂ©sident du Independent Advisory Committee.
Il y a donc aussi un Comité de Conseil Indépendant composé, dit le site :
une minoritĂ© de membres issus dâentitĂ©s gouvernementales et intergouvernementales et une majoritĂ© issue de la sociĂ©tĂ© civile comprise au sens large comme incluant, entre autres, des groupes de dĂ©fense, des spĂ©cialistes des droits de lâhomme, des fondations, des chercheurs et des experts techniques.
Il y a enfin un Forum plus large encore qui se présente comme un espace de débat sur ces sujets.
Bref, les gouvernements poussent le GIFCT Ă formaliser son fonctionnement et prennent un siĂšge autour de la table. Mais pas, je vais y revenir, en bout de table : GIFCT reste une initiative de lâindustrie.
Les rĂ©actions dans la presse française Ă la signature de lâAppel de Christchurch et Ă lâaction du GIFCT sont mitigĂ©es. Le Monde, par exemple, dans un article de mai 2019, trouve que ça ne va pas assez loin. Le sous-titre explique que « la plupart des engagements sont consensuels et pour partie dĂ©jĂ respectĂ©s par les plus grandes plateformes, et le texte ne dit mot de lâextrĂȘme droite violente ». Il mentionne de façon erronĂ©e sans citer explicitement le GIFCT que « cette base de donnĂ©es partagĂ©e par les gĂ©ants du numĂ©rique a Ă©tĂ© crĂ©Ă©e en 2016 sous lâĂ©gide de la Commission europĂ©enne ». Bref : rien de nouveau et lâarticle trouve les engagements des plateformes « timides », en particulier face au terrorisme dâextrĂȘme droite. Le Monde souhaite une censure plus agressive, mĂȘme sâil reconnait que câest un problĂšme complexe :
Le terrorisme dâextrĂȘme droite est, en ligne, plus difficile Ă combattre que le terrorisme islamiste : dâune part, il ne procĂšde pas dâorganisations structurĂ©es comparables Ă lâorganisation Ătat islamique ou Al-Qaida ; dâautre part, sa matrice idĂ©ologique profite de la protection de la libertĂ© dâexpression offerte par la Constitution des Ătats-Unis, oĂč siĂšgent les principales plateformes.
Lâaction du GIFCT est truffĂ©e de difficultĂ©s, tant de principe, que techniques et opĂ©rationnelles.
Quâest-ce quâun contenu terroriste ou extrĂ©miste ?
Le live stream du terroriste de Christchurch ne pose pas de question de dĂ©finition : câest de toute Ă©vidence un contenu terroriste. Il en va de mĂȘme dâune vidĂ©o de dĂ©capitation mise en ligne par ISIS. Mais au-delĂ de ces cas flagrants, des problĂšmes de dĂ©finition se posent trĂšs rapidement. Il nây a en effet pas de dĂ©finition commune du terrorisme, en tout cas la notion nâest pas dĂ©finie en droit international. Câest un acte de violence politique, certes, mais est-ce quâun Ă©tat, par exemple, serait susceptible de mener une action terroriste, ou bien est-ce par dĂ©finition impossible ? Faut-il considĂ©rer un crime de guerre, par exemple un soldat rĂ©gulier mitraillant une population dans une zone de guerre, comme une action terroriste ? Comment considĂ©rer, classiquement, les « guerres de libĂ©ration » ? Le FLN de 1958 menait-il des actions terroristes ? Quid des mujÄhid afghans des annĂ©es 1980 ? La dĂ©finition du terrorisme est un champ de mines. Il existe de nombreuses propositions et rĂ©flexions Ă ce sujet (par exemple Ben Saul, Defining ‘Terrorism’ to Protect Human Rights), mais aucune qui franchisse le seuil dâune dĂ©finition juridique incontestable.
Il y a aussi le cas de discours non terroristes portĂ©s par des terroristes : par exemple un appel Ă joindre le mouvement en gĂ©nĂ©ral, mais pas un appel direct Ă commettre des actes terroristes. Cela revient Ă censurer non plus directement le message, mais le messager, classĂ© comme terroriste. Mais on ne fait ainsi que dĂ©placer le problĂšme : qui est une « organisation terroriste » ? Et comment couvrir ainsi le cas des terroristes « isolĂ©s », qui se revendiquent de lâidĂ©ologie dâun groupe, mais nâen sont pas membres Ă proprement parler ?
IndĂ©pendamment de ces problĂšmes de dĂ©finition, il y a aussi la question du contexte. La presse peut-elle diffuser une partie de la vidĂ©o ? Un service dâarchive peut-il en capter des images ? Un universitaire qui travaille sur le sujet peut-il insĂ©rer une image dans un article scientifique diffusĂ© ? Et sait-on faire la diffĂ©rence? Et cetera.
Il nây a pas de consensus, Ă ce stade, sur ces questions.
Il y a aussi des questions opĂ©rationnelles difficiles Ă rĂ©gler. Par exemple, le GIFCT insiste sur le fait que chaque plateforme prend une dĂ©cision autonome pour signaler un nouveau contenu dans la base et, en cas de match avec un contenu dĂ©jĂ prĂ©sent dans la base, pour dĂ©cider ou non de censurer lâimage ou la vidĂ©o. Bref, chaque plateforme reste responsable de sa politique de modĂ©ration de contenu. Mais dans les faits, ce principe est probablement un peu un vĆu pieux. Ainsi au moment des attentats de Christchurch, YouTube Ă©tait tellement submergĂ© de matches avec la base GIFCT quâils ont dĂ©cidĂ© de supprimer temporairement la validation humaine des signalements et juste accepter toutes les suppressions proposĂ©es par le systĂšme, au risque de censurer, Ă la marge, des contenus lĂ©gitimes. GIFCT est aussi utilisĂ© par un grand nombre de services numĂ©riques qui nâont pas les moyens humains de Facebook ou YouTube et qui, par pragmatisme et manque de moyens, vont simplement accepter les signalements de GIFCT sans revue humaine, non pas temporairement, mais en permanence.
Que faire si un contenu lĂ©gitime est inscrit par accident dans la base de donnĂ©es ? Ă ce stade, pas grand-chose : GIFCT nâa pas Ă proprement parler de mĂ©canisme de recours ou dâappel.
Sous-traitance de la censure et transparence
Ce qui me ramĂšne Ă la question du rĂŽle des gouvernements et de leur position aprĂšs lâAppel de Christchurch. Je ne suis pas Ă©videmment dans le secret des Dieux, et des historiens futurs analyseront la situation mieux quâon ne peut le faire aujourdâhui. Mais mon sentiment, câest que les gouvernements, en rĂ©alitĂ©, font pression sur les plateformes pour quâelles Ă©largissent et renforcent leur action de modĂ©ration de contenu, mais sans que ça passe par une rĂ©glementation, une loi et a fortiori par un dĂ©bat public et dĂ©mocratique. Ils demandent aux plateformes de censurer Ă leur place, Ă titre privĂ© et sans passer par la case judiciaire. En retour, et Ă condition que les rĂ©sultats soient lĂ sans doute, les plateformes obtiennent que les gouvernements ne se mĂȘlent pas de la façon dont cette entreprise est menĂ©e : les gouvernements sont autour de la table pour surveiller, pas pour piloter et le GIFCT reste une organisation privĂ©e, comme le sont le dĂ©tail de ses mĂ©thodes, ses critĂšres de dĂ©cision et, finalement, une grande partie de son action.
Il y a, de facto, sous-traitance au secteur privĂ© dâune politique de censure, qui permet aux Ă©tats dĂ©mocratiques de contourner les problĂšmes de dĂ©finition, de rĂšgles judiciaires (la connaissance a priori et publique de ce qui est autorisĂ© et interdit, le rĂ©gime de la preuve, le recours, etc.) qui semblent impossibles Ă rĂ©gler par les voies normales⊠mais sont pourtant celles de lâĂ©tat de droit. Cette politique concernant directement le terrorisme et lâextrĂ©misme violent, il y a un relatif consensus sur la nĂ©cessitĂ© de mener cette action, malgrĂ© ces « dommages collatĂ©raux ».
Mais Ă©carter la justice du mĂ©canisme de censure touche au cĆur des principes dĂ©mocratiques et la tentation, pour le politique, peut ĂȘtre forte dâutiliser ce mĂ©canisme pour dâautres types de contenus. On a entendu par exemple des appels rĂ©cents Ă faire une base de donnĂ©es similaire sur la dĂ©sinformation autour du Covid. Mais le sujet de la dĂ©sinformation est encore plus difficile Ă dĂ©finir que celui du terrorisme, et les dĂ©rives possibles beaucoup plus importantes.
Ă ce stade les perdants, dans lâaffaire, sont le systĂšme judiciaire, Ă©cartĂ©, et la sociĂ©tĂ© civile. Sur ce dernier point, le GIFCT pourrait certainement amĂ©liorer son fonctionnement. Le rapport de transparence quâils ont publiĂ© en juillet 2020 est extrĂȘmement succinct, et ne permet pas vraiment de se faire une idĂ©e claire de ce qui se passe. On verra ce que les diffĂ©rentes instances mises en place rĂ©cemment publient. De mon cĂŽtĂ©, je suivrais le compte twitter de J.M. Berger, universitaire tout juste nommĂ© au ComitĂ© de Conseil IndĂ©pendant du GIFCT, qui promet sans se faire beaucoup dâillusion sur lâindĂ©pendance rĂ©elle de la structure, d’y faire entendre la voix de la sociĂ©tĂ© civile. Le thread twitter qu’il a publiĂ© Ă sa nomination fait un trĂšs bon rĂ©sumĂ© des enjeux en cours.
Ă suivre.