janvier 2016 (3)

vendredi 22 janvier 2016

Flicage-brouillon - Partie 4 chapitre 31 - Choisir son smartphone

Mise à jour du 25/02/2016 : Entre la rédaction de ce chapitre et sa publication sur Standblog.org, Mozilla a décidé d’arrêter d’investir dans sa version de Firefox OS pour les mobiles. Je corrige donc ce chapitre comme très justement demandé dans les commentaires.

Les smartphones sont en train de remplacer petit à petit les ordinateurs personnels dans notre utilisation de l’informatique. Contrairement aux PC, nous les avons toujours avec nous et ils sont connectés en permanence, ce qui les rend d’autant plus précieux et pratiques. Ils sont en plus équipés de tas de capteurs innovants, comme le GPS (qui permet de nous localiser sur la surface du globe), de micros, de caméras, d’un capteur de mouvement (accéléromètre), d’une boussole, etc. Autrement dit, ils sont capable de capter beaucoup de données que nos vénérables PC. Et bien évidemment, ces données peuvent intéresser beaucoup de monde. On notera que pour des raisons pratiques, j’englobe ici les tablettes dans le concept de smartphone. Bien souvent, les tablettes utilisent les mêmes systèmes d’exploitation, les mêmes applications et les mêmes composants que les smartphones; une tablette étant essentiellement un smartphone se passant souvent d’une puce téléphonique tout en étant équipée d’un écran plus grand.

Pour ce qui est du contrôle de ces smartphones et des données qu’ils produisent, qui sont nos données, autant le dire tout de suite, j’ai une mauvaise nouvelle : la situation est franchement mauvaise, pour ne pas dire catastrophique.

Afin de mieux comprendre la situation, faisons le tour du marché, ou du moins des deux principaux acteurs, qui en représentent plus que 95%.

Android et consorts

Android est le nom du système d’exploitation (le logiciel) qui équipe la grande majorité (80%) des smartphones du marché, Samsung en tête, tout comme LG, HTC, Sony et la plupart des fabricants asiatiques. Il y a deux choses intéressantes à propos d’Android. La première, c’est qu’Android est un logiciel en partie libre et en partie propriétaire. Le fait qu’il soit en partie libre pourrait être de bon augure quant au fait qu’on puisse le contrôler (souvenez-vous du chapitre 22 : le fait que le code source soit auditable et modifiable est une condition pour reprendre le contrôle). Pourtant, la partie propriétaire du code gagne du terrain : des portions importantes, auparavant libres, sont remplacées par des équivalents propriétaires et ne bénéficient plus d’améliorations.

La seconde chose intéressante à propos d’Android, c’est que c’est le résultat du travail de Google, qui permet aux fabricants de smartphones de l’utiliser gratuitement, à condition de signer un contrat. Ce contrat, secret, force les fabricants qui veulent diffuser Android sur leurs téléphones à y installer aussi toutes les applications Google : Maps, Chrome, Search, Gmail, etc. Ces applications, qui capturent nos données et les transmettent à Google sont toutes propriétaires ou sont en train de le devenir. Si Google offre ainsi la possibilité aux fabricants d’utiliser gratuitement le résultat d’investissements de plusieurs centaines de millions de dollars[1] à des industriels, il attend une chose en retour : la diffusion de ses applications qui permettent de collecter nos données et, comme nous l’avons vu au chapitre précédent :

  • mieux nous connaitre, mieux collecter nos données pour mieux les monétiser
  • se rendre toujours plus indispensable.

En substance, Android est un cheval de Troie, un cadeau fait aux fabricants de smartphones pour qu’ils puissent nous vendre à bas prix des smartphones qui collectent nos données et fasse de nous de bons utilisateurs de Google afin de nous monétiser auprès des vrais clients de Google, ceux qui payent le géant de Mountain View : les annonceurs publicitaires. Quand je demande à quelqu’un quel téléphone il a, on me répond rarement « c’est un Android », et souvent « c’est un Samsung » ou « c’est un LG ». Pourtant, peu importe qui fabrique le téléphone, c’est surtout un téléphone dont le logiciel, Android, est fabriqué par Google.

Apple et son iPhone

Apple, deuxième acteur en volume sur le marché des smartphones, a une approche radicalement différente de celle de Google. En effet, Apple conçoit le logiciel et le matériel de ses téléphones, et les vend à un prix haut de gamme, avec des marges très confortables. Même si Apple délègue la production des téléphones à des partenaires essentiellement chinois, il garde le contrôle sur le logiciel, le design et la distribution. Les marges d’Apple sont si importantes qu’Apple rafle 92% des bénéfices de toute l’industrie du smartphone alors qu’il ne représente que moins de 20% des ventes.

C’est plutôt une bonne nouvelle pour notre vie privée : les revenus d’Apple ne viennent pas de l’accumulation de données provenant de ses utilisateurs. Apple, pour faire face à Google et consorts, a fait de cet argument son fer de lance, au point de publier sur son site une lettre de Tim Cook, son PDG. En voici un extrait :

Il y a quelques années de cela, des utilisateurs d’Internet ont commencé à comprendre que quand un service en ligne était gratuit, ils n’étaient pas le client. Ils étaient le produit. Chez Apple, nous pensons qu’il n’est pas nécessaire de sacrifier la confidentialité pour offrir une expérience utilisateur de qualité. Notre business model est très simple : nous vendons d’excellents produits. Nous n’établissons pas de profil en fonction du contenu de vos e‑mails et de vos habitudes de navigation pour le vendre à des publicitaires. Nous ne « monnayons » pas les données que vous stockez sur votre iPhone ou sur iCloud. Et nous ne lisons pas vos e‑mails ni vos messages afin de recueillir des informations pour vous vendre des produits.

Pourtant, il m’est difficile de recommander l’iPhone sans réserves en ayant en tête la volonté de reprendre le contrôle de nos logiciels et de nos données. En effet, de façon générale, et c’est surtout sensible sur l’iPhone plus que sur le Mac (l’autre gamme de produits Apple) : Apple est plutôt contre le logiciel libre et cherche à contrôler tout ce que l’on peut faire avec l’iPhone. L’exemple le plus criant de cette politique est que toute installation d’application sur l’iPhone se fait obligatoirement via l’Appstore (magasin d’applications), lequel a des conditions générales d’utilisations qui sont en conflit avec la principale licence de logiciels libres, la GPL[2].

Comme expliqué au chapitre 17 (Faut-il avoir confiance en Apple ?), cela pose un double problème :

  1. Il est impossible de faire tourner sur un iPhone un logiciel écrit sous licence GPL, sachant que la GPL est la licence Libre la plus utilisée au monde. Dans certains cas, l’ensemble des auteurs du logiciel peuvent décider d’adopter une autre licence libre telle que la MPL, qui est elle compatible avec les conditions d’Apple, mais l’obtention de l’accord de tous les développeurs demande énormément de travail non productif.
  2. Apple, en forçant toutes les applications à être installées via l’App Store et en refusant de nombreuses pour des raisons non techniques, joue un rôle de censeur. Bien entendu, la sécurité est souvent utilisée comme prétexte pour protéger une clientèle peu au fait des problèmes de sécurité informatique. Pourtant, c’est souvent une excuse : de nombreuses applications parfois utiles et légitimes ont été refusées au fils des ans, parce qu’Apple ne souhaitait pas associer sa marque à certaines applications.

Aussi, Apple apparaît comme un mauvais compromis, où nous sacrifions notre liberté informatique contre un peu de sécurité pour nos données personnelles, sans avoir l’assurance qu’Apple ne changera pas de stratégie. Ce compromis évoque la fameuse citation de Benjamin Franklin :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.

Windows Phone

Au delà des deux géants du smartphone que sont Google et Apple, d’autres acteurs cherchent à se faire une place au soleil. Microsoft, avec Windows Phone, semble avoir une approche verticale comme Apple, en produisant le logiciel et le matériel (après avoir racheté la marque Nokia), mais sans se concentrer sur le respect de la vie privée, contrairement à Apple. Comme Google, Microsoft semble vouloir tout savoir de l’utilisateur partant du principe que c’est ainsi que le produit sera le plus utile. Associant son moteur de recherche Bing à un nouveau logiciel de personnalisation appelé Cortana, décrit de la façon suivante :

Associé à la puissance de Bing, Cortana apprend à tout savoir sur vous et à s’occuper de vous. Elle va garder un oeil sur tout ce qui vous intéresse, vous fera des suggestions utiles, vous rappellera vos réunions et rendez-vous.

Outre le fait que Windows Phone peine à s’imposer malgré les investissements massifs de Microsoft au fil des années pour s’imposer sur le mobile, la stratégie utilisée ne semble pas propice à la protection de la vie privée.

Et Firefox OS ?

La fondation Mozilla[3] a lancé le projet Firefox OS durant l’été 2011, en vue de faire un système d’exploitation pour mobile sur la base du navigateur Web Firefox. Firefox OS est intéressant pour la reprise de contrôle de l’informatique, dans la mesure où c’est un logiciel libre, donc transparent et auditable, comme tout ce que produit Mozilla. Par ailleurs, la Mozilla Foundation est une organisation à but non lucratif, ce qui la met à l’abri des pressions des actionnaires pour maximiser les profits, même si le financement du logiciel a un coût qu’elle doit nécessairement assumer.

Aller plus loin : utiliser Android sans (trop) sacrifier sa vie privée

Tout, dans Android, est prévu dès le début pour que l’utilisateur stocke ses données chez Google : dès le démarrage, un compte Google / GMail est demandé. Cela permet ensuite de synchroniser le carnet d’adresse, les mails, l’agenda, le Google Drive de l’utilisateur, tout comme les historiques de navigation, de recherche dans Google Search et Google Maps. Cela est typique de la stratégie de Google qui vise à accéder à toutes nos données pour devenir indispensable à nos vies et à monétiser ces données.

Pas facile, dans de telles conditions, d’utiliser un téléphone Android tout en protégeant nos données. Il reste toutefois plusieurs axes sur lesquels travailler :

  1. Utiliser des logiciels libres (Utiliser des dépots libres)
  2. Utiliser des logiciels proposant du chiffrement
  3. Utiliser des applications se connectant à des services de Cloud autres que ceux de Google et des grands silos, idéalement décentralisés
  4. Utiliser des versions d’Android moins dépendantes de Google.

Utiliser des logiciels libres

Il est possible d’installer des logiciels libres depuis le Google Play Store, mais ce dernier n’indique pas si un logiciel est libre ou non. Comme pour un ordinateur personnel, il est recommandé d’utiliser Firefox à la place de Google Chrome, navigateur par défaut d’Android, pour le respect de la vie privée. Pour cela, procéder ainsi :

  1. lancer Google Play Store
  2. chercher « Firefox pour Android » dans la barre de recherche
  3. Cliquer sur Installer.

De même, on pourra installer un client de messagerie comme K-9 Mail en remplacement de l’application Gmail, que l’on connectera à son compte mail (idéalement hébergé par un service autre que celui de Google).

Comme il n’est pas évident de repérer les logiciels libres dans Google Play Store, on peut se tourner vers une boutique applicative alternative qui ne recense que des logiciels libres : F-Droid. Voici comment procéder pour l’utiliser :

  1. Visiter le site https://f-droid.org/ avec le navigateur Web du smartphone
  2. Cliquer sur le bouton bleu « Download F-Droid », le téléchargement du fichier FDroid.apk commence.
  3. Une fois le téléchargement terminé (cela peut prendre quelques secondes), lancer l’installation de FDroid.apk.
  4. Il est probable que l’installation soit bloquée pour des raisons de sécurité : Android bloque l’installation d’applications ne provenant pas du Google Play Store. Dans ce cas, nous allons changer le paramètre.
    1. aller dans les réglages du téléphone
    2. Choisir l’option sécurité
    3. Cocher l’option « Sources inconnues » (« Autoriser l’installation d’applications issues de sources inconnues ») et valider ce changement en cliquant sur « OK ».
  5. revenir au fichier téléchargé et lancer l’installation.
  6. Une fois F-Droid installé, revenir dans les paramètres de sécurité et décocher l’option « Sources inconnues ».
  7. Lancer F-Droid

Maintenant que F-Droid est utilisable, nous allons le mettre à contribution pour installer de nouveaux logiciels…

Pour aller plus loin : utiliser des logiciels proposant du chiffrement

F-Droid recense plusieurs centaines d’applications libres pour Android, et parmi elles les applications permettant de chiffrer ses communications sont nombreuses.

Le Guardian Project s’est fixé comme objectif de proposer des applications « dans lesquelles on peut avoir confiance », c’est à dire qui améliorent la protection de la vie privée, dont la sécurité peut-être vérifiée et dont le code est libre.

Chiffrer ses textos

L’application Signal, disponible pour iOS et Android, est gratuite, libre et permet le chiffrement des messages courts de type SMS et MMS. Si le destinataire du message a lui aussi installé Signal, alors les données sont chiffrées, sinon l’application envoie un SMS ou un MMS classique, donc non sécurisé.

Pour aller (encore !) plus loin

Idéalement, pour disposer d’un contrôle maximal sur nos smartphones, il faudrait qu’un maximum du logiciel installé soit libre. Plusieurs communautés de geeks se sont attelées à la tâche. En voici quelques unes :

  1. CyanogenMod
  2. ParanoidAndroid
  3. OmniRom
  4. Replicant

Leur installation, qui vise à remplacer la version d’Android installée par le constructeur par une version fournie par la communauté est de plus ne plus facile, mais elle reste encore hors de portée de la majorité des lecteurs de cet ouvrage. Aussi, même si j’espère que la pratique visant à installer sur son smartphone un autre système d’exploitation, libre et plus respectueux de la vie privé va se répandre. En attendant, nous sommes réduits à choisir entre différents systèmes, l’un qui capte toutes nos données, et l’autre qui ne nous permet pas d’installer les applications que l’on souhaite.

Notes

[1] Une estimation par Black Duck sur la base du nombre de lignes de code d’Android (sans compter le noyau) s’élève à 223 000$ alors que le salaire moyen utilisé dans le calcul est très inférieur à celui de la Silicon Valley. Il ne serait pas très étonnant d’arriver à dépasser le milliard de dollars.

[2] Source : No GPL Apps for Apple’s App Store.

[3] Il convient de rappeler que c’est mon ancien employeur, et que cela peut influencer mon analyse, même si je m’efforce à la plus grande objectivité.

samedi 16 janvier 2016

En vrac du samedi

Nous vous exhortons à protéger la sécurité de vos citoyens, de votre économie et de votre gouvernement, en soutenant le développement et l’usage d’outils et de technologies de communication sûrs, et en refusant toute mesure susceptible d’empêcher ou d’affaiblir l’utilisation d’un chiffrement fort, ainsi qu’en incitant les autres chefs de gouvernement à faire de même.

lundi 11 janvier 2016

En vrac du lundi