La revue de presse de Jonas@framasoft, qui paraît quand il a le temps. Épisode N^o 3/n

Facebook juge de ce qui est fiable ou non

Le nouvel algorithme de Facebook, qui permet de mettre en avant (ou reléguer aux oubliettes) les informations sur votre mur, cherche à faire du fact-checking. C’est logique : plutôt que de donner la maîtrise à l’utilisateur de ses fils de données, pourquoi ne pas rafistoler les bulles de filtre que le réseau social a lui-même créées ?

Un article à lire chez Numérama.

Le pistage par ultrasons contribue à nous profiler et permet de repérer les utilisateurs de Tor

Les annonceurs et les spécialistes du marketing ont la possibilité d’identifier et de pister des individus en insérant des fréquences audio inaudibles dans une publicité diffusée à la télévision, sur une radio ou en ligne. Ces ultrasons pouvant être captés à proximité par les micros des ordinateurs ou des smartphones, vont alors interpréter les instructions (…) Les annonceurs s’en servent pour lier différents dispositifs au même individu et ainsi créer de meilleurs profils marketing afin de mieux diffuser des publicités ciblées dans le futur.

L’année dernière, des chercheurs ont expliqué que des attaquants pourraient pirater ces ultrasons pour pirater un dispositif (ordinateur ou smartphone). Cette fois-ci, ce sont 6 chercheurs qui ont expliqué que cette technique peut également servir à désanonymiser les utilisateurs de Tor.

Un article à lire chez Developpez.com

Les parents allemands ne veulent pas de la poupée qui espionne leurs enfants

D’après cet article signalé par l’indispensable compte Twitter de Internet of Shit

Les chercheurs expliquent que les pirates peuvent utiliser un dispositif Bluetooth inclus dans la poupée My Friend Cayla pour écouter les enfants et leur parler pendant qu’ils jouent.

La commissaire européenne à la Justice, à la Consommation et à l’Égalité des sexes, Vera Jourova, a déclaré à la BBC :  » je suis inquiète de l’impact des poupées connectées sur la vie privée et la sécurité des enfants ».

Selon les termes de la loi allemande, il est illégal de vendre ou détenir un appareil de surveillance non-autorisé. Enfreindre la loi peut coûter jusqu’à 2 ans de prison.

L’Allemagne a des lois très strictes pour s’apposer à la surveillance. Sans doute parce qu’au siècle dernier le peuple allemand a subi une surveillance abusive, sous le nazisme puis sous le régime communiste de l’Allemagne de l’est.

Euh, et en France, tout va bien ?

S’il est de notoriété publique que nos données personnelles sont enregistrées et utilisées par les G.A.F.A.M., il est en revanche moins connu que certaines de ces données sont utilisables par tout le monde. Et c’est bien là le point faible de toute campagne de prévention : on a beau dire que nos données sont utilisées, il est peu fréquent que nos paroles soient illustrées.

x0rz publie sur son blog un billet qui illustre parfaitement ce problème. En effet, il a écrit un petit script Python (moins de 400 lignes de code) qui récupère et synthétise les métadonnées Twitter, accessible par n’importe qui.

Ce billet ouvre deux perspectives :

• Concernant le harcèlement numérique : certes ces données sont publiques, mais il faut tout de même quelques capacités en programmation pour les exploiter, ce qui n’est pas à la portée de tout le monde. Imaginons qu’apparaissent de plus en plus de programmes grand public permettant d’accumuler et synthétiser ces données. Il deviendra alors plus facile pour un particulier d’identifier et de traquer une autre personne.
• Concernant les métadonnées en général : dans cet exemple, les données analysées restent très basiques (heure et localisation). Nous arrivons toutefois, par l’accumulation et le recoupement, à déduire des informations intéressantes de ces « méta-métadonnées », et à identifier nettement une personne. Imaginons que les métadonnées enregistrées soient plus précises et plus nombreuses, les informations obtenues seraient alors d’une importance et d’une précision inimaginables. Est-ce alors nécessaire de mentionner qu’à la fois les entreprises (ici Twitter) et les agences gouvernementales ont accès à ce genre de métadonnées ?

Article original écrit par x0rz, consultant en sécurité informatique, sur son blog.

Traduction Framalang : mo, mathis, goofy, valvin, Diane, Moriarty, Bromind et des anonymes

Vous serez surpris par tout ce que vos tweets peuvent révéler de vous et de vos habitudes

Une analyse de l’activité des comptes Twitter

J’utilise Twitter tous les jours. Pour moi qui suis consultant en cybersécurité, c’est de loin un des meilleurs outils pour rester informé des dernières actualités et pour partager des informations qu’on estime pertinentes pour d’autres. Avec la récente investiture de Donald Trump, les dingos de Twitter de la nouvelle administration et l’émergence de groupes de résistance sur Twitter, j’ai décidé de démontrer à quel point il est facile d’exposer des informations révélatrices à partir du compte de quelqu’un d’autre, sans même le pirater.

Métadonnées

Comme tous les réseaux sociaux, Twitter sait beaucoup de choses sur vous, grâce aux métadonnées. En effet, pour un message de 140 caractères, vous aurez un paquet de métadonnées, plus de 20 fois la taille du contenu initial que vous avez saisi ! Et vous savez quoi ? Presque toutes les métadonnées sont accessibles par l’API ouverte de Twitter.
Voici quelques exemples qui peuvent être exploités par n’importe qui (pas seulement les gouvernements) pour pister quelqu’un et en déduire son empreinte numérique :

• Fuseau horaire et langue choisie pour l’interface de twitter
• Langues détectées dans les tweets
• Sources utilisées (application pour mobile, navigateur web…)
• Géolocalisation
• Hashtags les plus utilisés, utilisateurs les plus retweetés, etc.
• Activité quotidienne/hebdomadaire

Tout le monde connaît les dangers des fuites de géolocalisation et à quel point elles nuisent à la confidentialité. Mais peu de gens se rendent compte que tweeter de façon régulière suffit à en dire beaucoup sur vos habitudes.
Prendre séparément un tweet unique peut révéler des métadonnées intéressantes. Prenez-en quelques milliers et vous allez commencer à voir se dessiner des lignes directrices. C’est là que ça devient amusant.

Méta-métadonnées

Une fois qu’on a collecté suffisamment de tweets d’un compte on peut par exemple identifier ceux qui relèvent d’une entreprise (émettant uniquement pendant les horaires de bureau) et même essayer de deviner combien d’utilisateurs interagissent avec ce compte.
Pour prouver ce que j’avance, j’ai développé un script en python qui récupère tous les derniers tweets de quelqu’un, extrait les métadonnées, et mesure l’activité en fonction de l’heure et du jour de la semaine.

Analyse du compte de @Snowden

Snowden a posté 1682 tweets depuis septembre 2015. Comme on peut le voir ci-dessous, il est facile de déterminer son rythme de sommeil (fuseau horaire de Moscou).

Analyse du compte de @realdonaldtrump

Est-ce que le compte de Donald Trump est géré par plusieurs personnes ? Cette fois en observant le nombre de sources détectées, je vous laisse deviner…

Recommandations générales

Je vous recommande fortement de lire les conseils de sécurité Twitter du Grugq. En plus de ce guide, je vous conseille d’être prudents avec les fuseaux horaires et les langues que vous utilisez, et d’être également conscients que vos tweets peuvent être analysés comme un tout : ne tweetez pas toujours à la même heure si vous ne voulez pas que les gens devinent votre fuseau horaire. Bien sûr, ces principes sont valables seulement si vous souhaitez rester anonyme, ne les appliquez pas à votre compte principal (ce serait une perte de temps) !

Code source

J’ai publié mon script sur GitHub. C’est open source donc n’hésitez pas à contribuer 😉

Aral Balkan est dans le monde de l’informatique une voix singulière, peut-être signe d’un changement de mentalités au sein de cette nébuleuse généralement plus préoccupée de technologie que de la marche du monde.

C’est en effet sur le terrain politique et même idéologique (ça y est, en deux mots on a déjà perdu les startupers !) qu’il place son travail, dans une perspective militante.

Contempteur sans concession du « capitalisme de surveillance » ( voir ce que nous avons publié sur cette question), il se place ici en rupture totale avec le discours à visée hégémonique que vient de tenir Mark Zuckerberg.

Pour Aral Balkan, tous les objets numériques qui nous prolongent sont autant d’émanations fragmentaires de notre personnalité, nous devrions donc en reconquérir la souveraineté et en défendre les droits battus en brèche par les Léviathans qui les captent et les monétisent.

il nous faut selon lui travailler à créer un autre monde (eh oui, carrément) où nous aurions retrouvé la maîtrise de toutes les facettes de nos personnalités numériques, il indique même quelques pistes dont certaines sont « déjà là » : les biens communs, les licences libres, le pair à pair…

Certains ne manqueront pas de traiter sa vision d’utopie avec un haussement d’épaules, avant de se résigner à un statu quo qui mutile notre humanité.

Découvrez plutôt sans préjugés un discours disruptif qui peut-être porte en germe une flexion décisive dans notre rapport au numérique.

Article original d’Aral Balkan sur son blog : Encouraging individual sovereignty and a healthy commons

Traduction Framalang : mo, panique, jaaf, valvin, goofy, jeromecc

Encourager la maîtrise de chacun et la bonne santé des biens communs

Dans son manifeste récent Mark Zuckerberg mettait en valeur sa vision d’une colonie mondiale centralisée dont les règles seraient dictées par l’oligarchie de la Silicon Valley.

J’affirme que nous devons faire exactement l’inverse et œuvrer à un monde fondé sur la souveraineté individuelle et un patrimoine commun sain.

Mark Zuckerberg a publié un manifeste intitulé « Construisons une communauté mondiale » dans lequel il détaille comment lui, un des 8 plus riches milliardaires au monde) et son empire entrepreneurial américain/multinational, Facebook Inc., vont résoudre tous les maux du monde.

Dans sa vision grandiose pour l’humanité, Mark revient sur la façon dont fondamentalement, Facebook « nous rapproche » en « connectant nos amis et nos familles ». Ce que Mark oublie de dire c’est que Facebook ne connecte pas les gens entre eux ; Facebook connecte les gens à Facebook Inc.

Facebook : Le mythe. Mark souhaite que vous pensiez que Facebook vous connecte les uns aux autres.

Facebook : la réalité. Facebook vous connecte à Facebook Inc.

Le modèle économique de Facebook c’est d’être « l’homme du milieu » : il consiste à pister tous vos comportements, votre famille, vos amis, à stocker indéfiniment des informations et les analyser en permanence pour vous connaître, vous exploiter en vous manipulant afin d’en tirer un bénéfice financier ou politique.

Facebook n’est pas un réseau social, c’est un scanner qui numérise les êtres humains. C’est, pour ainsi dire, une caméra qui capte votre âme.
Le business de Facebook consiste à créer un double de vous-même, à s’emparer de ce double et à le contrôler, pour vous posséder et vous contrôler.

Quand Mark vous demande de lui faire confiance pour être un roi bienveillant, je réponds que nous bâtirons un monde sans roi.

Le modèle économique de Facebook, Google et de la cohorte des startups financées par le capital-risque de la Silicon Valley, j’appelle ça de l’élevage d’être humains. Facebook est une ferme industrielle pour les êtres humains. Et le manifeste de Mark n’est rien d’autre que la dernière tentative d’un milliardaire paniqué pour enjoliver un modèle d’affaires répugnant fondé sur la violation des droits humains avec l’objectif faussement moral de se débarrasser de la réglementation et de justifier un désir décomplexé de créer une seigneurie à l’échelle planétaire, en connectant chacun d’entre nous à Facebook, Inc.

Refusons une colonie globale

Le manifeste de Mark ne vise pas à construire une communauté globale, il vise à construire une colonie globale – dont il serait le roi et dont son entreprise et l’oligarchie de la Silicon Valley seraient la cour.

Facebook veut nous faire croire qu’il s’agit d’un parc de loisirs alors qu’il s’agit d’un centre commercial.

Ce n’est pas le rôle d’une entreprise de « développer l’infrastructure sociale d’une communauté » comme Mark veut le faire. L’infrastructure sociale doit faire partie des biens communs, et non pas appartenir aux entreprises monopolistiques géantes comme Facebook. La raison pour laquelle nous nous retrouvons dans un tel bazar avec une surveillance omniprésente, des bulles de filtres et des informations mensongères (de la propagande) c’est que, précisément, la sphère publique a été totalement détruite par un oligopole d’infrastructures privées qui se présente comme un espace public.

Facebook veut nous faire croire qu’il s’agit d’un parc alors qu’il s’agit d’un centre commercial. La dernière chose dont nous ayons besoin c’est d’une infrastructure numérique encore plus centralisée et détenue par des intérêts privés pour résoudre les problèmes créés par une concentration sans précédent de puissance, de richesse et de contrôle entre les mains de quelques-uns. Il est grand temps que nous commencions à financer et à construire l’équivalent numérique de parcs à l’ère du numérique au lieu de construire des centres commerciaux de plus en plus grands.

D’autres ont critiqué en détail le manifeste de Mark. Je ne vais pas répéter ici ce qu’ils ont dit. Je voudrais plutôt me concentrer sur la manière dont nous pouvons construire un univers radicalement différent de celui de la vision de Mark. Un monde dans lequel, nous, individus, au lieu des entreprises, aurons la maîtrise et le contrôle de notre être. En d’autres termes, un monde dans lequel nous aurons la souveraineté individuelle.

Là où Mark vous demande de lui faire confiance en tant que roi bienveillant, je réponds : construisons un monde sans roi. Là où la vision de Mark s’enracine dans le colonialisme et la perpétuation d’un pouvoir et d’un contrôle centralisés, la mienne est fondée sur la souveraineté individuelle et avec des biens communs en bonne santé et distribués.

La souveraineté individuelle et le moi cybernétique.

Nous ne pouvons plus nous offrir le luxe de ne pas comprendre la nature du « moi » à l’âge numérique. L’existence même de nos libertés et de la démocratie en dépend.
Nous sommes (et nous le sommes depuis un moment maintenant) des organismes cybernétiques.
Nous devons résister de toutes nos forces à toute tentative de réduire les personnes à des propriétés.

En cela, je ne veux pas faire référence à la représentation stéréotypée des cyborgs qui prévaut en science-fiction et dans laquelle la technologie se mélange aux tissus humains. Je propose plutôt une définition plus générale dans laquelle le terme s’applique à toute extension de notre esprit et de notre moi biologique par la technologie. Bien que les implants technologiques soient certainement réalisables, possibles et avérés, le principal moyen par lequel nous amplifions aujourd’hui notre moi avec la technologie, ce n’est pas par des implants mais par des explants.

Nous sommes des êtres fragmentés ; la somme de nos différents aspects tels que contenus dans nos êtres biologiques aussi bien que dans la myriade de technologies que nous utilisons pour étendre nos capacités biologiques.

Une fois que nous avons compris cela, il s’ensuit que nous devons étendre les protections du moi au-delà de nos limites biologiques pour y inclure toutes ces technologies qui servent à nous prolonger. Par conséquent, toute tentative par des tierces parties de posséder, contrôler et utiliser ces technologies comme une marchandise est une tentative de posséder, contrôler et monétiser les éléments constitutionnels des individus comme des marchandises. Pour faire court, c’est une tentative de posséder, contrôler et utiliser les êtres humains comme des marchandises.

Inutile de dire que nous devons résister avec la plus grande vigueur à toute tentative de réduire les êtres humains à de la marchandise. Car ne pas le faire, c’est donner notre consentement tacite à une nouvelle servitude : une servitude qui ne fait pas commerce des aspects biologiques des êtres humains mais de leurs paramètres numériques. Les deux, bien sûr, n’existent pas séparément et ne sont pas réellement séparables lorsque la manipulation de l’un affecte nécessairement l’autre.

Au-delà du capitalisme de surveillance

À partir du moment où nous comprenons que notre relation à la technologie n’est pas une relation maître/esclave mais une relation organisme cybernétique/organe ; à partir du moment où nous comprenons que nous étendons notre moi par la technologie et que notre technologie et nos données font partie des limites de notre moi, alors nous devons nous battre pour que légalement les protections constitutionnelles du moi que nous avons gravées dans la Déclaration universelle des droits de l’homme et mises en application dans la myriade des législations nationales soient étendues à la protection du moi en tant qu’être cybernétique.

Il s’ensuit également que toute tentative de violation des limites de ce moi doit être considérée comme une attaque du moi cybernétique. C’est précisément cette violation qui constitue aujourd’hui le modèle économique quotidien de Facebook, Google et des majors de la technologie de la Sillicon Valley. Dans ce modèle, que Shoshana Zuboff appelle le capitalisme de surveillance, ce que nous avons perdu, c’est notre souveraineté individuelle. Les personnes sont à nouveau redevenues des possessions, bien que sous forme numérique et non biologique.

Pour contrer cela, nous devons construire une nouvelle infrastructure pour permettre aux personnes de regagner cette souveraineté individuelle. Ces aspects de l’infrastructure qui concernent le monde qui nous entoure doivent appartenir aux biens communs et les aspects qui concernent les gens – qui constituent les organes de notre être cybernétique – doivent être détenus et contrôlés par les individus eux-mêmes.

Ainsi, par exemple, l’architecture d’une ville intelligente et les données sur le monde qui nous entoure (les données sur notre environnement) doivent appartenir aux biens communs, tandis que votre voiture intelligente, votre smartphone, votre montre connectée, votre peluche intelligente, etc. et les données qu’ils collectent (les données sur les individus) doivent rester votre propriété.

Pour un Internet des individus

Imaginez un monde où chacun possède son propre espace sur Internet, fondé sur les biens communs. Cela représente un espace privé (un organe de notre être cybernétique) auquel nos appareils dits intelligents (qui sont aussi des organes), peuvent se connecter.

Au lieu d’envisager cet espace comme un nuage personnel, nous devons le considérer comme un nœud particulier, permanent, dans une infrastructure de pair à pair dans laquelle nos appareils divers (nos organes) se connectent les uns aux autres. En pratique, ce nœud permanent est utilisé pour garantir la possibilité de trouver la localisation (à l’origine en utilisant des noms de domaine) et la disponibilité (car il est hébergé/toujours en service) tandis que nous passerons de l’architecture client/serveur du Web actuel à l’architecture de pair à pair de la prochaine génération d’Internet.

Un Internet des individus

L’infrastructure que nous construirons doit être fondée sur les biens communs, appartenir aux biens communs et être interopérable. Les services eux-mêmes doivent être construits et hébergés par une pléthore d’organisations individuelles, non par des gouvernements ou par des entreprises gigantesques, travaillant avec des protocoles interopérables et en concurrence pour apporter à ceux qu’elles servent le meilleur service possible. Ce n’est pas un hasard : ce champ sévèrement limité du pouvoir des entreprises résume l’intégralité de leur rôle dans une démocratie telle que je la conçois.

L’unique but d’une entreprise devrait être de rivaliser avec d’autres organisations pour fournir aux personnes qu’elles servent le meilleur service possible. Cela contraste radicalement avec les énormes dispositifs que les entreprises utilisent aujourd’hui pour attirer les individus (qu’ils appellent des « utilisateurs ») sous de faux prétextes (des services gratuits à l’intérieur desquels ils deviennent les produits destinés à la vente) dans le seul but de les rendre dépendants, de les piéger et de les enfermer dans des technologies propriétaires, en faire l’élevage, manipuler leur comportement et les exploiter pour en tirer un bénéfice financier et politique.

Dans l’entreprenocratie d’aujourd’hui, nous – les individus – sommes au service des entreprises. Dans la démocratie de demain, les entreprises devront être à notre service.

Les fournisseurs de services doivent, naturellement, être libres d’étendre les fonctionnalités du système tant qu’ils partagent les améliorations en les remettant dans les biens communs (« partage à l’identique »), évitant ainsi le verrouillage. Afin de fournir des services au-dessus et au-delà des services de base fondés sur les biens communs, les organisations individuelles doivent leur attribuer un prix et faire payer les services selon leur valeur ajoutée. De cette manière, nous pouvons construire une économie saine basée sur la compétition reposant sur un socle éthiquement sain à la place du système de monopoles que nous rencontrons aujourd’hui reposant sur une base éthiquement pourrie. Nous devons le faire sans compliquer le système tout entier dans une bureaucratie gouvernementale compliquée qui étoufferait l’expérimentation, la compétition et l’évolution décentralisée et organique du système.

Interopérabilité, technologies libres avec des licences « partage à l’identique », architecture de pair à pair (par opposition à une architecture client/serveur), et un cœur fondé sur les biens communs : tels sont les garde-fous fondamentaux pour empêcher le nouveau système de se dégrader en une nouvelle version du Web de surveillance monopolistique, tel que nous connaissons aujourd’hui. C’est notre manière d’éviter les économies d’échelle et de rompre la boucle de rétroaction entre l’accumulation d’informations et la richesse qui est le moteur principal du capitalisme de la surveillance.

Pour être tout à fait clair, nous ne parlons pas d’un système qui peut s’épanouir sous le diktat du dernier round d’un capitalisme de surveillance. C’est un système néanmoins, qui peut être construit dans les conditions actuelles pour agir comme un pont entre le statu quo et un monde post-capitaliste durable.

Construire le monde dans lequel vous voulez vivre

Dans un discours que j’ai tenu récemment lors d’un événement de la Commission européenne à Rome, je disais aux auditeurs que nous devions « construire le monde dans lequel nous voulons vivre ». Pour moi, ce n’est pas un monde détenu et contrôlé par une poignée d’oligarques de la Silicon Valley. C’est un monde avec des biens communs sains, dans lequel – en tant que communauté – nous possédons et contrôlons collectivement ces aspects de notre existence qui nous appartiennent à tous, et dans lequel aussi — en tant qu’individus — nous sommes maîtres et avons le contrôle des aspects de notre existence qui n’appartiennent qu’à nous.

Imaginez un monde où vous et ceux que vous aimez disposeraient d’une capacité d’action démocratique ; un monde où nous bénéficierions tous d’un bien-être de base, de droits et de libertés favorables à notre dignité d’êtres cybernétiques. Imaginez un monde durable libéré de l’avidité destructrice et à court terme du capitalisme et dans lequel nous ne récompenserions plus les sociopathes lorsqu’ils trouvent des moyens encore plus impitoyables et destructeurs d’accumuler les richesses et la puissance aux dépens des autres. Imaginez un monde libre, soustrait (non plus soumis) à la boucle de rétroaction de la peur fabriquée et de la surveillance omniprésente qui nous entraîne de plus en plus profondément dans un nouveau vortex du fascisme. Imaginez un monde dans lequel nous nous octroierions la grâce d’une existence intellectuellement riche où nous serions libres d’explorer le potentiel de notre espèce parmi les étoiles.
Tel est le monde pour lequel je me lève chaque jour afin d’y travailler. Non par charité. Non pas parce que je suis un philanthrope. En fait sans aucune autre raison que celle-ci : c’est le monde dans lequel je veux vivre.

 – – –

Aral Balkan est un militant, concepteur et développeur. Il détient 1/3 de Ind.ie, une petite entreprise sociale qui travaille pour la justice sociale à l’ère du numérique.

Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.

Quand les facteurs deviennent shérifs…

Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.

Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !

Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.

Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).

Le pouvoir de nuisance des silos de mail

par Luc Didry, aka Framasky.

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids dans les échanges mondiaux [nous, on en a trouvé : 1,6 milliard de comptes à eux trois en 2016 – NdF].

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

Petits exemples vécus :

• Micro­soft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
• Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC [une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF [une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
• Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enre­gis­tre­ment DMARC [une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expé­di­teur une adresse Yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
• Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104] [« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est telle­ment connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée.

On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possé­dant une adresse Yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.

Si ces acteurs étaient de taille modeste, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.

Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.

On n’en peut plus des applis ! Depuis longtemps déjà leur omniprésence est envahissante et nous en avons parlé ici et là. Comme le profit potentiel qu’elles représentent n’a pas diminué, leur harcèlement n’a fait qu’augmenter

Aujourd’hui un bref article attire notre attention sur les applications comme vecteurs d’attaques, dangereuses tant pour la vie privée que pour la vie professionnelle.

Avertissement : l’auteur est vice-président d’une entreprise qui vend de la sécurité pour mobile…aux entreprises, d’où la deuxième partie de son article qui cible l’emploi des applications dans le monde du travail, et où manifestement il « prêche pour sa paroisse ».

Il nous a semblé que sa visée intéressée n’enlève rien à la pertinence de ses mises en garde.

Article original paru dans TechCrunch : Attack of the apps

Traduction Framalang : dodosan, goofy, savage, xi,  Asta

Quand les applis attaquent

par Robbie Forkish

Ça paraît une bonne affaire : vos applis favorites pour mobile sont gratuites et en contrepartie vous regardez des pubs agaçantes.

Mais ce que vous donnez en échange va plus loin. En réalité, vous êtes obligé⋅e de céder un grand nombre d’informations privées. Les applications mobiles collectent une quantité énorme de données personnelles : votre emplacement, votre historique de navigation sur Internet, vos contacts, votre emploi du temps, votre identité et bien davantage. Et toutes ces données sont partagées instantanément avec des réseaux de publicité sur mobile, qui les utilisent pour déterminer la meilleure pub pour n’importe quel utilisateur, en tout lieu et à tout moment.

Donc le contrat n’est pas vraiment d’échanger des pubs contre des applis, c’est plutôt de la surveillance sur mobile contre des applis. En acceptant des applis gratuites et payées par la pub sur nos mobiles, nous avons consenti à un  modèle économique qui implique une surveillance complète et permanente des individus. C’est ce qu’Al Gore appelait très justement une économie du harcèlement.

Pourquoi nos données personnelles, notre géolocalisation et nos déplacements sont-ils tellement convoités par les entreprises commerciales ? Parce que nous, les consommateurs, avons toujours et partout notre smartphone avec nous, et qu’il transmet sans cesse des données personnelles en tout genre. Si les annonceurs publicitaires savent qui nous sommes, où nous sommes et ce que nous faisons, ils peuvent nous envoyer des publicités plus efficacement ciblées. Cela s’appelle du marketing de proximité. C’est par exemple la pub du Rite Aid (NdT chaîne de pharmacies) qui vous envoie un message téléphonique quand vous circulez dans les rayons : « Vente flash : -10 % sur les bains de bouche ! »

Ça paraît inoffensif, juste agaçant. Mais cela va bien plus loin. Nous avons maintenant accepté un système dans lequel un site majeur de commerce en ligne peut savoir par exemple, qu’une adolescente est enceinte avant que ses parents ne le sachent, simplement en croisant les données de ses achats, son activité et ses recherches. Ce site de vente en ligne peut alors la contacter par courrier traditionnel ou électronique, ou encore la cibler via son téléphone lorsqu’elle est à proximité d’un point de vente. Nous n’avons aucune chance de voir disparaître un jour cette intrusion dans notre vie privée tant que le profit économique sera juteux pour les développeurs d’applications et les agences de publicité.

Un smartphone compromis représente une menace pas seulement pour l’employé visé mais pour l’entreprise tout entière.

D’accord, cette forme de surveillance du consommateur est intrusive et terrifiante. Mais en quoi cela menace-t-il la sécurité de l’entreprise ? C’est simple. À mesure que les appareils mobiles envahissent le monde du business, les fuites de ces appareils ouvrent la porte de l’entreprise aux piratages, aux vols de données et à des attaques paralysantes.

Si par exemple une entreprise laisse ses employés synchroniser leurs agendas et comptes mail professionnels avec leurs appareils mobiles personnels, cela ouvre la porte à toutes sortes de risques. D’un coup, les téléphones des employés contiennent les informations de contact de tout le monde dans l’organisation ou ont la possibilité d’y accéder. À fortiori, n’importe quelle autre application mobile qui demandera l’accès aux contacts et agendas des employés aura accès aux noms et titres des employés de la compagnie, aussi bien qu’aux numéros de toutes les conférences téléphoniques privées. Cette information peut facilement être utilisée pour une attaque par hameçonnage par une application malveillante ou un pirate.

Pire, de nombreuses applications monétisent leurs bases d’utilisateurs en partageant les données avec des réseaux publicitaires qui repartagent et mutualisent les données avec d’autres réseaux, aussi est-il impossible de savoir exactement où vont les données et si elles sont manipulées de manière sécurisée par n’importe laquelle des nombreux utilisateurs y ayant accès. Tous ces partages signifient qu’un pirate malveillant n’a même pas besoin d’avoir accès au téléphone d’un employé pour attaquer une entreprise. Il lui suffit de pirater un réseau publicitaire qui possède les informations de millions d’utilisateurs et de partir de là.

Les informations volées peuvent aussi être utilisées pour pirater une entreprise au moyen d’une attaque de point d’eau. Supposons par exemple que des membres du comité de direction déjeunent régulièrement dans le même restaurant. Un attaquant qui a accès à leurs données de localisation pourrait facilement l’apprendre. L’attaquant suppose, à raison, que certains membres vont sur le site du restaurant pour réserver une table et regarder le menu avant le repas. En introduisant du code malveillant sur ce site mal défendu, l’attaquant peut compromettre l’ordinateur de bureau ou le téléphone d’un ou plusieurs membres du comité de direction, et de là, s’introduire dans le réseau de l’entreprise.

Un smartphone compromis représente une menace non seulement pour l’employé ciblé mais pour l’entreprise dans son entier. Des informations sur les activités des employés, à la fois pendant leur temps de travail et en dehors, combinées à des courriels, des informations sensibles ou des documents liés à l’entreprise, peuvent avoir des effets dévastateurs sur une organisation si elles tombent entre de mauvaises mains.
Que doivent donc faire les entreprises pour lutter contre cette menace ?

La première étape est d’en apprendre plus sur votre environnement mobile. Votre organisation doit savoir quelles applications les employés utilisent, ce que font ces applications et si elles sont conformes à la politique de sécurité de l’entreprise. Par exemple, existe-t-il une application de partage de documents particulièrement risquée que vous ne voulez pas que vos employés utilisent ? Est-elle déjà utilisée ? Si vous ne savez pas quelles applications vos employés utilisent pour travailler, vous naviguez à l’aveugle et vous prenez de gros risques.

Il est essentiel que votre entreprise inclue la protection contre les menaces sur mobile dans sa stratégie de sécurité générale.

Deuxièmement, vous allez avoir besoin d’une politique sur l’utilisation des appareils mobiles. La plupart des organisations ont déjà mis en place une politique pour les autres plateformes, y compris pour la gestion des pare-feux et le partage de données avec des partenaires de l’entreprise. Par exemple, si vos employés utilisent la version gratuite d’applications approuvées par l’entreprise mais avec publicité, imposez aux employés d’utiliser la version payante afin de minimiser, sinon éliminer, l’envoi aux employés de données non approuvées sous forme de publicités, même si cela n’éliminera pas la collecte incessante de données personnelles et privées.

Ensuite, votre organisation doit informer les employés sur les risques liés aux applications utilisées. Il est dans votre intérêt de donner du pouvoir aux utilisateurs en les équipant d’outils et en les entraînant afin qu’ils puissent prendre de meilleures décisions quant aux applications téléchargées. Par exemple, incitez vos employés à se poser des questions sur les applications qui demandent des permissions. Il existe beaucoup d’applications qui veulent accéder aux données de localisation, aux contacts ou à la caméra. Les employés ne doivent pas dire automatiquement oui. La plupart des applications fonctionneront très bien si la requête est rejetée, et demanderont à nouveau aux utilisateurs si la permission est vraiment nécessaire. Si une application ne dit pas pourquoi elle a besoin de cet accès, c’est mauvais signe.

Enfin, toutes ces questions peuvent être traitées avec une bonne solution de sécurité pour appareils mobiles. Toute entreprise sans solution de protection des appareils mobiles est par définition inconsciente des informations qui lui échappent et ignore d’où viennent les fuites. Elle est donc incapable de répondre aux risques présents dans son environnement. Il est donc essentiel que votre entreprise inclue la protection des appareils mobiles dans sa stratégie de sécurité afin de protéger la vie privée des employés et les données de l’entreprise de la menace toujours plus grande que représentent la surveillance des téléphones et la collecte de données.

Hier, c’était le « I love Free Software Day » (ou #ilovefs pour les intimes). Une occasion de (re-)donner du sens à la Saint-Valentin en déclarant votre amour à tou·te·s les contributeurs, développeuses, traducteurs, intégratrices, designers, autrices… bref, à toutes les personnes qui donnent de leur temps, leur énergie et leur savoir-faire pour faire vivre le Libre.

À nous de vous dire qu’on vous aime !

Souvent on aime, et on râle (sur telle fonctionnalité manquante, telle traduction malencontreuse, tel menu pas intuitif…). Pour cet article, on ne va pas râler, mais envoyer toute la reconnaissance, les encouragements et l’amour que nous portons à ces personnes qui changent nos vies (numériques, mais pas que) une touche de clavier après l’autre.

C’est bien connu : chez Framasoft, on ne développe (quasiment) pas de logiciels. On contribue, bien entendu, de plus en plus et en faisant de notre mieux… Mais il faut bien comprendre que tous les services que nous hébergeons et montrons n’existeraient pas sans les formidables communautés qui les développent, entretiennent et améliorent.

Alors nous saisissons cette occasion (avec un jour de retard -_-‘), car nous avons envie que vous vous joignez à nous pour envoyer vos messages bienveillants, vos contributions et vos dons (pour qui le peut et le veut) envers ces formidables initiatives.

Tout notre amour et nos remerciements à…

La communauté Etherpad pour Framapad

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Leur faire un don.

La communauté Ethercalc pour Framacalc

• Leur envoyer de l’amour ;
• Contribuer au projet.

La communauté Wisemapping pour Framindmap

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Leur faire un don.

Les « Logiciels du chapeau » (Lutim, Lufi, Lstu) pour Framapic, Framadrop et Frama.link

Bon, Luc, il est un peu-beaucoup de chez nous, mais il a initialement développé ces projets sur son temps libre, et non en tant qu’administrateur système de Framasoft ;).

• Lui envoyer de l’amour ;
• Contribuer aux projets ;
• Lui faire un don.

La communauté Shaarli (et SebSauvage) pour MyFrama

• Leur envoyer de l’amour ;
• Contribuer au projet.

L’entreprise Nextcloud pour Framadrive et Framagenda

• Leur envoyer de l’amour ;
• Contribuer au projet.

L’entreprise Gitlab pour Framagit

• Leur envoyer de l’amour ;
• Contribuer au projet.

La fondation Diaspora* pour Framasphère*

• Leur envoyer de l’amour ;
• Contribuer au projet.

Le projet Drupal-Webform pour Framaforms

• Contribuer via la page Drupal du module.

Renater et la communauté Sympa pour Framalistes

• Leur envoyer de l’amour ;
• Contribuer au projet.

La communauté OpenStreetMap & Umap (Yohan) pour Framacarte

• Envoyer de l’amour : à OSM et à Umap
• Contribuer à OSM ;
• Contribuer à Umap ;
• Faire un don à OSM.

La communauté TinyTinyRSS pour Framanews

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Leur faire un don.

La communauté Searx pour Framabee/Tonton Roger

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Leur faire un don.

La communauté Minetest pour Framinetest

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Leur faire un don.

Ali Asaria créateur de Scrumblr pour Framémo

• Lui envoyer de l’amour ;
• Contribuer au projet.

La communauté Privatebin et SebSauvage (again), pour Framabin

• Leur envoyer de l’amour ;
• Contribuer au projet.

La communauté wallabag et Nicosomb pour Framabag

Pour rappel, on a récemment parlé avec Nicolas, membre de Framasoft et créateur de wallabag, dans cet article 😉

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Pas de dons mais on peut soutenir en prenant un hébergement payant chez wallabag.it !

La communauté Loomio pour Framavox

• Leur envoyer de l’amour ;
• Contribuer au projet.

L’enterprise Jitsi et la communauté Jitsi Meet pour Framatalk

• Leur envoyer de l’amour ;
• Contribuer au projet.

L’entreprise Mattermost pour Framateam

• Leur envoyer de l’amour ;
• Contribuer au projet.

Frédéric Guillot et la communauté Kanboard pour Framaboard

• Leur envoyer de l’amour ;
• Contribuer au projet ;
• Leur faire un don.

La communauté SVG-Edit pour Framavectoriel

• Leur envoyer de l’amour ;
• Contribuer au projet.

Nous tenons aussi à saluer et à couvrir d’amour Olivier et Antonin qui maintiennent, au sein de Framasoft, le développement de Framadate, ainsi que toutes les personnes dont le travail, la passion, et la ténacité font qu’on peut tous les jours continuer à mettre en valeur une belle trentaine de services et ainsi un peu plus Dégoogliser Internet.

La revue de presse de Jonas@framasoft, qui paraît quand il a le temps. Épisode N^o 2/n

Effacer n’est pas supprimer : votre historique de Safari demeure longtemps dans iCloud

(Source : Forbes)

Si vous pensez que la suppression de votre historique de navigation sur votre iPhone ou Mac va faire disparaître définitivement vos habitudes en ligne, vous vous trompez. Lourdement. Selon le PDG d’Elcomsoft qui commercialise un outil d’extraction des données du iPhone, Apple stocke l’historique de navigation de Safari dans le iCloud, en remontant à plus d’un an, peut-être bien davantage, même lorsque l’utilisateur a demandé qu’il soit effacé de la mémoire.

Jay Stanley, spécialiste de l’analyse des politiques de confidentialité à l’ACLU (Union américaine pour les libertés civiles), dit que les entreprises doivent être vigilantes et suivre les bonnes pratiques en détruisant vraiment les données des utilisateurs qui le demandent.

Il rappelle : « l’historique de navigation est un ensemble de données extrêmement sensibles. Elles révèlent les centres d’intérêt des personnes, ce qui les préoccupe, un grand nombre des pensées qui les traversent, ainsi que des informations sur leur santé et leur sexualité ».

L’article se termine par une mise à jour rassurante : Apple semble avoir corrigé le problème dans la dernière version de son OS. Cependant il est conseillé aux utilisateurs soucieux de leurs données sensibles de désactiver la synchronisation de Safari avec  iCloud.

Vos comptes Gmail espionnés légalement

(source : Papergeek)

La justice vient de statuer sur les données stockées sur les serveurs de Google, dont celles du très populaire service de messagerie Gmail. Elle a donc décidé de forcer la firme à divulguer les données de n’importe lequel de ses utilisateurs quelle que soit la nationalité, que vous résidiez ou non aux États-Unis. Même si les données en question se trouvent sur des serveurs en dehors du territoire des États-Unis.

Cyber-harcèlement d’état ?

(source : The New York Times)

Au Mexique, les partisans d’une taxe sur les sodas, comme des nutritionnistes ou responsables de la santé publique, sont victimes de messages électroniques inquiétants ou menaçants. La taxe est destinée à réduire la consommation de boissons sucrées et donc l’obésité, mais elle se heurte évidemment aux pressions des géants voisins des boissons gazeuses, pressions relayées semble-t-il par le gouvernement mexicain lui-même.

Les liens envoyés étaient accompagnés d’une forme invasive de logiciels espions développée par NSO Group, un cyber-distributeur israélien qui vend ses outils d’espionnage exclusivement aux gouvernements et qui a des contrats avec plusieurs agences à l’intérieur du Mexique, comme le révèlent des fuites publiées l’an dernier par le New York Times.

NSO Group et les dizaines d’autres « espiogiciels » commerciaux qui sont apparus autour du globe au cours de la dernière décennie opèrent dans un marché largement non réglementé. Les fabricants de ces logiciels espions comme NSO Group, Hacking Team en Italie et Gamma Group en Grande-Bretagne assurent qu’ils vendent des outils uniquement aux gouvernements pour les enquêtes criminelles et terroristes.

Mais les services gouvernementaux ont toute latitude pour décider qui ils veulent on non pirater avec des outils d’espionnage qui peuvent tout pister de leur cible : tous les appels téléphoniques, les textos, les courriels, les frappes au clavier, la localisation, chaque son et chaque image.

La revue de presse de Jonas@framasoft, qui paraît quand il a le temps

« Un cerveau de substitution »

Dans une interview sur les chances qu’a Qwant de rivaliser avec le moteur de recherche de Google, Éric Léandri, co-fondateur de Qwant, déclare :

Vous devez penser à l’Internet non seulement comme un moyen de communication, mais de plus en plus comme à un cerveau de substitution. Les choses qui auraient été gardées dans les limites impénétrables de votre propre esprit, ou dans le sanctuaire de votre maison, sont maintenant envoyées sur des serveurs pour que le monde ou quelques entreprises les voient. Tout ce que nous faisons est de plus en plus stocké et peut être récupéré sur demande.

« Votre historique de navigation suffit à dévoiler votre identité »

D’après un article de The Atlantic, une équipe de chercheurs de Stanford et Princeton a développé un système qui peut connecter votre profil Twitter avec votre nom et votre identité, en examinant seulement votre historique de recherche.

Cela signifie que conserver la confidentialité tout en utilisant Twitter est impossible sans renoncer à ce qui constitue le marqueur du réseau social : sa nature publique et gratuite pour tous.

L’article explique comment l’expérience a été menée et mentionne au passage quelles parades on peut éventuellement utiliser : Privacy Badger et Ghostery
Mais voici la fin de l’article :

Le conseil de sagesse qu’on nous donne généralement est qu’il faut être prudent avec ce que l’on partage. Mais ici, nous montrons que vous pouvez être dés-anonymisé simplement en naviguant et en suivant des comptes, même si vous ne partagez rien.

 « Une fois vos informations stockées, on peut les modifier et en faire ce qu’on veut »

Dans l’hebdomadaire italien La Repubblica, la journaliste Stefania Maurizi interviewe le lanceur d’alerte William Binney. Celui-ci évoque entre autres un programme pour la NSA nommé ThinThread, qu’il avait développé avec son équipe et qui permettait de cibler avec précision la surveillance en visant les activités délictueuses, tout en laissant de côté les données privées.

Quelques extraits de la conversation :

Stefania Maurizi — Après le 11 septembre, la NSA a détourné votre système, supprimé les dispositifs protégeant la vie privée et a utilisé ThinThread pour espionner la population tout entière ?
William Binney — La première chose qu’ils ont faite a été le programme « Stellar Wind » qui visait l’espionnage domestique (…) ils ont supprimé trois fonctionnalités de ThinThread dont l’une était la protection de la vie privée. Au lieu de prendre seulement les données pertinentes ou celles qui étaient très probablement pertinentes, ils ont absolument tout pris et ils ont étendu la surveillance à l’échelle de la planète.
SM — Nous avons constaté dans les seize dernière années que la surveillance de la NSA avait échoué à prévenir des attaques terroristes. Pensez-vous que ce n’est qu’une question de temps avant que la NSA ne soit capable de le faire effectivement, ou bien qu’ils n’en auront jamais les capacités ?
WB — Je pense qu’ils sont condamnés à l’échec, parce qu’ils sont enfermés dans la conviction qu’ils doivent tout collecter (…) Ils sont très bons pour collecter des données, mais ils n’ont fait aucun progrès pour essayer de savoir ce qu’ils peuvent avoir dans les données qu’ils ont collectées.[…]
Ce genre de pouvoir ne devrait pas exister pour aucun gouvernement, parce qu’il crée vraiment un état totalitaire. C’est comme la Stasi dopée aux amphétamines ; au lieu de détenir des dossiers avec des documents sur tout le monde, ils archivent tout ce que vous faites de façon électronique, si bien que le jeu d’informations est beaucoup plus complet, à jour et exploitable, et ils peuvent le manipuler, et faire de vous tout ce qu’ils veulent […]
SM — Donc le problème n’est pas seulement la collecte, mais aussi la manipulation des données ?
WB — Oui. une fois qu’on a stocké les informations, on peut les modifier et en faire ce que l’on veut.