Voici l’introduction du livre Des routes et des ponts de Nadia Eghbal (si vous avez raté le début…) que le groupe Framalang vous traduit au fil des semaines.

Dans cette partie, après avoir exposé la pression croissante de la demande de maintenance, elle retrace un épisode tout à fait emblématique, celui d’Heartbleed, quand il y a quelques années le monde de l’informatique prenait conscience qu’un protocole sensible et universel de sécurité n’était maintenu que par une poignée de développeurs sous-payés.

Vous souhaitez participer à la traduction hebdomadaire ? Rejoignez Framalang ou rendez-vous sur un pad dont l’adresse sera donnée sur Framasphère chaque mardi à 19h… mais si vous passez après vous êtes les bienvenu.e.s aussi !

Introduction

Traduction Framalang : Piup, xi, jums, goofy, Ced, mika, Luc, Laure, Lumibd, goofy, alienspoon, Julien / Sphinx

Tout, dans notre société moderne, des hôpitaux à la bourse en passant par les journaux et les réseaux sociaux, fonctionne grâce à des logiciels. Mais à y regarder de plus près, vous verrez que les fondations de cette infrastructure logicielle menacent de céder sous la demande. Aujourd’hui, presque tous les logiciels sont tributaires de code dit open source : public et gratuit, ce code est créé et maintenu par des communautés de développeurs ou disposant d’autres compétences. Comme les routes ou les ponts que tout le monde peut emprunter à pied ou dans un véhicule, le code open source peut être repris et utilisé par n’importe qui, entreprise ou particulier, pour créer des logiciels. Ce code constitue l’infrastructure numérique de la société d’aujourd’hui, et tout comme l’infrastructure matérielle, elle nécessite une maintenance et un entretien réguliers. Aux États-Unis par exemple, plus de la moitié des dépenses de l’état pour les réseaux routiers et ceux de distribution d’eau est consacrée à leur seule maintenance.

Mais les ressources financières nécessaires pour soutenir cette infrastructure numérique sont bien plus difficiles à obtenir. La maintenance de code open source était relativement abordable à ses débuts, mais de nos jours les financements ne viennent en général que d’entreprises de logiciels, sous forme de mécénat direct ou indirect. Dans la foulée de la révolution de l’ordinateur personnel, au début des années 1980, la plupart des logiciels du commerce étaient propriétaires, et non partagés. Les outils logiciels étaient conçus et utilisés en interne dans chaque entreprise, qui vendait aux clients une licence d’utilisation de ses produits. Beaucoup d’entreprises trouvaient que l’open source était un domaine émergent trop peu fiable pour un usage commercial. Selon elles, les logiciels devaient être vendus, pas donnés gratuitement.

En fait, partager du code s’est révélé plus facile, plus économique et plus efficace que d’écrire du code propriétaire, et de nos jours tout le monde utilise du code open source : les entreprises du Fortune 500, le gouvernement, les grandes entreprises du logiciel, les startups… Cependant, cette demande supplémentaire a augmenté la charge de travail de ceux qui produisent et entretiennent cette infrastructure partagée, mais comme ces communautés sont assez discrètes, le reste du monde a mis longtemps à s’en rendre compte. Parmi nous, beaucoup considèrent qu’ouvrir un logiciel est aussi normal que pousser un bouton pour allumer la lumière, mais nous ne pensons pas au capital humain qui a rendu cela possible.

Face à cette demande sans précédent, si nous ne soutenons pas notre infrastructure numérique les conséquences seront nombreuses. Du côté des risques, il y a les failles de sécurité et les interruptions de service causées par l’impossibilité pour les mainteneurs de fournir une assistance suffisante. Du côté des possibilités, les améliorations de ces outils logiciels sont nécessaires pour accompagner la renaissance actuelle des startups, qui dépendent étroitement de l’infrastructure numérique. De plus, le travail effectué dans l’open source est un atout dans le portfolio des développeurs et facilite leur recrutement, mais ce réservoir de talents est beaucoup moins diversifié que celui de l’industrie informatique dans son ensemble. Une augmentation du nombre de contributeurs serait donc profitable au domaine des technologies de l’information au sens large.

Aucune entreprise ou organisation n’a de raison de s’attaquer seule à ce problème, car le code open source est un bien public. C’est pourquoi nous devons réussir à travailler ensemble pour entretenir notre infrastructure numérique. Il existe par exemple la Core Infrastructure Initiative (CII) de la fondation Linux et le programme Open Source Support de Mozilla, ainsi que des initiatives de nombre d’entreprises de logiciel à différents niveaux.
L’entretien de notre infrastructure numérique est une idée nouvelle pour beaucoup, et les défis que cela pose ne sont pas bien cernés. De plus, l’initiative de cette infrastructure est distribuée entre beaucoup de personnes et d’organisations, ce qui met à mal les modèles classiques de gouvernance. Beaucoup de ces projets qui contribuent à l’infrastructure n’ont même pas de statut juridique. Toute stratégie de maintenance devra donc accepter et exploiter ces aspects décentralisés et communautaires du code open source.

Enfin, pour construire un écosystème sain et durable, il sera crucial d’éduquer les gens à ce problème, de faciliter les contributions financières et humaines des institutions, de multiplier le nombre de contributeurs open source et de définir les bonnes pratiques et stratégies au sein des projets qui participent de cette infrastructure.

En 1998, une équipe d’experts en sécurité se constitua au Royaume-Uni pour élaborer une panoplie d’outils de chiffrement libres destinés à Internet.

Très vite, tout le monde se mit à parler de leur projet, intitulé OpenSSL (les développeurs avaient pris comme base de départ un projet australien existant, SSLeay). Non seulement il était complet et relativement fiable, mais il était libre. Il n’est pas facile d’écrire de la cryptographie et OpenSSL avait résolu un problème épineux pour les développeurs du monde entier : en 2014, deux tiers des serveurs web utilisaient OpenSSL, et les sites pouvaient donc transmettre de façon sécurisée les codes de cartes de crédit et autres informations sensibles via Internet.

Pendant ce temps, le projet était toujours géré de façon informelle par un petit groupe de volontaires. Un conseiller du Département de la Défense des États-Unis, Steve Marquess, avait remarqué qu’un contributeur, Stephen Henson, travaillait à temps plein sur OpenSSL. Par curiosité, Marquess lui demanda ce qu’il gagnait, et apprit avec surprise que le salaire de Henson était cinq fois plus faible que le sien.

Marquess s’était toujours considéré comme un bon programmeur, mais ses talents faisaient pâle figure à côté de ceux de Henson. Comme bien d’autres, Marquess imaginait à tort que quelqu’un d’aussi talentueux que Henson aurait un salaire à sa mesure.

Henson travaillait sur OpenSSL depuis 1998. Marquess avait rejoint le projet plus récemment, au début des années 2000, et avait travaillé avec Henson pendant plusieurs années avant d’apprendre sa situation financière.

Comme il avait travaillé avec le Département de la Défense, Marquess savait à quel point OpenSSL était crucial, non seulement pour leur propre système, mais pour d’autres industries dans le monde, de l’investissement à l’aéronautique en passant par la santé. Jusqu’alors, il avait « toujours supposé (comme le reste du monde) que l’équipe d’OpenSSL était grande, active et bien financée. »
En réalité, OpenSSL ne rapportait même pas assez pour payer un seul salarié.

Marquess décida de s’impliquer dans le projet : il avait contribué au code de temps à autre, mais il se rendit compte qu’il serait plus utile en tant qu’homme d’affaires. Il commença par négocier des petits contrats de conseil par le biais d’une entreprise à but non lucratif existante pour maintenir OpenSSL à flot dans ses années les plus dures. Comme le volume des contrats croissait, il créa une entité légale pour collecter ces revenus, l’OpenSSL Software Foundation (OSF).
Malgré le nombre de personnes et d’entreprises qui utilisaient leur logiciel, l’OSF ne reçut jamais plus de 2 000 dollars de dons par an. Les revenus bruts de l’activité de conseil et des contrats ne dépassèrent jamais un million de dollars, qui furent presque entièrement dépensés en frais d’hébergement et en tests de sécurité (qui peuvent coûter plusieurs centaines de milliers de dollars).

Il y avait juste assez pour payer le salaire d’un développeur, Stephen Henson. Cela signifie que les deux tiers du Web reposaient sur un logiciel de chiffrement maintenu par un seul employé à temps plein.

L’équipe d’OpenSSL continua à travailler de façon relativement anonyme jusqu’en avril 2014, quand un ingénieur de chez Google, Neel Mehta, découvrit une faille de sécurité majeure dans OpenSSL. Deux jours plus tard, un autre ingénieur, de l’entreprise finlandaise Codenomicon, découvrit le même problème.
Tous deux contactèrent immédiatement l’équipe d’OpenSSL.

Ce bug, surnommé Heartbleed, s’était glissé dans une mise à jour de 2011. Il était passé inaperçu pendant des années. Heartbleed pouvait permettre à n’importe quel pirate suffisamment doué de détourner des informations sécurisées en transit vers des serveurs vulnérables, y compris des mots de passe, des identifiants de cartes de crédit et autres données sensibles.

Joseph Steinberg, un éditorialiste spécialisé en cybersécurité, écrivit : « on pourrait dire que Heartbleed est la pire vulnérabilité découverte… depuis qu’Internet a commencé à être utilisé pour des opérations commerciales. »

Grâce à un large écho médiatique, le grand public entendit parler de ce bug informatique, au moins de nom. Des plateformes majeures, comme Instagram, Gmail ou Netflix, furent affectées par Heartbleed.

Certains journalistes attirèrent l’attention sur l’OpenSSL lui-même, et la manière dont l’équipe de développement avait lutté pendant des années pour pouvoir continuer ses travaux. Les experts en sécurité connaissaient les limites d’OpenSSL, mais l’équipe ne parvenait pas à capter les ressources ou l’attention adéquates pour résoudre les problèmes.

Marquess écrivit à propos de Heartbleed « ce qui est mystérieux, ce n’est pas qu’une poignée de bénévoles surchargés de travail ait raté ce bug, mais plutôt qu’il n’y a pas eu davantage de bugs de ce genre. »

Les gens envoyèrent des dons pour soutenir la fondation, et Marquess les remercia pour leur enthousiasme, mais le premier cycle de dons ne totalisa qu’environ 9 000 dollars : largement en deçà du nécessaire pour soutenir une équipe dédiée.

Marquess adressa alors à Internet un vibrant plaidoyer pour une levée de fonds :

Les gars qui travaillent sur OpenSSL ne sont là ni pour l’argent, ni pour la gloire (qui, en dehors des cercles geeks, a entendu parler d’eux ou d’OpenSSL avant la sortie de heartbleed[sic] dans les médias ?). Ils travaillent pour la fierté de créer et parce qu’ils se sentent responsables de à quoi ils croient.

Il faut des nerfs d’acier pour travailler pendant des années sur des centaines de milliers de lignes d’un code très complexe, où tout le monde peut voir chacune des lignes que vous manipulez, en sachant que ce code est utilisé par des banques, des pare-feux, des systèmes d’armement, des sites web, des smartphones, l’industrie, le gouvernement, partout. Et tout cela en acceptant de ne pas être apprécié à votre juste valeur et d’être ignoré jusqu’à ce que quelque chose tourne mal.

Il devrait y avoir au moins une demi-douzaine de membres à temps plein dans l’équipe au lieu d’un seul pour se consacrer au soin et à la maintenance que demande OpenSSL, sans devoir gérer en même temps l’aspect commercial.

Si vous êtes un décideur dans une multinationale ou un gouvernement, pensez-y. Je vous en prie. Je me fais vieux, je fatigue et j’aimerais prendre ma retraite un jour.

Après Heartbleed, OpenSSL obtint enfin le financement nécessaire – en tous cas jusqu’à présent. L’équipe dispose à l’heure actuelle d’assez d’argent pour payer quatre employés à temps plein pendant trois ans. Mais au bout d’un an et demi de ce financement, Marquess n’est pas certain de l’avenir.

Il a admis que Heartbleed a été une bénédiction pour eux, mais qu’il est « légèrement ironique » que ce soit une faille de cette ampleur qui ait donné plus de visibilité à leur cause. Et quand l’argent sera épuisé et que le monde sera passé à autre chose, Marquess craint qu’ils ne se retrouvent dans la même situation qu’avant Heartbleed, voire pire : la clientèle que Marquess a mis des années à se constituer a disparu, puisque l’équipe travaille maintenant à plein temps sur OpenSSL et n’a plus le temps d’exécuter des contrats.

Marquess lui-même a bientôt l’âge de la retraite. Il est le seul qui accepte de s’occuper des affaires commerciales et du rôle exécutif associés à OpenSSL comme les impôts, la recherche de clients, et la gestion des donateurs. Le reste de son équipe préfère se concentrer sur l’écriture et la maintenance du code. Il ne peut embaucher personne pour le remplacer quand il prendra sa retraite, parce qu’il ne perçoit en ce moment aucun salaire. « Je ne crois pas qu’on puisse tenir comme ça plus d’un an ou deux » a-t-il remarqué.

L’histoire d’OpenSSL n’est pas unique, et par bien des aspects, Marquess trouve que lui et son équipe font partie des mieux lotis. Bien d’autres projets sont toujours en manque de reconnaissance et de financement, alors qu’ils constituent l’infrastructure numérique, infrastructure absolument cruciale puisque tous les logiciels d’aujourd’hui, et par conséquent tous les aspects de notre vie quotidienne, en dépendent.

Relever ses courriels, lire les actualités, vérifier le prix des actions, faire des achats en ligne, aller chez le médecin, appeler le service client – qu’on le réalise ou non, tout ce que nous faisons est rendu possible par des projets comme OpenSSL. Sans eux, la technologie sur laquelle repose la société moderne ne pourrait tout simplement pas fonctionner.

Beaucoup de ces projets sont créés et maintenus par des volontaires et offerts au public gratuitement. Tous ceux qui le veulent, de Facebook au programmeur amateur, peuvent utiliser ce code pour créer leurs propres applications. Et ils le font.

S’il est difficile de croire, comme le dit Marquess, « qu’un groupe hétéroclite d’amateurs puisse faire mieux que de gigantesques sociétés avec leur argent et leurs ressources », voyez plutôt comme c’est lié à la montée en puissance du travail collaboratif pair-à-pair dans le monde.

Des startups jusqu’ici impensables comme Uber ou AirBnB se sont transformées en l’espace de quelques années en poids lourds du monde des affaires et remettent en question des industries phares comme le transport ou l’hôtellerie. Des musiciens se font un nom sur YouTube ou Soundcloud plutôt qu’en passant par les majors. Créateurs et artistes concrétisent leurs idées via des plateformes de financement participatif telles que Kickstarter ou Patreon.

Les autres projets de l’infrastructure sont également issus de la passion et de la créativité de développeurs qui se sont dit : « Je pourrais faire ça mieux », et qui collaborent pour développer et livrer du code au monde entier. La différence, c’est que des millions de personnes ont besoin de ce code dans leur vie quotidienne.

Comme le code n’est pas aussi sexy qu’une vidéo virale sur YouTube ou une campagne Kickstarter, le grand public est très loin de pouvoir l’apprécier à sa juste valeur, si bien que le code qui a révolutionné les technologies de l’information manque très largement du soutien des institutions.

Mais nous ne pourrons ignorer cela plus longtemps.

Ces cinq dernières années, notre dépendance aux logiciels ainsi qu’au code libre et public qui les fait fonctionner s’est accélérée. Les technologies se sont fait une place dans tous les aspects de nos vies, et plus les gens utilisent de logiciels, plus on en crée, et plus cela demande de travail de maintenance.

Toutes les startups qui réussissent ont besoin d’une infrastructure publique pour assurer leur succès, pourtant aucune entreprise n’est assez motivée pour agir seule. Pendant que le monde progresse à toute vitesse vers l’ère moderne des startups, du code et des technologies, l’infrastructure reste à la traîne. Les fissures des fondations ne sont pas encore très visibles, mais elles s’élargissent. Après des années de croissance sans précédent qui nous ont propulsés dans une époque de croissance et de prospérité, nous devons maintenant agir pour nous assurer que le monde que nous avons bâti en si peu de temps ne va pas s’effondrer brutalement sans crier gare.

Pour comprendre comment nous pouvons préserver l’avenir, nous devons d’abord comprendre ce qu’est le logiciel lui-même.

(À suivre…)

La semaine prochaine : comment on fabrique des logiciels…

Les membres du groupe Framalang ont toujours un gros appétit, il faut à leur insatiable faim de traduction de nouveaux aliments. C’est un morceau de choix qu’ils ont décidé de traduire et publier progressivement ici même…

… un livre entier de Nadia Eghbal qui porte sur l’infrastructure cachée ou discrète de la grande soupe numérique où nous grenouillons. Cet ouvrage a été financé par la Fondation Ford et sa source est sous licence CC BY 4.0, ce qui vous permet d’en profiter.

Nous vous proposons aujourd’hui seulement l’avant-propos.

Histoire de susciter votre curiosité voici quelques titres des chapitres que nous vous proposerons semaine après semaine :

• Une brève histoire du code public et libre et de ceux qui l’ont libéré
• Pourquoi les gens continuent-ils à contribuer à ces projets sans être payés ?
• Comment sont gérés les projets d’infrastructure numérique ?
• Les rapports difficiles de l’open source avec l’argent
• …

Des routes et des ponts (1)

Document original (lien direct vers le PDF) Roads and Bridges, The Unseen Labor behind Our Digital Structure
par : Nadia Eghbal

Traduction Framalang : astraia_spica, Mika, peupleLà, roptat, xi, Luc, mika, Lyn., Julien / Sphinx, Lumibd, goofy

Avant-propos

Le problème exposé dans cet ouvrage m’est apparu sur une intuition. Pour avoir travaillé dans des startups puis dans des sociétés de capital-risque, j’ai pu constater que des sommes d’argent considérables affluaient dans les entreprises de logiciel. Par ailleurs, en tant que développeuse de logiciel en amateur, j’étais bien consciente que je n’aurais rien pu produire toute seule. J’utilisais du code gratuit et public (plus connu sous le nom de code open source) dont j’assemblais des éléments afin de répondre à des objectifs personnels ou commerciaux. Et franchement, les personnes impliquées dans ces projets avaient, quel que soit leur rôle, fait le plus gros du travail.

Cette observation m’a tourné dans la tête pendant plusieurs années, tandis que j’assistais à l’explosion à droite et à gauche des bootcamps où étaient diplômés de nouveaux développeurs de logiciel et que je voyais des startups lever plusieurs dizaines de millions de dollars pour vendre des produits qui tournaient sans doute avec plus de code libre que de code propriétaire. Ayant précédemment travaillé dans des associations à but non lucratif, je faisais immédiatement le lien avec les biens publics et les défis qui leur sont associés. Pourtant ce vocabulaire était étrangement absent du langage de mes pairs dans le monde du logiciel.

Après avoir quitté mon travail dans une entreprise de capital-risque l’an dernier, je me suis mis en tête d’étudier ce paradoxe auquel je ne cessais de penser : il existe des logiciels précieux qui ne peuvent pas s’appuyer sur des modèles commerciaux et auxquels manquent le soutien des pouvoirs publics.

C’est plutôt amusant, mais le code open source ne figurait pas sur ma liste initiale. Comme mes collègues, j’avais supposé, à tort, que c’était l’exemple même de ressources logicielles à la disposition du public qui bénéficiaient d’un fort soutien. Lorsque j’ai mentionné l’open source à mes amis et mentors, ils m’ont aimablement dissuadée de poursuivre mes recherches dans ce domaine, puis incitée à plutôt trouver d’autres exemples de domaines qui avaient vraiment besoin de soutien.

Pourtant, je suis tombée sur un certain nombre de projets open source qui mettaient à mal ces préjugés. Il s’est avéré que maintenir les projets dans la durée était un problème connu dans le monde des contributeurs de l’open source. Plus je creusais la question et plus je découvrais des billets de blog, des articles et des forums de discussion qui abordaient la tension et l’épuisement éprouvés par ceux qui maintiennent les projets open source. Tout le monde m’indiquait une autre personne à contacter et sans m’en apercevoir j’ai récolté un nombre incroyable de témoignages à ce sujet.

Je me suis rendu compte que j’avais découvert un problème certes « bien connu » des producteurs (les contributeurs de l’open source) mais dont les consommateurs (les entreprises de logiciels et les autres utilisateurs de code open source) n’avaient apparemment aucune idée. Cette anomalie m’a incitée à me pencher sur le problème.

Par ailleurs, il semble que le milieu de l’open source soit lui-même en train d’évoluer, voire de bifurquer. J’ai eu des conversations très diverses avec des interlocuteurs de différentes générations, tous contributeurs open source. Ils semblaient avoir des philosophies et des valeurs divergentes, au point de donner l’impression de ne pas utiliser le même vocabulaire. J’ai appris que dans les trois à cinq dernières années, la production ainsi que la demande avaient explosé dans le monde de l’open source grâce à l’amélioration des outils pour les développeurs et à celle de l’organisation du travail. Les contributeurs de l’open source d’aujourd’hui sont très différents de ceux d’il y a 10 ans, sans parler de ceux d’il y a 30 ans. Or ces différentes générations ne communiquent pas entre elles, ce qui rend difficile toute conversation productive sur la maintenance pérenne des logiciels.

Au hasard d’une conversation avec Ethan Zuckerman, du MIT Center for Civic Media, j’ai eu l’occasion de partager plus largement mes découvertes.

Bien que ne sachant pas exactement ce qu’il y avait derrière ni si j’employais les bons mots, j’ai décrit à Ethan le problème dont je m’étais rendu compte et il a eu la gentillesse de me mettre en contact avec Jenny Toomey de la Fondation Ford. Jenny m’a suggéré de rassembler les résultats de mes recherches dans un rapport. Au fur et à mesure de son écriture a émergé cet ouvrage sur notre société numérique moderne, et sur l’infrastructure cachée qui la sous-tend.

Le présent ouvrage n’aurait jamais vu le jour si Ethan et Jenny n’avaient pas donné sa chance à une idée tout juste ébauchée qui désormais, grâce au travail d’écriture, s’est transformée en quelque chose de construit. Je les remercie énormément d’avoir fait confiance à leur intuition. Je suis aussi reconnaissante envers Michael Brennan et Lori McGlinchey pour leurs conseils, leur regard, et leur enthousiasme au cours de la relecture. Enfin, et c’est sans doute le plus important, j’ai une dette envers toutes les personnes qui travaillent dans l’open source et qui ont rendu leur histoire publique pour que des gens comme moi puissent la lire — et particulièrement ceux qui ont pris de leur temps malgré un agenda chargé pour me divertir au détour d’une conversation ou d’un courriel. Ce rapport est un concentré de leur sagesse et non de la mienne. Je suis particulièrement reconnaissante pour les conversations que j’ai pu avoir avec Russel Keith-Magee, Eric Holscher, Jan Lehnardt, Audrey Petrov et Mikeal Rogers, ils continuent à m’inspirer par leur patience et leur dévouement à l’égard du travail open source.

Merci d’avoir été aussi attentionnés.

Le groupe Framalang a traduit l’article de Julien, qui a listé tous les moyens de se tirer une balle dans le pied quand on coordonne un projet libre.

Apprenez à les éviter !

Conduite de projets Open Source : 10 erreurs à éviter

Article original : https://julien.danjou.info/blog/2016/foss-projects-management-bad-practice
Auteur : Julien Danjou(CC-BY-SA)
Traduction : lyn., KoS, AlienSpoon, David 5.1, Simon, goofy, Slimane Aguercif, Fred, galadas, terhemis, gégé

Il y a quelques semaines, lors de l’OpenStack Summit (réunion annuelle des contributeurs à OpenStack, NDT), j’ai eu l’occasion de discuter de mon expérience de la conduite de projets Open Source. Je me suis rendu compte qu’après avoir fait partie de plusieurs communautés et beaucoup contribué pendant des années, je pourrais faire profiter les nouveaux venus de conseils et d’avis expérimentés.

Il existe une foule de ressources disponibles expliquant comment conduire un projet Open Source. Mais aujourd’hui, je voudrais aborder ce sujet sous un angle différent, en insistant sur ce qu’il convient de ne pas faire avec les personnes qui y participent. Je tire cette expérience des nombreux projets Open Source auxquels j’ai participé ces dernières années. Je vais décrire, sans ordre particulier, quelques mauvaises pratiques que j’ai constatées, en les illustrant par des exemples concrets.

1. Considérer les contributeurs comme une nuisance

Quand les informaticiens sont au travail, qu’ils soient chargés du développement ou de la maintenance d’un logiciel, il est une chose dont ils n’ont pas besoin : du travail supplémentaire. Pour la plupart d’entre eux, la première réaction à toute contribution externe est : « Zut, du travail en plus ». Et c’est effectivement le cas.

Par conséquent, certains développeurs essayent d’éviter ce travail supplémentaire : ils déclarent ne pas vouloir de contributions, ou font en sorte que les contributeurs se sentent indésirables. Cela peut prendre de nombreuses formes, comme les ignorer ou être désagréable avec eux. Ainsi, les développeurs évitent d’avoir à traiter le surplus de travail qu’on leur met sur le dos.

C’est une des plus grandes erreurs que l’on peut commettre, et une vision fausse de l’Open Source. Si des gens vous apportent du travail supplémentaire, faites tout ce que vous pouvez pour bien les accueillir afin qu’ils continuent à travailler avec vous. Il s’agit peut-être de ceux qui prendront votre relève d’ici peu. Préparez votre future retraite.

Prenons le cas de mon ami Gordon, que j’ai vu démarrer en tant que contributeur sur Ceilometer en 2013. Il examinait très bien le code, si bien qu’il me donnait en fait davantage de travail : non seulement en détectant les anomalies dans mes contributions, mais aussi en me faisant vérifier les siennes. Au lieu de m’en prendre à lui pour qu’il arrête de me faire retravailler mon code et vérifier ses correctifs, j’ai proposé qu’on lui fasse davantage confiance en l’ajoutant officiellement à l’équipe des correcteurs sur un des projets.

Et s’ils ne font pas cette première contribution, ils ne feront pas non plus la seconde. En fait, ils n’en feront aucune ; et ces projets perdraient alors leurs futurs correcteurs.

2. Ne confier aux autres que le sale boulot

Lorsque de nouveaux contributeurs se présentent pour travailler sur un certain projet, leurs motivations peuvent être très diverses. Certains sont des utilisateurs, d’autres veulent simplement voir ce que c’est de contribuer. Ressentir le frisson de la participation, comme un simple exercice ou avec la volonté d’apprendre afin de contribuer en retour à l’écosystème qu’ils utilisent.

En général, les développeurs confient le sale boulot à ces personnes, c’est à dire des tâches sans intérêt, à faible valeur ajoutée, et qui n’auront sans doute aucun impact direct sur le projet.

Pour certains, ce n’est pas grave, pour d’autres, ça l’est. Certains seront vexés de se voir confier du travail sans grand intérêt, alors que d’autres seront heureux de le faire pourvu qu’on leur témoigne de la reconnaissance. Soyez sensible à cela, et félicitez ces personnes. C’est la seule manière de les garder dans le projet.

3. Mépriser les petites contributions

Quand le premier patch d’un nouveau contributeur est une correction d’orthographe, qu’en pensent les développeurs ? Qu’ils s’en fichent, que vous gâchez de leur temps précieux avec votre petite contribution. Et personne ne s’intéresse à la perfection grammaticale d’une documentation, n’est-ce pas ?

C’est faux. Voyez mes premières contributions à home-assistant et Postmodern : j’ai corrigé des fautes d’orthographe dans la documentation.

J’ai contribué au projet Org-mode pendant quelques années. Mon premier patch corrigeait simplement une chaîne de caractères du code. Ensuite, j’ai envoyé 56 patchs, corrigeant des bogues et ajoutant de nouvelles fonctionnalités élégantes, et j’ai aussi codé quelques extensions. À ce jour, je suis toujours seizième dans la liste des plus gros contributeurs d’Org-mode, qui en contient 390. Certainement pas ce qu’on appellerait un petit contributeur, donc. Je suis sûr que la communauté est bien contente de n’avoir pas méprisé ma première correction dans la documentation.

4. Mettre la barre trop haut pour les nouveaux arrivants.

Quand de nouveaux contributeurs arrivent, leurs connaissances du projet, de son contexte, et des technologies sont très variables. L’une des erreurs que les gens font le plus souvent consiste à demander aux nouveaux contributeurs des choses trop compliquées, dont ils ne pourront pas venir à bout. Cela leur fait peur (surtout les timides ou les introvertis) et ils risquent de disparaître, se croyant trop stupides pour aider.

Avant de faire le moindre commentaire, vous ne devriez avoir strictement aucun a priori sur leur niveau. Cela permet d’éviter ce genre de situations. Il faut également mettre beaucoup de délicatesse quand vous estimez les compétences des nouveaux, car certains pourraient se vexer si vous les sous-estimez trop.

Quand son niveau est bien estimé (un petit nombre d’échanges devrait suffire), vous devez former votre contributeur en ne le guidant ni trop ni trop peu, afin qu’il puisse s’épanouir. Il faut du temps et de l’expérience pour y parvenir, et vous allez probablement perdre certains contributeurs avant de bien maîtriser ce processus, mais c’est un chemin que tous ceux qui gèrent des projets doivent suivre.

Façonner ainsi les nouveaux arrivants est au cœur de la gestion de vos contributeurs, et ce quel que soit votre projet. Et je suis quasiment sûr que cela s’applique à tout projet, même en dehors du logiciel libre.

5. Exiger des gens qu’ils fassent des sacrifices sur le plan personnel

C’est un point qui dépend beaucoup du projet et du contexte, mais il est très important. Dans le logiciel libre, où la plupart des gens vont contribuer par bonne volonté et parfois sur leur temps libre, vous ne devez surtout pas exiger d’eux qu’ils fassent des sacrifices personnels importants. Ça ne passera pas.

L’une des pires manières de faire cette erreur est de fixer un rendez-vous à l’autre bout du monde pour discuter du projet. Cela place les contributeurs qui vivent loin dans une situation injuste, car ils ne peuvent pas forcément quitter leur famille pour la semaine, prendre l’avion ou un autre moyen de transport, louer une chambre d’hôtel… Ce n’est pas bon : tout devrait être mis en œuvre pour que les contributeurs se sentent partie prenante du projet et intégrés à la communauté, sans que l’on exige cela de leur part. Entendons-nous bien, cela ne veut pas dire qu’il faut s’interdire toute rencontre ou activité sociale, au contraire. Pensez simplement à n’exclure personne lorsque vous discutez d’un projet.

Il en va de même pour les moyens de communication susceptibles de compliquer la vie des participants : se retrouver sur IRC (il est difficile pour certaines personnes de réserver une heure, surtout lorsqu’il faut tenir compte des différents fuseaux horaires), faire une visioconférence (en particulier quand on n’utilise pas de logiciel libre et gratuit), etc.

En gros, tout ce qui impose de se synchroniser en temps réel avec l’avancement du projet est contraignant pour certains contributeurs.

C’est pourquoi le meilleur moyen de communiquer reste le courriel, mais tous les outils de communication asynchrones (pisteurs de bogues, etc.) feront l’affaire dans la mesure où ils permettent à chacun de travailler à son rythme et à l’heure qui lui convient.

6. Ne pas avoir de code de conduite

À une époque où de plus en plus de communautés s’ouvrent à un public plus large que celui auquel elles étaient habituées (ce qui est fantastique), les codes de conduite semblent être un sujet à la mode, mais aussi délicat.

En réalité, toutes les communautés ont un code de conduite, qu’il soit inscrit noir sur blanc ou suivi inconsciemment par chacun. Sa forme dépend de la taille et de la culture de la communauté.

Cependant, en fonction de la taille de votre communauté et de la façon dont ce code s’applique, vous auriez peut-être intérêt à l’écrire dans un document, comme l’a par exemple fait Debian.

Ce n’est pas parce que vous aurez rédigé un code de conduite que tous les membres de votre communauté vont soudain se transformer en adorables Bisounours le suivant à la lettre, mais il fournit des règles que vous pouvez citer en cas de besoin. Il peut être utile de le transmettre à certains pour leur faire comprendre que leur comportement ne convient pas, et cela peut aider si une exclusion devient nécessaire, même s’il ne sert que rarement à cela, puisqu’en général personne ne veut aller aussi loin.

Je pense qu’on peut très bien se passer d’un tel document sur de petits projets. Mais vous devez garder à l’esprit qu’un code de conduite implicite découlera de votre comportement. La manière dont vos membres les plus influents communiqueront avec les autres installera l’ambiance à travers tout le réseau. Ne sous-estimez pas cela.

Quand nous avons commencé le projet Ceilometer, nous avons suivi le code de conduite du projet OpenStack avant même qu’il ait été écrit, et probablement avons-nous même placé la barre un peu plus haut. En étant agréables, accueillants et ouverts d’esprit, nous avons réussi à obtenir une certaine mixité, avec plus de 25% de femmes dans notre équipe permanente — bien au dessus de la moyenne actuelle d’OpenStack et de la plupart des projets de logiciel libre !

7. Mettre les non-anglophones à l’écart

Il est important d’être conscient que la grande majorité des projets de logiciel libre utilisent l’anglais en tant que langue de communication principale. C’est logique. C’est une langue répandue, et qui semble remplir ce rôle correctement.

Mais une grande partie des codeurs n’ont pas l’anglais pour langue maternelle. Beaucoup ne le parlent pas couramment. Cela signifie que le rythme auquel ils peuvent converser peut-être très lent, ce qui peut en frustrer certains, notamment ceux qui sont nés en terre anglophone.

On peut observer ce phénomène dans les rencontres de codeurs, lors de conférences par exemple. Quand les gens débattent, il peut être très difficile pour certains d’expliquer leurs pensées en anglais et de communiquer à un rythme correct, ce qui ralentit la conversation et la transmission des idées. La pire chose qu’un anglophone puisse faire dans ce cas est de leur couper la parole, ou de les ignorer, pour la seule raison qu’ils ne parlent pas assez vite. Je comprends que cela puisse être frustrant, mais le problème n’est pas la façon de parler des non-anglophones mais les outils de communication utilisés qui ne mettent pas tout le monde au même niveau en privilégiant des conversations orales.

La même chose s’applique, à un moindre degré, aux rencontres sur IRC, qui sont relativement synchrones. Les médias complètement asynchrones ne pâtissent pas de ce défaut, et c’est pourquoi ils faudrait, à mon avis, les privilégier.

8. Pas de vision, aucune délégation des tâches

C’est une autre grosse erreur de gestion si le responsable ne parvient pas à gérer la croissance du projet alors que des gens sont disponibles et prêts à aider.

Évidemment, lorsque le flux des contributeurs commence à grossir, ajoutant de nouvelles fonctionnalités, demandant des retours et des instructions à suivre, certains responsables se retrouvent la tête sous l’eau et ne savent pas comment répondre. Ce qui a pour conséquences de frustrer les contributeurs, qui vont simplement partir.

Il est important d’avoir une vision de votre projet et de la communiquer. Dites clairement à vos contributeurs ce que vous voulez, et ne voulez pas, dans votre projet. Exprimer ces informations de manière claire (et non-agressive !) permet de minimiser les frictions entre vos contributeurs. Ils vont vite savoir s’ils veulent rejoindre ou non votre navire et quoi en attendre. Donc, soyez un bon capitaine.

S’ils choisissent de travailler avec vous et de contribuer, vous devez rapidement commencer à croire en eux et à leur déléguer certaines de vos responsabilités. Cela peut être n’importe quelle tâche que vous faites d’habitude vous-même : vérifier les patchs de certains sous-systèmes, traquer les bogues, écrire la documentation… Laissez les gens s’approprier entièrement une partie du projet car ils se sentiront responsables et ils y mettront autant de soin que vous. Faire le contraire en voulant tout contrôler vous-même est la meilleure façon de vous retrouver seul avec votre logiciel open source.

Aucun projet ne va gagner en taille et en popularité de cette manière.

En 2009, quand Uli Schlachter a envoyé son premier patch à awesome, cela m’a donné plus de travail. J’ai du vérifier son patch, et j’étais déjà bien occupé pour sortir la nouvelle version d’awesome sur mon temps libre en dehors de mon travail ! Le travail d’Uli n’était pas parfait, et j’ai eu à gérer les bogues moi-même. Plus de travail. Alors qu’ai-je fait ? Quelques minutes plus tard, je lui ai répondu en lui envoyant un plan de ce qu’il devait faire et de ce que je pensais de son travail.

En retour, Uli envoya d’autres patchs et améliora le projet. Savez-vous ce que fait Uli aujourd’hui ? Il est responsable du gestionnaire des fenêtres awesome à ma place depuis 2010. J’ai réussi à transmettre ma vision, déléguer, puis à quitter le projet en le laissant dans de bonnes mains !

9. Ignorer certains types de contributions

Les gens contribuent de différentes manières, et pas toujours en codant. Il y a beaucoup de choses autour d’un projet de logiciel libre : la documentation, le tri de bogues, le support, la gestion de l’expérience utilisateur, la communication, les traductions…

Par exemple, il a fallu du temps pour que Debian songe à donner le statut de Développeur Debian à leurs traducteurs. OpenStack prend la même direction en essayant de reconnaître les contributions autres que techniques.

Dès lors que votre projet commence à récompenser certaines personnes et à créer différents statuts dans la communauté, vous devez faire très attention à n’oublier personne, car c’est le meilleur moyen de perdre des contributeurs en chemin.

10. Oublier d’être reconnaissant

Cette liste est le fruit de nombreuses années de bidouillages open source et de contributions à des logiciels libres. L’expérience et le ressenti de chacun sont différents, et les mauvaises pratiques peuvent prendre différentes formes : si vous connaissez ou si vous avez vous-même rencontré d’autres obstacles dans vos contributions à des projets open-source, n’hésitez pas à compléter la liste dans les commentaires. C’est une forme de contribution.

« Ne voulez-vous pas plutôt utiliser notre application ? »…

De plus en plus, les écrans de nos ordiphones et autres tablettes se voient pollués de ce genre de message dès qu’on ose utiliser un bon vieux navigateur web.

Étrangement, c’est toujours « pour notre bien » qu’on nous propose de s’installer sur notre machine parmi les applications que l’on a vraiment choisies…

Ruben Verborgh nous livre ici une toute autre analyse, et nous dévoile les dessous d’une conquête de nos attentions et nos comportements au détriment de nos libertés. Un article blog traduit par Framalang, et sur lequel l’auteur nous a offert encouragements, éclairages et relecture ! Toute l’équipe de Framalang l’en remercie chaleureusement et espère que nous avons fait honneur à son travail 😉

Utilisez plutôt le Web

Auteur : Ruben Verborgh

Source : blog de l’auteur

Traduction : Julien, David_5.1, AlienSpoon, roptat, syst, serici, audionuma, sebastienc, framasky, Ruben Verborgh, Diane, Éric + les anonymes.

Sous des prétextes mensongers, les applications mobiles natives nous éloignent du Web. Nous ne devrions pas les laisser faire.

Peu de choses m’agacent plus qu’un site quelconque qui me demande « Ne voulez-vous pas utiliser plutôt notre application ? ». Évidemment que je ne veux pas, c’est pour ça que j’utilise votre site web. Certaines personnes aiment les applications et d’autres non, mais au-delà des préférences personnelles, il existe un enjeu plus important. La supplique croissante des applications pour envahir, littéralement, notre espace personnel affaiblit certaines des libertés pour lesquelles nous avons longtemps combattu. Le Web est la première plate-forme dans l’histoire de l’humanité qui nous permette de partager des informations et d’accéder à des services à travers un programme unique : un navigateur. Les applications, quant à elles, contournent joyeusement cette interface universelle, la remplaçant par leur propre environnement. Est-ce vraiment la prétendue meilleure expérience utilisateur qui nous pousse vers les applications natives, ou d’autres forces sont-elles à l’œuvre ?

Il y a 25 ans, le Web commença à tous nous transformer. Aujourd’hui, nous lisons, écoutons et regardons différemment. Nous communiquons à une échelle et à une vitesse inconnues auparavant. Nous apprenons des choses que nous n’aurions pas pu apprendre il y a quelques années, et discutons avec des personnes que nous n’aurions jamais rencontrées. Le Web façonne le monde de façon nouvelle et passionnante, et affecte la vie des gens au quotidien. C’est pour cela que certains se battent pour protéger le réseau Internet qui permet au Web d’exister à travers le globe. Des organisations comme Mozilla s’évertuent à faire reconnaître Internet comme une ressource fondamentale plutôt qu’un bien de luxe, et heureusement, elles y parviennent.

Toutefois, les libertés que nous apporte le Web sont menacées sur plusieurs fronts. L’un des dangers qui m’inquiète particulièrement est le développement agressif des applications natives qui tentent de se substituer au Web. Encore récemment, le directeur de la conception produit de Facebook comparait les sites web aux vinyles : s’éteignant peu à peu sans disparaître complètement. Facebook et d’autres souhaitent en effet que nous utilisions plutôt leurs applications ; mais pas simplement pour nous fournir une « meilleure expérience utilisateur ». Leur façon de nous pousser vers les applications met en danger un écosystème inestimable. Nous devons nous assurer que le Web ne disparaisse jamais, et ce n’est pas juste une question de nostalgie.

Le Web : une interface indépendante ouverte sur des milliards de sources

Pour comprendre pourquoi le Web est si important, il faut s’imaginer le monde d’avant le Web. De nombreux systèmes d’information existaient mais aucun ne pouvait réellement être interfacé avec les autres. Chaque source d’information nécessitait sa propre application. Dans cette situation, on comprend pourquoi la majeure partie de la population ne prenait pas la peine d’accéder à aucun de ces systèmes d’information.

Le Web a permis de libérer l’information grâce à une interface uniforme. Enfin, un seul logiciel – un navigateur web – suffisait pour interagir avec plusieurs sources. Mieux encore, le Web est ouvert : n’importe qui peut créer des navigateurs et des serveurs, et ils sont tous compatibles entre eux grâce à des standards ouverts. Peu après son arrivée, cet espace d’informations qu’était le Web est devenu un espace d’applications, où plus de 3 milliards de personnes pouvaient créer du contenu, passer des commandes et communiquer – le tout grâce au navigateur.

Au fil des années, les gens se mirent à naviguer sur le Web avec une large panoplie d’appareils qui étaient inimaginables à l’époque de la création du Web. Malgré cela, tous ces appareils peuvent accéder au Web grâce à cette interface uniforme. Il suffit de construire un site web une fois pour que celui-ci soit accessible depuis n’importe quel navigateur sur n’importe quel appareil (tant qu’on n’utilise rien de spécial ou qu’on suit au moins les méthodes d’amélioration progressive). De plus, un tel site continuera à fonctionner indéfiniment, comme le prouve le premier site web jamais créé. La compatibilité fonctionne dans les deux sens : mon site fonctionne même dans les navigateurs qui lui préexistaient.

La capacité qu’a le Web à fournir des informations et des services sur différents appareils et de façon pérenne est un don immense pour l’humanité. Pourquoi diable voudrions-nous revenir au temps où chaque source d’information nécessitait son propre logiciel ?

Les applications : des interfaces spécifiques à chaque appareil et une source unique

Après les avancées révolutionnaires du web, les applications natives essaient d’accomplir l’exacte inverse : forcer les gens à utiliser une interface spécifique pour chacune des sources avec lesquelles ils veulent interagir. Les applications natives fonctionnent sur des appareils spécifiques, et ne donnent accès qu’à une seule source (ironiquement, elles passent en général par le web, même s’il s’agit plus précisément d’une API web que vous n’utilisez pas directement). Ainsi elles détricotent des dizaines d’années de progrès dans les technologies de l’information. Au lieu de nous apporter un progrès, elles proposent simplement une expérience que le Web peut déjà fournir sans recourir à des techniques spécifiques à une plate-forme. Pire, les applications parviennent à susciter l’enthousiasme autour d’elles. Mais pendant que nous installons avec entrain de plus en plus d’applications, nous sommes insidieusement privés de notre fenêtre d’ouverture universelle sur l’information et les services du monde entier.

Ils trouvent nos navigateurs trop puissants

Pourquoi les éditeurs de contenus préfèrent-ils les applications ? Parce-qu’elles leur donnent bien plus de contrôle sur ce que nous pouvons et ne pouvons pas faire. Le « problème » avec les navigateurs, du point de vue de l’éditeur, est qu’ils appartiennent aux utilisateurs. Cela signifie que nous sommes libres d’utiliser le navigateur de notre choix. Cela signifie que nous pouvons utiliser des plugins qui vont étendre les capacités du navigateur, par exemple pour des raisons d’accessibilité, ou pour ajouter de nouvelles fonctionnalités. Cela signifie que nous pouvons installer des bloqueurs de publicité afin de restreindre à notre guise l’accès de tierces parties à notre activité en ligne. Et plus important encore, cela signifie que nous pouvons nous échapper vers d’autres sites web d’un simple clic.

Si, en revanche, vous utilisez l’application, ce sont eux qui décident à quoi vous avez accès. Votre comportement est pisté sans relâche, les publicités sont affichées sans pitié. Et la protection légale est bien moindre dans ce cadre. L’application offre les fonctionnalités que le fournisseur choisit, à prendre ou à laisser, et vous ne pourrez ni les modifier ni les contourner. Contrairement au Web qui vous donne accès au code source de la page, les applications sont distribuées sous forme de paquets binaires fermés.

« Ne voulez-vous pas plutôt l’application ? »

J’ai procédé à une petite expérience pour mesurer exactement quelle proportion des sites Web les plus visités incitent leurs utilisateurs à installer l’application. J’ai écrit un programme pour déterminer automatiquement si un site web affiche une bannière de promotion de son application. L’outil utilise PhantomJS pour simuler un navigateur d’appareil mobile et capture les popups qui pourraient être insérés dynamiquement. La détection heuristique est basée sur une combinaison de mots-clés et d’indices du langage naturel.
Ce graphique montre combien de sites du top Alexa (classés par catégorie) vous proposent d’utiliser leur application :

Les chiffres obtenus sont basés sur une heuristique et sous-estiment probablement la réalité. Dans certaines catégories, au moins un tiers des sites préfèrent que vous utilisiez leur application. Cela signifie qu’un tiers des plus gros sites essaient de nous enfermer dans leur plate-forme propriétaire. Sans surprise, les catégories informations locales, sports et actualités atteignent un pourcentage élevé, puisqu’ils souhaitent être en première ligne pour vous offrir les meilleures publicités. Il est intéressant de noter que les contenus pour adultes sont en bas du classement : soit peu de personnes acceptent d’être vues avec une application classée X, soit les sites pornographiques adorent infecter leurs utilisateurs avec des malwares via le navigateur.

Des prétextes mensongers

Même si les éditeurs de contenu demandent si nous « souhaitons » utiliser leur application, c’est un euphémisme. Ils veulent que nous l’utilisions. En nous privant de la maîtrise plus grande offerte par les navigateurs, ils peuvent mieux influencer les éléments que nous voyons et les choix que nous faisons. Le Web nous appartient à tous, alors que l’application n’est réellement qu’entre les mains de l’éditeur. Généralement, ils justifient l’existence de l’application en plus du site web en marmonnant des arguments autour d’une « expérience utilisateur améliorée », qui serait évidemment « bien plus rapide ». Il est curieux que les éditeurs préfèrent investir dans une technologie complètement différente, plutôt que de prendre la décision logique d’améliorer leur site internet en le rendant plus léger. Leur objectif principal, en réalité, est de nous garder dans l’application. Depuis iOS 9, cliquer sur un lien dans une application permet d’ouvrir un navigateur interne à l’application. Non seulement cette fonctionnalité prête à confusion (depuis quelle application suis-je parti(e), déjà ?), mais surtout elle augmente le contrôle de l’application sur votre activité en ligne. Et une simple pression du doigt vous « ramène » vers l’application que vous n’aviez en fait jamais quittée. Dans ce sens, les applications contribuent sciemment à la « bulle de filtre ».

Les Articles Instantanés de Facebook sont un exemple extrême : un lien normal vous dirige vers la version « optimisée » d’une page à l’intérieur-même de l’application Facebook. Facebook salue cette nouveauté comme un moyen de « créer des articles rapides et interactifs sur Facebook » et ils ne mentent même pas sur ce point : vous ne naviguez même plus sur le vrai Web. Les Articles Instantanés sont vendus comme une expérience « interactive et immersive » avec plus de « flexibilité et de contrôle » (pour les fournisseurs de contenu bien sûr) qui entraînent de nouvelles possibilités de monétisation, et nous rendent une fois de plus « mesurables et traçables ».

Soyons honnêtes sur ce point : le Web fournit déjà des expériences interactives et immersives. Pour preuve, les Articles Instantanés sont développés en HTML5 ! Le Web, en revanche, vous permet de quitter Facebook, de contrôler ce que vous voyez, et de savoir si vous êtes pisté. Le nom « Articles Instantanés » fait référence à la promesse d’une rapidité accrue, et bien qu’ils soient effectivement plus rapides, cette rapidité ne nous est pas vraiment destinée. Facebook explique que les utilisateurs lisent 20% d’articles en plus et ont 70% de chances en moins d’abandonner leur lecture. Ces résultats favorisent principalement les éditeurs… et Facebook, qui a la possibilité de prendre une part des revenus publicitaires.

Rendez-nous le Web

Ne vous y trompez pas : les applications prétendent exister pour notre confort, mais leur véritable rôle est de nous attirer dans un environnement clos pour que les éditeurs de contenu puissent gagner plus d’argent en récoltant nos données et en vendant des publicités auxquelles on ne peut pas échapper. Les développeurs aussi gagnent plus, puisqu’ils sont désormais amenés à élaborer des interfaces pour plusieurs plate-formes au lieu d’une seule, le Web (comme si l’interface de programmation du Web n’était pas déjà assez coûteuse). Et les plate-formes de téléchargement d’applications font également tinter la caisse enregistreuse. Je ne suis pas naïf : les sites web aussi font de l’argent, mais au moins le font-ils dans un environnement ouvert dont nous avons nous-mêmes le contrôle. Pour l’instant, on peut encore souvent choisir entre le site et l’application, mais si ce choix venait à disparaître, l’accès illimité à l’information que nous considérons à juste titre comme normal sur le Web pourrait bien se volatiliser avec.

Certaines voix chez Facebook prédisent déjà la fin des sites web, et ce serait en effet bon pour eux : ils deviendraient enfin l’unique portail d’accès à Internet. Certains ont déjà oublié qu’il existe un Internet au-delà de Facebook ! La réaction logique de certains éditeurs est d’enfermer leur contenu au sein de leur propre application, pour ne plus dépendre de Facebook (ou ne plus avoir à y faire transiter leurs profits). Tout ceci crée exactement ce que je crains : un monde d’applications fragmenté, où un unique navigateur ne suffit plus pour consommer tous les contenus du monde. Nous devenons les prisonniers de leurs applis :

Last thing I remember, I was running for the door.

I had to find the passage back to the place I was before.

“Relax,” said the night man, “we are programmed to receive.”

“You can check out any time you like, but you can never leave!”

Eagles – Hotel California

Mon dernier souvenir, c’est que je courais vers la porte,

Je devais trouver un passage pour retourner d’où je venais

« Relax », m’a dit le gardien, « on est programmés pour recevoir »

« Tu peux rendre ta chambre quand tu veux, mais tu ne pourras jamais partir ! »

Eagles, Hotel California

Cette chanson me rappelle soudain le directeur de Facebook comparant les sites web et le vinyle. L’analogie ne pourrait pas être plus juste. Le Web est un disquaire, les sites sont des disques et le navigateur un tourne-disque : il peut jouer n’importe quel disque, et différents tourne-disques peuvent jouer le même disque. En revanche, une application est une boîte à musique : elle est peut-être aussi rapide qu’un fichier MP3, mais elle ne joue qu’un seul morceau, et contient tout un mécanisme dont vous n’auriez même pas besoin si seulement ce morceau était disponible en disque. Et ai-je déjà mentionné le fait qu’une boîte à musique ne vous laisse pas choisir le morceau qu’elle joue ?

C’est la raison pour laquelle je préfère les tourne-disques aux boîtes à musique – et les navigateurs aux applications. Alors à tous les éditeurs qui me demandent d’utiliser leur application, je voudrais répondre : pourquoi n’utilisez-vous pas plutôt le Web ?

Le projet Tor (Tor Project), est l’organisation à but non lucratif à l’origine du réseau de communication anonymisé et du logiciel éponyme. Il a décidé, à l’instar d’autres projets libres comme Debian ou Gentoo, de se doter d’un contrat social dans le but de clarifier et de pérenniser ses valeurs et ses objectifs.

Souvent associé au terrorisme, au trafic de drogue et autres contenus pédo-nazis par certains journaux télévisés ou personnages politiques en manque d’attention, Tor est au contraire mis en avant dans ce texte (gracieusement traduit pour vous par l’équipe de Framalang) pour son intérêt dans la protection des libertés fondamentales.

Source : The Tor Social Contract par alison

Traduction : KoS, serici, sebastien camuzat, David_5.1, Lumi, egilli et Obny

Le contrat social du projet Tor

Au sein du Projet Tor, nous fabriquons des outils pour promouvoir et protéger les droits fondamentaux des personnes partout dans le monde. Nous avons un ensemble de principes directeurs qui rendent cela possible, mais pendant une longue période ces principes sont restés plus ou moins tacites. Afin de veiller à ce que les membres du projet construisent un Tor qui reflète l’engagement envers nos idéaux, nous nous sommes inspirés de nos amis de chez Debian pour écrire le Contrat Social de Tor, soit l’ensemble des principes qui reflètent qui nous sommes et pourquoi nous faisons Tor.

Notre contrat social est fait de comportement et d’objectifs : pas seulement les résultats idéaux que nous désirons pour notre communauté, mais également la manière dont nous cherchons à les atteindre. Nous voulons faire croître Tor en soutenant et améliorant ces recommandations en même temps que nous travaillons sur Tor, tout en faisant attention de ne pas les déshonorer le reste du temps.

Ces principes peuvent aussi être utilisés pour aider à reconnaître quand les actions ou les intentions des gens peuvent desservir Tor. Certains de ces principes sont des normes bien établies : des choses que nous faisons tous les jours depuis longtemps ; d’autres sont plutôt du domaine des aspirations, mais tous sont des valeurs que nous voulons faire vivre publiquement, et nous espérons qu’elles vont rendre nos choix futurs plus simples et plus ouverts. Ce contrat social est l’un des documents qui définissent nos normes communes, donc si vous cherchez des éléments qui semblent y manquer (par exemple quelque chose qui aurait sa place dans un code de conduite), rappelez-vous qu’il est possible qu’ils existent tout de même dans un autre document.

Les objectifs sociaux peuvent être complexes à exprimer. S’il devait exister des contradictions dans l’application des principes suivants, nous ferions tout pour garantir en priorité la sécurité et la liberté de ceux qui utilisent les fruits de nos efforts. Le contrat social peut aussi nous aider à régler ces contradictions. Par exemple, il peut arriver que nous ayons besoin d’utiliser des outils qui ne sont pas entièrement ouverts (contredisant alors le point 2) mais les rendre ouverts diminuerait la sécurité de nos utilisateurs (contredisant le point 6). Utiliser un tel outil implique donc de mesurer à quel point il est nécessaire pour rendre notre technologie utilisable (point 1). Et si nous utilisons effectivement un tel outil, nous devons être honnêtes concernant ses capacités et ses limites (point 5).

Tor n’est pas seulement un logiciel, mais un travail réalisé avec amour par une communauté internationale de personnes dévouées au respect des droits humains. Ce contrat social est une promesse de notre communauté au reste du monde, exprimant notre engagement à nos valeurs. Nous vous les présentons avec enthousiasme.

1. Nous favorisons les droits humains en créant et maintenant des technologies accessibles pour l’anonymat et la vie privée.
   Nous croyons que la vie privée, l’échange libre des idées, et l’accès à l’information sont essentiels aux sociétés libres. Au travers des règles de notre communauté et du code que nous écrivons, nous fournissons des outils qui aident tout un chacun à protéger et à faire progresser ces droits.
2. Une recherche et des outils ouverts et transparents sont la clef de notre succès.
   Nous sommes dévoués à la transparence. Pour cela, tout ce que nous publions est ouvert et notre développement se fait au grand jour. Chaque fois que cela sera possible, nous continuerons à rendre nos codes sources, nos exécutables et nos affirmations à leur sujet ouverts à des vérifications indépendantes. Dans les cas extrêmement rares où des développements ouverts altéreraient la sécurité de nos utilisateurs, nous serons particulièrement vigilants lors de l’évaluation par les pairs qui sera réalisée par des membres du projet.
3. L’accès, l’utilisation, la modification et la distribution de nos outils sont libres.
   Plus notre panel d’utilisateurs sera diversifié, moins l’on pourra tirer d’informations à propos des personnes utilisant Tor. Cette diversité est un objectif fondamental et nous avons pour but de créer des outils et des services accessibles et utilisables par tous. La capacité d’un utilisateur à payer pour ces outils ou ces services ne devrait pas être un facteur déterminant dans ses possibilités à y accéder et à les utiliser. A fortiori nous ne restreignons pas l’accès à nos outils sauf si cet accès contrevient à notre objectif d’assurer plus de sécurité à nos utilisateurs.
   Notre souhait est que le code et les recherches que nous publions seront revus et améliorés par beaucoup de personnes différentes et cela n’est possible que si tout le monde a la possibilité d’utiliser, de copier, de modifier et de redistribuer cette information. Nous concevons, compilons et diffusons également nos outils sans recueillir d’informations personnelles sur nos utilisateurs.
4. Nous rendons Tor et les technologies associées universels grâce à la sensibilisation et à l’éducation populaire.
   Nous ne sommes pas seulement des gens qui concevons des logiciels, mais aussi des ambassadeurs de la liberté en ligne. Nous voulons que chaque habitant de la planète puisse comprendre que ses droits humains de base, et tout particulièrement sa liberté d’expression, d’accès à l’information et à la vie privée, peuvent être préservés quand il utilise Internet.
   Nous apprenons aux utilisateurs d’Internet, comment et pourquoi utiliser Tor, et nous travaillons sans cesse pour rendre nos outils à la fois plus sécurisés et plus faciles d’utilisation et c’est pourquoi nous utilisons nos propres outils et sommes à l’écoute des retours d’expérience des utilisateurs. Notre vision d’une société plus libre ne sera pas accomplie seulement en restant derrière un écran, et donc, en plus d’écrire de bons programmes, nous donnons aussi de l’importance à leur promotion et sensibilisons la communauté.
5. Nous sommes honnêtes à propos des capacités et des limites de Tor et des technologies associées.
   Nous ne trompons jamais intentionnellement nos utilisateurs ni ne mentons à propos des capacités des outils ou des risques potentiels associés à leur utilisation. Chaque utilisateur devrait être libre de prendre une décision éclairée quant au fait d’utiliser ou non un outil donné et sur la façon dont il devrait l’utiliser. Nous sommes responsables de l’exactitude de l’information quant à l’état de notre logiciel et nous travaillons assidûment pour tenir notre communauté informée à travers nos divers canaux de communication.
6. Nous ne nuirons jamais intentionnellement à nos utilisateurs.
   Nous prenons au sérieux la confiance que nos utilisateurs nous accordent. Non seulement nous ferons toujours de notre mieux pour écrire du bon code, mais il est impératif de résister aux pressions d’adversaires qui souhaiteraient nuire à nos utilisateurs. Nous n’implémenterons jamais de portes dérobées dans nos projets. Dans notre souci de transparence, nous sommes honnêtes lorsque nous faisons des erreurs et nous communiquons avec nos utilisateurs sur nos projets d’amélioration.

Il sera peut-être une nouvelle fois traité de Cassandre et de parano, mais Bruce Schneier enfonce le clou !

Sensible aux signaux qu’envoient de façon croissante les faits divers mettant en cause les objets connectés — le fameux Internet des objets pour lequel « se mobilise » (sic) la grande distribution avec la French Tech — ce spécialiste de la sécurité informatique qui a rejoint récemment le comité directeur du projet Tor veut montrer que les risques désormais ne concernent plus seulement la vie numérique mais bien, directement ou non, la vie réelle. Il insiste aussi une fois encore sur les limites de la technologie et la nécessité d’un volontarisme politique.

Quand l’internet des objets menace la sécurité du monde réel

par Bruce Schneier

Article original sur son blog Real-World Security and the Internet of Things

Traduction Framalang : Valdo, KoS, serici, audionuma, goofy

Les récits de catastrophes qui impliquent l’Internet des objets sont à la mode. Ils mettent en scène les voitures connectées (avec ou sans conducteur), le réseau électrique, les barrages hydroélectriques et les conduits d’aération. Un scénario particulièrement réaliste et vivant, qui se déroule dans un avenir proche, a été publié le mois dernier dans New York Magazine, décrivant une cyberattaque sur New York qui comprend le piratage de voitures, du réseau de distribution de l’eau, des hôpitaux, des ascenseurs et du réseau électrique. Dans de tels récits, un chaos total s’ensuit et des milliers de gens meurent. Bien sûr, certains de ces scénarios exagérèrent largement la destruction massive, mais les risques pour les individus sont bien réels. Et la sécurité classique des ordinateurs et des réseaux numériques n’est pas à la hauteur pour traiter de tels problèmes.

La sécurité traditionnelle des informations repose sur un triptyque : la confidentialité, l’intégrité et l’accès. On l’appelle aussi « C.I.A », ce qui, il faut bien le reconnaître, entretient la confusion dans le contexte de la sécurité nationale. Mais fondamentalement, voici les trois choses que je peux faire de vos données : les voler (confidentialité), les modifier (intégrité), ou vous empêcher de les obtenir (accès).

« L’internet des objets permettra des attaques que nous ne pouvons même pas imaginer. »

Jusqu’à présent, les menaces occasionnées par internet ont surtout concerné la confidentialité. Elles peuvent coûter cher; d’après cette étude chaque piratage de données a coûté 3.8 millions de dollars en moyenne. Elles peuvent s’avérer très gênantes, c’était le cas par exemple quand des photos de célébrités ont été volées sur le cloud d’Apple en 2014 ou lors du piratage du site de rencontres Ashley Madison en 2015. Elles peuvent faire des dégâts, comme quand le gouvernement de Corée du Nord a volé des milliers de documents à Sony ou quand des hackers ont piraté 83 millions de comptes de la banque JPMorgan Chase, dans les deux cas en 2014. Elles peuvent menacer la sécurité nationale, on l’a vu dans le cas du piratage de l’Office of Personnel Management par — pense-t-on — la Chine en 2015.

Avec l’Internet des objets, les menaces sur l’intégrité et la disponibilité sont plus importantes que celles concernant la confidentialité. C’est une chose si votre serrure intelligente peut être espionnée pour savoir qui est à la maison. C’est autre chose si elle peut être piratée pour permettre à un cambrioleur d’ouvrir la porte ou vous empêcher de l’ouvrir. Un pirate qui peut vous retirer le contrôle de votre voiture ou en prendre le contrôle est bien plus dangereux que celui qui peut espionner vos conversations ou pister la localisation de votre voiture.

Avec l’avènement de l’internet des objets et des systèmes physiques connectés en général, nous avons donné à Internet des bras et des jambes : la possibilité d’affecter directement le monde physique. Les attaques contre des données et des informations sont devenues des attaques contre la chair, l’acier et le béton.

Les menaces d’aujourd’hui incluent des hackers qui font s’écraser des avions en s’introduisant dans des réseaux informatiques, et qui désactivent à distance des voitures, qu’elles soient arrêtées et garées ou lancées à pleine vitesse sur une autoroute. Nous nous inquiétons à propos des manipulations de comptage des voix des machines de vote électronique, des canalisations d’eau gelées via des thermostats piratés, et de meurtre à distance au travers d’équipements médicaux piratés. Les possibilités sont à proprement parler infinies. L’internet des objets permettra des attaques que nous ne pouvons même pas imaginer.

L’accroissement des risques provient de trois choses : le contrôle logiciel des systèmes, les interconnexions entre systèmes, et les systèmes automatiques ou autonomes. Jetons un œil à chacune d’entre elles.

Contrôle logiciel. L’internet des objets est le résultat de la transformation de tous les objets en ordinateurs. Cela nous apporte une puissance et une flexibilité énormes, mais aussi des insécurités par la même occasion. À mesure que les objets deviennent contrôlables de façon logicielle, ils deviennent vulnérables à toutes les attaques dont nous avons été témoins contre les ordinateurs. Mais étant donné qu’un bon nombre de ces objets sont à la fois bon marché et durables, la plupart des systèmes de mise à jour et de correctifs qui fonctionnent pour les ordinateurs et les téléphones intelligents ne fonctionneront pas ici. À l’heure actuelle, la seule manière de mieux sécuriser les routeurs individuels c’est de les jeter à la poubelle pour en acheter de nouveaux. Et la sécurité que vous obtenez en changeant fréquemment d’ordiphone ou d’ordinateur ne servira à rien pour protéger votre thermostat ou votre réfrigérateur : en moyenne vous changez ce dernier tous les 15 ans, et l’autre à peu près… jamais. Une étude récente de Princeton a découvert 500 000 appareils non sécurisés sur Internet. Ce nombre est sur le point d’augmenter de façon explosive.

Interconnexions. Ces systèmes devenant de plus en plus interconnectés, une vulnérabilité de l’un entraîne des attaques contres les autres. Nous avons déjà vu des comptes Gmail compromis à cause d’une vulnérabilité dans un réfrigérateur connecté Samsung, le réseau d’un hôpital compromis à cause de vulnérabilités dans du matériel médical et l’entreprise Target piratée à cause d’une vulnérabilité dans son système d’air conditionné. Les systèmes sont soumis à nombre d’externalités qui affectent d’autres systèmes de façon imprévisible et potentiellement dangereuse. Ce qui peut sembler bénin aux concepteurs d’un système particulier peut s’avérer néfaste une fois combiné à un autre système. Les vulnérabilités d’un système peuvent se répercuter sur un autre système et le résultat sera une vulnérabilité que personne n’a vu venir et que personne ne prendra la responsabilité de corriger. L’internet des objets va rendre les failles exploitables beaucoup plus communes. C’est mathématique. Si 100 systèmes interagissent entre eux, cela fait environ 5000 interactions et 5 000 vulnérabilités potentielles résultant de ces interactions. Si 300 systèmes interagissent entre eux, c’est 45 000 interactions. 1 000 systèmes : 12,5 millions d’interactions. La plupart seront bénignes ou sans intérêt, mais certaines seront très préjudiciables.

Autonomie. Nos systèmes informatiques sont des plus en plus autonomes. Ils achètent et vendent des actions, allument et éteignent la chaudière, régulent les flux d’électricité à travers le réseau et, dans le cas des voitures autonomes, conduisent des véhicules de plusieurs tonnes jusqu’à destination. L’autonomie est une bonne chose pour toutes sortes de raisons, mais du point de vue de la sécurité, cela signifie qu’une attaque peut prendre effet immédiatement et partout à la fois. Plus nous retirons l’humain de la boucle, plus les attaques produiront des effets rapidement et plus nous perdrons notre capacité à compter sur une vraie intelligence pour remarquer que quelque chose ne va pas avant qu’il ne soit trop tard.

« Les risques et les solutions sont trop techniques pour être compris de la plupart des gens. »

Nous construisons des systèmes de plus en plus puissants et utiles. Le revers de la médaille est qu’ils sont de plus en plus dangereux. Une seule vulnérabilité a forcé Chrysler à rappeler 1,4 million de véhicules en 2015. Nous sommes habitués aux attaques à grande échelle contre les ordinateurs, rappelez-vous les infections massives de virus de ces dernières décennies, mais nous ne sommes pas préparés à ce que cela arrive à tout le reste de notre monde.

Les gouvernements en prennent conscience. L’année dernière, les directeurs du renseignement national James Clapper et de la NSA Mike Rogers ont témoigné devant le Congrès, mettant l’accent sur ces menaces. Tous deux pensent que nous sommes vulnérables.

Voici comment cela a été formulé dans le rapport sur les menaces mondiales du DNI :

La plupart des discussions sur les menaces numériques traitent de la disponibilité et de la confidentialité des informations ; l’espionnage en ligne s’attaque à la confidentialité, là où les attaques par déni de service ou les effacements de données menacent la disponibilité. À l’avenir, en revanche, nous verrons certainement apparaître des opérations modifiant les informations électroniques dont l’objectif sera de toucher à leur intégrité (c’est à dire leur précision et leur fiabilité) plutôt que de les effacer ou d’empêcher leur accès. Le processus de prise de décision des responsables gouvernementaux (civils ou militaires), des chefs d’entreprises, des investisseurs et d’autres sera handicapé s’ils ne peuvent faire confiance à l’information qu’ils reçoivent.

Le rapport sur l’évaluation de la menace pour 2016 mentionnait quelque chose de similaire :

Les futures opérations cybernétiques attacheront presque à coup sûr une plus grande importance à la modification et à la manipulation des données destinées à compromettre leur intégrité (c’est-à-dire la précision et la fiabilité) pour influencer la prise de décision, réduire la confiance dans les systèmes ou provoquer des effets physiques indésirables. Une plus large adoption des appareils connectés et de l’intelligence artificielle — dans des environnements tels que les services publics et la santé — ne fera qu’exacerber ces effets potentiels.

Les ingénieurs en sécurité travaillent sur des technologies qui peuvent atténuer une grande partie de ce risque, mais de nombreuses solutions ne seront pas déployées sans intervention du gouvernement. Ce n’est pas un problème que peut résoudre le marché. Comme dans le cas de la confidentialité des données, les risques et les solutions sont trop techniques pour être compris de la plupart des gens et des organisations ; les entreprises sont très désireuses de dissimuler le manque de sécurité de leurs propres systèmes à leurs clients, aux utilisateurs et au grand public ; les interconnexions peuvent rendre impossible d’établir le lien entre un piratage et les dégâts qu’il occasionne ; et les intérêts des entreprises coïncident rarement avec ceux du reste de la population.

Il faut que les gouvernements jouent un rôle plus important : fixer des normes, en surveiller le respect et proposer des solutions aux entreprises et aux réseaux. Et bien que le plan national d’action pour la cybersécurité de la Maison Blanche aille parfois dans la bonne direction, il ne va sûrement pas assez loin, parce que beaucoup d’entre nous avons la phobie de toute solution imposée par un gouvernement quelconque.

Le prochain président sera probablement contraint de gérer un désastre à grande échelle sur Internet, qui pourrait faire de nombreuses victimes. J’espère qu’il ou elle y fera face à la fois avec la conscience de ce que peut faire un gouvernement et qui est impossible aux entreprises, et avec la volonté politique nécessaire.

Bruce Schneier est un spécialiste reconnu en matière de sécurité informatique, sur laquelle il a publié plusieurs livres et de nombreux articles sur son blog schneier.com.

Le chant des sirènes de la bonne conscience est hypnotique, et rares sont ceux qui n’ont jamais cédé à la tentation de signer des pétitions en ligne… Surtout quand il s’agit de ces « bonnes causes » qui font appel à nos réactions citoyennes et humanistes, à nos convictions les mieux ancrées ou bien sûr à notre indignation, notre compassion… Bref, dès qu’il nous semble possible d’avoir une action sur le monde avec un simple clic, nous signons des pétitions. Il ne nous semble pas trop grave de fournir notre adresse mail pour vérifier la validité de notre « signature ». Mais c’est alors que des plateformes comme Change.org font de notre profil leur profit…

Voilà ce que dénonce, chiffres à l’appui, la journaliste de l’Espresso Stefania Maurizi. Active entre autres dans la publication en Italie des documents de Wikileaks et de Snowden, elle met ici en lumière ce qui est d’habitude laissé en coulisses : comment Change.org monétise nos données les plus sensibles.

Dans le cadre de notre campagne Dégooglisons, nous sommes sensibles à ce dévoilement, c’est un argument de plus pour vous proposer prochainement un Framapétitions, un outil de création de pétitions libre et open source, respectueux de vos données personnelles…

Voilà comment Change.org vend nos adresses électroniques

par Stefania Maurizi

Article original paru dans L’Espresso : Così Change.org vende le nostre email

Traduction Framalang : Marie-Odile, Vincent, goofy, Lyn.

L’Espresso a obtenu les tarifs de l’entreprise (de 1,50 euro à 85 centimes) et a contacté certains clients. Entre les réponses embarrassées et les reconnaissances du bout des lèvres, nous avons étudié l’activité de l’« Amazon des pétitions en ligne ». Elle manipule des données extrêmement sensibles telles que les opinions politiques et fait l’objet en Allemagne d’une enquête sur le respect de la vie privée.

On l’a appelée le « Google de la politique moderne ». Change.org, la plateforme populaire pour lancer des pétitions sur les questions politiques et sociales, est un géant qui compte cent cinquante millions d’utilisateurs à travers le monde et ce nombre augmente d’un million chaque semaine : un événement comme le Brexit a déclenché à lui seul 400 pétitions. En Italie, où elle a débarqué il y a quatre ans, Change.org a atteint cinq millions d’utilisateurs. Depuis la pétition lancée par Ilaria Cucchi pour demander l’approbation d’une loi sur la torture, qui a jusqu’à présent recueilli plus de 232 000 signatures, jusqu’à celle sur le référendum constitutionnel, que celui qui n’a jamais apposé une signature sur Change.org dans l’espoir de faire pression sur telle ou telle institution pour changer les choses lève la main. Au 21^e siècle, la participation démocratique va inévitablement vers les plateformes en ligne. Et en effet on ne manque pas d’exemples dans lesquels ces pétitions ont vraiment déclenché des changements.

Il suffit de quelques clics : tout le monde peut lancer une pétition et tout le monde peut la signer. Mais il y a un problème :  combien de personnes se rendent-elles compte que les données personnelles qu’elles confient à la plateforme en signant les soi-disant « pétitions sponsorisées » — celles qui sont lancées par les utilisateurs qui paient pour les promouvoir (https://www.change.org/advertise) — seront en fait vendues et utilisées pour les profiler ? La question est cruciale, car ce sont des données très sensibles, vu qu’elles concernent des opinions politiques et sociales.

L’Espresso est en mesure de révéler les tarifs que Change.org applique à ceux qui lancent des pétitions sponsorisées : des ONG aux partis politiques qui payent pour obtenir les adresses électroniques des signataires. Les prix vont de un 1,5 € par adresse électronique, si le client en achète moins de dix mille, jusqu’à 85 centimes pour un nombre supérieur à cinq cent mille. Notre journal a aussi demandé à certaines des ONG clientes de Change.org s’il est vrai qu’elles acquièrent les adresses électroniques des signataires. Certaines ont répondu de façon trop évasive pour ne pas susciter d’interrogations. D’autres, comme Oxfam, ont été honnêtes et l’ont confirmé.

Pour Change.org, voici combien vaut votre adresse électronique

Beaucoup croient que Change.org est une association sans but lucratif, animée d’idéaux progressistes. En réalité, c’est une véritable entreprise, Change.org Inc, créée dans le Delaware, un paradis fiscal américain, dont le quartier général est à San Francisco, au cœur de cette Silicon Valley où les données ont remplacé le pétrole. Et c’est vrai qu’elle permet à n’importe qui de lancer gratuitement des pétitions et remplit une fonction sociale : permettre jusqu’au dernier sans domicile fixe de s’exprimer. Mais elle réalise des profits avec les pétitions sponsorisées, là où le client paie pour réussir à contacter ceux qui seront probablement les plus enclins à signer et à donner de l’argent dans les campagnes de récolte de fonds. Comment fait Change.org pour le savoir ? Chaque fois que nous souscrivons à un appel, elle accumule des informations sur nous et nous profile. Et comme l’a expliqué clairement la revue américaine Wired : « si vous avez signé une pétition sur les droits des animaux, l’entreprise sait que vous avez une probabilité 2,29 fois supérieure d’en signer une sur la justice. Et si vous avez signé une pétition sur la justice, vous avez une probabilité 6,3 fois supérieure d’en signer une sur la justice économique, 4,4 d’en signer une sur les droits des immigrés et 4 fois d’en signer une autre encore sur l’éducation. »

Celui qui souscrit à une pétition devrait d’abord lire soigneusement les règles relatives à la vie privée, mais combien le font et combien comprennent réellement que, lorsqu’ils signent une pétition sponsorisée, il suffit qu’ils laissent cochée la mention « Tenez-moi informé de cette pétition » pour que leur adresse électronique soit vendue par Change.org à ses clients qui ont payé pour cela ? Ce n’est pas seulement les tarifs obtenus par L’Espresso qui nous confirment la vente des adresses électroniques, c’est aussi Oxfam, une des rares ONG qui a répondu de façon complètement transparente à nos questions : « c’est seulement au moment où les signataires indiquent qu’ils soutiennent Oxfam qu’il nous est demandé de payer Change.org pour leurs adresses », nous explique l’organisation.

Nous avons demandé ce que signifiait exactement « les signataires ont indiqué vouloir soutenir Oxfam », l’ONG nous a répondu en montrant la case cochée par le signataire, par laquelle il demande à rester informé de la pétition. Interpellée par L’Espresso, l’entreprise Change.org n’a pas démenti les tarifs. De plus elle a confirmé qu’ « ils varient selon le client en fonction du volume de ses achats » ; comme l’a expliqué John Coventry, responsable des Relations publiques de Change.org, une fois que le signataire a choisi de cocher la case, ou l’a laissée cochée, son adresse électronique est transmise à l’organisation qui a lancé la pétition sponsorisée. Coventry est convaincu que la plupart des personnes qui choisissent cette option se rendent compte qu’elles recevront des messages de l’organisation. En d’autres termes, les signataires donnent leur consentement.

Depuis longtemps, Thilo Weichert, ex-commissaire pour la protection des données du Land allemand de Schleswig-Holstein, accuse l’entreprise de violation de la loi allemande en matière de confidentialité. Weichert explique à l’Espresso que la transparence de Change.org laisse beaucoup à désirer : « ils ne fournissent aucune information fiable sur la façon dont ils traitent les données ». Et quand nous lui faisons observer que ceux qui ont signé ces pétitions ont accepté la politique de confidentialité et ont donc donné leur consentement en toute conscience, Thilo répond que la question du consentement ne résout pas le problème, parce que si une pratique viole la loi allemande sur la protection des données, l’entreprise ne peut pas arguer du consentement des utilisateurs. En d’autres termes, il n’existe pas de consentement éclairé qui rende légal le fait d’enfreindre la loi.

Suite aux accusations de Thilo Weichert, la Commission pour la protection des données de Berlin a ouvert sur Change.org une enquête qui est toujours en cours, comme nous l’a confirmé la porte-parole de la Commission, Anja-Maria Gardain. Et en avril, l’organisation « Digitalcourage », qui en Allemagne organise le « Big Brother Award » a justement décerné ce prix négatif à Change.org. « Elle vise à devenir ce qu’est Amazon pour les livres, elle veut être la plus grande plateforme pour toutes les campagnes politiques » nous dit Tangens Rena de Digitalcourage. Elle explique comment l’entreprise s’est montrée réfractaire aux remarques de spécialistes comme Weichert : par exemple en novembre dernier, celui-ci a fait observer à Change.org que le Safe Harbour auquel se réfère l’entreprise pour sa politique de confidentialité n’est plus en vigueur, puisqu’il a été déclaré invalide par la Cour européenne de justice suite aux révélations d’Edward Snowden. Selon Tangens, « une entreprise comme Change.org aurait dû être en mesure de procéder à une modification pour ce genre de choses. »

L’experte de DigitalCourage ajoute qu’il existe en Allemagne des plateformes autres que Change.org, du type Campact.de : « elles ne sont pas parfaites » précise-t-elle, « et nous les avons également critiquées, mais au moins elles se sont montrées ouvertes au dialogue et à la possibilité d’opérer des modifications ». Bien sûr, pour les concurrents de Change.org, il n’est pas facile de rivaliser avec un géant d’une telle envergure et le défi est presque impossible à relever pour ceux qui choisissent de ne pas vendre les données des utilisateurs. Comment peuvent-ils rester sur le marché s’ils ne monétisent pas la seule denrée dont ils disposent : les données ?

Pour Rena Tagens l’ambition de l’entreprise Change.org, qui est de devenir l’Amazon de la pétition politique et sociale, l’a incitée à s’éloigner de ses tendances progressistes initiales et à accepter des clients et des utilisateurs dont les initiatives sont douteuses. On trouve aussi sur la plateforme des pétitions qui demandent d’autoriser le port d’armes à la Convention républicaine du 18 juillet, aux USA. Et certains l’accusent de faire de l’astroturfing, une pratique qui consiste à lancer une initiative politique en dissimulant qui est derrière, de façon à faire croire qu’elle vient de la base. Avec l’Espresso, Weichert et Tangens soulignent tous les deux que « le problème est que les données qui sont récoltées sont vraiment des données sensibles et que Change.org est située aux Etats-Unis », si bien que les données sont soumises à la surveillance des agences gouvernementales américaines, de la NSA à la CIA, comme l’ont confirmé les fichiers révélés par Snowden.

Mais Rena Tangens et Thilo Weichert, bien que tous deux critiques envers les pratiques de Change.org, soulignent qu’il est important de ne pas jeter le bébé avec l’eau du bain, car ils ne visent pas à détruire l’existence de ces plateformes : « Je crois qu’il est important qu’elles existent pour la participation démocratique, dit Thilo Weichert, mais elles doivent protéger les données ».

Mise à jour du 22 juillet : la traduction de cet article a entraîné une réaction officielle de Change.org France sur leur page Facebook, suite auquel nous leur avons bien évidemment proposé de venir s’exprimer en commentaire sur le blog. Ils ont (sympathiquement) accepté. Nous vous encourageons donc à prendre connaissance de leur réponse, ainsi que les commentaires qui le suivent, afin de poursuivre le débat.

C’est peut-être le début du début de quelque chose : naguère traités de « paranos », les militants pour la vie privée ont désormais une audience croissante dans le grand public, on peut même parler d’une prise de conscience générale partielle et lente mais irréversible…

Dans un article récent traduit pour vous par le groupe Framalang, Cory Doctorow utilise une analogie inattendue avec le déclin du tabagisme et estime qu’un cap a été franchi : celui de l’indifférence générale au pillage de notre vie privée.

Mais le chemin reste long et il nous faut désormais aller au-delà en fournissant des outils et des moyens d’action à tous ceux qui refusent de se résigner. C’est ce qu’à notre modeste échelle nous nous efforçons de mener à bien avec vous.

Au-delà de l’indifférence

par Cory Doctorow

d’après l’article original de Locus Magazine Peak of indifference

traduction Framalang : lyn, Julien, cocosushi, goofy,  xi

Dès les tout premiers jours de l’accès public à Internet, les militants comme moi n’ont cessé d’alerter sur les risques sérieux pour la vie privée impliqués par les traces des données personnelles que nous laissons derrière nous lors de notre activité quotidienne en ligne. Nous espérions que le grand public réfléchirait sérieusement aux risques potentiels de divulgation à tout va. Que le grand public comprendrait que les inoffensives miettes d’informations personnelles pourraient être minutieusement rassemblées pour notre malheur par des criminels ou des gouvernements répressifs, des harceleurs aux aguets ou des employeurs abusifs, ou encore par des forces de l’ordre bien intentionnées mais qui pourraient tirer des conclusions fallacieuses de leur espionnage de nos vies.

Nous avons complètement échoué.

La popularité et la portée d’Internet n’ont fait qu’augmenter chaque année. Et chaque année ont augmenté aussi les menaces sur la vie privée des utilisateurs.

Pour être honnête, nous, les défenseurs de la vie privée, avons une bonne excuse. Il est vraiment très difficile d’amener les gens à avoir conscience des dangers qui les menacent lorsque ceux-ci sont à venir, surtout quand le comportement qui vous met en danger et ses conséquences sont très éloignés dans le temps et dans l’espace. La divulgation de la vie privée est un problème de santé publique, comme le tabagisme. Ce n’est pas une simple bouffée de cigarette qui va vous donner le cancer, mais inhalez assez de bouffées et, au bout du compte, ce sera le cancer quasi assuré. Une simple divulgation de vos données personnelles ne vous causera pas de préjudice, mais la répétition de ces divulgations sur le long terme engendrera de sérieux problèmes de confidentialité.

Pendant des décennies, les défenseurs de la santé publique ont essayé d’amener les gens à se préoccuper des risques de cancer, sans beaucoup de succès. Ils avaient, eux aussi, une bonne excuse. Fumer procure un bénéfice à court terme (on calme une envie irrésistible) et le coût en est modique. Pire encore, les entreprises qui faisaient du profit avec le tabac ont largement financé des campagnes de désinformation pour que leurs clients aient plus de mal à appréhender les risques à long terme, et surtout évitent de s’en soucier.

Le tabagisme est maintenant en déclin (bien que le vapotage s’avère y conduire efficacement), mais il a fallu pas mal de temps pour en arriver là. Quand ceux qui avaient fumé toute leur vie recevaient le diagnostic de leur cancer, il était déjà trop tard, et beaucoup ont nié la réalité de leur cancer, ont continué à fumer tout au long de leur thérapie, ou bien ont connu une mort lente et cruelle. L’association entre le plaisir à court terme de la fumée et l’absence de moyens significatifs de réparer les dégâts qui se sont déjà produits, telle est l’infaillible moteur du déni : pourquoi se priver des plaisirs de la fumée si finalement ça ne fait aucune différence ?

Cependant, le tabagisme n’est en déclin que parce que les preuves de ses dégâts sont peu à peu devenues indéniables. À un certain moment, l’indifférence aux dangers du tabac a atteint son point culminant – bien avant que le tabagisme lui-même n’atteigne son maximum. L’indifférence maximale représente un tournant. Une fois que le nombre de personnes qui se sentent concernées par le problème commence à grandir indépendamment de vous, sans que vous ayez besoin de présenter encore et toujours ses conséquences à long terme, vous pouvez changer de tactique pour passer à quelque chose de bien plus facile. Plutôt que d’essayer d’impliquer les gens, vous avez maintenant seulement besoin de les inciter à agir sur ce sujet.

Le mouvement contre le tabagisme a réalisé de grandes avancées sur ce terrain. Il a fait en sorte que les personnes atteintes du cancer – ou celles dont les proches l’étaient – comprennent que le fait de fumer n’était pas un phénomène venu de nulle part. Des noms ont été cités, des documents publiés qui ont montré exactement qui conspirait pour détruire des vies avec le cancer afin de s’enrichir. Les militants ont mis au jour et souligné les risques qui pèsent sur la vie des gens non fumeurs : le tabagisme passif, mais aussi le poids qu’il pèse sur la santé publique et la douleur des survivants après le décès de leurs proches. Tous ont demandé des changements structurels – interdiction de fumer – et légaux, économiques et normatifs. Franchir le cap de l’indifférence maximale leur a permis de passer de l’argumentation à la réponse.

Voilà pourquoi il est grand temps que les défenseurs de la vie privée se mettent à réfléchir à une nouvelle tactique. Nous avons franchi et dépassé le cap de l’indifférence à la surveillance en ligne : ce qui signifie qu’à compter d’aujourd’hui, le nombre de gens que la surveillance indigne ne fera que croître.

La mauvaise nouvelle, c’est qu’après 20 ans d’échec pour convaincre les gens des risques liés à leur vie privée, une boite de Pandore s’est construite : toutes les données collectées, actuellement stockées dans des bases de données géants seront, un jour ou l’autre, divulguées et lorsque cela se produira, des vies seront détruites. Ils verront leur maison volée par des usurpateurs d’identité qui falsifient les titres de propriété (ça c’est déjà vu), leur casier judiciaire ne sera plus vierge car des usurpateurs auront pris leur identité pour commettre des délits (ça c’est déjà vu), ils seront accusés de terrorisme ou de crimes terribles parce qu’un algorithme aura scanné leurs données et aura abouti à une conclusion qu’ils ne pourront ni lire ni remettre en question (ça c’est déjà vu) ; leurs appareils seront piratés parce que leurs mots de passe et autres données personnelles auront fuité de vieux comptes, des pirates les espionneront depuis leurs babyphones, leur voitures, leurs décodeurs, leurs implants médicaux (ça c’est déjà vu) ; leurs informations sensibles, fournies au gouvernement pour obtenir des accréditations fuiteront et seront stockées par des états ennemis pour exercer un chantage (ça c’est déjà vu) , leurs employeurs feront faillite après que des informations personnelles auront servies à faire de l’espionnage industriel (ça c’est déjà vu) etc..

Du piratage du site Ashley Madison à la violation de données de l’Office of Personnel Management [le service qui gère les fonctionnaires fédéraux aux USA], ce qui nous attend est clair : dorénavant, tous les quinze jours, un ou deux millions de personnes dont la vie vient d’être détruite par une fuite de données vont régulièrement aller frapper à la porte d’un défenseur de la vie privée, pâles comme un fumeur qui vient d’apprendre qu’il a un cancer, ils lui diront : « Vous aviez raison. On fait quoi, maintenant ? »

Clavier « vie privée » par g4ll4is, (CC BY-SA 2.0)

C’est là que nous pouvons intervenir. Nous pouvons désigner les personnes qui nous ont dit que la notion de vie privée était obsolète alors qu’eux-mêmes dépensent des centaines de millions de dollars pour se prémunir de toute surveillance, en achetant les maisons proches de la leur et en les laissant vides (comme l’a fait le PDG de Facebook, Mark Zuckerberg) ; en menaçant les journalistes qui ont divulgué des données personnelles les concernant (comme l’a fait l’ex-PDG de Google, Eric Schmidt) ; en utilisant des paradis fiscaux pour cacher leurs délits financiers (comme ceux nommés dans les Panama Papers). Toutes ces personnes ont dit un jour : « La vie privée, c’est fini » mais ils voulaient dire « Si vous pensez que c’en est fini de votre vie privée, je serai vraiment beaucoup plus riche. »

Nous devons citer des noms, rendre évident le fait que des personnes vivantes aujourd’hui ont conçu un mouvement de déni de la vie privée sur le modèle du mouvement de déni du cancer conçu par l’industrie du tabac.

Nous devons fournir des moyens d’action : des outils de protection des données personnelles qui permettent aux gens de se défendre contre l’économie de la surveillance ; des campagnes politiques qui exposent et ridiculisent publiquement les politiciens et les espions ; l’opportunité d’obtenir en justice des réparations de ceux qui profitent de la surveillance.

Si nous pouvons donner une perspective d’action aux victimes du pillage de leur vie privée, un mouvement qu’elles puissent rejoindre, elles combattront à nos côtés. Sinon, elles deviendront des nihilistes de la confidentialité et continueront à répandre leurs données personnelles pour gagner un peu de vie sociale à court terme, ce qui en fera des proies faciles pour les espions, les escrocs, les salauds et les voyeurs.

C’est à nous de jouer.