février 2016 (8)

samedi 27 février 2016

Apple contre FBI

C’est l’affaire qui agite le monde de la crypto et de la technologie ces derniers temps. J’ai fait une chronique dans le cadre du 56Kast, l’émission de la chaîne Nolife (associée à Libération)… et je me suis dit que si vous vouliez comprendre les tenants et aboutissants de cette histoire en quelques minutes, ce billet serait le bienvenu.

Voici donc la vidéo de l’émission :


56Kast #67 : Apple vs FBI au bord du lac rouillé par liberation

Et mes notes, rapidement mises en forme :

Les faits et les dates

  • 2/12/2015 : Attentat à San Bernardino (14 morts) par Syed Rizwan Farook et sa femme. L’iPhone professionnel du terroriste est retrouvé (les deux téléphones personnels des terroristes ont été détruits par eux). Le FBI, chargé de l’enquête, veut accéder aux données contenus dans l’iPhone. Pour cela, ils évoquent une loi de 1789 ! Il est à noter que le FBI a déjà plein de données :
    • Celles fournies par l’opérateur qui sait où chaque téléphone se trouve et quels sont les numéros appelés.
    • Celles fournies par Apple qui a une copie de sauvegarde « dans le Cloud » de l’iPhone en question. Mais son utilisateur a désactivé cette sauvegarde 6 semaines plus tôt. Donc Apple et le FBI n’ont accès qu’à des données de plus de 6 semaines.
  • 16/2/2016 : Apple publie une lettre ouverte à ce propos. « Le FBI nous demande de créer une version d’iOS qui contiendrait une porte dérobée. C’est trop dangereux, nous refusons. ».
  • Dans la foulée, Google joint (mollement) Apple sur ce sujet. Facebook et Twitter les rejoignent.

Un peu de technologie…

l’iPhone 5c est protégé par un code secret à 4 ou 6 chiffres. On pourrait imaginer qu’on mette quelqu’un à taper toutes les combinaisons possibles. C’est ce qu’on appelle les attaques en « brute force » / Force brute. Pour éviter de telles attaques, il y a deux mécanismes dans les iPhones :

  1. Au fur et à mesure que le nombre d’essais infructueux augmente, l’iPhone tarde de plus en plus à répondre
  2. En plus, les iPhones peuvent être programmés pour effacer leur contenu au bout de 10 essais infructueux. Mise à jour : pour tout savoir du mécanisme de protection de l’iPhone, Numerama a fait un très bon papier.

Donc le FBI demande à Apple de faire une version d’iOS qui n’ait pas ces comportements (et qui en plus permette d’entrer les codes dans l’iphone sans passer par le clavier, juste par une connexion Wifi ou Bluetooth). Il suffirait d’installer cette version sur l’iPhone, et ça rendrait possible l’attaque en force brute.

On notera que le problème serait différent avec un modèle plus récent d’iPhone car depuis le 5S ils disposent d’un lecteur d’empreinte digitale et d’un système de sécurité avancé dit « Secure Enclave » qui améliore le chiffrement. En clair, il aurait suffit d’utiliser les doigts du meurtrier pour déverrouiller l’iPhone s’il avait été un peu plus récent…

Pourquoi c’est un problème ?

C’est une porte dérobée, ni plus ni moins : ça affaiblit la sécurité de l’iPhone.

Les gouvernements du monde entier n’attendent que ça : une fois ce système connu publiquement, tous les gouvernements, y compris les régimes oppressifs, vont demander à l’avoir. Et un jour où l’autre ça va finir par fuiter et ça sera utilisé par des personnes mal intentionnées.

Les postures

On se croirait au théâtre, avec cette histoire. Reflets.info titre très justement le choc des pipeaux !

Bataille marketing pour Apple

C’est une société qui protège le mieux ses utilisateurs par rapport aux autres GAFAs. Ils ont déjà communiqué sur ce sujet. Pour eux, c’est un différentiateur important. Ils le répètent : « vos données sont vos affaires, nous n’avons pas à les connaitre ». Alors que chez les concurrents, Google, pour ne pas les nommer, le business model de Google est de tout savoir sur tout le monde pour offrir un service sur mesure et surtout, vendre de la publicité ciblée.

Cynisme pour le FBI

C’est une opportunité médiatique pour le FBI qui n’attendait que ça en utilisant l’émotion de l’opinion publique. Ca fait un bout de temps qu’ils sont en embuscade en attendant l’événement qui leur permettra de porter un coup à la vie privée et au chiffrement en profitant de l’émotion du public. C’est arrivé le 11 septembre 2001, où on a vu arriver le PATRIOT act sorti de nulle part et prêt en quelques jours… parce qu’il avait déjà été rédigé, on attendait l’occasion de le sortir. En France, pareil avec la loi Renseignement, qui a débarqué en urgence après les attentats de janvier 2015. On apprend par la bande qu’en fait le FBI a déjà une douzaine d’iPhones dont il veut voir le contenu[1]… Il n’y a plus aucun doute, le FBI nous prend pour des quiches et cherche à créer un précédent, une brèche dans laquelle il pourra s’engouffrer.

Soutien gêné pour les GAFAs

Les grands acteurs de la Silicon Valley suivent et soutiennent Apple. Ils sont eux aussi contre les interférences du FBI, de la CIA et de la NSA, parce qu’ils savent bien que ça mine la confiance des utilisateurs, et donc c’est pas bon pour les affaires. Mais bon, contrairement à Apple, le métier de Google, de Facebook & co, c’est de tout savoir et tout analyser sur chacun de nous… Comme la NSA !

Conclusion

Je suis résolument du coté d’Apple. La question n’est pas de protéger la vie privée des meurtriers (ils sont morts de toutes façons), mais bien de protéger la vie privée de tout le reste du monde. C’est d’autant plus important qu’on ignore de quoi est fait le futur, qui sera président(e) des USA ou de la France dans les années à venir.

En substance, il faut penser la crypto comme si Donald Trump était au gouvernement. Et accepter de ne pas tout savoir sur tout le monde.

Note

[1] Apple affirme : “Law enforcement agents around the country have already said they have hundreds of iPhones they want Apple to unlock if the FBI wins this case”.

vendredi 26 février 2016

Flicage-brouillon - Partie 4 chapitre 33 - Le Cloud

Résumé des épisodes précédents : voici un nouveau chapitre de mon livre (nom de code Flicage-Brouillon) portant sur la centralisation d’Internet, la vie privée et la surveillance de masse.

J’ai déjà publié trois parties :

  1. Pourquoi perdre le contrôle de notre informatique et de nos données personnelles est un vrai problème
  2. Par quels mécanismes perd-on le contrôle de nos données et de notre vie privée ?
  3. SIRCUS - 7 principes pour reprendre le contrôle.

Voici donc venu le temps de la quatrième et dernière partie, comment agir pour protéger nos données, notre vie privée, et limiter l’impact de la surveillance de masse.

Dans cette quatrième partie, ont déjà été publiés :

  1. Chapitre 27, partir sur de bonnes bases
  2. Chapitre 28, Choisir et personnaliser son navigateur
  3. Chapitre 29, Coté messagerie
  4. Chapitre 30, Paramétrer Google
  5. Chapitre 31, Choisir son smartphone
  6. Chapitre 32, Les réseaux sociaux

Chapitre 33 - Le Cloud

À l’heure où nous disposons de plus en plus d’un ordinateur en plus d’un smartphone, où le partage de données est devenu fréquent, le besoin de disposer d’un système permettant de synchroniser les différents appareils est devenu commun. Souvent appelé « Cloud », la machine offrant un tel service est très utile, mais permet trop rarement de préserver la confidentialité des données. Voyons voir comment bénéficier d’un service de Cloud sans pour autant se faire siphonner les données par un tiers.

On retrouve ici les même limitations des modèles commerciaux que dans les chapitres précédents :

  • Les service commerciaux gratuits, qui comme Google reposent presque tous sur la publicité ciblée, sont incompatibles avec la confidentialité des données dans la mesure où pour avoir l’air gratuit, il faut tout savoir du client, ce qui est fait en accédant à ses données personnelles.
  • Les services commerciaux Freemium (deux offres : l’une gratuite et souvent très limitée, l’autre payante avec plus de fonctionnalités) peuvent être une option intéressante dans certains cas. Si les besoins sont limités, on peut parfois se contenter de la version gratuite. Toutefois, il faut garder à l’esprit que le produit est conçu de façon à ce que la version gratuite mette l’eau à la bouche du client mais qu’elle soit suffisamment limitée pour le motiver à passer à la version payante. Pour certaines personnes et certains usages, le Freemium peut suffire, mais dans biens des cas buter dans les limites (volontaires) du produit peut devenir exaspérant.

On notera que passer au payant contribue à assurer la pérennité du produit (qui veut confier ses données à une société désespérée et prête à tous les compromis pour éviter la faillite ?), mais pas nécessairement la confidentialité des données. En effet, rien n’empêche une société de fournir un service payant tout en profilant ses clients, cumulant ainsi les deux sources de revenus. Pour s’en assurer, il faut lire (et comprendre !) les Conditions Générales d’Utilisation du service, bien souvent écrites dans un jargon juridique difficile à comprendre et ce, sur des dizaines de pages.

Un service payant hébergé entièrement chiffré

L’inconvénient des systèmes qui stockent nos données chez un hébergeur… c’est que ce dernier y a accès, à moins qu’elles ne soient chiffrées de bout en bout. C’est la notion de « Zero-knowledge » (zero connaissance) où l’hébergeur ne fait que stocker les données chiffrées qu’il reçoit, sans jamais avoir accès aux données en clair. C’est ce que propose la société SpiderOak :

Services alternatifs : l’exemple Framasoft

Certains services peuvent être fournis par des organisations dont l’objet est de remplir une mission plutôt que d’enrichir un actionnaire. C’est le cas par exemple de Framasoft, association loi 1901 d’éducation populaire, qui a lancé une campagne intitulée « Degooglisons Internet » https://degooglisons-internet.org/ . Framasoft offre gratuitement des services… à condition que les donateurs soient suffisamment nombreux pour assurer le financement des permanents et des coûts associés à ces services.

L’éthique comme valeur première

Framasoft, en prime, a publié une charte de confidentialité qui l’engage dans le respect de la vie privée des utilisateurs de ces services. En voici quelques extraits :

Liberté du code : (…) Framasoft s’engage à rendre accessible le code source (…) Ce faisant, Framasoft démontre sa probité en permettant à chaque utilisateur de vérifier le code source, éventuellement de l’améliorer, et surtout de s’assurer qu’aucun usage déloyal ne sera fait de ses données, de son identité et de ses droits.

Confidentialité : (…) Framasoft s’engage à ne pratiquer aucune censure a priori des contenus, aucune surveillance des actions des utilisateurs, et à ne répondre à aucune demande administrative ou d’autorité sans une requête légale présentée en bonne et dûe forme. (…) Aucune donnée personnelle ne sera exploitée à des fins commerciales, transmise à des tiers ou utilisée à des fins non prévues par la présente charte.

Essaimage : (…) En proposant des applications libres en ligne, Framasoft expose autant d’alternatives aux applications proposées par des entreprises à des fins de monopole et d’usage dévoyé des données personnelles. (…) Framasoft s’engage à favoriser leur essaimage en publiant des tutoriels explicatifs sur les méthodes employées pour installer ces applications sur vos propres serveurs.

Des services multiples

Entre 2011 et 2014, 8 services ont été mis en place, qui ont été rejoints en 2015 par 11 autres services https://degooglisons-internet.org/liste . Parmi les plus utiles et donc populaires, on notera :

  • Framapad, un bloc-notes collaboratif, alternative très simplifiée à Google Docs https://framapad.org/
  • Framadate, un outil pour choisir une date de façon collaborative (alternative à Doodle) https://framadate.org/
  • Framacalc, un tableur collaboratif en ligne (alternative à Google Spreadsheet) https://framacalc.org/
  • Framabag, service de sauvegarde de pages Web, alternative à Pocket http://framabag.org/

Auto-hébergement

Un approche différente des services en lignes est aussi possible : celle visant à disposer de son service personnel, sur lequel on a tout le contrôle. Cela peut sembler inatteignable au premier abord, mais l’évolution de l’informatique, tant au niveau matériel qu’au niveau logiciel, rend cela bien plus simple qu’on ne pourrait le croire.

De fait, plusieurs solutions techniques sont possibles. Passons-les en revue.

Dispositifs matériels spécialisés à la maison

Avec la baisse de coûts que connait l’informatique depuis ces dernières décennies, il est possible d’acheter du matériel à un prix raisonnable, avec du logiciel intégré, qui offre des services pouvant remplacer certaines fonctionnalités offertes par des services en ligne. Evidemment, puisque les services sont offerts depuis un système basé à la maison, cela nécessite d’avoir une bonne connexion Internet si l’on souhaite disposer de données lorsqu’on est en déplacement. Pour cela, une connexion ADSL rapide (plus d’un méga-bit/s en upload) est nécessaire, et cela sera encore plus efficace si l’on dispose de la fibre (généralement plus de 10 Mbit/s en upload).

Insert : L’épineuse question du débit montant

Attention, les débits indiqués par les fournisseurs d’accès Internet sont souvent trompeurs. En effet, pour des raisons techniques et/ou marketing, l’accès Internet se fait souvent à des vitesses asymétriques : le débit descendant (download) est plus important que le débit montant (upload). Or, si on a ses données à la maison et qu’on en a besoin à l’extérieur, c’est le débit montant qui compte et, comme c’est le plus faible, les fournisseurs d’accès ont tendance à mettre en avant le débit descendant. Ainsi, Bouygues Telecom / Numéricable annonce un débit descendant de 200Mbits/s, ce qui est plus que nécessaire, mais quand on regarde le débit montant, on se retrouve avec 10 Mbits/s, soit 20 fois moins. Avec l’ADSL, la situation n’est pas meilleure, dans la mesure où le A de ADSL signifie « Asymétrique ». Dans des conditions optimales, une ligne ADSL plafonne à 3Mbits/s, ce qui peut être acceptable dans la mesure où l’on synchronise un faible volume de données (texte, documents bureautiques, petite quantité de photos). Pour des usages plus exigeants, par exemple pour des photos haute-résolution ou des vidéos, le confort sera dégradé.

Lima

Lima est un petit boitier qui se connecte d’un coté à son routeur Internet (ADSL ou fibre) et de l’autre coté à un disque dur qu’il faut acheter par ailleurs. Une fois les applications installées sur les différents appareils que l’on veut connecter (ordinateur, smartphone, tablette), les fichiers déposés sur l’ordinateur sont accessibles sur les autres appareils (pour l’instant la réciproque n’est pas vraie).

L’attrait de Lima est que pour une somme assez réduite (99EUR le boitier, plus un disque dur à 80EUR environ pour un Tera-octets), on dispose d’une solution de partage de fichiers entre appareils qui ne repose pas sur un abonnement. Par ailleurs, les données sont stockées chez soi.

Au delà des aspects concrets, Lima c’est aussi une étonnante success story : les créateurs du produit ont fait une campagne de « crowdfunding » pour lever 69 000$ auprès d’internautes. Ils obtiendront 1,2 millions de dollars en deux mois, preuve si cela était nécessaire, que la demande pour des produits simples et respectueux de la vie privée est particulièrement forte. À en croire certains articles dans la presse, il reste encore des progrès à faire avant de devenir un produit parfaitement abouti.

NAS

Il existe depuis plusieurs années des appareils NAS (Network Access Storage) systèmes de sauvegarde sur le réseau local. Ce sont souvent des systèmes de disques RAID, où les données sont stockées sur un groupe de disques durs. Ce système permet d’assurer la pérennité des données même si un des disques tombe en panne. Certains modèles haut de gamme permettent de faire tourner leurs propres applications, comme chez Synology. Un système tel que le Synology DiskStation DS215j (compter 300EUR avec les 2 disques) http://www.ldlc.com/fiche/PB00178918.html permet une sauvegarde des données qui seront accessibles même à distance depuis un smartphone ou un ordinateur portable.

Dans le même genre, en moins puissant, le fabricant de disques durs Western Digital propose MyCloud, pour un peu moins de 200EUR.

Insert : l’indispensable sauvegarde

A l’occasion d’un incident (vol, incendie, inondation, casse du matériel, etc.), les données peuvent disparaître, d’où l’importance d’avoir un plan de sauvegarde qui met une copie des données à l’abri… dans un endroit distinct. Aussi, une copie de sauvegarde qui serait située dans le même endroit est susceptible de subir le même incident au même moment (incendie, inondation ou vol) n’aura pas d’utilité. Il faut envisager une sauvegarde sur un système distant qui ait les mêmes exigences de confidentialité.

Pour aller plus loin : le Cloud personnel

Il existe un certain nombre de solutions qui se conforment plus ou moins au concept de SIRCUS tel que décrit dans la troisième partie de ce livre. En voici quelques unes avec leurs spécificités

Nom
Principe
Avantages
Inconvénients
Prix
iCloud
Synchronisation des appareils Apple et accès depuis le Web à ces données
  • Interface léchée
  • Bonne intégration avec les machines Apple (Mac et iOS)
  • Modèle payant évitant d’avoir recours à
  • Propriétaire
  • Américain
  • Implique de posséder un appareil Apple (Mac, iPhone ou iPad). Incompatible avec Android, compatibilité limitée avec Windows.
  • Pas de possibilité de rajouter des applications
  • Pas d’auto-hébergement.
Prix par mois :
  • Gratuit pour 5Go
  • 0,99€ pour 50Go
  • 2,99€ pour 200Go
  • 9,99€ pour 1To
OwnCloud
Synchronisation de fichiers puis modules tiers
  • Focalisé sur le partage de fichier (façon Dropbox)
  • Hébergement facile (stack LAMP)
  • Multi-comptes
Modèle de sécurité limité entre les comptes d’une même machine
  • À partir de 2000€ pour 50 utilisateurs
  • Gratuit en auto-hébergement
Sandstorm.io
Déploiement simple d’applications tierces sur un serveur personnel
  • Libre
  • nombreuses applications disponibles
 
  • Pas de communication entre les applications
  • Pas d’intégration
  • Nécessite une machine dédiée (ne fonctionne pas avec certains containers)
  • Offre commerciale à venir
  • Gratuit en auto-hébergement
Cozy Cloud
Récupération, gestion et croisement des données personnelles (email, agenda, carnet d’adresses, fichiers, données bancaires etc.)
  • Libre
  • Peut être hébergé chez soi ou chez un hébergeur
  • Communication entre les applications
  • Manipulation des données
  • Possibilité de récupérer les données d’autres services, dont Google, via des connecteurs
 
  • Synchronisation de fichiers encore complexe à l’heure où j’écris ces lignes
  • Nécessite un hébergeur moderne (acceptant NodeJS et CouchDB) type VPS
  • Modèle strictement personnel : un seul utilisateur par instance Cozy Cloud.
  • Offre commerciale à venir
  • Gratuit en auto-hébergement

Flicage-brouillon - Partie 4 chapitre 32 - Les réseaux sociaux

Résumé des épisodes précédents : voici un nouveau chapitre de mon livre (nom de code Flicage-Brouillon) portant sur la centralisation d’Internet, la vie privée et la surveillance de masse.

J’ai déjà publié trois parties :

  1. Pourquoi perdre le contrôle de notre informatique et de nos données personnelles est un vrai problème
  2. Par quels mécanismes perd-on le contrôle de nos données et de notre vie privée ?
  3. SIRCUS - 7 principes pour reprendre le contrôle.

Voici donc venu le temps de la quatrième et dernière partie, comment agir pour protéger nos données, notre vie privée, et limiter l’impact de la surveillance de masse.

Dans cette quatrième partie, ont déjà été publiés :

  1. Chapitre 27, partir sur de bonnes bases
  2. Chapitre 28, Choisir et personnaliser son navigateur
  3. Chapitre 29, Coté messagerie
  4. Chapitre 30, Paramétrer Google
  5. Chapitre 31, Choisir son smartphone

Chapitre 32 - Les réseaux sociaux

Utiliser les réseaux sociaux sans pour autant voir ses données personnelles être collectées est un défi, à la limite un défi impossible, du moins avec les réseaux comme Facebook, dont le patron, Mark Zuckerberg, a déclaré à plusieurs reprises que la vie privée était une chose d’un passé qu’il considérait comme révolu. De fait, Facebook a une politique d’accumulation et de rétention des données particulièrement agressive.

Même les conversations dites « privées » sont en fait susceptibles d’être communiqués par Facebook aux autorités. Deux récents faits divers semblent le prouver, comme l’arrestation et la condamnation de Jean-Luc Lahaye, dénoncé par Facebook pour avoir eu des conversations sur webcam avec des jeunes filles dénudées, ou cette jeune allemande refoulée à la frontière américaine pour avoir proposé de garder l’enfant de sa cousine habitant les USA (on ignore comment les autorités américaines ont eu accès aux message. Peut-être tout simplement en regardant dans le smartphone de la jeune femme ?). Il faut dire que les services américains d’immigration sont particulièrement chatouilleux : ils ont refusé leur entrée sur le territoire à un couple d’Anglais en voyage en Californie car ils avaient publié sur Twitter leur volonté de faire « une fête à tout casser » une fois arrivés.

Voici tout de même quelques conseils pour les principaux réseaux sociaux

Facebook

Il peut être utile de paramétrer Facebook pour protéger notre intimité numérique vis à vis des autres utilisateurs[1], mais soyons clairs, tout ce que l’ont fait sur Facebook est enregistré et bien souvent analysé par le réseau social. Toute tentative pour éviter cela est futile. Il pourrait être tentant d’utiliser un pseudonyme, mais c’est actuellement contraire aux conditions générales de Facebook, qui a déjà supprimé des comptes dans de tels cas. Ceci est susceptible d’évoluer car Facebook semble assouplir sa lutte contre les pseudonymes, mais le risque de perdre nos messages, nos photos et nos interactions n’en vaut probablement pas la chandelle.

Twitter

Twitter semble être beaucoup moins agressif en termes de collecte de données personnelles, c’est pourquoi je suis plus à l’aise à titre personnel avec lui qu’avec Facebook, mais le type d’usage n’est pas le même car il est moins intuitif. Lorsqu’on utilise Twitter, plusieurs paramètres peuvent être modifiés. Pour cela, depuis l’interface Web de Twitter.com :

  1. Une fois connecté, cliquer sur son avatar en haut à droite (par défaut, il représente un oeuf).
  2. Cliquer sur « paramètres »
  3. Dans la colonne de gauche, cliquer sur « Sécurité et confidentialité »
  4. Vérifier que la case « Ajouter une localisation à mes Tweets » n’est pas cochée
  5. Chercher la partie « Contenu sponsorisé » et décocher la case « Personnaliser les publicités en fonction des informations partagées par les partenaires annonceurs. »
  6. Cliquer « Enregistrer les modifications »

Twitter propose à ses utilisateurs d’honorer le système « Do Not Track », aussi nous allons l’activer. Pour cela, dans Firefox :

  1. Aller dans les préférences
  2. Sélectionner l’onglet « Vie privée »
  3. Cocher la case « Pistage / Indiquer aux sites que je ne souhaite pas être pisté ».

Aller plus loin

Pour continuer à utiliser des réseaux sociaux sans sacrifier sa vie privée, il reste plusieurs approches :

  1. chiffrer ses communications au sein du réseau social
  2. utiliser d’autres réseaux sociaux plus respectueux de la vie privée

Datarmine

Datarmine est une initiative intéressante, dans la mesure où elle vise à continuer à utiliser les réseaux sociaux existants, mais en chiffrant le contenu des messages, qui fait que le contenu n’est lisible que par les destinataires autorisés. Attention toutefois : le réseau social ne peut certes pas lire le contenu du message, mais il connait ses méta-données (qui écrit à qui, et quand), ce qui peut en dire presque autant que le message lui-même). Pour essayer Datarmine, visiter le site https://datarmine.com/fr/ et installer dans votre navigateur l’extension proposée sur la page d’accueil. C’est elle qui va chiffrer / déchiffrer les messages publiés sur les réseaux sociaux. Pirouette amusante : sur Facebook, les personnes ne disposant pas de la clé qui permet de déchiffrer le message voient à la place un encart publicitaire pour une association partenaire de Datarmine !

Réseaux sociaux alternatifs

Il existe plusieurs réseaux sociaux alternatifs qui sont souvent bien plus respectueux de la vie privée de leurs utilisateurs. J’ai choisi d’en détailler deux : Diaspora* et Movim.

  1. L’exemple de Diaspora*. Diaspora* (oui, l’astérisque fait partie du nom !) est un logiciel libre qui fonctionne de façon décentralisée, autrement dit, il est possible de monter son propre serveur faisant tourner Diaspora*, ce qui d’un part permet de choisir un serveur géré par une organisation de confiance et d’autre part évite les problèmes de censure courants sur Facebook. Par ailleurs, Diaspora* est paramétré par défaut de façon à limiter de disperser trop de données personnelles. Par exemple, les méta-données des photos publiées (comprenant la date, l’heure et parfois la position GPS), sont supprimées avant publication, à moins que l’utilisateur ne spécifie le contraire. Il existe plusieurs centaines de « noeuds » Diaspora* (c’est ainsi qu’on appelle les serveurs), à vous de choisir celui dont les conditions générales d’utilisation vous conviennent. Parmi les plus populaires en France, on peut citer Framasphère, opéré par l’association Framasoft, très active dans la lutte contre la centralisation de l’Internet avec sa campagne « Degooglisons Internet ».
  2. Une autre solution, Movim. Movim (qu’on peut utiliser sur [http://movim.eu/|http://movim.eu/) est lui aussi un réseau social libre et décentralisé. Il repose de plus sur un protocole standardisé (XMPP) et les communications sont chiffrées…

Il faut garder à l’esprit que les réseaux sociaux alternatifs font face à une bataille difficile, et ce pour deux raisons. D’une part, Facebook et les autres réseaux sociaux ont des moyens financiers qui permettent d’investir massivement et de développer sans cesse de nouvelles fonctionnalités pour peaufiner l’expérience utilisateur. D’autre part, il y a un effet réseau dans les réseaux sociaux : un réseau ne vaut que parce qu’on y trouve des gens à qui on veut parler. Cela favorise les gros réseaux aux dépends des petits et empêche de ce fait les petits de percer, quand bien même offriraient-ils des avantages inédits comme le respect de la vie privée.

Note

[1] On pourra par exemple se reporter au poster de la CNIL : http://www.educnum.fr/wp-content/uploads/2015/06/Poster_10-conseils-pour-rester-net-sur-le-web.pdf et cliquer sur l’icône représentant un Cadenas pour accéder aux paramètres de confidentialité.

jeudi 25 février 2016

En vrac du jeudi

vendredi 19 février 2016

Trois ans au CNNum : mon bilan

premiere_reunion_CNNum_2.jpg

Le nouveau CNNum[1] étant nommé, il est peut-être temps de faire le bilan. Justement, l’ancien président Benoît Thieulin vient de donner une interview à ce sujet en compagnie de Mounir Mahjoubi, le nouveau président. Je suis très proche des propos de Benoit quand il déclare :

Je pense, j’espère, que nous avons fait le job. Nous avons pu couvrir un spectre assez large, qui correspond à la vision du numérique que je voulais porter, celle d’un phénomène de transformation globale de la société. Nous avons commencé avec des sujets en apparence très techniques, en réalité très politiques, comme la neutralité du Net ou la «loyauté» des plateformes. Nous avons travaillé sur la fiscalité, le financement des start-up, l’éducation… L’objectif était de construire un corps de doctrine qui constitue la base d’une réflexion pour une vraie politique européenne et française. Nous avons fait valoir que nous avions besoin d’une loi globale sur le numérique et qu’il fallait se donner les moyens de réfléchir en consultant très largement. Ce n’est pas la loi telle que je l’aurais rêvée à 100 %, mais ce serait injuste de dire que je ne m’y retrouve pas. De grands principes, comme la neutralité du Net, vont entrer dans le droit français, et je m’en réjouis.

Du concret

Rapport sur la neutralité du Net

La neutralité du Net a été le premier dossier sur lequel le CNNum 2.0 a travaillé, et je me suis jeté dans le grand bain en me proposant pour ce premier rapport porté par Christine Balagué. C’était un dossier technique mais aussi un dossier qui était important par les valeurs qu’il fait résonner, celles d’un Internet accessible à tous, où chacun peut participer en lecture et en écriture, et qui favorise l’innovation et le progrès. Le bon coté de la chose, c’est que, comme le dit Benoît Thieulin, la Neutralité du Net va entrer dans le droit français, et c’est très positif. Ce rapport fut aussi l’occasion d’apprendre les règles du jeu. Je souhaitais initialement que le groupe de travail se concentre sur la neutralité du Net, mais mes collègues ont vivement souhaité y adjoindre la neutralité des plateformes, ce qui a du sens, mais pour lequel j’avais un avis moins tranché que pour le sujet initial.

Rapport Ambition Numérique

Un autre sujet très intéressant a été le rapport Ambition Numérique, genre de doctrine du CNNum qui aborde le numérique sous toutes ses facettes, qui a servi à nourrir la loi numérique d’Axelle Lemaire. J’ai un souvenir ému de l’atelier participatif du 9 janvier 2015 à Strasbourg, qui se tenait au Palais de l’Europe (lieu où se tient le Conseil de l’Europe), essayant de rester concentré sur l’animation de l’atelier tout en surveillant sur mon smartphone la lourde actualité de la journée (les assauts de Dammartin en Goële et de la porte de Vincennes).

Ce rapport Ambition Numérique a surtout été l’occasion de cranter la position du CNNum sur des sujets qui me tiennent à coeur : communs, logiciels libres, chiffrement, portabilité des données, neutralité du net et des plateformes au sein d’un document complet et aussi cohérent que possible. Il en est de même pour des sujets dont je suis moins proche, mais qui sont tout autant importants et ont été l’objets de travaux et de recommandations: la fiscalité (comment s’assurer que les GAFAs s’acquittent de l’impôt en France, par exemple), l’inclusion, l’éducation, la santé, le travail et l’emploi, le TTIP etc.

Projet de loi Numérique porté par Axelle Lemaire

C’est probablement la grande contribution du CNNum à ce jour, qui dépasse de loin le CNNum en tant que tel. Elle est aussi importante sur le fond que sur la forme :

  1. Sur le fond, c’est une loi positive, bien éloignée des différentes lois qui, non centrée sur le numérique, l’égratignait et le rognait à chaque fois que c’était possible, souvent sous un angle sécuritaire ou de protection des ayants droits. Cette fois-ci, nous sommes partis du numérique, pour le numérique. Et ça change (presque) tout !
  2. Sur la forme, c’était la première fois qu’un projet de loi était discuté avec les citoyens lors de cette grande consultation, et pour une première édition, on peut dire sans rougir que cela a été un succès. Un immense bravo à Axelle Lemaire qui a tenu bon face aux ténors du gouvernement et a mené la barque de cette loi et de la consultation (et ceci d’autant plus que c’était pendant sa grossesse !).

Sur le Standblog, à ce sujet :

Bien sûr, à ouvrir le processus, en consultant le peuple comme jamais auparavant, on est obligé de faire le tri dans les propositions, ce qui crée nécessairement des mécontents. C’est probablement le prix à payer pour un tel exercice, mais ce prix est finalement très raisonnable. On regrettera par exemple la disparition des points concernant le droit de panorama et tout ce qui touche aux communs informationnels, grâce au tir de barrage des ayant-droits soutenus par le ministère de la Culture[2]. Les débats à l’assemblée sur le logiciel libre a aussi eu un goût amer, des organisations comme l’AFDEL, accueillant pourtant des entreprises faisant du logiciel libre, prenant clairement position en faveur du logiciel propriétaire…

Les échecs

Tout n’a pas été rose lors de ces trois ans de mandat. Le pire fut certainement autour de la loi Renseignement. J’y reviendrai dans un prochain billet. Malgré cette immense frustration, qui m’a fait penser à démissionner à plusieurs reprises, j’ai tenu bon, car la loi numérique était en ligne de mire. J’ai même postulé pour un second mandat, et ma candidature a été reçue avec surprise, du genre “ah bon, après ce que tu as enduré avec la loi renseignement ?”. Et puis finalement l’arbitrage, forcément un peu opaque, m’a été défavorable.

Le bon coté

Il y a finalement eu plein de choses de positives au CNNum, à commencer par des bonnes surprises :

  • Un président qui s’est dépensé sans compter. Benoît Thieulin a donné énormément d’énergie au CNNum, en faisant du Conseil quelque chose de bien plus influent que ce qui était attendu. Chapeau Benoît, tu m’as soufflé !
  • Des rencontres avec les membres. Je peux tirer mon chapeau à JB Soufron, qui a assemblé un cocktail de personnalités étonnamment sympathiques avec qui ça a été un honneur de travailler et de se confronter (non, nous n’étions pas toujours d’accord !)
  • Le Secrétariat Général, dirigés d’abord par JB Soufron puis Yann Bonnet, a vraiment été super, toujours en soutien. Une bien belle équipe !
  • En tant qu’ingénieur, entrepreneur, libriste, vétéran des batailles de plateformes et “vieux natif du numérique”, c’était intéressant d’apporter un éclairage différent pour aider mon pays à aborder le défi que représente le numérique, dans des sujets aussi divers que la neutralité du Net, la loyauté des plateformes, la privacy, la lisibilité des CGU, l’interopérabilité, la protection des lanceurs d’alerte, le chiffrement, le libre par et pour les administrations, les communs numériques.
  • En tant que citoyen, c’était intéressant de voir les institutions et leurs rouages et fonctionner de mes propres yeux, et d’y rencontrer des acteurs authentiquement engagés et compétents (Axelle Lemaire, Thierry Mandon, par exemple).
  • La fierté d’avoir tenu tête, pas toujours avec succès, quand le gouvernement faisait fausse route (tablettes pour tous à l’école ou surveillance de masse).

Je ne regrette pas de n’avoir pas été reconduit dans mes fonctions au CNNum. J’étais prêt à rempiler, mais la charge de travail bénévole et les montagnes russes émotionnelles font que je suis en fait soulagé de n’avoir pas été invité à revenir pour un mandat de trois ans. Mes seules inquiétudes portent sur les sujets qui me tiennent à cœur : la lutte contre la surveillance de masse, la promotion du libre et des communs seront-ils bien portés par le nouveau CNNum de Mounir Mahjoubi ? Seule l’histoire le dira.

Notes

[1] prononcer “cénume”.

[2] Comble de l’ironie, celui-ci était alors tenu par Fleur Pellerin, qui était au numérique lors des débuts du CNNum 2.0 !

mardi 16 février 2016

En vrac du mardi

  • Données personnelles : l’incertitude durera encore jusqu’au printemps ;
  • Cheap cab ride? You must have missed Uber’s true cost, par Evgeny Morozov. Petit résumé de l’article (aussi traduit par le Monde Diplo) : comment Uber fait-il pour être si peu cher ? Il perd de l’argent. Pour 1,2 milliards de dollars facturés, il perd 1,7 milliards. Dans certaines villes américaines, un tour en Uber coûte moins cher que le prix de l’essence et la dépréciation du véhicule. Cela leur permet de mener à la ruine les taxis et les VTC concurrents du marché. D’où vient l’argent ? D’investisseurs comme Google, Jeff Bezos (patron d’Amazon) et de Goldman Sachs, c’est à dire des personnes physiques ou morales qui échappent pour l’essentiel à l’impôt. Une fois tous les concurrents ruinés, les prix remonteront car Uber aura le monopole (entre temps, il aura viré tous ses chauffeurs pour les remplacer par des voitures autonomes) ;
  • Introducing KBFS, the Keybase filesystem, un service de stockage et de partage de fichiers en mode freemium (10Go gratuits pour tous, offre payante pour plus de capacité à venir) ;
  • L’internet des émotions : comment réintroduire nos personnalités dans la personnalisation ?. Comment s’assurer que nos machines, dont les algorithmes sont faits pour que l’expérience soit personnalisée, ne nous confortent pas dans des émotions négatives ?
  • L’espace entre les barreaux, par l’ami Clochix. Très bon papier qui explique pourquoi je suis contre la prolongation de l’état d’urgence.
  • Si vous avez fait réparer votre iPhone 6 chez un réparateur tiers non certifié par Apple, n’installez pas la nouvelle version du système, car vous obtiendriez une erreur 53 qui rend votre téléphone inutilisable. On peut comprendre qu’Apple s’assure que les capteurs d’empreintes digitales soient sécurisés (pour éviter la mise en place de pièces volontairement défectueuses qui pourraient poser des problèmes de sécurité dont le paiement par Apple Pay. Mais il est inadmissible qu’Apple manque de communiquer sur le sujet alors qu’il suffirait tout simplement de désactiver Apple Pay dans le cas où le téléphone a été réparé…
  • CHATONS, le collectif anti-GAFAM ? ;
  • La CNIL met Facebook en demeure ;
  • Très beau billet de Nicolas Hoffmann : Chère Fondation Mozilla, tu me permettras de te tutoyer ;
  • Un lycéen risque la prison pour un outil de communication chiffré. Il opère un serveur XMPP chiffré et a refusé de communiquer le mot de passe qui permettrait aux autorités d’accéder aux comptes des utilisateurs ;
  • Privacy lets you be you. Use Encryption, explique Mozilla dans une petite vidéo qui explique que nous avons tous quelque chose à cacher.
  • L’Origine du Monde : Facebook sera bien jugé en France pour censure ;
  • Facebook : Le cookie Datr agace les CNIL. En version courte : “nous surveillons tous le monde, mais c’est pour votre bien”. On croirait presque une copie conforme de l’approche de la NSA !
  • Google (mal) rattrapé par le fisc anglais. Rappel : Google paye au Royaume Uni 2,77% d’impôts sur les sociétés au lieu des 20% dus ;
  • Tuto : installer Cozy sur Raspberry PI 2 ;
  • Excellente Interview d’Yves Sintomer : ‘La France peut évoluer vers un régime autoritaire’. On notera les 3 scenarii pour la suite de la démocratie :
    • « la “post-démocratie”, une notion développée par le sociologue et politologue britannique Colin Crouch. C’est un système dans lequel, en apparence, rien ne change : des élections libres continuent d’être organisées, la justice est indépendante, les droits individuels sont respectés. La façade est la même, mais la souveraineté réelle est ailleurs. Les décisions sont prises par les directions de grandes firmes, les acteurs des marchés, les agences de notation, ou par des organes technocratiques… En Europe, nous sommes déjà engagés dans cette direction.» . Les Libristes reconnaitront la notion de “Code is law” chère à Lawrence Lessig, où ce sont les développeurs (et leurs employeurs) qui font le code informatique qui a force de loi car il décide de ce que nous pouvons faire ou pas avec nos ordinateurs. Rappelons que tout ou presqeue est en train de devenir ordinateur : nos téléphones, nos voitures, nos thermostats, et bientôt, nos verrous…
    • «Second scénario, plus heureux, celui d’une “démocratisation de la démocratie” : on vivrait alors un renforcement du politique face à l’économique, avec une participation citoyenne plus active. La démocratie se renforcerait sous des formes participatives et délibératives variées. »
    • « Troisième scénario, celui de l’autoritarisme. Il ne s’agit pas de dictature, mais de systèmes où, à la différence de la post-démocratie, la façade est remaniée : les élections existent mais la compétition électorale est restreinte ; les libertés (d’expression, d’association, d’aller et venir, de la presse…) sont amoindries par des lois liberticides ; la justice est moins indépendante… C’est la pente qu’ont pris les Russes, les Hongrois, les Polonais, les Turcs, et qu’on retrouve ailleurs, en Equateur ou au Venezuela par exemple. En Asie du Sud-Est, plusieurs régimes non-démocratiques sont allés ou vont, par une libéralisation très contrôlée, vers un tel modèle : je pense à Singapour ou à la Chine, deux pays où les droits y sont restreints. En Europe de l’Ouest et en Amérique du Nord, c’est la France qui offre le plus de signes indiquant que ce scénario est possible. Même s’il n’est pas le plus probable. »
  • Ce soir, mardi 16/2/2016 à 23h40 : Entretien avec Adrienne Charmet-Alix. Cet entretien fait suite à l’émission Ils savent tout de nous / Vers une société omnitransparente ? programmée à 22h50.

mercredi 10 février 2016

Un nouveau CNNum

La nouvelle version du CNNum vient d’être annoncé officiellement. Il est confirmé que ma candidature n’a pas été retenue.

On retrouve six (excellents) anciens : Marie Ekeland, Daniel Kaplan, Godefroy Beauvallet, Sophie Pène, Marc Tessier et Benoît Thieulin (ex-président) et 24 nouveaux, avec une forte connotation entrepreneuriale et, me semble-t-il, plus jeune. Bonne nouvelle, la parité est toujours de mise !

Et le libre, dans tout ça ?

Ce nouvel équilibre, intéressant, se fait toutefois aux dépens de l’Open Source et du Logiciel Libre. Exit les piliers de cette mouvance, dont Valérie Peugeot (Orange et Vecam), Michel Briand, Serge Abiteboul (chercheur, professeur, blogueur et… romancier !) et moi-même. À une période où les signaux anti logiciel libre se sont multipliés (EducNat et Microsoft, absence de priorité au libre et refus des biens communs dans la loi numérique), c’est très très préoccupant. L’excellente Véronique Torner, co-fondatrice et présidente d’Alter Way, se sentira bien seule quand il s’agira de pousser les thématiques du libre au CNNum…

Quoi qu’il en soit, je souhaite le meilleur à la nouvelle équipe et à son président, Mounir Mahjoubi. Je sais qu’ils pourront compter sur un secrétariat général ultra-compétent et très dynamique, mené par l’infatigable Yann Bonnet, que je remercie ici (Charly, Camille, Judith, Somalina, et les autres).

mercredi 3 février 2016

En vrac du mercredi

Quelques liens glanés ici et là, livrés en vrac :