S’il est de notoriété publique que nos données personnelles sont enregistrées et utilisées par les G.A.F.A.M., il est en revanche moins connu que certaines de ces données sont utilisables par tout le monde. Et c’est bien là le point faible de toute campagne de prévention : on a beau dire que nos données sont utilisées, il est peu fréquent que nos paroles soient illustrées.
x0rz publie sur son blog un billet qui illustre parfaitement ce problème. En effet, il a écrit un petit script Python (moins de 400 lignes de code) qui récupère et synthétise les métadonnées Twitter, accessible par n’importe qui.
Ce billet ouvre deux perspectives :
Concernant le harcèlement numérique : certes ces données sont publiques, mais il faut tout de même quelques capacités en programmation pour les exploiter, ce qui n’est pas à la portée de tout le monde. Imaginons qu’apparaissent de plus en plus de programmes grand public permettant d’accumuler et synthétiser ces données. Il deviendra alors plus facile pour un particulier d’identifier et de traquer une autre personne.
Concernant les métadonnées en général : dans cet exemple, les données analysées restent très basiques (heure et localisation). Nous arrivons toutefois, par l’accumulation et le recoupement, à déduire des informations intéressantes de ces « méta-métadonnées », et à identifier nettement une personne. Imaginons que les métadonnées enregistrées soient plus précises et plus nombreuses, les informations obtenues seraient alors d’une importance et d’une précision inimaginables. Est-ce alors nécessaire de mentionner qu’à la fois les entreprises (ici Twitter) et les agences gouvernementales ont accès à ce genre de métadonnées ?
Article original écrit par x0rz, consultant en sécurité informatique, sur son blog.
Traduction Framalang : mo, mathis, goofy, valvin, Diane, Moriarty, Bromind et des anonymes
Vous serez surpris par tout ce que vos tweets peuvent révéler de vous et de vos habitudes
Une analyse de l’activité des comptes Twitter
J’utilise Twitter tous les jours. Pour moi qui suis consultant en cybersécurité, c’est de loin un des meilleurs outils pour rester informé des dernières actualités et pour partager des informations qu’on estime pertinentes pour d’autres. Avec la récente investiture de Donald Trump, les dingosdeTwitter de la nouvelle administration et l’émergence de groupes de résistance sur Twitter, j’ai décidé de démontrer à quel point il est facile d’exposer des informations révélatrices à partir du compte de quelqu’un d’autre, sans même le pirater.
Métadonnées
Comme tous les réseaux sociaux, Twitter sait beaucoup de choses sur vous, grâce aux métadonnées. En effet, pour un message de 140 caractères, vous aurez un paquet de métadonnées, plus de 20 fois la taille du contenu initial que vous avez saisi ! Et vous savez quoi ? Presque toutes les métadonnées sont accessibles par l’API ouverte de Twitter.
Voici quelques exemples qui peuvent être exploités par n’importe qui (pas seulement les gouvernements) pour pister quelqu’un et en déduire son empreinte numérique :
Fuseau horaire et langue choisie pour l’interface de twitter
Langues détectées dans les tweets
Sources utilisées (application pour mobile, navigateur web…)
Géolocalisation
Hashtags les plus utilisés, utilisateurs les plus retweetés, etc.
Activité quotidienne/hebdomadaire
Un exemple d’analyse de tweet (2010, l’API a beaucoup changé depuis).
Tout le monde connaît les dangers des fuites de géolocalisation et à quel point elles nuisent à la confidentialité. Mais peu de gens se rendent compte que tweeter de façon régulière suffit à en dire beaucoup sur vos habitudes.
Prendre séparément un tweet unique peut révéler des métadonnées intéressantes. Prenez-en quelques milliers et vous allez commencer à voir se dessiner des lignes directrices. C’est là que ça devient amusant.
Méta-métadonnées
Une fois qu’on a collecté suffisamment de tweets d’un compte on peut par exemple identifier ceux qui relèvent d’une entreprise (émettant uniquement pendant les horaires de bureau) et même essayer de deviner combien d’utilisateurs interagissent avec ce compte.
Pour prouver ce que j’avance, j’ai développé un script en python qui récupère tous les derniers tweets de quelqu’un, extrait les métadonnées, et mesure l’activité en fonction de l’heure et du jour de la semaine.
Analyse du compte de @Snowden
Snowden a posté 1682 tweets depuis septembre 2015. Comme on peut le voir ci-dessous, il est facile de déterminer son rythme de sommeil (fuseau horaire de Moscou).
Activité du compte Twitter de Snowden
Analyse du compte de @realdonaldtrump
Est-ce que le compte de Donald Trump est géré par plusieurs personnes ? Cette fois en observant le nombre de sources détectées, je vous laisse deviner…
Sources des tweets du compte de Donald Trump
Recommandations générales
Je vous recommande fortement de lire les conseils de sécurité Twitter du Grugq. En plus de ce guide, je vous conseille d’être prudents avec les fuseaux horaires et les langues que vous utilisez, et d’être également conscients que vos tweets peuvent être analysés comme un tout : ne tweetez pas toujours à la même heure si vous ne voulez pas que les gens devinent votre fuseau horaire. Bien sûr, ces principes sont valables seulement si vous souhaitez rester anonyme, ne les appliquez pas à votre compte principal (ce serait une perte de temps) !
Code source
J’ai publié mon script sur GitHub. C’est open source donc n’hésitez pas à contribuer 😉
Facebook n’est pas un réseau social, c’est un scanner qui nous numérise
Aral Balkan est dans le monde de l’informatique une voix singulière, peut-être signe d’un changement de mentalités au sein de cette nébuleuse généralement plus préoccupée de technologie que de la marche du monde.
C’est en effet sur le terrain politique et même idéologique (ça y est, en deux mots on a déjà perdu les startupers !) qu’il place son travail, dans une perspective militante.
Contempteur sans concession du « capitalisme de surveillance » ( voir ce que nous avons publié sur cette question), il se place ici en rupture totale avec le discours à visée hégémonique que vient de tenir Mark Zuckerberg.
Pour Aral Balkan, tous les objets numériques qui nous prolongent sont autant d’émanations fragmentaires de notre personnalité, nous devrions donc en reconquérir la souveraineté et en défendre les droits battus en brèche par les Léviathans qui les captent et les monétisent.
il nous faut selon lui travailler à créer un autre monde (eh oui, carrément) où nous aurions retrouvé la maîtrise de toutes les facettes de nos personnalités numériques, il indique même quelques pistes dont certaines sont « déjà là » : les biens communs, les licences libres, le pair à pair…
Certains ne manqueront pas de traiter sa vision d’utopie avec un haussement d’épaules, avant de se résigner à un statu quo qui mutile notre humanité.
Découvrez plutôt sans préjugés un discours disruptif qui peut-être porte en germe une flexion décisive dans notre rapport au numérique.
Encourager la maîtrise de chacun et la bonne santé des biens communs
Dans son manifeste récent Mark Zuckerberg mettait en valeur sa vision d’une colonie mondiale centralisée dont les règles seraient dictées par l’oligarchie de la Silicon Valley.
J’affirme que nous devons faire exactement l’inverse et œuvrer à un monde fondé sur la souveraineté individuelle et un patrimoine commun sain.
Nous sommes des êtres fragmentés. Construisons un monde où nous détenons et contrôlons toutes les facettes de notre personnalité.
Mark Zuckerberg a publié un manifeste intitulé « Construisons une communauté mondiale » dans lequel il détaille comment lui, un des 8 plus riches milliardaires au monde) et son empire entrepreneurial américain/multinational, Facebook Inc., vont résoudre tous les maux du monde.
Dans sa vision grandiose pour l’humanité, Mark revient sur la façon dont fondamentalement, Facebook « nous rapproche » en « connectant nos amis et nos familles ». Ce que Mark oublie de dire c’est que Facebook ne connecte pas les gens entre eux ; Facebook connecte les gens à Facebook Inc.
Facebook : Le mythe. Mark souhaite que vous pensiez que Facebook vous connecte les uns aux autres.
Facebook : la réalité. Facebook vous connecte à Facebook Inc.
Le modèle économique de Facebook c’est d’être « l’homme du milieu » : il consiste à pister tous vos comportements, votre famille, vos amis, à stocker indéfiniment des informations et les analyser en permanence pour vous connaître, vous exploiter en vous manipulant afin d’en tirer un bénéfice financier ou politique.
Facebook n’est pas un réseau social, c’est un scanner qui numérise les êtres humains. C’est, pour ainsi dire, une caméra qui capte votre âme.
Le business de Facebook consiste à créer un double de vous-même, à s’emparer de ce double et à le contrôler, pour vous posséder et vous contrôler.
Quand Mark vous demande de lui faire confiance pour être un roi bienveillant, je réponds que nous bâtirons un monde sans roi.
Le modèle économique de Facebook, Google et de la cohorte des startups financées par le capital-risque de la Silicon Valley, j’appelle ça de l’élevage d’être humains. Facebook est une ferme industrielle pour les êtres humains. Et le manifeste de Mark n’est rien d’autre que la dernière tentative d’un milliardaire paniqué pour enjoliver un modèle d’affaires répugnant fondé sur la violation des droits humains avec l’objectif faussement moral de se débarrasser de la réglementation et de justifier un désir décomplexé de créer une seigneurie à l’échelle planétaire, en connectant chacun d’entre nous à Facebook, Inc.
Refusons une colonie globale
Le manifeste de Mark ne vise pas à construire une communauté globale, il vise à construire une colonie globale – dont il serait le roi et dont son entreprise et l’oligarchie de la Silicon Valley seraient la cour.
Facebook veut nous faire croire qu’il s’agit d’un parc de loisirs alors qu’il s’agit d’un centre commercial.
Ce n’est pas le rôle d’une entreprise de « développer l’infrastructure sociale d’une communauté » comme Mark veut le faire. L’infrastructure sociale doit faire partie des biens communs, et non pas appartenir aux entreprises monopolistiques géantes comme Facebook. La raison pour laquelle nous nous retrouvons dans un tel bazar avec une surveillance omniprésente, des bulles de filtres et des informations mensongères (de la propagande) c’est que, précisément, la sphère publique a été totalement détruite par un oligopole d’infrastructures privées qui se présente comme un espace public.
Facebook veut nous faire croire qu’il s’agit d’un parc alors qu’il s’agit d’un centre commercial. La dernière chose dont nous ayons besoin c’est d’une infrastructure numérique encore plus centralisée et détenue par des intérêts privés pour résoudre les problèmes créés par une concentration sans précédent de puissance, de richesse et de contrôle entre les mains de quelques-uns. Il est grand temps que nous commencions à financer et à construire l’équivalent numérique de parcs à l’ère du numérique au lieu de construire des centres commerciaux de plus en plus grands.
D’autres ont critiqué en détail le manifeste de Mark. Je ne vais pas répéter ici ce qu’ils ont dit. Je voudrais plutôt me concentrer sur la manière dont nous pouvons construire un univers radicalement différent de celui de la vision de Mark. Un monde dans lequel, nous, individus, au lieu des entreprises, aurons la maîtrise et le contrôle de notre être. En d’autres termes, un monde dans lequel nous aurons la souveraineté individuelle.
Là où Mark vous demande de lui faire confiance en tant que roi bienveillant, je réponds : construisons un monde sans roi. Là où la vision de Mark s’enracine dans le colonialisme et la perpétuation d’un pouvoir et d’un contrôle centralisés, la mienne est fondée sur la souveraineté individuelle et avec des biens communs en bonne santé et distribués.
La souveraineté individuelle et le moi cybernétique.
Nous ne pouvons plus nous offrir le luxe de ne pas comprendre la nature du « moi » à l’âge numérique. L’existence même de nos libertés et de la démocratie en dépend.
Nous sommes (et nous le sommes depuis un moment maintenant) des organismes cybernétiques.
Nous devons résister de toutes nos forces à toute tentative de réduire les personnes à des propriétés.
En cela, je ne veux pas faire référence à la représentation stéréotypée des cyborgs qui prévaut en science-fiction et dans laquelle la technologie se mélange aux tissus humains. Je propose plutôt une définition plus générale dans laquelle le terme s’applique à toute extension de notre esprit et de notre moi biologique par la technologie. Bien que les implants technologiques soient certainement réalisables, possibles et avérés, le principal moyen par lequel nous amplifions aujourd’hui notre moi avec la technologie, ce n’est pas par des implants mais par des explants.
Nous sommes des êtres fragmentés ; la somme de nos différents aspects tels que contenus dans nos êtres biologiques aussi bien que dans la myriade de technologies que nous utilisons pour étendre nos capacités biologiques.
Nous devons protéger par voie constitutionnelle la dignité et le caractère sacro-saint du moi étendu.
Une fois que nous avons compris cela, il s’ensuit que nous devons étendre les protections du moi au-delà de nos limites biologiques pour y inclure toutes ces technologies qui servent à nous prolonger. Par conséquent, toute tentative par des tierces parties de posséder, contrôler et utiliser ces technologies comme une marchandise est une tentative de posséder, contrôler et monétiser les éléments constitutionnels des individus comme des marchandises. Pour faire court, c’est une tentative de posséder, contrôler et utiliser les êtres humains comme des marchandises.
Inutile de dire que nous devons résister avec la plus grande vigueur à toute tentative de réduire les êtres humains à de la marchandise. Car ne pas le faire, c’est donner notre consentement tacite à une nouvelle servitude : une servitude qui ne fait pas commerce des aspects biologiques des êtres humains mais de leurs paramètres numériques. Les deux, bien sûr, n’existent pas séparément et ne sont pas réellement séparables lorsque la manipulation de l’un affecte nécessairement l’autre.
Au-delà du capitalisme de surveillance
À partir du moment où nous comprenons que notre relation à la technologie n’est pas une relation maître/esclave mais une relation organisme cybernétique/organe ; à partir du moment où nous comprenons que nous étendons notre moi par la technologie et que notre technologie et nos données font partie des limites de notre moi, alors nous devons nous battre pour que légalement les protections constitutionnelles du moi que nous avons gravées dans la Déclaration universelle des droits de l’homme et mises en application dans la myriade des législations nationales soient étendues à la protection du moi en tant qu’être cybernétique.
Il s’ensuit également que toute tentative de violation des limites de ce moi doit être considérée comme une attaque du moi cybernétique. C’est précisément cette violation qui constitue aujourd’hui le modèle économique quotidien de Facebook, Google et des majors de la technologie de la Sillicon Valley. Dans ce modèle, que Shoshana Zuboff appelle le capitalisme de surveillance, ce que nous avons perdu, c’est notre souveraineté individuelle. Les personnes sont à nouveau redevenues des possessions, bien que sous forme numérique et non biologique.
Pour contrer cela, nous devons construire une nouvelle infrastructure pour permettre aux personnes de regagner cette souveraineté individuelle. Ces aspects de l’infrastructure qui concernent le monde qui nous entoure doivent appartenir aux biens communs et les aspects qui concernent les gens – qui constituent les organes de notre être cybernétique – doivent être détenus et contrôlés par les individus eux-mêmes.
Ainsi, par exemple, l’architecture d’une ville intelligente et les données sur le monde qui nous entoure (les données sur notre environnement) doivent appartenir aux biens communs, tandis que votre voiture intelligente, votre smartphone, votre montre connectée, votre peluche intelligente, etc. et les données qu’ils collectent (les données sur les individus) doivent rester votre propriété.
Pour un Internet des individus
Imaginez un monde où chacun possède son propre espace sur Internet, fondé sur les biens communs. Cela représente un espace privé (un organe de notre être cybernétique) auquel nos appareils dits intelligents (qui sont aussi des organes), peuvent se connecter.
Au lieu d’envisager cet espace comme un nuage personnel, nous devons le considérer comme un nœud particulier, permanent, dans une infrastructure de pair à pair dans laquelle nos appareils divers (nos organes) se connectent les uns aux autres. En pratique, ce nœud permanent est utilisé pour garantir la possibilité de trouver la localisation (à l’origine en utilisant des noms de domaine) et la disponibilité (car il est hébergé/toujours en service) tandis que nous passerons de l’architecture client/serveur du Web actuel à l’architecture de pair à pair de la prochaine génération d’Internet.
Chacun a son propre espace sur Internet, auquel tous ses objets se connectent.
Un Internet des individus
L’infrastructure que nous construirons doit être fondée sur les biens communs, appartenir aux biens communs et être interopérable. Les services eux-mêmes doivent être construits et hébergés par une pléthore d’organisations individuelles, non par des gouvernements ou par des entreprises gigantesques, travaillant avec des protocoles interopérables et en concurrence pour apporter à ceux qu’elles servent le meilleur service possible. Ce n’est pas un hasard : ce champ sévèrement limité du pouvoir des entreprises résume l’intégralité de leur rôle dans une démocratie telle que je la conçois.
L’unique but d’une entreprise devrait être de rivaliser avec d’autres organisations pour fournir aux personnes qu’elles servent le meilleur service possible. Cela contraste radicalement avec les énormes dispositifs que les entreprises utilisent aujourd’hui pour attirer les individus (qu’ils appellent des « utilisateurs ») sous de faux prétextes (des services gratuits à l’intérieur desquels ils deviennent les produits destinés à la vente) dans le seul but de les rendre dépendants, de les piéger et de les enfermer dans des technologies propriétaires, en faire l’élevage, manipuler leur comportement et les exploiter pour en tirer un bénéfice financier et politique.
Dans l’entreprenocratie d’aujourd’hui, nous – les individus – sommes au service des entreprises. Dans la démocratie de demain, les entreprises devront être à notre service.
Les fournisseurs de services doivent, naturellement, être libres d’étendre les fonctionnalités du système tant qu’ils partagent les améliorations en les remettant dans les biens communs (« partage à l’identique »), évitant ainsi le verrouillage. Afin de fournir des services au-dessus et au-delà des services de base fondés sur les biens communs, les organisations individuelles doivent leur attribuer un prix et faire payer les services selon leur valeur ajoutée. De cette manière, nous pouvons construire une économie saine basée sur la compétition reposant sur un socle éthiquement sain à la place du système de monopoles que nous rencontrons aujourd’hui reposant sur une base éthiquement pourrie. Nous devons le faire sans compliquer le système tout entier dans une bureaucratie gouvernementale compliquée qui étoufferait l’expérimentation, la compétition et l’évolution décentralisée et organique du système.
Une économie saine fondée sur un base éthique
Interopérabilité, technologies libres avec des licences « partage à l’identique », architecture de pair à pair (par opposition à une architecture client/serveur), et un cœur fondé sur les biens communs : tels sont les garde-fous fondamentaux pour empêcher le nouveau système de se dégrader en une nouvelle version du Web de surveillance monopolistique, tel que nous connaissons aujourd’hui. C’est notre manière d’éviter les économies d’échelle et de rompre la boucle de rétroaction entre l’accumulation d’informations et la richesse qui est le moteur principal du capitalisme de la surveillance.
Pour être tout à fait clair, nous ne parlons pas d’un système qui peut s’épanouir sous le diktat du dernier round d’un capitalisme de surveillance. C’est un système néanmoins, qui peut être construit dans les conditions actuelles pour agir comme un pont entre le statu quo et un monde post-capitaliste durable.
Construire le monde dans lequel vous voulez vivre
Dans un discours que j’ai tenu récemment lors d’un événement de la Commission européenne à Rome, je disais aux auditeurs que nous devions « construire le monde dans lequel nous voulons vivre ». Pour moi, ce n’est pas un monde détenu et contrôlé par une poignée d’oligarques de la Silicon Valley. C’est un monde avec des biens communs sains, dans lequel – en tant que communauté – nous possédons et contrôlons collectivement ces aspects de notre existence qui nous appartiennent à tous, et dans lequel aussi — en tant qu’individus — nous sommes maîtres et avons le contrôle des aspects de notre existence qui n’appartiennent qu’à nous.
Imaginez un monde où vous et ceux que vous aimez disposeraient d’une capacité d’action démocratique ; un monde où nous bénéficierions tous d’un bien-être de base, de droits et de libertés favorables à notre dignité d’êtres cybernétiques. Imaginez un monde durable libéré de l’avidité destructrice et à court terme du capitalisme et dans lequel nous ne récompenserions plus les sociopathes lorsqu’ils trouvent des moyens encore plus impitoyables et destructeurs d’accumuler les richesses et la puissance aux dépens des autres. Imaginez un monde libre, soustrait (non plus soumis) à la boucle de rétroaction de la peur fabriquée et de la surveillance omniprésente qui nous entraîne de plus en plus profondément dans un nouveau vortex du fascisme. Imaginez un monde dans lequel nous nous octroierions la grâce d’une existence intellectuellement riche où nous serions libres d’explorer le potentiel de notre espèce parmi les étoiles.
Tel est le monde pour lequel je me lève chaque jour afin d’y travailler. Non par charité. Non pas parce que je suis un philanthrope. En fait sans aucune autre raison que celle-ci : c’est le monde dans lequel je veux vivre.
– – –
Aral Balkan est un militant, concepteur et développeur. Il détient 1/3 de Ind.ie, une petite entreprise sociale qui travaille pour la justice sociale à l’ère du numérique.
Être un géant du mail, c’est faire la loi…
Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.
Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.
Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !
Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.
Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).
Quand on pense aux GAFAM, on pense surtout à leur vilaine habitude d’aspirer les données de leurs utilisateurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids démesuré dans le domaine du mail.
Google, c’est gmail, Microsoft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]
Tout ça représente un nombre plus que conséquent d’utilisateurs. Google revendiquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.
Ce qui nous ramène à une situation des plus déplaisantes où un petit nombre d’acteurs peut en em***er une multitude.
WARNING : la liste à puce qui suit contient des exemples techniques un poil velus. Nos notes vous aideront à y survivre, mais vous avez le droit de la passer pour lire la suite des réflexions de Luc. Ah, et puis il a son franc-parler, le loustic. ^^ – NdF.
Petits exemples vécus :
Microsoft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Framasoft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Framasoft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trouver comment s’en débrouiller, bon courage : la page d’erreur de Microsoft n’indiquait rien. Je n’ai même pas trouvé tout seul (et pourtant j’ai cherché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-blacklister (notez au passage qu’il est impossible de faire dé-blacklister une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
Gmail qui, du jour au lendemain, décide de mettre tous les mails de mon domaine personnel en spam. Ce qui ne serait pas trop gênant (hé, les faux positifs, ça existe) si ce n’était pour une raison aberrante (ou alors c’est une sacrée coïncidence) : ça s’est passé à partir du moment où j’ai activé DNSSEC[une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enregistrement SPF[une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enregistrement SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi nécessiter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
Yahoo. Ah, Yahoo. Yahoo a décidé de renforcer la lutte contre le spam (bien) mais a de fait cassé le fonctionnement des listes de diffusion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffusion, le mail arrive dans les boîtes des abonnés avec votre adresse comme expéditeur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enregistrement DMARC[une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expéditeur une adresse Yahoo doit impérativement provenir d’un serveur de Yahoo. C’est bien gentil, mais non seulement ça fout en l’air le fonctionnement des listes de diffusion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enregistrements DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
Orange fait aussi son chieur à coup d’erreurs Too many connections, slow down. OFR004_104 [104][« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est tellement connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solution que j’ai utilisée.
Pour s’en remettre, voici une image qui fait plaisir…
On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’impacte pas que les communications entre ses serveurs et votre serveur de listes de diffusion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’expéditeur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possédant une adresse Yahoo, il y a des chances que vous vous rencontriez le problème un jour ou l’autre.
Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.
Si ces acteurs étaient de taille modeste, l’ensemble de la communauté pourrait soit leur dire d’arrêter leurs bêtises, soit les laisser crever dans leurs forteresses injoignables. Mais ce n’est malheureusement pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.
Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.
Une seule solution pour faire cesser ce genre d’abus : la dégooglisation ! Une décentralisation du net, le retour à un Internet d’avant, fait de petites briques et pas d’immenses pans de béton.
PS : ne me lancez pas sur MailInBlack, ça me donne des envies de meurtre.
Chez soi comme au bureau, les applications vampirisent nos données
On n’en peut plus des applis ! Depuis longtemps déjà leur omniprésence est envahissante et nous en avons parlé ici et là. Comme le profit potentiel qu’elles représentent n’a pas diminué, leur harcèlement n’a fait qu’augmenter
Aujourd’hui un bref article attire notre attention sur les applications comme vecteurs d’attaques, dangereuses tant pour la vie privée que pour la vie professionnelle.
Avertissement : l’auteur est vice-président d’une entreprise qui vend de la sécurité pour mobile…aux entreprises, d’où la deuxième partie de son article qui cible l’emploi des applications dans le monde du travail, et où manifestement il « prêche pour sa paroisse ».
Il nous a semblé que sa visée intéressée n’enlève rien à la pertinence de ses mises en garde.
Ça paraît une bonne affaire : vos applis favorites pour mobile sont gratuites et en contrepartie vous regardez des pubs agaçantes.
Mais ce que vous donnez en échange va plus loin. En réalité, vous êtes obligé⋅e de céder un grand nombre d’informations privées. Les applications mobiles collectent une quantité énorme de données personnelles : votre emplacement, votre historique de navigation sur Internet, vos contacts, votre emploi du temps, votre identité et bien davantage. Et toutes ces données sont partagées instantanément avec des réseaux de publicité sur mobile, qui les utilisent pour déterminer la meilleure pub pour n’importe quel utilisateur, en tout lieu et à tout moment.
Donc le contrat n’est pas vraiment d’échanger des pubs contre des applis, c’est plutôt de la surveillance sur mobile contre des applis. En acceptant des applis gratuites et payées par la pub sur nos mobiles, nous avons consenti à un modèle économique qui implique une surveillance complète et permanente des individus. C’est ce qu’Al Gore appelait très justement une économie du harcèlement.
Pourquoi nos données personnelles, notre géolocalisation et nos déplacements sont-ils tellement convoités par les entreprises commerciales ? Parce que nous, les consommateurs, avons toujours et partout notre smartphone avec nous, et qu’il transmet sans cesse des données personnelles en tout genre. Si les annonceurs publicitaires savent qui nous sommes, où nous sommes et ce que nous faisons, ils peuvent nous envoyer des publicités plus efficacement ciblées. Cela s’appelle du marketing de proximité. C’est par exemple la pub du Rite Aid (NdT chaîne de pharmacies) qui vous envoie un message téléphonique quand vous circulez dans les rayons : « Vente flash : -10 % sur les bains de bouche ! »
Ça paraît inoffensif, juste agaçant. Mais cela va bien plus loin. Nous avons maintenant accepté un système dans lequel un site majeur de commerce en ligne peut savoir par exemple, qu’une adolescente est enceinte avant que ses parents ne le sachent, simplement en croisant les données de ses achats, son activité et ses recherches. Ce site de vente en ligne peut alors la contacter par courrier traditionnel ou électronique, ou encore la cibler via son téléphone lorsqu’elle est à proximité d’un point de vente. Nous n’avons aucune chance de voir disparaître un jour cette intrusion dans notre vie privée tant que le profit économique sera juteux pour les développeurs d’applications et les agences de publicité.
Un smartphone compromis représente une menace pas seulement pour l’employé visé mais pour l’entreprise tout entière.
D’accord, cette forme de surveillance du consommateur est intrusive et terrifiante. Mais en quoi cela menace-t-il la sécurité de l’entreprise ? C’est simple. À mesure que les appareils mobiles envahissent le monde du business, les fuites de ces appareils ouvrent la porte de l’entreprise aux piratages, aux vols de données et à des attaques paralysantes.
Si par exemple une entreprise laisse ses employés synchroniser leurs agendas et comptes mail professionnels avec leurs appareils mobiles personnels, cela ouvre la porte à toutes sortes de risques. D’un coup, les téléphones des employés contiennent les informations de contact de tout le monde dans l’organisation ou ont la possibilité d’y accéder. À fortiori, n’importe quelle autre application mobile qui demandera l’accès aux contacts et agendas des employés aura accès aux noms et titres des employés de la compagnie, aussi bien qu’aux numéros de toutes les conférences téléphoniques privées. Cette information peut facilement être utilisée pour une attaque par hameçonnage par une application malveillante ou un pirate.
Elles sont jolies les applis, non ? – Image créée par Tanja Cappell (CC BY-SA 2.0)
Pire, de nombreuses applications monétisent leurs bases d’utilisateurs en partageant les données avec des réseaux publicitaires qui repartagent et mutualisent les données avec d’autres réseaux, aussi est-il impossible de savoir exactement où vont les données et si elles sont manipulées de manière sécurisée par n’importe laquelle des nombreux utilisateurs y ayant accès. Tous ces partages signifient qu’un pirate malveillant n’a même pas besoin d’avoir accès au téléphone d’un employé pour attaquer une entreprise. Il lui suffit de pirater un réseau publicitaire qui possède les informations de millions d’utilisateurs et de partir de là.
Les informations volées peuvent aussi être utilisées pour pirater une entreprise au moyen d’une attaque de point d’eau. Supposons par exemple que des membres du comité de direction déjeunent régulièrement dans le même restaurant. Un attaquant qui a accès à leurs données de localisation pourrait facilement l’apprendre. L’attaquant suppose, à raison, que certains membres vont sur le site du restaurant pour réserver une table et regarder le menu avant le repas. En introduisant du code malveillant sur ce site mal défendu, l’attaquant peut compromettre l’ordinateur de bureau ou le téléphone d’un ou plusieurs membres du comité de direction, et de là, s’introduire dans le réseau de l’entreprise.
Un smartphone compromis représente une menace non seulement pour l’employé ciblé mais pour l’entreprise dans son entier. Des informations sur les activités des employés, à la fois pendant leur temps de travail et en dehors, combinées à des courriels, des informations sensibles ou des documents liés à l’entreprise, peuvent avoir des effets dévastateurs sur une organisation si elles tombent entre de mauvaises mains.
Que doivent donc faire les entreprises pour lutter contre cette menace ?
La première étape est d’en apprendre plus sur votre environnement mobile. Votre organisation doit savoir quelles applications les employés utilisent, ce que font ces applications et si elles sont conformes à la politique de sécurité de l’entreprise. Par exemple, existe-t-il une application de partage de documents particulièrement risquée que vous ne voulez pas que vos employés utilisent ? Est-elle déjà utilisée ? Si vous ne savez pas quelles applications vos employés utilisent pour travailler, vous naviguez à l’aveugle et vous prenez de gros risques.
Il est essentiel que votre entreprise inclue la protection contre les menaces sur mobile dans sa stratégie de sécurité générale.
Deuxièmement, vous allez avoir besoin d’une politique sur l’utilisation des appareils mobiles. La plupart des organisations ont déjà mis en place une politique pour les autres plateformes, y compris pour la gestion des pare-feux et le partage de données avec des partenaires de l’entreprise. Par exemple, si vos employés utilisent la version gratuite d’applications approuvées par l’entreprise mais avec publicité, imposez aux employés d’utiliser la version payante afin de minimiser, sinon éliminer, l’envoi aux employés de données non approuvées sous forme de publicités, même si cela n’éliminera pas la collecte incessante de données personnelles et privées.
Ensuite, votre organisation doit informer les employés sur les risques liés aux applications utilisées. Il est dans votre intérêt de donner du pouvoir aux utilisateurs en les équipant d’outils et en les entraînant afin qu’ils puissent prendre de meilleures décisions quant aux applications téléchargées. Par exemple, incitez vos employés à se poser des questions sur les applications qui demandent des permissions. Il existe beaucoup d’applications qui veulent accéder aux données de localisation, aux contacts ou à la caméra. Les employés ne doivent pas dire automatiquement oui. La plupart des applications fonctionneront très bien si la requête est rejetée, et demanderont à nouveau aux utilisateurs si la permission est vraiment nécessaire. Si une application ne dit pas pourquoi elle a besoin de cet accès, c’est mauvais signe.
Enfin, toutes ces questions peuvent être traitées avec une bonne solution de sécurité pour appareils mobiles. Toute entreprise sans solution de protection des appareils mobiles est par définition inconsciente des informations qui lui échappent et ignore d’où viennent les fuites. Elle est donc incapable de répondre aux risques présents dans son environnement. Il est donc essentiel que votre entreprise inclue la protection des appareils mobiles dans sa stratégie de sécurité afin de protéger la vie privée des employés et les données de l’entreprise de la menace toujours plus grande que représentent la surveillance des téléphones et la collecte de données.
Donnons des preuves d’amour au Logiciel Libre ! #ilovefs
Hier, c’était le « I love Free Software Day » (ou #ilovefs pour les intimes). Une occasion de (re-)donner du sens à la Saint-Valentin en déclarant votre amour à tou·te·s les contributeurs, développeuses, traducteurs, intégratrices, designers, autrices… bref, à toutes les personnes qui donnent de leur temps, leur énergie et leur savoir-faire pour faire vivre le Libre.
À nous de vous dire qu’on vous aime !
Souvent on aime, et on râle (sur telle fonctionnalité manquante, telle traduction malencontreuse, tel menu pas intuitif…). Pour cet article, on ne va pas râler, mais envoyer toute la reconnaissance, les encouragements et l’amour que nous portons à ces personnes qui changent nos vies (numériques, mais pas que) une touche de clavier après l’autre.
C’est bien connu : chez Framasoft, on ne développe (quasiment) pas de logiciels. On contribue, bien entendu, de plus en plus et en faisant de notre mieux… Mais il faut bien comprendre que tous les services que nous hébergeons et montrons n’existeraient pas sans les formidables communautés qui les développent, entretiennent et améliorent.
Alors nous saisissons cette occasion (avec un jour de retard -_-‘), car nous avons envie que vous vous joignez à nous pour envoyer vos messages bienveillants, vos contributions et vos dons (pour qui le peut et le veut) envers ces formidables initiatives.
Merci à la FSFe pour cette initiative, cliquez sur l’image pour aller voir leur site ;)
Tout notre amour et nos remerciements à…
NOTES :
Cette liste est, et sera toujours, non-exhaustive ^^
Nous avons fait de notre mieux pour trouver les liens de donations, parfois il n’y en a pas (tout dépend de chaque initiative), mais si vous en trouvez merci d’amender dans les commentaires, nous corrigerons.
De même si vous représentez les initiatives ci dessous et que vous préférez mettre en valeur d’autres liens : dites-le nous dans les com’ 😉
Beaucoup de liens mènent vers des sites en anglais, certains vous mèneront vers les comptes twitter des initiatives.
Les « Logiciels du chapeau » (Lutim, Lufi, Lstu) pour Framapic, Framadrop et Frama.link
Bon, Luc, il est un peu-beaucoup de chez nous, mais il a initialement développé ces projets sur son temps libre, et non en tant qu’administrateur système de Framasoft ;).
Nous tenons aussi à saluer et à couvrir d’amour Olivier et Antonin qui maintiennent, au sein de Framasoft, le développement de Framadate, ainsi que toutes les personnes dont le travail, la passion, et la ténacité font qu’on peut tous les jours continuer à mettre en valeur une belle trentaine de services et ainsi un peu plus Dégoogliser Internet.
Et on écarte les pattounes ! Allez, encore, encoooore…
Surveillons la surve://ance
La revue de presse de Jonas@framasoft, qui paraît quand il a le temps. Épisode No 2/n
Effacer n’est pas supprimer : votre historique de Safari demeure longtemps dans iCloud
Si vous pensez que la suppression de votre historique de navigation sur votre iPhone ou Mac va faire disparaître définitivement vos habitudes en ligne, vous vous trompez. Lourdement. Selon le PDG d’Elcomsoft qui commercialise un outil d’extraction des données du iPhone, Apple stocke l’historique de navigation de Safari dans le iCloud, en remontant à plus d’un an, peut-être bien davantage, même lorsque l’utilisateur a demandé qu’il soit effacé de la mémoire.
Jay Stanley, spécialiste de l’analyse des politiques de confidentialité à l’ACLU (Union américaine pour les libertés civiles), dit que les entreprises doivent être vigilantes et suivre les bonnes pratiques en détruisant vraiment les données des utilisateurs qui le demandent.
Il rappelle : « l’historique de navigation est un ensemble de données extrêmement sensibles. Elles révèlent les centres d’intérêt des personnes, ce qui les préoccupe, un grand nombre des pensées qui les traversent, ainsi que des informations sur leur santé et leur sexualité ».
L’article se termine par une mise à jour rassurante : Apple semble avoir corrigé le problème dans la dernière version de son OS. Cependant il est conseillé aux utilisateurs soucieux de leurs données sensibles de désactiver la synchronisation de Safari avec iCloud.
La justice vient de statuer sur les données stockées sur les serveurs de Google, dont celles du très populaire service de messagerie Gmail. Elle a donc décidé de forcer la firme à divulguer les données de n’importe lequel de ses utilisateurs quelle que soit la nationalité, que vous résidiez ou non aux États-Unis. Même si les données en question se trouvent sur des serveurs en dehors du territoire des États-Unis.
« Nersac, un poste optique ». Détail d’une carte postale française de 1910. Domaine public, image procurée par Signal mirror.
Au Mexique, les partisans d’une taxe sur les sodas, comme des nutritionnistes ou responsables de la santé publique, sont victimes de messages électroniques inquiétants ou menaçants. La taxe est destinée à réduire la consommation de boissons sucrées et donc l’obésité, mais elle se heurte évidemment aux pressions des géants voisins des boissons gazeuses, pressions relayées semble-t-il par le gouvernement mexicain lui-même.
Les liens envoyés étaient accompagnés d’une forme invasive de logiciels espions développée par NSO Group, un cyber-distributeur israélien qui vend ses outils d’espionnage exclusivement aux gouvernements et qui a des contrats avec plusieurs agences à l’intérieur du Mexique, comme le révèlent des fuites publiées l’an dernier par le New York Times.
NSO Group et les dizaines d’autres « espiogiciels » commerciaux qui sont apparus autour du globe au cours de la dernière décennie opèrent dans un marché largement non réglementé. Les fabricants de ces logiciels espions comme NSO Group, Hacking Team en Italie et Gamma Group en Grande-Bretagne assurent qu’ils vendent des outils uniquement aux gouvernements pour les enquêtes criminelles et terroristes.
Mais les services gouvernementaux ont toute latitude pour décider qui ils veulent on non pirater avec des outils d’espionnage qui peuvent tout pister de leur cible : tous les appels téléphoniques, les textos, les courriels, les frappes au clavier, la localisation, chaque son et chaque image.
Jonas rejeté par la baleine. Enluminure de la Bible de Jean XXII. École française du XIVe siècle – Domaine public (via Wikimédia Commons)
Chroniques du Léviathan
La revue de presse de Jonas@framasoft, qui paraît quand il a le temps
« Un cerveau de substitution »
Dans une interview sur les chances qu’a Qwant de rivaliser avec le moteur de recherche de Google, Éric Léandri, co-fondateur de Qwant, déclare :
Vous devez penser à l’Internet non seulement comme un moyen de communication, mais de plus en plus comme à un cerveau de substitution. Les choses qui auraient été gardées dans les limites impénétrables de votre propre esprit, ou dans le sanctuaire de votre maison, sont maintenant envoyées sur des serveurs pour que le monde ou quelques entreprises les voient. Tout ce que nous faisons est de plus en plus stocké et peut être récupéré sur demande.
« Votre historique de navigation suffit à dévoiler votre identité »
D’après un article de The Atlantic, une équipe de chercheurs de Stanford et Princeton a développé un système qui peut connecter votre profil Twitter avec votre nom et votre identité, en examinant seulement votre historique de recherche.
Cela signifie que conserver la confidentialité tout en utilisant Twitter est impossible sans renoncer à ce qui constitue le marqueur du réseau social : sa nature publique et gratuite pour tous.
L’article explique comment l’expérience a été menée et mentionne au passage quelles parades on peut éventuellement utiliser : Privacy Badger et Ghostery
Mais voici la fin de l’article :
Le conseil de sagesse qu’on nous donne généralement est qu’il faut être prudent avec ce que l’on partage. Mais ici, nous montrons que vous pouvez être dés-anonymisé simplement en naviguant et en suivant des comptes, même si vous ne partagez rien.
« Une fois vos informations stockées, on peut les modifier et en faire ce qu’on veut »
Dans l’hebdomadaire italien La Repubblica, la journaliste Stefania Maurizi interviewe le lanceur d’alerte William Binney. Celui-ci évoque entre autres un programme pour la NSA nommé ThinThread, qu’il avait développé avec son équipe et qui permettait de cibler avec précision la surveillance en visant les activités délictueuses, tout en laissant de côté les données privées.
Quelques extraits de la conversation :
Stefania Maurizi — Après le 11 septembre, la NSA a détourné votre système, supprimé les dispositifs protégeant la vie privée et a utilisé ThinThread pour espionner la population tout entière ? William Binney — La première chose qu’ils ont faite a été le programme « Stellar Wind » qui visait l’espionnage domestique (…) ils ont supprimé trois fonctionnalités de ThinThread dont l’une était la protection de la vie privée. Au lieu de prendre seulement les données pertinentes ou celles qui étaient très probablement pertinentes, ils ont absolument tout pris et ils ont étendu la surveillance à l’échelle de la planète. SM — Nous avons constaté dans les seize dernière années que la surveillance de la NSA avait échoué à prévenir des attaques terroristes. Pensez-vous que ce n’est qu’une question de temps avant que la NSA ne soit capable de le faire effectivement, ou bien qu’ils n’en auront jamais les capacités ? WB — Je pense qu’ils sont condamnés à l’échec, parce qu’ils sont enfermés dans la conviction qu’ils doivent tout collecter (…) Ils sont très bons pour collecter des données, mais ils n’ont fait aucun progrès pour essayer de savoir ce qu’ils peuvent avoir dans les données qu’ils ont collectées.[…] Ce genre de pouvoir ne devrait pas exister pour aucun gouvernement, parce qu’il crée vraiment un état totalitaire. C’est comme la Stasi dopée aux amphétamines ; au lieu de détenir des dossiers avec des documents sur tout le monde, ils archivent tout ce que vous faites de façon électronique, si bien que le jeu d’informations est beaucoup plus complet, à jour et exploitable, et ils peuvent le manipuler, et faire de vous tout ce qu’ils veulent […] SM — Donc le problème n’est pas seulement la collecte, mais aussi la manipulation des données ? WB — Oui. une fois qu’on a stocké les informations, on peut les modifier et en faire ce que l’on veut.
Léviathan dans la fresque « Le Jugement dernier » de Giacomo Rossignolo – CC-BY-SA
Next INpact : bilan après un an de respect pour nos données
Il y a un an, le site d’informations sur le numérique NextINpact publiait une annonce à contre-courant : davantage de respect pour les données des internautes qui le visitent, en dé-tricotant les mailles du profilage publicitaire sur son site.
À l’heure où les éditeurs de contenus cherchent à « optimiser » leurs revenus par une publicité de plus en plus intrusive, et où les publicitaires cherchent à maximiser le profilage et l’invisibilisation de la publicité, c’est une démarche pour le moins originale que de se dégoogliser de l’analytics en passant au logiciel libre Piwik… (si vous ne comprenez pas cette phrase, promis, juré, on l’explique plus loin !)
Quel modèle économique pour un site qui veut à la fois payer les salaires de ses journalistes, collaborateurs, administratifs tout en affirmant ses valeurs et respectant les données et les vies numériques de son lectorat ?
Un an plus tard, nous sautons sur l’occasion d’interroger l’équipe de Next INpact sur le bilan tiré de cette démarche, et les perspectives qui l’accompagnent.
Cliquez pour aller lire Next INpact
Bonjour NextINpact ! Pouvez-vous rapidement nous présenter votre équipe et votre site ?
Bonjour Framasoft ! Next INpact est un site dédié à l’informatique et au numérique qui existe depuis plus de 15 ans. Il a été créé par Christophe Neau sous le nom d’INpact Hardware en 2000. Il s’agissait alors pour une bande de passionnés de nouvelles technologies et de matériel informatique de partager les informations qu’ils glanaient au quotidien. Et même des vidéos rigolotes à travers nos fameux LIDD diffusés chaque dimanche, et depuis référencés sur un site.
Devant le succès du projet une société a été créée en 2003, le site est alors devenu PC INpact, puis Next INpact en 2014. Une manière pour nous de prendre en compte l’évolution majeure du secteur qui infuse notre quotidien bien au-delà du simple ordinateur qui trône dans le salon familial, le bureau ou la chambre des enfants. Christophe est toujours le gérant majoritaire de la société. Il détient 76 % des parts. Next INpact est donc l’un des rares sites de presse indépendants qui traite du numérique en France. Nous proposons aussi une offre d’abonnement Premium depuis 2009.
Notre vision du numérique est assez large, et ce depuis des années. Si nous nous sommes rapidement ouverts aux questions logicielles et aux problématiques d’hégémonies, c’est notre analyse de l’environnement juridique qui a fait notre différence lors de cette décennie. DADVSI, LCEN, HADOPI sont autant d’acronymes qui ont rythmé les débats parlementaires tout en secouant le secteur. Tout comme l’ont fait des lois plus récentes sur le renseignement par exemple. Nous avons toujours eu à cœur de suivre ces débats de près, de les analyser sur le fond, et de donner à chacun les clés lui permettant de se faire sa propre idée.
Nous avons toujours eu une démarche journalistique. La société a été créée comme SARL de presse dès 2003, nous avons toujours appliqué la convention collective du secteur et notre rédaction compte une dizaine de journalistes, dont une bonne partie est là depuis le début du projet. C’est notamment le cas de Marc Rees, Vincent Hermann ou David Legrand qui sont là depuis plus de 10 ans. Mais l’équipe se compose au total d’une quinzaine de personnes (développeurs, graphistes, direction, etc.) Nous sommes reconnus comme site de presse en ligne depuis quelques années maintenant, et comme titre consacré pour partie à l’Information Politique et Générale depuis l’année dernière. Nous sommes aussi membres du SPIIL (Syndicat de la Presse Indépendante d’Information en Ligne).
L’autre aspect important du projet est sa communauté. Nous sommes nés sur un slogan : « Si tu ne sais pas, demande. Si tu sais, partage ». Notre communauté a toujours été importante pour nous et nous avons toujours placé le respect de nos lecteurs assez haut dans l’échelle de nos valeurs. Ce qui explique nombre de nos choix à travers le temps.
C’est aussi grâce à notre communauté que nous continuons d’exister car, plus que notre audience, elle constitue aussi notre base d’abonnés et de soutien qui permettent d’assurer notre financement et notre rentabilité. Car oui, nous sommes rentables (à deux exercices près depuis 2003).
Commençons par la technique : il y a un an, vous avez choisi de passer de Google Analytics (outil d’analyse du comportement des internautes sur votre site, fourni par Google) à Piwik (logiciel libre permettant des analyses similaires, que nous utilisons aussi chez Framasoft)… Quel travail cela vous a-t-il demandé et quelles conséquences voyez-vous un an après ?
Historiquement nous utilisions Google Analytics pour une raison simple : l’outil est complet, gratuit et plutôt efficace. Mais il nous faut assurer une certaine cohérence. Nous ne pouvons pas avoir un regard critique sur le tracking de masse opéré par le secteur publicitaire et les GAFA sans regarder ce qu’il se passe à notre propre échelle. Analytics, comme d’autres scripts du genre, est ainsi une solution permettant à des sociétés de suivre les internautes de manière presque constante avec l’aide des sites. C’est d’ailleurs le manque de remise en question des éditeurs sur ces problématiques qui incite les lecteurs à utiliser des bloqueurs en tous genres, et les navigateurs à renforcer la mise en place de leurs solutions « anti-tracking » (comme le fait Mozilla depuis quelque temps maintenant).
Nous avons donc procédé en plusieurs étapes ces dernières années afin d’en arriver à la situation actuelle. Nous avons tout d’abord permis à nos abonnés de se passer de l’ensemble de ce qui pouvait être assimilé à des trackers sur nos pages. Outre la publicité, cela comprenait les scripts Analytics et de calcul des partages sur les réseaux sociaux. Une partie de ces options était ouverte à tous nos membres. Nous avons ensuite pris en compte le signal Do Not Track pour cette désactivation afin que même ceux qui ne disposent pas d’un compte puisse en profiter.
Mais soyons honnêtes. Pour un éditeur, disposer de statistiques fiables est important. Cela nous permet de comprendre comment les lecteurs utilisent le site, quels sont les contenus les plus lus, depuis quelles sources, etc. Ici, l’analyse ne se fait pas au niveau de chaque lecteur mais bien sur une tendance globale et sur des données anonymes. Pendant longtemps, nous avons été sans vraiment de solution alternative à Analytics. Lors de nos échanges avec la CNIL sur la question des cookies, nous avons eu l’occasion de découvrir le projet, et de le tester. Une fois qu’il nous a paru suffisamment mature, nous l’avons mis en place.
Les conseils de la CNIL qui donnent faim.
Nous l’avons d’ailleurs fait en suivant les recommandations de la CNIL qui impose notamment de ne pas récupérer les IP entières. Cela n’empêche pourtant pas des listes comme Easy Privacy de bloquer le script, ce qui ne nous permet pas de connaître le niveau de notre audience totale. Preuve que les engagements en matière de respect de la vie privée ne sont pas toujours reconnus.
Il n’y avait pas de défi technique particulier, mais il ne faut pas s’attendre à voir une majorité d’éditeurs l’utiliser demain. Ne serait-ce que pour les interactions qui existent entre Analytics et des solutions comme Adwords/Adsense ou des fonctionnalités très avancées qui ne sont pas encore en place dans un outil comme Piwik.
Au final, le problème nous semble plutôt se situer du côté du fait que Google peut utiliser les données d’Analytics pour les recouper. La CNIL devrait imposer que ce ne soit pas le cas à tout dispositif d’analyse des statistiques. Car si l’on focalise sur Analytics, nombreux sont les autres outils du genre qui font la même chose à moindre échelle.
Question technique (parce qu’il y en a un chez nous qui n’est content que quand ça parle de technique) : j’imagine que pour encaisser un trafic de la taille du vôtre, il a fallu configurer Piwik aux petits oignons. Nous c’est le plugin QueuedTracking qui nous a sauvé la mise. Et vous ? Vous auriez une petite recette magique à partager ?
Pierre-Alain (notre CTO) a un mantra : REDIS POWA !
Vous êtes allés plus loin en activant le HTTPS (connexion sécurisé sur votre site) et la prise en compte de DoNotTrack (option du navigateur pour demander aux sites de ne pas traquer nos données). Est-ce un choix évident pour un éditeur de contenus ? Un an après, quelles conclusions pouvez-vous en tirer ?
Là encore, il s’agissait d’une réflexion sur le long terme et d’une volonté de faire mieux pour le lecteur, tout en étant cohérents avec nos propres analyses. Pour HTTPS, notre premier souci était de sécuriser la phase de connexion à nos sites. En effet, encore maintenant lorsque vous entrez un mot de passe dans un formulaire de connexion, celui-ci est souvent transmis en clair dans une requête HTTP. Si vous êtes chez vous sur un réseau filaire, ce n’est pas tellement un souci. Mais dans un environnement Wi-Fi, potentiellement public (et donc non chiffré, en entreprise, etc.), cela peut être un danger, que les navigateurs commencent seulement à mettre en avant de manière assez discrète.
Lors de la préparation de la mise en place de la v6 du site début 2014, nous avons donc séparé notre gestionnaire de compte et d’abonnement qui est passé intégralement en HTTPS. Ce choix là ne devrait pas avoir à être évident ou non, tous les sites qui proposent une connexion devraient le faire avec HTTPS d’activé, et tous les navigateurs devraient afficher une alerte importante lorsque ce n’est pas le cas.
D’ailleurs, pour ça, il y a l’extension HTTPS Everywhere ;)
Ensuite nous avons migré nos abonnés Premium. Pourquoi eux seulement ? En raison de la publicité. Comme nombre d’éditeurs, notre régie ne supportait pas HTTPS, et l’activer pour tous les utilisateurs revenait à se couper de ces revenus, et donc à mettre la clef sous la porte. Cela nous permettait aussi de tester l’impact sur notre site (performances, mixed content, etc.) sur une partie de l’audience seulement. Nous avons donc fait au mieux, et même développé notre propre solution de distribution de la publicité que nous testons depuis quelques mois. Entre temps, notre prestataire a activé un support d’HTTPS que nous avons pu généraliser à la fin de l’année dernière.
Concernant Do Not Track, cela découle aussi de nos échanges avec la CNIL qui est active sur ce terrain même si ce n’est pas toujours très visible. Cela nous permet de respecter une volonté exprimée de l’utilisateur. On ne peut d’ailleurs que regretter que le standard ne soit pas plus complet et finalisé, afin qu’il puisse être réellement exploitable. Avec la mise en place du règlement européen sur les données, ce serait pourtant un formidable outil. De notre côté, nous avons la volonté de l’étendre ne serait-ce que pour bloquer certains modules intégrés parfois à nos contenus sans action de l’utilisateur (tweets, vidéos, etc.). Mais cela nous demande une modification technique un peu lourde, il faudra donc attendre encore un peu.
Enfin, vous n’avez pas aboli la publicité sur votre site, mais l’avez radicalement modifiée afin d’avoir des pratiques responsables. C’est quoi, selon vous, une publicité numérique responsable, et est-ce que les annonceurs publicitaires jouent le jeu ou le boudent ?
C’est une bonne question. Il y a sans doute autant de définitions de la publicité responsable qu’il y a d’acteurs qui proposent des solutions publicitaires. On a d’ailleurs déjà vu certains acteurs vanter leur nouvelle trouvaille vidéo comme un meilleur respect de l’internaute malgré une lecture automatique. Un comble, non ?
De notre côté nous avons constamment renforcé notre attention sur ce sujet, quitte à parfois nous mettre des bâtons dans les roues économiquement.
La responsabilité au niveau publicitaire se situe selon nous à deux niveaux : au niveau des formats mais aussi de l’image du site et de sa rédaction.
Ainsi, avec le temps nous avons banni de nombreuses solutions : Flash, interstitiels, vidéos, campagnes avec du son, etc. Plus récemment, notre engagement a été simple : des images fixes, pas de trackers. Si sur ce dernier point nous sommes en train de mettre la dernière touche, vous pouvez aller sur Next INpact et regarder le compteur, même sans DNT vous serez entre 0 et 5 trackers avec presque aucun cookie inutile. Tentez de faire la même chose avec le site d’un grand média national. Vous aurez de quoi vous faire peur tant ils ne maîtrisent plus ce qu’ils diffusent sur leurs sites.
Le second point est celui de l’éthique. Il y a quelques années, des marques sont venues nous voir pour nous demander de diffuser des publicités dans des formats qui ressemblent à des articles, vantant leur produit. Nous avons toujours refusé. L’histoire nous a montré depuis que cela n’a pas été le choix de tous, et que la frontière entre l’information et la publicité est de plus en plus poreuse, sans toujours une très grande clarté. Mais quand bien même cela serait indiqué, l’internaute peut être trompé par ce genre de dispositif. Nous nous y refusons donc malgré leur côté diablement lucratif.
Il ne faut pas oublier que la course à la publicité est aussi la course à l’audience.
On parle depuis quelque temps des « fakes news » et autre « clickbait ». Ils ne sont que le résultat de ça. La plupart des articles diffusés aujourd’hui sur des sites ne sont pas le résultat d’un choix éditorial animé par la volonté de faire connaître une information. Seulement la réponse à une question simple : « avec quels titres vais-je pouvoir faire venir des millions d’internautes sur mon site aujourd’hui, ne serait-ce que quelques secondes ? »
C’est aussi pour cela que l’on assiste à une baisse de qualité globale dans le contenu des sites qui misent uniquement sur l’accès gratuit, alors que des sites comme Arrêt sur images, Les Jours ou même Mediapart rencontrent un franc succès.
La démarche de l’abonnement est différente. Vous devez convaincre votre lecteur de votre intérêt, de l’utilité de votre démarche. Pour cela, il faut produire du contenu de fond (fut-il en accès libre, ce qui est le cas de nos analyses sur les élections ou la question du chiffrement par exemple).
« À chaque partage d’un article de Fake News, naît un chaton plus intelligent que vous. »
Quelle a été la réaction de votre lectorat à une telle annonce ? Cela a-t-il évolué en un an ?
Notre lectorat accueille forcément bien ce genre de nouvelles. Pour nous, le défi c’est de réussir à satisfaire notre communauté et à suivre notre voie, tout en gardant un modèle économique viable. Ce n’est pas toujours simple. Car aller rencontrer des annonceurs en leur proposant de simples images alors que d’autres proposent des habillages vidéo vendus aux enchères avec un ciblage parfois très avancé, ce n’est forcément pas à notre avantage.
Mais certains annonceurs sont aussi sensibles à ces questions. L’IAB est d’ailleurs l’un des acteurs qui avance le plus dans le même sens que nous. Malheureusement, ils sont largement en avance sur les mentalités de leurs membres et du secteur.
Il faut dire que la publicité n’est pas la seule source de revenu et de soutien pour votre site… Vous pouvez nous décrire votre modèle économique ?
Comme évoqué précédemment, nous proposons un abonnement Premium depuis 2009. Celui-ci représente désormais un quart de notre chiffre d’affaires. Le reste est partagé entre la publicité et nos autres services (bons plans et comparateurs que nous proposons en y infusant nos valeurs).
Nous ne demandons, ni ne touchons aucune aide directe de l’état ou de fonds privés (comme ceux de Google, de la fondation Gates, etc.)
La-question-qui-pique : si certains de vos articles sont financés par la communauté, via des abonnements, est-ce qu’il ne vous parait pas logique de les reverser à la communauté, par le biais de licences libres ?
La question est tout à fait légitime, au contraire. Pour autant, il ne faut pas oublier que les articles financés par les abonnés ne le sont pas par la communauté au sens large, la question d’une licence libre ou non n’est donc pas lié à notre modèle. Nous avons d’ailleurs fait le choix d’opter pour un paywall qui n’est pas permanent puisqu’au bout d’un mois maximum, tous nos articles sont en accès libre. Nous faisons aussi le choix de laisser dès le départ certains articles en accès libre lorsqu’ils nous paraissent d’intérêt public.
Concernant le choix d’une licence libre, c’est une question qui s’est posée un temps en interne, mais qui n’a jamais été vraiment tranchée. Notamment parce que notre matière est principalement de l’actualité chaude, qui ne fait que rarement l’objet de reprises globales. Nous avons néanmoins une pratique assez ouverte sur ce point. Outre le droit de courte citation propre à la presse, nous ne refusons jamais une reprise non commerciale, ou dans des manuels scolaires, etc.
Voyez, Next INpact, les yeux de ces libristes remplis d’espoir à l’idée que certains de vos articles passent sous licence libre ;)
Ces choix que vous avez appliqués se veulent respectueux de la vie numérique des internautes… Mais vous allez plus loin en souhaitant que d’autres sites web / éditeurs de contenus vous rejoignent et en proposant de les accompagner dans cette démarche. Cela s’est fait ? Si je fais partie de (au hasard) Madmoizelle ou de ArrêtsSurImages, comment je peux faire pour suivre votre exemple ?
Nous avons une approche assez ouverte de nos différentes démarches. C’est notamment le sens de notre implication au SPIIL ou à des conférences dans le secteur de la presse. À notre niveau, nous travaillons essentiellement sur des propositions techniques, comme notre solution de distribution de la publicité, ou notre projet d’abonnement unifié La Presse Libre. C’est aussi la mise en place de ces solutions que nos abonnés soutiennent puisque nous finançons tout en propre. Ainsi, les éditeurs qui veulent nous rejoindre dans notre démarche peuvent simplement venir nous rencontrer au SPIIL ou nous contacter.
Entre les bloqueurs de pubs (de type Ublock Origin), les anti-bloqueurs de pub qui fleurissent sur les sites web, et les anti-anti-bloqueurs de pubs… On a l’impression d’une course à l’armement dans un dialogue de sourds… Quelles évolutions voyez-vous dans ce domaine pour sortir de ce cercle vicieux ?
Nous avons du mal à être optimiste sur ce terrain. Déjà parce que les éditeurs sont encore relativement sourds sur ces questions et ont du mal à comprendre qu’ils sont les principaux artisans de leur malheur. Certes des acteurs comme l’IAB évoluent dans leur position, mais pas leurs membres et les acteurs du marché publicitaire. Preuve en est, les éditeurs en sont encore à miser sur le blocage de l’accès à leur site, proposant le plus souvent comme alternative des pages avec des centaines de trackers et de cookies tiers.
De l’autre, ceux qui gèrent les listes de blocage ne font pas toujours preuve d’un grand discernement. Ainsi, un site comme Next INpact, malgré ses engagements en termes de vie privée et de gestion raisonnable de la publicité sera bloqué comme n’importe quel autre via EasyList FR ou Easy Privacy. Si chacun dit être à l’écoute de l’internaute, nous avons du mal à voir la possibilité d’une conciliation, qui ne se décidera de toutes façons pas à notre niveau.
Nous traitons de ces questions d’un point de vue éditorial, nous cherchons à évangéliser les différents acteurs, nous multiplions les initiatives qui permettent de faire émerger des modèles hors de la simple publicité. Nous tentons de jouer notre rôle à notre niveau, en espérant que chacun finira par faire de même.
Un an après, est-ce que vous avez envie de rétro-pédaler, de simplement continuer comme ça parce que ma foi c’est déjà bien, ou d’aller encore plus loin dans votre démarche (et si oui comment) ?
Rétro-pédaler, sûrement pas. Mais nous réfléchissons constamment à trouver des manières d’améliorer les choses. 😉
Le collectif pour soutenir et s’abonner à une presse indépendante. (attention : « libre » fait ici référence à la liberté éditoriale, non aux licences libres)
En parallèle de cette évolution, vous avez voulu booster les sites web qui proposent de l’information sous abonnement avec le projet collectif La Presse Libre… C’est quoi, exactement ?
La Presse Libre est un projet sur lequel nous travaillons depuis plus de quatre ans maintenant. Il part d’un constat simple : le modèle de l’abonnement se généralise, mais il est souvent compliqué de sauter le pas, de trouver des sites qui proposent un tel modèle avec de l’information de qualité et aucun kiosque numérique n’existe pour les sites en ligne. Comme personne ne semblait décidé à le faire, et que nous ne voulions pas que cette absence d’initiative profite une fois de plus aux GAFA, nous avons décidé de créer notre propre plateforme.
Ainsi, vous pouvez vous abonner assez facilement à plusieurs sites de presse avec un seul paiement mensuel et une réduction. Avec un même budget vous pouvez donc soutenir plus de titres de presse. C’est sans engagement, vous pouvez ajouter ou retirer un site à tout moment et la grande majorité des revenus finance les éditeurs plutôt que la plateforme elle-même. Actuellement nous comptons six sites membres, mais nous espérons bien voir ce chiffre grossir cette année. Nous portons ce projet avec Arrêt sur images et Alternatives économiques avec qui nous avons créé un GIE afin de disposer d’une gestion collégiale.
Concrètement, si jamais on veut soutenir votre démarche, qu’est-ce qu’on peut faire ?
Abonnez-vous, surtout que l’on propose de superbes goodies ! Autrement, vous avez la possibilité de nous soutenir à travers le don via la plateforme J’aime l’info, qui est en partie défiscalisable en raison de notre statut de presse d’Information Politique et Générale.
La coutume sur le Framablog, c’est de vous laisser le mot de la fin…
J’utilise Twitter tous les jours. Pour moi qui suis consultant en cybersécurité, c’est de loin un des meilleurs outils pour rester informé des dernières actualités et pour partager des informations qu’on estime pertinentes pour d’autres. Avec la récente investiture de Donald Trump, les dingos de Twitter de la nouvelle administration et l’émergence de groupes de résistance sur Twitter, j’ai décidé de démontrer à quel point il est facile d’exposer des informations révélatrices à partir du compte de quelqu’un d’autre, sans même le pirater.
Dans son manifeste récent Mark Zuckerberg mettait en valeur sa vision d’une colonie mondiale centralisée dont les règles seraient dictées par l’oligarchie de la Silicon Valley.
Ça paraît une bonne affaire : vos applis favorites pour mobile sont gratuites et en contrepartie vous regardez des pubs agaçantes.
