Apple a posé le verrou final

La sécurité est pour Apple un argument marketing de poids, comme on le voit sur une page qui vante les mérites de la dernière version Big Sur de macOS  :

Sécurité. Directement  intégrée. Nous avons intégré dans le matériel et les logiciels du Mac des technologies avancées qui travaillent ensemble pour exécuter les apps de façon plus sécurisée, protéger vos données et garantir votre sécurité sur le Web.

(source)

On sait que le prix des appareils Apple les met hors de portée de beaucoup d’internautes, mais c’est un autre prix que les inconditionnels d’Apple vont devoir accepter de payer, celui de la liberté de faire « tourner » des applications. Comme l’explique ci-dessous un responsable de la sécurité chez Librem (*la traduction Framalang conserve au dernier paragraphe quelques lignes qui font la promotion de Purism/Librem), la dernière version de macOS donne l’illusion du contrôle mais verrouille l’utilisateur, tant au niveau logiciel que matériel désormais.

Article original : Apple Users Got Owned, licence CC-By-SA 4.0

Traduction Framalang : goofy, Julien / Sphinx, framasky, Steampark, mo

Apple a pris le contrôle sur ses utilisateurs

par Kyle Rankin

portrait au crayon de Kyle Rankin, souriant, de trois-quarts
Kyle est Chief Security Officer chez Librem (Mastodon )

On entend souvent dire des pirates informatiques qu’ils ont « pris le contrôle » (en anglais owned ou pwned) d’un ordinateur. Cela ne veut pas dire qu’ils ont pris possession physiquement de l’ordinateur, mais qu’ils ont compromis l’ordinateur et qu’ils ont un contrôle à distance si étendu qu’ils peuvent en faire ce qu’ils veulent. Lorsque les pirates informatiques contrôlent un ordinateur, ils peuvent empêcher l’exécution de logiciels, installer les logiciels de leur choix et contrôler le matériel à distance, même contre la volonté du propriétaire et généralement à son insu.

Les pirates informatiques comprennent intuitivement une chose que beaucoup d’utilisateurs d’ordinateurs ne comprennent pas : la propriété n’est pas une question de possession, mais de contrôle. Si votre entreprise vous donne un ordinateur, ou même si vous apportez le vôtre, mais qu’elle contrôle à distance la façon dont vous l’utilisez et peut passer outre à vos souhaits, c’est l’ordinateur de l’entreprise, pas le vôtre. Selon cette définition, la plupart des téléphones, aujourd’hui, sont la propriété du vendeur, et non de l’utilisateur, et comme je l’ai exposé dans The General Purpose Computer in Your Pocket 1 :

L’un des plus beaux tours que Big Tech ait jamais joué a été de convaincre les gens que les téléphones ne sont pas des ordinateurs à usage général et qu’ils devraient suivre des règles différentes de celles des ordinateurs portables ou de bureau. Ces règles donnent commodément au vendeur un plus grand contrôle, de sorte que vous ne possédez pas un smartphone mais que vous le louez. Maintenant que le public a accepté ces nouvelles règles pour les téléphones, les vendeurs commencent à appliquer les mêmes règles aux ordinateurs portables et aux ordinateurs de bureau

L’illusion du contrôle

L’illusion selon laquelle les utilisateurs d’Apple ont le contrôle de leurs ordinateurs a été rapidement mise à mal cette semaine quand Apple a distribué dans le monde entier sa nouvelle version de macOS  « Big Sur ». Des utilisateurs ont commencé à remarquer dès la diffusion de la mise à jour qu’ils avaient des problèmes pour exécuter des applications locales : ces applications bégayaient et macOS lui-même ne répondait plus par moments, même si l’utilisateur n’avait pas encore mis à jour son OS vers Big Sur. Drôle de coïncidence que la sortie d’un nouvel OS puisse bloquer des applications locales et même des applications ne venant pas d’Apple.

Comme cet article d’Ars Technica l’explique, des utilisateurs ont été capables de déboguer ce problème assez rapidement :

Il n’a pas fallu longtemps à certains utilisateurs de Mac pour se rendre compte que trustd, le processus de macOS chargé de vérifier avec les serveurs d’Apple si une application est authentifiée, tentait de se connecter au domaine ocsp.apple.com mais échouait de manière répétée.

… ce qui a provoqué des ralentissements sur tout le système, entre autres quand les applications essayaient de se lancer. Pour résumer le problème, à chaque fois que vous lancez une application signée sur macOS, un service d’enregistrement « notarial » envoie des informations sur l’application aux serveurs d’Apple pour vérifier que les signatures concordent. Si c’est le cas, votre système d’exploitation autorise l’application à démarrer. Quand l’ordinateur est hors connexion, la vérification échoue mais l’application est encore autorisée à fonctionner. Mais quand l’ordinateur est connecté, la signature est appliquée et comme le service était actif mais lent, les applications se sont arrêtées pendant que le système d’exploitation attendait une réponse.

La prise de contrôle à distance grâce à la signature du code.

Les applications utilisent souvent la signature du code comme moyen pour l’utilisateur de détecter les altérations. Le développeur signe le logiciel avec sa clé privée et l’utilisateur peut vérifier cette signature avec une clé publique. Seul le logiciel qui n’a pas été modifié correspondra à la signature. Dans le monde du logiciel libre, les distributions comme PureOS comprennent des clés publiques installées sur l’ordinateur local, et les mises à jour de logiciels vérifient automatiquement que les signatures correspondent avant d’appliquer la mise à jour elle-même. Quand on utilise ainsi les signatures, on peut tester une application avant son installation pour savoir si elle a été modifiée, c’est ainsi que l’utilisateur bénéficie d’un contrôle total sur le processus.

Apple a fait franchir à la signature de code un pas supplémentaire en incluant ce service « notarial ». Toutes les applications signées, qu’elles viennent ou non d’Apple, doivent demander l’autorisation de démarrer au service notarial distant. Ce qui signifie que l’entreprise Apple non seulement connaît toutes les applications que vous avez installées, mais elle est informée aussi à chaque fois que vous les exécutez. Ce qui n’était autrefois qu’un service facultatif est devenu aujourd’hui obligatoire. À partir de Big Sur, vous ne pourrez plus utiliser un outil comme Little Snitch pour bloquer ce service, ni le faire passer par Tor pour gagner en confidentialité. Apple et tous ceux qui ont accès à la communication en texte brut peuvent savoir quand vous avez lancé le navigateur Tor ou d’autres outils nécessaires à la protection de la vie privée, ou encore à quelle fréquence vous utilisez des applications de la concurrence.

[Mise à jour : il semble que les services notariaux d’Apple n’envoient pas d’informations sur l’application, mais envoient plutôt des informations sur le certificat de développeur utilisé pour les signer (ce qui est plus logique étant donné la façon dont l’OSCP fonctionne). Cela signifie qu’Apple peut savoir, par exemple, que vous avez lancé une application de Mozilla, mais ne peut pas nécessairement dire si vous avez lancé Firefox ou Thunderbird. Si un développeur ne signe qu’une seule application, bien sûr, on peut établir une corrélation entre le certificat et l’application. Le service semble également mettre en cache une approbation pendant un certain temps, de sorte que le fait qu’il envoie des informations à Apple chaque fois que vous exécutez une application dépend de la fréquence à laquelle vous la lancez].

J’imagine que beaucoup de personnes ont été surprises de découvrir cette fonctionnalité, mais je soupçonne également que beaucoup l’accepteront au nom de la sécurité. Pourtant, comme c’est le cas pour de nombreuses fonctionnalités d’Apple, la sécurité est un terme de marketing alors que la véritable motivation c’est le contrôle. Alors que la signature de code permettait déjà à Apple de contrôler si vous pouviez installer ou mettre à jour un logiciel, cette fonctionnalité lui permet de contrôler si vous pouvez exécuter des applications. Apple a déjà utilisé la signature de code sur iOS pour retirer les applications de ses concurrents de l’App Store et aussi pour désactiver à distance des applications au prétexte de la sécurité ou de la confidentialité. Il n’y a aucune raison de croire qu’ils n’utiliseront pas le même pouvoir sur macOS maintenant qu’il ne peut plus être contourné. Le but ultime d’Apple avec la signature de code, son coprocesseur Secure Enclave et sa puce Silicon propriétaires, c’est de s’assurer le contrôle et la propriété totales du matériel que vend l’entreprise.

Reprenez le contrôle

Vous devriez demeurer en pleine possession des ordinateurs que vous achetez. Ni les pirates informatiques ni les vendeurs ne devraient avoir le droit de vous contrôler à distance.
Nous construisons des ordinateurs portables, des ordinateurs de bureau, des serveurs et des téléphones sûrs, respectueux de la vie privée et de la liberté, qui vous redonnent le contrôle et vous garantissent que lorsque vous achetez un ordinateur Purism, c’est vous qui en êtes vraiment propriétaire.

Voir aussi :

ordinateur fermé par un cadenas
« Secure. » par Wysz, licence CC BY-NC 2.0




Prédation de nos données de santé : SantéNathon ne lâche pas l’affaire

Les conséquences des stratégies économiques et technologiques d’un État peuvent parfois prendre des tournures très concrètes. En matière de données de santé des citoyens, beaucoup pouvaient penser que l’humanisme des professionnels de santé pouvait suffire pour protéger les données de santé des citoyens, dans le respect du secret médical. Mais la pression concurrentielle et l’éthique font rarement bon ménage.

En novembre 2019, nous avions confié les colonnes de ce blog au collectif Interhop qui promeut l’usage des logiciels libres et de l’open source en santé. Il fait partie du collectif SantéNathon qui a lancé une démarche de recours à l’encontre du projet très discuté du Health Data Hub, une plateforme nationale de données de santé dont l’opérateur choisi par les autorités est l’entreprise Microsoft. À l’heure où le Privacy Shield est tombé, à l’heure du RGPD, à l’heure où la « souveraineté numérique » n’est plus seulement un sujet stratégique mais aussi sécuritaire, nous confions de nouveau ces colonnes pour un point d’étape sur les enjeux et les actions en cours.


Plateforme Nationale des Données de Santé

À l’occasion d’une audience prévue au Conseil d’État ce 08 octobre 2020, cette petite vidéo a été tournée devant les locaux d’une entreprise bien connue.

Le Health Data Hub Centralise les données de santé chez Microsoft. Le collectif SantéNathon, issu du monde informatique et de la santé, s’oppose à la centralisation chez Microsoft Azure des données de santé de plus de 67 millions de personnes. Un recours déposé au Conseil d’État demande l’application de la décision de la plus haute juridiction européenne qui s’alarmait de l’accès sans limitation des services de renseignement américains aux données hébergées par les GAFAM.

La genèse du projet Health Data Hub

Tout commence en janvier 2016 avec la loi de modernisation du système de santé. Le Système national des données de santé (SNDS) est créé. Initialement il est limité aux données médico-administratives et met à disposition des données individuelles de santé issues de 3 bases de données :

  • Les données de la carte vitale,
  • Les données de la tarification des établissements de santé,
  • Les données statistiques relatives aux causes médicales de décès.

En juillet 2019, la loi élargit considérablement le SNDS et crée le Health Data Hub ou Plateforme des Données de Santé — PDS. La CNIL s’alarme du changement de paradigme engendré : « Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui vise à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ».

En plus du SNDS historique voici à titre d’exemples les bases qui doivent être hébergées au sein de la PDS :

  • la base OSCOUR : base de données relative aux passages aux urgences en France. Pour chaque patient admis aux urgences, elle recueille les éléments suivants : code postal de résidence, date de naissance, sexe, date et heure d’entrée et de sortie, durée de passage, mode d’entrée, provenance, mode de transport, classification de gravité, diagnostic principal et associés, mode de sortie, destination pour les patients mutés ou transférés.
  • le Registre France Greffe de Moelle : données permettant d’étudier le parcours de soin entre l’annonce du don et le don de Moëlle.
  • Base des 500 000 angioplasties : données permettant d’étudier l’impact des stents dans la vie réelle.
  • la cohorte I-Share : données permettant d’analyser la santé des étudiants.
  • SIVIC : données nationales de suivi de la prise en charge de patients hospitalisés COVID19 (depuis mars 2020).
  • STOIC : bases de données de scanners thoraciques issus de plusieurs centres ainsi que des données cliniques.
  • COVID TELE : formulaires d’orientation concernant la COVID19 issues d’application en santé et outils de télémédecine.

Cette liste est loin d’être exhaustive ; les données de cabinets de médecins généralistes, des hôpitaux, des laboratoires, d’imagerie doivent aussi remplir cette plateforme. Toutes ces bases seront centralisées et liées (on parle d’appariement) pour former le catalogue de données de la PDS.

Vives inquiétudes quant au choix de Microsoft Azure

Le 10 décembre 2019, l’alerte est lancée. Dans une tribune parue dans Le Monde, un collectif initié par des professionnels du secteur de santé et de l’informatique médicale s’inquiète. En effet, la PDS qui regroupe l’ensemble des données de santé de plus de 67 millions de personnes sera hébergée chez Microsoft Azure, le cloud du géant américain. Ces données constituent la part la plus sensible des données à caractère personnel car elles sont protégées par le secret médical.

Progressivement, ce collectif évolue. Il s’appelle maintenant SanteNathon.org. C’est une rencontre inédite de 18 personnes physiques et morales issues :

  • de l’industrie du logiciel libre :
    • Conseil National du Logiciel Libre (CNLL)
    • Ploss Auvergne-Rhône-Alpes
    • SoLibre
    • NEXEDI
  • des associations de patients et de volontaires :
    • Association Constances
    • Association les “Actupiennes”
    • Association Française des Hémophiles
    • Mme Marie Citrini, représentante des Usages des Hôpitaux de Paris
  • des associations de professionnels de santé :
    • Syndicat National des Jeunes Médecins Généralistes (SNJMG)
    • Syndicat de la Médecine Générale (SMG)
    • Union Française pour une Médecine Libre (UFML)
    • M. Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes).
  • d’ingénieurs :
    • l’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens (UFMICT-CGT)
    • l’Union Générale des Ingénieurs, Cadres et Techniciens (UGICT-CGT)
    • l’Association interHop
    • Monsieur Bernard Fallery, professeur émérite en systèmes d’information
  • d’organisations de la société civile :
    • L’Observatoire de la transparence dans les politiques du médicament
    • Le Syndicat National des Journalistes (SNJ)

Ce collectif dénonce le choix de Microsoft essentiellement à cause de l’absence d’appel d’offre et des effets de l’extraterritorialité du droit américain. En effet Microsoft est soumis au CLOUD Act qui permet aux autorités américaines de mettre la main sur des données détenues par des entreprises américaines même si les données sont hébergées dans l’Union Européenne.

Pire encore la Cour de Justice de l’Union Européenne a récemment révélé que les renseignements américains n’ont aucune limitation quant à l’utilisation des données des Européen⋅ne⋅s. En ce sens, elle a invalidé l’accord facilitant le transfert des données entre les USA et l’Union Européenne, le “Privacy Shield” ou « Bouclier de Protection des Données ».

Menacée directement par les conséquences de cette décision qui rend illicites tous les transferts de données en dehors des frontières de l’Union, Facebook fait pression sur l’Union Européenne. Elle menace de stopper ses services d’ici la fin de l’année.

Le bras de fer entre les États-Unis et l’Union Européenne est engagé. Nos données de santé ne doivent pas être prises en otage. Le collectif SantéNathon se bat pour une recherche garante du secret médical et protectrice de nos données.

Les actions initiées par le collectif SantéNathon

Un premier recours a été déposé le 28 mai 2020 devant le Conseil d’Etat. La juge concluait à plusieurs irrégularités dans le traitement des données sur la plateforme et des risques majeurs pour les droits et libertés fondamentales. Cependant, le Conseil d’État considérait, qu’au moment du jugement, la société Microsoft intégrait la liste des organisations ayant adhéré au « Bouclier de protection des données ». Le transfert des données était donc licite. Ce n’est plus le cas aujourd’hui !

Les parties requérantes ont donc déposé un nouveau référé liberté. Elles demandent par conséquent au Conseil d’État de prendre la mesure de l’invalidation du “Privacy Shield” et des risques en matière de respect de la vie privée. En ce sens, elles sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub.

Elles font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants.

Une audience au Conseil d’État est donc prévue le 8 octobre 2020…

— Collectif SantéNathon

 


Image d’en-tête : Luis Jiménez Aranda — La sala del hospital en la visita del médico en jefe (1889). Wikipédia.

 

 




Quand les tribunaux nourrissent les trolls

Les Patent Trolls ou « chasseurs de brevets » sont des sociétés parasites qui tirent profit d’un portefeuille de brevets dont elles ont fait le plus souvent des dépôts abusifs. Elles sont particulièrement néfastes aux USA où elles multiplient les menaces de procédures judiciaires pour extorquer de l’argent aux entreprises.

Quand des sociétés ne vivent que de failles du système et qu’elles utilisent les tribunaux pour museler leurs victimes ça donne ce que vous allez lire… Avec L’Electronic Frontier Foundation, rediffusons largement sur nos réseaux les tracas subis par Mycroft puisqu’on veut les empêcher d’en parler, justement !

Les commentaires, comme toujours sur ce blog, sont ouverts et modérés.

Page originale sur le site de l’EFF : Courts Shouldn’t Stifle Patent Troll Victims’ Speech

Traduction Framalang : Cyrille Préaux, goofy, lumibd, tykayn, mo, Delaforest, Bromind, Pierre-Emmanuel Largeron, serici

Les tribunaux ne devraient pas réprimer la parole des victimes de trolls de brevets

Aux États-Unis, nous n’attendons pas des fonctionnaires – y compris les juges – qu’ils régulent la parole, et nous ne leur en accordons pas l’autorisation. Les tribunaux ne sont autorisés à restreindre la liberté d’expression que dans les circonstances les plus rares, sous réserve de limitations strictes. Nous avons donc été troublés d’apprendre qu’un juge du Missouri a rendu une ordonnance bâillonnant la parole d’une petite entreprise qui a choisi de s’exprimer au sujet d’un procès intenté contre elle par un troll de brevets.

Mycroft AI, une entreprise de neuf employés qui développe des technologies vocales open source, a publié le 5 février, un article de blog pour décrire comment la compagnie a été traitée par un troll de brevet qui s’appelle Voice Tech Corporation. Comme tous les trolls de brevet, Voice Tech n’offre ni services ni produits. L’entreprise détient simplement les brevets qu’elle a acquis grâce à plus d’une décennie d’argumentation sans contradicteur avec l’Office américain des brevets.

Les deux brevets de Voice Tech ne décrivent rien d’autre que l’usage des commandes vocales, avec un appareil mobile, pour exécuter des commandes par un ordinateur. Rien de plus. C’est le simple énoncé d’une idée, sans aucun détail sur sa mise en œuvre. Cette idée est présente dans la science-fiction depuis plus de 50 ans : l’entreprise s’appelle en fait Mycroft d’après le superordinateur du roman de Robert Heinlein «Révolte sur la lune» . Lorsque Voice Tech a utilisé ces brevets pour, d’une part, menacer puis, d’autre part, poursuivre en justice Mycroft AI, les dirigeants de la société ont refusé de payer les 30 000$ réclamés par ces brevets ridicules. Tout au contraire, ils se sont battus – et ont demandé l’aide de leur communauté.

« Les mathématiques ne sont pas brevetables et les logiciels ne devraient pas l’être non plus », écrit Joshua Montgomery, directeur de Mycroft, sur le blog. « Je n’ai pas l’habitude de demander ça, mais j’aimerais que toutes les personnes qui pensent que les trolls de brevets sont néfastes à l’open source, repostent, mettent en lien, tweetent et/ou partagent cet article. »

Montgomery a également déclaré qu’il a « toujours voulu être un chasseur de trolls » et qu’à son avis, face à de telles situations, « il vaut mieux être agressif et les « poignarder, fusiller et les pendre », puis les dissoudre dans de l’acide ». Il a inclus un lien vers une loi de l’État à laquelle il s’est opposé l’année dernière, où il avait utilisé la même citation.
Ce langage cru a attiré l’attention et l’histoire est devenue virale sur des forums comme reddit et Hacker News. Le procès et l’article ont également été couverts par des publications techniques telles que The Register et Techdirt. Selon Mycroft, cela a conduit à un afflux de soutien bien nécessaire.

Et sinon, vous pouvez faire la chasse aux trolls grâce à Framatroll

Le tribunal intervient

Cependant, selon Voice Tech, cela a conduit à du harcèlement. La société a réagi en demandant au juge qui supervise l’affaire, le juge de district américain Roseann Ketchmark du district ouest du Missouri, d’intervenir. Voice Tech a laissé entendre que l’article avait conduit à la fois à un harcèlement de son avocat et à une tentative de piratage. Mycroft a vigoureusement nié tout harcèlement ou piratage et a déclaré qu’il «admonesterait et nierait» toute attaque personnelle.

Malheureusement, le juge Ketchmark a non seulement accepté l’argument de Voice Tech concernant le harcèlement, mais il a également ordonné à Mycroft de supprimer des parties du billet de blog. Pire encore, il a ordonné à Mycroft de cesser de solliciter le soutien de sa propre communauté open source. Mycroft a reçu l’ordre spécifique de supprimer la demande que «toute personne de notre communauté qui pense que les trolls de brevets sont mauvais pour l’open source» poste à nouveau et rediffuse la nouvelle.

Pour être clair, si les allégations sont vraies, l’avocat de Voice Tech a le droit de répondre à ceux qui le harcèlent réellement. Cette décision est toutefois profondément troublante. Il ne semble pas qu’il y ait eu suffisamment de preuves pour que le tribunal estime que l’article cru de Mycroft ait conduit directement au harcèlement — une exigence essentielle (bien que non suffisante) avant d’interdire à une partie de partager ses opinions sur une affaire.

Cependant le public a le droit de savoir ce qui se passe dans cette affaire et Mycroft a le droit de partager cette information, même si elle est formulée dans un langage un peu cru. Le fait que certains membres du public aient pu réagir négativement au message, ou même tenter de pirater Voice Tech, ne justifie pas de passer outre à ce droit sans preuves solides montrant un lien direct entre le message de Mycroft et le harcèlement de l’avocat de Voice Tech.

Patent troll
« Troll under the Bridge » – Fremont Troll à Seattle

Les chasseurs de brevets et la censure

Mais il y a pire. Renforcée par son succès initial, Voice Tech continue à faire pression pour davantage de censure. En juin, Mycroft a publié une mise à jour de son produit MARK II. Alors qu’elle comptait sur sa sortie en 2021, Montgomery a écrit que «L’avancement dépendait du recrutement et des distractions telles que les trolls de brevets» et a fait référence à un article de Techdirt. Voice Tech a rapidement réagi et demande au travers d’une note à MyCroft de supprimer le lien et d’amender l’article :

«Voice Tech demande que Mycroft supprime le lien vers l’article TECHDIRT et mette à jour l’article original sur le forum de la communauté Mycroft au plus tard avant la fermeture des bureaux le 22 juillet 2020. Si Mycroft n’obtempère pas, Voice Tech n’aura d’autre choix que de porter plainte auprès du tribunal pour diffamation.»

Mycroft a supprimé le lien. VoiceTech a également cherché à censurer les journalistes indépendants sur l’affaire, tels que ceux qui ont publié sur Techdirt.

C’est déjà choquant que de petites entreprises telles que Mycroft AI soient sujettes à des menaces et des litiges concernant des brevets, qui dépassent à peine de la science-fiction, fournis par une bureaucratie défaillante. Mais il est encore plus inadmissible qu’elles ne puissent pas en parler librement. Aucune entreprise ne devrait avoir à souffrir en silence des dommages causés par les chasseurs de brevets à son activité, à sa communauté, et au public au sens large. Nous espérons que le juge Ketchmark reconsidérera clairement et rapidement sa censure et l’annulera. Nous sommes heureux de la démarche de Mycroft AI d’enclencher une action en justice pour combattre ces brevets clairement invalides.

 

 




« Avant tout, ne pas nuire », rappelle Laurent Chemla

Votée dans l’urgence et portée par une personnalité politique au moins controversée, la loi Avia qui s’appliquera dès le mois de juillet vise à réprimer la « cyberhaine ». Un grand nombre de voix se sont pourtant élevées pour émettre des mises en garde, comme dans cette alerte « la loi Avia est évidemment une atteinte gravissime à la liberté d’expression » et même dans des tribunes du Figaro ici et .

Nous avons choisi de reprendre ici celle de Laurent Chemla (c’est qui ce gars-là ?) qui fustige la précipitation brouillonne et souhaite l’application à la vie politique d’un fort ancien principe en médecine. Elle est parue d’abord sur son blog Médiapart et il nous autorise à la reproduire.


À noter : cet article bénéficie désormais d’une version audio.
Merci à Sualtam, auteur de lectureaudio.fr pour cette contribution active.

Primum non nocere — par Laurent Chemla

Si la médecine a retenu (entre autres) d’Hippocrate son fameux « primum non nocere » (« Avant tout, ne pas nuire »), on peut regretter que le politique n’ait pas, lui aussi, appris ce principe de prudence abstentionniste, et que trop souvent il use du mantra inverse : « Il faut faire quelque chose ».

Non. Il ne faut jamais « faire quelque chose ».

Déjà parce que, dans la très grande majorité des cas, « faire quelque chose » c’est faire n’importe quoi.

Ensuite parce que, souvent, ne rien faire est moins nocif que d’inventer des solutions qui semblent faciles et rapides mais qui risquent surtout d’aggraver les choses.

Et enfin parce que, presque toujours, on se retrouve à justifier l’injustifiable une fois qu’on a mal agi. Au motif évidemment qu’il fallait bien « faire quelque chose ».

Loi « contre la haine » ?

Prenons l’exemple de la loi Avia « contre la haine en ligne ».

Celle-ci part d’un constat: la haine se diffuse – en ligne comme partout, et (c’est le grand principe de cette loi, que Mme Avia a clairement exposé ) « ce qui est interdit dans l’espace réel doit l’être également dans l’espace virtuel ».

Passons rapidement sur le fait que – dans la rue – la haine est partout sans que rien ou presque ne s’y oppose. Entre usagers de la route, entre piétons, entre voisins, entre manifestants et contre-manifestants, entre police et manifestants, la haine est devenue dans nos sociétés occidentales presque un mode de vie, au point qu’on s’étonne et se méfie du moindre geste bienveillant non sollicité. Et la rue… la rue est le théâtre quotidien du harcèlement des femmes et des exclus, des insultes, des remarques sexistes, homophobes, racistes et violentes, des agressions, des crachats et de la peur. La rue aussi c’est la pauvreté mise en spectacle, le mépris de l’étranger et de ceux que la société laisse sur, justement, le trottoir.

Oser affirmer, devant la représentation nationale, que la haine est interdite dans  » l’espace réel  » c’est – évidemment – se foutre d’un monde auquel on n’appartient plus parce qu’on s’en est protégé par des vitres teintées, des chauffeurs et des gardes du corps.

Qu’on me comprenne bien : ceci n’est pas une raison pour ignorer la haine en ligne. Mais quand l’argument de Mme Avia, pour justifier son texte, repose sur un tel mensonge préalable, on a le droit de s’en inquiéter même si ce n’est pas en soi un motif d’inaction. J’y reviendrai.

Passons, donc.

Et que ça saute !

Cette loi repose sur une idée simple. Simpliste, même : il suffirait de rendre les intermédiaires techniques responsables des contenus publiés par des tiers, de les contraindre à retirer tout ce qui leur est signalé comme étant « manifestement illicite » sous peine d’amendes démesurées, pour que nous soyons tous protégés des méchants, car c’est très urgent.

Et hop !

Alors déjà, pardon de le dire, mais ce débat-là est si vieux qu’il a le droit de vote depuis déjà 6 ans. C’est dire l’urgence de légiférer et de voter un tel texte alors que le pays n’est même pas encore sorti d’un confinement imposé par une crise d’une ampleur encore jamais vue. C’EST URGENT ON T’A DIT les morts, les masques, les tests et le vaccin, on verra plus tard.

Ce débat date du tout début de l’Internet grand-public, autour de 1996. Il a réuni des comités, des commissions, il a connu des lois, des rejets du Conseil Constitutionnel, d’autres lois, des jurisprudences, des textes, des réglements et une directive européenne. Des centaines, des milliers d’experts, de juristes, d’associations, de citoyens et de lobbies se sont penchés dessus (et s’y penchent encore puisque l’Europe a prévu d’y revenir durant la présente législature), pour essayer d’imaginer des équilibres qui respectent à la fois le droit à la liberté d’expression et la juste volonté d’empêcher les délits.

Des livres y sont entièrement consacrés.

Depuis 24 ans.

C’est dire L’URGENCE du truc, alors qu’on a remis aux calendes un sujet aussi fondamental que nos retraites parce que, voilà, c’est pas trop le moment hein.

C’était TELLEMENT urgent qu’on n’a même pas respecté la procédure européenne obligatoire pour ce type de législation, c’est trop grave : on se moque des députés sur Twitter, tu te rends compte, il faut légiférer VITE !

Bref.

Têtes d’oeuf

Clément Viktorovitch résume très bien les termes du problème dans cette courte vidéo : quand on délègue à des entreprises privées le droit de juger de ce qui est légal ou illégal, on s’expose à une censure de très grande ampleur – parce que c’est plus simple et moins cher de censurer que de se poser des questions, surtout quand on risque des amendes de très grande ampleur, et que le profit est le seul guide des entreprises privées. Tout simplement.

Rendre la justice est une fonction régalienne. Les fonctions régaliennes sont des tâches que l’État ne doit pas, ou ne peut pas, déléguer à des sociétés privées. La loi Avia fait le contraire. Voilà mon résumé à moi.

Je le dis, je le répète, je le blogue et je le conférence depuis plus de 20 ans, ici et partout : si le droit à la liberté d’expression est inscrit dans notre constitution depuis le 18e siècle, ce droit n’était que très théorique jusqu’à l’arrivée d’Internet. C’est par et grâce à Internet que la parole publique est devenue accessible à tous.

Il n’est donc pas très étonnant que ce droit-là soit un des moins bien protégés par nos textes de loi, il n’est donc pas très étonnant que la liberté d’expression du grand public remette en cause les usages et les habitudes des puissants… et il n’est donc pas très étonnant que ces mêmes puissants fassent tout ce qu’ils peuvent pour remettre à sa place ce grand public qui ose s’arroger le droit de les critiquer à la face du monde.

Il est donc d’autant plus important d’y faire très attention et de ne pas légiférer n’importe comment et dans l’URGENCE parce que l’ego de quelque députée a été un peu froissé par des remarques en ligne sur ses tendances mordantes, fussent-elles problématiques. Je vous engage à revoir, encore une fois, dans la courte vidéo ci-dessus mentionnée en quels termes Mme Avia a présenté son texte en première lecture ( « MES trolls, MES haters, MES têtes d’œuf anonymes ») pour bien comprendre ses raisons – très personnelles et donc très éloignées du bien public – d’agir.

Hélas, le respect des grands principes républicains n’est visiblement pas l’URGENCE.

Latin de garage

En médecine, donc, le « triangle hippocratique » (médecin, malade et maladie) se base sur la confiance. La confiance qu’on accorde à celui entre les mains duquel on remet sa vie pour qu’il n’agisse que pour notre bien, ou – au minimum – pour qu’il n’aggrave pas notre situation. Primum non nocere.

En politique, ce même principe devrait s’appliquer. Mais force est de constater qu’en politique aujourd’hui, le principe est plutôt « primum actum » (« d’abord agir », dans mon latin de garage) avant même d’avoir bien pesé le pour et le contre. Au risque de tuer le malade, et dans le cas qui me fait réagir ici au risque de réduire à néant un de nos droits fondamentaux.

Pour autant, « ne rien faire » contre la haine en ligne n’est pas le contraire de « faire n’importe quoi pourvu que ça fasse taire mes opposants au risque de détruire des équilibres difficilement atteints ». L’accès à la liberté d’expression pour tous est un phénomène récent, et il est normal de réfléchir à ses dérives. Et il est normal que ces dérives se produisent tant que la société n’a pas intégré profondément les règles qu’impose l’usage d’une liberté. Ce n’est pas, pour faire un parallèle rapide, parce que la liberté de se déplacer est un droit fondamental qu’on a pas besoin d’un code de la route. Mais ce n’est pas parce qu’on a besoin d’un code de la route qu’on doit donner le droit aux sociétés d’autoroute d’interdire le passage à qui bon leur semble.

Intégrer les règles sociales d’un outil aussi profondément disruptif qu’Internet ne se fait pas en un jour, ni même en une génération. Ça prend du temps, ça nécessite des efforts, y compris financiers. On peut, on doit s’opposer à la haine. En ligne comme partout. En donnant des moyens à l’éducation pour former de futurs citoyens. En donnant à la justice des moyens d’agir plus rapidement et plus efficacement.

Pour qu’à force d’exemples et de formations, chacun apprenne à mieux se comporter, à mieux peser la responsabilité qu’il doit s’imposer lorsqu’il use de la parole publique, à mieux connaître ses droits et ses devoirs. En ligne comme partout. C’est long, c’est cher, ça ne se fait pas dans l’urgence et ce n’est pas aussi facile que de faire voter une loi stupide par une majorité sans partage.

Mais dans une société démocratique et respectueuse de ses grands principes, c’est comme ça que ça devrait se faire.

Et pas autrement.

 

en titre en haut "Laurent Chemla se heurte à l’hostilié des latinistes d egarage". en bas à gauche jeune homme souriant qui dit "c’est par et graĉe à internet que la parole publique est devenue accessible à tous". devant lui deux curés catholiques l’air furieux brandissent une croix et disent "vade retro cyberhaine"
Réalisé par Gégé https://framalab.org/gknd-creator/




Applis de traçage : scénarios pour les non-spécialistes

Un document de plus sur les dangers de l’application de traçage ? Nous n’allons pas reproduire ici les 13 pages documentées et augmentées de notes de référence d’une équipe de 14 spécialistes en cryptographie :

Xavier Bonnetain, University of Waterloo, Canada ; Anne Canteaut, Inria ; Véronique Cortier, CNRS, Loria ; Pierrick Gaudry, CNRS, Loria ; Lucca Hirschi, Inria ; Steve Kremer, Inria ; Stéphanie Lacour, CNRS ; Matthieu Lequesne, Sorbonne Université et Inria ; Gaëtan Leurent, Inria ; Léo Perrin, Inria ; André Schrottenloher, Inria ; Emmanuel Thomé, Inria ; Serge Vaudenay, EPFL, Suisse ; Christophe Vuillot, Inria.

… mais ils ont fait un effort tout à fait louable de pédagogie pour qu’au-delà des problèmes techniques réels, nous comprenions tous. Le document s’intitule : Le traçage anonyme, dangereux oxymore, Analyse de risques à destination des non-spécialistes

Nous vous invitons évidemment à en découvrir l’intégralité, mais voici simplement les cas fictifs (hélas réalistes), les scénarios que les spécialistes nous proposent.

Au moment où va peut-être se déclencher une offensive médiatique en faveur d’une application de surveillance de la part du gouvernement ou de Google+Apple, il n’est probablement pas inutile d’avoir des exemples simples et faciles à comprendre pour expliquer notre opposition.

Nous avons ajouté en complément la conclusion de l’ensemble du document qui précise clairement les limites de toute solution technique et les valeurs que doit respecter l’informatique. Que les auteurs soient vivement remerciés de cet exercice d’éducation de tous qu’ils ont eu l’excellente idée de placer sous licence CC-BY 4.0 .

Accéder aux articles déjà publiés dans notre dossier StopCovid



Le joueur de foot Gronaldo doit disputer le prochain match de Ligue des champions. Pour l’empêcher de jouer, il suffit pour un adversaire de laisser son téléphone à côté de celui de Gronaldo à son insu, puis de se déclarer malade. Gronaldo recevra une alerte, car il aurait été en contact avec une personne infectée, et devra rester 14 jours éloigné des terrains

M. Lambda qui, pour éviter la contamination, ne sort de chez lui que pour faire ses courses à l’épicerie du quartier, reçoit une notification de son téléphone. Il en déduit que le responsable n’est autre que l’épicier.

Mme Toutlemonde qui, elle, croise beaucoup de gens dans la journée, reçoit une notification. Il lui suffit de discuter quelques instants avec son voisin de palier et un collègue de bureau, pour savoir que le malade ne fait pas partie de son entourage professionnel, mais qu’il habite l’immeuble. Grâce à ces indices, elle suspecte fortement (peut-être à tort) M. Harisk du 3e étage, qui est ambulancier, d’avoir contaminé tous ses voisins. Elle s’empresse de prévenir le reste des habitants de l’immeuble via les réseaux sociaux.

M. Ipokondriac voudrait savoir si ses voisins sont malades. Il récupère son vieux téléphone dans un placard, y installe l’application TraceVIRUS, et le laisse dans sa boîte aux lettres en bas de l’immeuble. Tous les voisins passent à côté à chaque fois qu’ils rentrent chez eux, et le téléphone recevra une notification si l’un d’entre eux est malade.

L’entreprise RIPOUE souhaite recruter une personne pour un CDD. Elle veut s’assurer que le candidat ne tombe pas malade entre l’entretien d’embauche et la signature du contrat. Elle utilise donc un téléphone dédié qui est allumé uniquement pendant l’entretien, et qui recevra une alerte si le candidat est testé positif plus tard.

M. Paparazzo cherche des informations sur la vie privée de Mme Star. Il soudoie Mme Rimelle, la maquilleuse qui intervient sur le tournage de son dernier film pour qu’elle allume un téléphone dédié et qu’elle le place à proximité de celui de Mme Star. M. Paparazzo récupère ensuite le téléphone. Il recevra une notification si Mme Star est infectée par le virus.

M. Hanty, qui présente des symptômes du COVID-19, est un militant antisystème. Pour dénoncer la mise en place de l’application TraceVIRUS, il attache son téléphone à son chien, et le laisse courir dans le parc toute la journée. Le lendemain il va voir le médecin et il est testé positif ; tous les promeneurs reçoivent une notification.

Le sous-marin Le Terrifiant doit appareiller dans quelques jours, mais Jean Bond est un agent étranger qui veut empêcher son départ. Il recrute Mata-Hatchoum qui présente des symptômes, et lui demande de faire le tour des bars de marins. Mata-Hatchoum va ensuite se faire tester, et 5 marins reçoivent une notification de l’application. Le Terrifiant est obligé de rester à quai.

L’élève Ducovid a un contrôle de français la semaine prochaine, mais il n’a pas lu l’œuvre au programme. Grâce à une petite annonce, il trouve M. Enrumais qui présente des symptômes et accepte de lui prêter son téléphone. Il fait passer le téléphone de M. Enrumais dans toute la classe, puis le laisse traîner en salle des profs. Il le rend ensuite à M. Enrumais, qui va voir un médecin. Le médecin constate que M. Enrumais est malade du COVID et le déclare dans l’application du téléphone. Ceci déclenche une alerte pour toute la classe et pour tous les professeurs, le lycée est fermé !

M. Rafletou veut cambrioler la maison de l’oncle canard. Avant d’entrer, il utilise une antenne pour détecter les signaux Bluetooth. Il sait que l’oncle canard utilise TraceVIRUS, et s’il n’y a pas de signal c’est que la maison est vide.

Le centre commercial La Fayote veut protéger ses clients, et refuser ceux qui n’utilisent pas l’application TraceVIRUS. Comme l’application diffuse régulièrement des messages, il suffit que le vigile à l’entrée utilise une antenne Bluetooth pour détecter les clients qui utilisent l’application, et ceux qui ne l’utilisent pas.

Peu après avoir installé l’applicationTraceVIRUS, Mme Toutlemonde entend parler de l’application GeoTraceVIRUS qui réutilise les informations TraceVIRUS pour localiser les malades. Mme Toutlemonde apprend ainsi qu’un malade s’est rendu samedi dernier au supermarché PetitPrix. Par crainte (peut-être infondée) d’attraper le virus, elle ne fera pas ses courses chez PetitPrix cette semaine.

La chaîne de supermarché SansScrupule utilise des traceurs Bluetooth pour suivre les clients dans ses magasins. Ils relient l’identifiant Bluetooth à l’identité réelle à partir de l’application MySansScrupule, ou avec les cartes bancaires lors du passage en caisse. Pendant que M. Lambda fait ses courses, ils peuvent simuler un contact avec son téléphone, et ils seront donc prévenus si M. Lambda est malade. Cette information sera transmise au service assurance du groupe.

Mme Toutlemonde a installé l’application chatsMignons sur son téléphone, sans savoir que c’est un logiciel espion (un « malware ») qui l’espionne. Après avoir déclaré dans TraceVIRUS qu’elle est malade, elle reçoit un message pour la faire chanter, menaçant de révéler sa maladie à son assurance et à son employeur qui risque de mettre fin à sa période d’essai. Une autre activité lucrative du crime organisé, très facile à mettre en œuvre dans certains des systèmes de traçage proposés, consisterait à garantir, moyennant finances, la mise en quatorzaine obligatoire de personnes ciblées.


Don Covideone vend une application InfecteTonVoisin sur Internet. Après avoir téléchargé l’application, il suffit d’approcher son téléphone d’une personne pour qu’elle reçoive une notification lui signalant qu’elle est à risque. Les attaques sont désormais possibles sans compétence technique. Ainsi, Monsieur Bouque-Maeker compte parier lors du prochain match de Ligue des champions. Par chance, il assistera à la conférence de presse de Gronaldo. Il mise alors fortement sur l’équipe adverse, pourtant donnée perdante à 10 contre 1. Il télécharge l’application InfecteTonVoisin et approche son téléphone de Gronaldo pendant l’interview. Gronaldo reçoit une alerte, il ne pourra pas disputer le match. Son équipe perd et Monsieur Bouque-Maeker remporte la mise !

[L’image ci-dessous résume l’ensemble de l’argumentaire de 13 pages, pas seulement les cas de figure plus haut mentionnés.]

résumé : Il n’y a pas de base de donńees nominative des malades. VRAI – Les donńees sont anonymes.FAUX – Il est impossible de retrouver qui a contamińe qui.FAUX – Il est impossible de savoir si une personne précise est malade ou non.FAUX – Il est impossible de d́éclencher une fausse alerte.FAUX – L’utilisation du Bluetooth ne pose pas de problème de sécurité.FAUX – Ce dispositif rend impossible un fichage à grande ́echelle. FAUX

 

Conclusion

Le traçage des contacts pose de nombreux problèmes de sécurité et de respect de la vie privée, et les quelques scénarios que nous avons présentés n’illustrent qu’un petit nombre des détournements possibles. À cet égard, la cryptographie n’apporte que des réponses très partielles.

Nombre des situations que nous avons présentées exploitent en effet les fonctionnalités de ce type de technique, plutôt que leur mise en œuvre. Dès lors, l’arbitrage de ces risques ne pourra pas être résolu par la technique. Il relève de choix politiques qui mettront en balance les atteintes prévisibles aux droits et libertés fondamentaux et les bénéfices potentiels qui peuvent être espérés dans la lutte contre l’épidémie. À notre connaissance, l’estimation des bénéfices d’un éventuel traçage numérique est aujourd’hui encore très incertaine, alors même que les scénarios que nous avons développés ici sont, eux, connus et plausibles.

Un principe essentiel en sécurité informatique est que l’innocuité d’un système ne doit en aucun cas être présumée en comptant sur l’honnêteté de certains de ses acteurs. Ce même principe apparaît dans l’évolution de notre droit en matière de protection des données à caractère personnel. Si, avec la loi « Informatique et libertés » de 1978, c’était de la part des pouvoirs publics, et singulièrement de l’état, que des dérives étaient redoutées, les acteurs privés puis, à travers le RGPD, tous les acteurs de la société ont été associés à ces craintes. Les atteintes que les systèmes de traçage peuvent faire subir aux droits et libertés de chacun et chacune d’entre nous peuvent venir non seulement des pouvoirs publics qui en recommandent le développement et la mise en œuvre, mais aussi d’autres acteurs, collectifs ou individuels, qui sauront tirer profit des propriétés de ces systèmes comme autant de failles.

Le premier alinéa de l’article 1 de la loi de 1978 a survécu à toutes ses révisions et évolutions. L’urgence que nous ressentons collectivement face à notre situation actuelle ne doit pas nous le faire oublier : L’informatique doit être au service de chaque citoyen. […] elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.




Deux ou trois choses sur les applications de suivi de contacts pendant l’épidémie

Notre petit dossier sur l’application de contact-tracing « StopCovid » s’enrichit aujourd’hui d’un article de Stéphane Bortzmeyer, que nous avons déjà invité à de multiples reprises sur le Framablog.

La position de Framasoft au sujet de cette application est plutôt claire : StopCovid est un leurre de communication politique.

Cependant, nous trouvons important d’apporter au débat des articles plus pédagogiques. Ce que nous avons fait par exemple en publiant la bande dessinée de Nicky Case, et aujourd’hui avec cet article qui, nous l’espérons vous éclairera un peu plus dans le débat.

Accéder aux articles déjà publiés dans notre dossier StopCovid

(NB : cet article est une republication, avec l’accord de son auteur, de l’article https://www.bortzmeyer.org/tracking-covid-19.html dont la première publication est datée du 19 avril 2020 – Nous vous encourageons à vérifier sur le site originel si l’article a pu être mis-à-jour depuis).


Deux ou trois personnes m’ayant demandé si j’avais une opinion sur les applications de suivi de contacts, dans le contexte de l’épidémie de COVID-19, je publie ici quelques notes, et pas mal d’hyperliens, pour vous donner de la lecture pendant le confinement.

D’abord, des avertissements :

  • Je ne suis pas épidémiologiste. Même si je l’étais, il y a encore beaucoup de choses que la science ignore au sujet des infections par le SARS-CoV2, comme les durées exactes des phases où on est contagieux.
  • Je ne suis pas non plus un spécialiste de la conception et de l’analyse de protocoles de suivi de contacts. Mais ce n’est pas très grave, pour les raisons que j’exposerai rapidement par la suite.
  • Vous ne trouverez pas ici d’analyse de l’application annoncée par le gouvernement français, StopCovid, pour la bonne et simple raison qu’elle n’existe pas. Il y a eu des promesses sous la forme de quelques mots (« anonyme », « sur la base du volontariat ») mais aucun détail technique n’a été publié. À l’heure actuelle, il n’est donc pas possible de dire quoi que ce soit de sérieux sur cette application spécifique.
  • D’une manière générale, la situation évolue vite, et il est très possible que, dans une ou deux semaines, cet article ne vaille plus rien.

Maintenant, rentrons dans le vif du sujet. Dans la description et l’analyse des protocoles comme PACT, DP3T ou ROBERT ? Non, car, pour moi, c’est une question très secondaire. Voyons les problèmes par ordre décroissant d’importance.

D’abord, il faut se demander si une telle application de suivi des contacts est utile et, surtout, si elle justifie les efforts qu’on y consacre, par rapport à des sujets moins high-tech, moins prestigieux, moins startup-nation, qui motivent moins les informaticiens mais qui ont plus d’importance pour la santé publique, comme la production et la distribution de masques, ou comme la revalorisation des rémunérations et des conditions de travail du personnel de santé. Je ne vais pas insister sur ce point, c’est certes le plus important mais la Quadrature du Net en a déjà parlé, et mieux que moi.

Bref, ce projet d’application de suivi des contacts semble davantage motivé par le désir d’agir, de faire quelque chose, même inutile, désir qui est commun en temps de crise, plutôt que par un vrai problème à résoudre. (C’est ce que les anglophones nomment la maladie du do-something-itis.) Il y a également des enjeux commerciaux, qui expliquent que certaines entreprises se font de la publicité en affirmant travailler sur le sujet (sans tenir compte des travaux existants).

Mais surtout, une application n’a de sens que si on teste les gens, pour savoir qui est contaminé. Comme on peut apparemment être contagieux et pourtant asymptomatique (pas de maladie visible), il faut tester ces personnes asymptomatiques (qui sont sans doute celles qui risquent de contaminer le plus de gens puisque, ignorantes de leur état, elles sortent). Or, Macron a bien précisé dans son discours du 13 avril qu’on ne testerait pas les personnes asymptomatiques (probablement car il n’y a pas de tests disponibles). Cela suffit à rendre inutile toute application, indépendamment des techniques astucieuses qu’elle utilise, car l’application elle-même ne peut pas déterminer qui est malade ou contagieux.

Ensuite, le protocole est une chose, la mise en œuvre dans une application réelle en est une autre. Le diable est dans les détails. Comme indiqué plus haut, on ne sait encore rien sur l’application officielle, à part son nom, StopCovid. Pour formuler un avis intelligent, il ne faudra pas se contenter de généralités, il faudra regarder son code, les détails, les traqueurs embarqués (une plaie classique des applications sur ordiphone, cf. le projet ExodusPrivacy), etc. Il faudra aussi se pencher sur le rôle du système d’exploitation (surtout s’il y a utilisation de l’API proposée par Google et Apple). Le fait que l’application soit en logiciel libre est évidemment un impératif, mais ce n’est pas suffisant.

Si vous n’êtes pas informaticienne ou informaticien, mais que vous voulez vous renseigner sur les applications de suivi de contacts et ce qu’il y a derrière, souvenez-vous qu’il y a plusieurs composants, chacun devant être étudié :

  • L’application elle-même, celle que vous téléchargez sur le magasin, qui est la partie visible (mais pas forcément la plus importante).
  • Le protocole qui est l’ensemble des règles que suit l’application, notamment dans la communication avec le reste du monde (autres ordiphones, serveur central…). Avec le même protocole, on peut créer plusieurs applications assez différentes.
  • Le système d’exploitation qui, après tout, a un complet contrôle de la machine et peut passer outre les décisions des applications. C’est un sujet d’autant plus sensible que, sur les ordiphones, ce système est étroitement contrôlé par deux entreprises à but lucratif, Apple et Google.
  • Le serveur central (la grande majorité des protocoles proposés nécessite un tel serveur) qui peut être piraté ou, tout simplement, géré par des gens qui ne tiennent pas leurs promesses.

Parmi les bonnes lectures accessibles à un large public :

Voilà, on peut maintenant passer aux questions qui passionnent mes lecteurs et lectrices passionnés d’informatique, les protocoles eux-mêmes. Il en existe de nombreux. J’ai une préférence pour PACT, dont je vous recommande la lecture de la spécification, très claire. La proposition DP3T est très proche (lisez donc son livre blanc).

Ces deux propositions sont très proches : l’ordiphone émet en Bluetooth des identifiants temporaires, générés aléatoirement et non reliables entre eux. Les autres ordiphones proches les captent et les stockent. Ces identifiants se nomment chirps dans PACT (qu’on pourrait traduire par « cui-cui ») et EphID (pour Ephemeral ID) dans DP3T. Lorsqu’on est testé (rappel : il n’y a pas assez de tests en France, on ne peut même pas tester tous les malades, ce qui est un problème bien plus grave que le fait d’utiliser tel algorithme ou pas), et détecté contaminé, on envoie les données à un serveur central, qui distribue la liste. En téléchargeant et en examinant cette liste, on peut savoir si on a été proche de gens contaminés.

C’est évidemment une présentation très sommaire, il y a plein de détails à traiter, et je vous recommande de ne pas vous lancer dans de longues discussions sur Twitter au sujet de ces protocoles, avant d’avoir lu les spécifications complètes. Les deux propositions ont été soigneusement pensées par des gens compétents et le Café du Commerce devrait lire avant de commenter.

PACT et DP3T ont assez peu de différences. Les principales portent sur le mécanisme de génération des identifiants, PACT déduit une série d’identifiants d’une graine renouvelée aléatoirement (on stocke les graines, pas réellement les identifiants), alors que DP3T déduit chaque graine de la précédente, des choses comme ça.

La proposition ROBERT est assez différente. La liste des identifiants des contaminés n’est plus publique, elle est gardée par le serveur central, que les applications doivent interroger. Globalement, le serveur central a bien plus de pouvoir et de connaissances, dans ROBERT. La question est souvent discutée de manière binaire, avec centralisé vs. décentralisé mais le choix est en fait plus compliqué que cela. (Paradoxalement, un protocole complètement décentralisé pourrait être moins bon pour la vie privée.) Au passage, j’ai déjà discuté de cette utilisation très chargée de termes comme « centralisé » dans un article à JRES. Autre avantage de ROBERT, la discussion sur le protocole se déroule au grand jour, via les tickets de GitHub (cf. leur liste mais lisez bien la spécification avant de commenter, pas juste les images). Par contre, son analyse de sécurité est très insuffisante, comme le balayage de tous les problèmes liés au serveur central en affirmant qu’il sera « honnête et sécurisé ». Et puis la communication autour de cette proposition est parfois scientiste (« Ce sont des analyses scientifiques qui permettent de le démontrer, pas des considérations idéologiques [comme si c’était mal d’avoir des idées, et des idées différentes des autres] ou des a priori sémantiques. ») et il y a une tendance à l’exagération dans les promesses.

Enfin, un peu en vrac :

(cette page est distribuée sous les termes de la licence GFDL)




La réponse de l’hébergeur à la bergère

…ou considérations pratiques à l’attention des hébergeurs qui reçoivent une demande de retrait de contenu

L’association Scenari dont je suis membre a reçu un mail de la directrice juridique d’un important éditeur de manuels scolaires (que j’appellerai Éditions X), intitulé « contenus non autorisés ». Ce mail nous informait qu’avaient été découverts « des contenus non autorisés sur votre site et notamment « ​​Relation Client à Distance et Digitalisation »​ » et nous demandait « de supprimer tous les contenus non autorisés par nos maisons d’édition ».

On pourrait s’étonner que certains éditeurs de manuels scolaires jugent opportun en ce moment de chasser les copies illicites sur le Web. On pourrait préférer qu’ils concentrent l’ensemble de leurs forces pour chercher comment mettre à disposition leurs ressources au plus grand nombre. Mais ce n’est pas le sujet de cet article.

On pourrait aussi avoir envie de rappeler que les contenus pédagogiques devraient être sous licences libres, a fortiori quand ils ont été largement financés par l’argent public. Cela permettrait aux enseignants de se les réapproprier plutôt que de recréer des ressources à côté. Cela permettrait de favoriser des processus contributifs. Cela permettrait leur capacitation numérique, cela améliorerait leur autonomie quand il s’agit de mettre à disposition du contenu en ligne. Mais ce n’est toujours pas le sujet de cet article.

 

À la réception de cette demande, nous avons réagi promptement (on verra que c’est le terme employé dans la loi), mais avec un peu de recul, je me dis que nous avons réagi trop promptement. Le sujet de cet article est d’étudier comment un petit hébergeur associatif doit réagir en face d’une telle demande.

Rappel du contexte

L’association Scenari est hébergeur de contenus créés avec MyScenari, un logiciel libre combiné à un hébergement offert à ses membres, qui permet notamment de créer des sites et de les mettre en ligne. Pendant la crise Covid-19 l’association a lancé une « Action solidaire Scenari » permettant à tout enseignant non membre de l’association de bénéficier de cet hébergement (scenari.org).

C’était la première fois que nous recevions une demande de retrait de contenus.

Des contenus non autorisés… par quelle autorité ?

Nous avons donc réagi promptement, c’est à dire que nous avons immédiatement répondu au mail reçu que nous allions « éliminer les contenus non autorisés » et nous avons presque aussi rapidement signifié à l’auteur que nous avions reçu cette demande. Celui-ci a retiré ses contenus aussitôt le message reçu, reconnaissant que c’était « borderline », mais regrettant que l’éditeur n’ait pas été « un peu plus compréhensif » dans le contexte actuel où il lui faut bien chercher des solutions pour maintenir la fameuse « continuité pédagogique », et s’étonnant que les Éditions X avec qui il est en contact ne l’aient pas interpellé directement.

Donc les contenus ont été éliminés. Grâce à nous.

Grâce à nous un éditeur a pu faire valoir son bon droit. Grâce à nous le travail d’un enseignant et de ses étudiants a été compliqué. Le travail d’un enseignant qui avait fait l’effort de chercher des solutions, par lui-même, d’en trouver, de les mettre en œuvre. Pas pour spolier des ayants droit, mais pour inventer des solutions à ces problèmes. Il a créé du contenu, nous l’avons détruit.

Pourquoi diable avons-nous fait cela ?

Parce que nous avons réagi, presque mécaniquement, à un argument d’autorité. Un argument d’autorité c’est un argument qui « consiste à faire appel à une autorité plutôt qu’à la raison », nous dit Arthur Schopenhauer dans L’Art d’avoir toujours raison (ouvrage que je recommande par ailleurs). Donc, la Directrice juridique (avec une majuscule) des Éditions X nous remercie de. Notez qu’il n’y a pas d’accent à Édition dans le mail reçu, qu’un éditeur devrait pourtant savoir que les majuscules s’accentuent, et qu’en faisant remarquer cela j’use également d’un stratagème rhétorique, l’attaque personnelle (argumentum ad personam) qui permet d’attaquer la personne plutôt que le discours. Je me dispense habituellement de le faire lorsque je m’en rends compte, c’est un des avantages de s’intéresser à la rhétorique. Disons que j’ai laissé celui-ci pour illustration de mon propos, et montrer que la rhétorique est une arme à double tranchant.
dessin humoristique fabriqué avec le générateur de geektionnerd. Titre : Soyons procéduriers avec Édith Sillon. à gauche une silhouette féminine mains sur les hanches déclare "Nous vous demandons donc de supprimer les contenus non autorisés, car nous défendons les intérêts des ayant-droits (ortho fautives avec trait d’union inutile et pluriel au mot "droit"). En face d’elle, une autre silhouette féminine, bras croisés , répond : Pas question parce que le pluriel c’est ayants droit (S à ayant, pas de trait d’union). Elle ajoute plus bas "et toc";
Argument d’autorité donc. Je vois pourtant au moins trois bonnes raisons de faire fonctionner sa raison, justement, et de ne pas répondre à une telle demande à moins, soit d’y être obligé légalement, soit de s’être construit son propre avis sur la question.

En répondant positivement à la demande sans y être légalement obligé, on fait le choix de léser celui qui est ciblé par la demande. Or nous n’avons pas forcément les éléments pour savoir qui est dans son droit de l’un ou de l’autre. D’une part au sens légal, qu’est-ce qui me prouve que ?… On verra que la loi actuelle va en ce sens et que la preuve est à la charge du demandeur. D’autre part au sens éthique : les ayants droit ont-ils vraiment raison d’interdire coûte que coûte l’accès à leurs contenus, en toutes circonstances ? Aaron Swartz est mort d’avoir refusé une réponse simpliste à cette question. On ne nous en demande pas tant, mais on peut au moins s’arrêter un peu et réfléchir.

En répondant positivement à la demande sans y avoir mûrement réfléchi, nous agissons comme les robots qui suppriment des contenus, parfois de façon tout à fait stupide et injustifiée. Or la majorité des hébergeurs, a fortiori petits, a fortiori libristes, sont contre les systèmes de filtrage automatisés et ont combattu leur systématisation prévue par la proposition de directive européenne sur le droit d’auteur.

En répondant positivement à la demande sans y être obligé, nous consommons de l’énergie qui n’est pas investie ailleurs. Les hébergeurs associatifs, sans orientation commerciale, ont mieux à faire que de s’occuper des intérêts des détenteurs de droits patrimoniaux. Faire tourner les services, les sécuriser, les faire connaître, les documenter, répondre aux utilisateurs, modérer les propos inappropriés, haineux ou discriminatoires… À tout cela on s’est engagé. Mais supprimer des corrigés d’exercices pour un BTS ? Vraiment ? Est-ce que les éditeurs ne peuvent pas se débrouiller pour cela ? (on verra que c’est également à peu près ce que dit la loi, pour le moment).

La loi qui s’applique actuellement est la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dites LCEN.

L’article qui nous intéresse est en particulier l’article 6.

En voici quelques points saillants :

Les hébergeurs sont désignés par la périphrase : « Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne », je garderai le terme hébergeur pour mon exégèse (Section I-1).

Les hébergeurs doivent être en mesure de prévenir le « téléchargement et la mise à disposition illicite d’œuvres et d’objets protégés par un droit d’auteur ou un droit voisin » (Section I-1 et référence à l’article L. 336-3 du CPI).

Les hébergeurs ne peuvent pas voir leur responsabilité engagée s’ils « n’avaient pas effectivement connaissance » du caractère illicite des données stockées ou s’ils « « ont agi promptement pour retirer ces données ou en rendre l’accès impossible » » (Section I-2 et I.3).

Les hébergeurs ne sont pas obligés de « surveiller les informations qu'[ils] transmettent ou stockent », ni de « rechercher des faits ou des circonstances révélant des activités illicites » » (sauf « « surveillance ciblée et temporaire demandée par l’autorité judiciaire ») (Section I-7).

Les hébergeurs ont l’obligation de « mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance » des données permettant « la répression de l’apologie des crimes contre l’humanité, de la provocation à la commission d’actes de terrorisme et de leur apologie, de l’incitation à la haine raciale, à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l’incitation à la violence, notamment l’incitation aux violences sexuelles et sexistes, ainsi que des atteintes à la dignité humaine », « des activités illégales de jeux d’argent », des opérations liées au « tabac manufacturé dans le cadre d’une vente à distance » (l’atteinte au droit d’auteur n’est, logiquement, pas mentionné dans cette liste) (Section I-7).

Et la section I.5 nous précise que la connaissance des faits litigieux est présumée acquise lorsqu’il leur est notifié (je reproduis intégralement cette partie) :

  • la date de la notification ;
  • si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l’organe qui la représente légalement ;
  • les nom et domicile du destinataire ou, s’il s’agit d’une personne morale, sa dénomination et son siège social ;
  • la description des faits litigieux et leur localisation précise ;
  • les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;
  • la copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté.

On comprend donc que celui ou celle qui veut faire retirer du contenu par un hébergeur doit :

  • au moins avoir essayé de contacter directement l’auteur de l’infraction qu’elle pointe, avant de s’adresser à l’hébergeur,
  • fournir une motivation qui prouve les faits, ce n’est pas à l’hébergeur de mener l’enquête.

Évolutions attendues à moyen terme (directive européenne)

La directive européenne 2019/790 sur le « droit d’auteur et les droits voisins dans le marché unique numérique » a été adoptée le 17 avril 2019. Il s’agit d’une directive, c’est donc un texte qui ne s’applique pas encore mais qui doit être transposé dans la loi française.

L’article 13 du projet de directive, devenu l’article 17 de la directive adoptée, a été combattu, notamment par les hébergeurs et les défenseurs des libertés individuelles, parce qu’il renverse la charge des ayants droit vers les hébergeurs :

« Si aucune autorisation n’est accordée, les fournisseurs de services de partage de contenus en ligne sont responsables des actes non autorisés de communication au public, y compris la mise à la disposition du public, d’œuvres protégées par le droit d’auteur et d’autres objets protégés, à moins qu’ils ne démontrent que […] ».

L’hébergeur qui n’aura pas d’accord avec les ayants droit et/ou qui ne sera pas en mesure de filtrer a priori les contenus sera responsable. Ce qui implique la nécessité pour les hébergeurs de passer de tels contrats et de mettre en place des dispositifs automatisés de filtrage.

Je ne m’étends pas sur cette évolution à venir, pour le moment, le régime qui s’applique est celui décrit précédemment.

« La directive passe par deux étapes avant de produire ses effets : une fois votée par les institutions européennes, elle doit ensuite être transposée par les États membres dans leur droit national, à la différence du règlement, qui s’applique directement. »

Guide dont vous êtes le héros à l’usage des petits hébergeurs

1

Vérifiez que le sujet de la demande n’est relatif qu’au droit d’auteur.

Si on est bien uniquement dans le cas du droit d’auteur, allez en 2.
Si on est dans le cas d’un autre signalement portant sur une répression d’intérêt général tel que mentionné par la loi (crimes, haine, terrorisme, discrimination… cf. supra), allez directement en 6.

2

Vérifiez que la demande reçue est conforme à la forme prescrite par la LCEN, article 6, section I.5 (cf. supra).

Si oui, il faut la considérer, allez en 6.
Sinon, allez en 3.

3

La demande reçue n’est pas complète :

S’il y a des menaces associées à une demande incomplète, allez en 4.
Si la demande est presque complète, il ne manque qu’une information par exemple, allez en 5.
Sinon, allez en 9.

4

Vous avez été menacé alors que la demande de signalement n’est pas conforme à la loi :

  • signalez à votre tour la menace reçue au procureur de la république avec un mot pour lui expliquer la situation et mettre en évidence votre statut de petit hébergeur (ce sera utile notamment si le demandeur est un habitué des démarches cavalières) ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche.

5

La demande est presque dans les formes, mais qu’il manque au moins une information :

  • accusez réception de la demande en répondant que vous êtes un prestataire technique dont l’activité est d’offrir un accès à des services de communication au public en ligne tel que défini par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
  • n’entreprenez aucune autre démarche (au demandeur de rendre conforme sa demande s’il le souhaite) ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche.

6

Vous avez reçu une demande conforme à la LCEN, vous êtes tenu d’y répondre, vérifiez les informations transmises.

Si vous êtes convaincu que les informations sont fausses, allez en 7.
Si vous avez un doute sur la véracité des informations, allez en 8.
Si les informations vous semblent vraies, allez en 10.

7

Vous avez reçu une demande conforme à la LCEN, mais vous êtes convaincu qu’elle est abusive :

  • accusez réception et informez le demandeur que vous pensez les informations transmises fausses et signalez-lui que l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, prévoit que le fait de demander sciemment un retrait sur des bases inexactes est puni d’une peine d’un an d’emprisonnement et de 15 000 Euros d’amende ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche.

8

Vous avez reçu une demande conforme à la LCEN, mais avez un doute sur la véracité des informations :

  • ​accusez réception et demandez un complément d’information au demandeur ;​
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande pour information, informez-le de votre démarche, demandez-lui éventuellement son avis ;
  • une fois recueillies les informations complémentaires, décidez de vous rendre en 7 ou en 10.

9

La demande est incomplète, sans menace :

Ignorez la demande et ignorez les relances si elles ne sont pas plus circonstanciées (ou menaçantes).

10

Vous avez reçu une demande conforme à la LCEN et les informations vous semblent vraies :

  • procédez au retrait immédiat des données ou rendez-les inaccessibles (en cas de manipulation informatique présentant un risque de perte de données, procéder à une copie préalable) ;
  • si vous pouvez joindre l’auteur mis en cause, transmettez-lui la demande et informez-le de votre décision.

logigramme parodique avec des symboles de jeu dans les symboles et des phrases idiotes
Le trajet idéal vous est fourni dans une représentation simplifiée grâce à ce logigramme. On est comme ça chez Framasoft.

La responsabilité de l’hébergeur

Je précise que ce guide est juste un guide, chaque hébergeur est invité à l’adapter selon son éthique et les situations rencontrées. En particulier, la jurisprudence a déjà considéré que la responsabilité de l’hébergeur pouvait être engagée même si la demande était incomplète dès lors que la description des faits était suffisamment précise pour permettre le retrait. Donc, suivre ce guide comporte une part de risque, notamment si vous ne répondez pas ou peu (points 5 et 9 du guide).

Mais d’un autre côté le législateur a confié de facto à l’hébergeur la responsabilité de garantir l’équilibre entre liberté d’expression d’une part et le préjudice aux tiers d’autre part. Si l’hébergeur ne tient pas son rôle, en arbitrant systématiquement en faveur des retraits, de peur d’un jugement défavorable, y compris lorsque les faits ne sont pas avérés ou que les procédures ne sont pas respectées, alors il œuvre de fait contre la liberté d’expression. Le statut juridique de l’hébergeur ne lui permet pas d’être neutre, il doit prendre ses responsabilités.

Note concernant l’identité de l’éditeur

L’association Scenari a préféré ne pas divulguer le nom de l’éditeur, j’ai respecté ce choix, le propos de l’article étant moins de porter l’attention sur l’attitude de celui-ci que de proposer une réflexion pratique.

Note concernant le mail reçu

Ressentant peut-être une légère honte à faire cette demande en plein confinement, la directrice juridique a assorti sa demande du commentaire suivant : « En effet, nous nous opposons à la mise en ligne de corrigés de nos ouvrages et la majorité des enseignants nous demande de lutter contre ces pratiques qui perturbent leur enseignement. ».

J’ai choisi de ne pas considérer cet angle car :

  • Sa demande portait bien sur « tous les contenus non autorisés par nos maisons d’édition » et non pas sur tel ou tel corrigé.
  • Je souhaiterais une preuve que la préoccupation de la majorité des enseignants soient en ce moment de lutter contre ces pratiques et pas plutôt de lutter pour trouver des solutions.
  • Une recherche web circonstanciée ne faisait pas ressortir ces contenus, donc seuls les étudiants ayant déjà l’adresse fournie par l’enseignant pouvait en pratique accéder au contenu.

Remerciements

Merci aux membres de l’association Scenari, de Framasoft et du CHATONS de m’avoir aidé dans cette recherche, et en particulier à Denis Dordoigne à qui j’ai emprunté une part significative du guide proposé, à Stéphane Poinsart de m’avoir pointé la référence du JournalDuNet concernant la jurisprudence, à Christelle pour ses précieux compléments, à Benjamin pour m’avoir relu et rappelé que les hébergeurs avaient leur rôle à jouer, à tous les autres qui ont contribué anonymement.

 




Une appli de traçage du COVID 19 qui échappe à Big Brother ?

Ou plutôt pas de traçage du tout ? Oui bien sûr, ce serait sans doute la meilleure solution compte tenu des inévitables « glissements » que redoute comme nous Hubert Guillaud dans cet article.

Accéder aux articles déjà publiés dans notre dossier StopCovid

 

Mais à l’heure même où se profile l’appli gouvernementale, véritable agneau innocent qui sera inévitablement converti un jour prochain en outil d’espionnage pur et simple, voici une proposition alternative de protocole qui permettrait de freiner la diffusion de la pandémie et d’échapper à la surveillance invasive.

Voici pour comprendre le principe de cette application une bande dessinée, qui est l’œuvre de Nicky Case (son siteson patreon), elle est destinée à expliquer le fonctionnement du protocole DP-3T à un public plus large. Elle n’est pas une représentation exacte du protocole, comme elle le précise :

Cette BD présente des aspects qui vont au-delà des spécifications de notre protocole, tels qu’un score de risque lié à une instruction de rester à la maison, un exemple ludique de ce à quoi pourrait ressembler un algorithme de calcul de risque local.

Bien que notre protocole soit conçu pour protéger la vie privée et pour contribuer à protéger un large éventail de libertés contre les détournements de fonction, il nécessite un déploiement réfléchi dans un environnement avec des politiques informées et protectrices des droits de l’homme afin de fonctionner pour tous les membres de nos communautés.

La bande dessinée ne doit donc pas être lue comme fournissant des suggestions de politiques au-delà du protocole de l’équipe DP-3T.

Pour celles et ceux qui veulent aller plus loin, beaucoup de précisions sur son fonctionnement, ses limites et ses conditions sont dans cette étude proposée par un pool de scientifiques dont la lecture demande un certain bagage technique.

La présente publication ne signifie pas que Framasoft promeut une quelconque application ni ne la présente comme une solution miracle. Il s’agit seulement d’éclairer le fonctionnement d’un protocole.

Bande dessinée originale en anglais : https://ncase.me/contact-tracing/

La traduction française que vous pouvez parcourir ci-dessous est due aux efforts conjugués et patients de Michel « Meï » Mancier, et de Samuel Hackwill. Qu’ils en soient vivement remerciés !