Lettre ouverte à mes anciens collègues mathématiciens de la NSA

Quand un ancien employé de la NSA s’exprime, visiblement travaillé par sa conscience.

« Il est difficile d’imaginer que vous, mes anciens collègues, mes amis, mes professeurs… puissiez rester silencieux alors que la NSA vous a abusés, a trahi votre confiance et a détourné vos travaux. »

Charles Seife's NSA ID card

Lettre ouverte à mes anciens collègues de la NSA

Mathématiciens, pourquoi ne parlez-vous pas franchement ?

An Open Letter to My Former NSA Colleagues

Charles Seife – 22 août 2013 – Slate
(Traduction : Ilphrin, phi, Asta, @zessx, MFolschette, lamessen, La goule de Tentate, fcharton, Penguin + anonymes)

La plupart des personnes ne connaissent pas l’histoire du hall Von Neumann, ce bâtiment sans fenêtres caché derrière le Princeton Quadrangle Club. J’ai découvert cette histoire lors de ma première année quand, jeune étudiant passionné de mathématiques, je fus recruté pour travailler à la NSA (National Security Agency).

Le hall Von Neumann se situe à l’ancien emplacement du Institute for Defense Analyses, un organisme de recherches en mathématiques avancées travaillant pour une agence dont, à cette époque, l’existence était secrète. J’y découvris que les liens étroits entre l’université de Princeton et la NSA remontaient à plusieurs décennies, et que certains de mes professeurs faisaient partie d’une fraternité secrète composée de nombreux passionnés travaillant sur des problèmes mathématiques complexes pour le bien de la sûreté nationale. J’étais fier de rejoindre cette fraternité, qui était bien plus grande que ce que j’avais pu imaginer. D’après l’expert de la NSA James Bamford, cette agence est le plus grand employeur de mathématiciens de la planète. Il est presque sûr que n’importe quel département réputé de mathématiques a vu un de ses membres travailler pour la NSA.

J’ai travaillé à la NSA de 1992 à 1993 dans le cadre du programme d’été] qui attire les brillants étudiants en mathématiques à travers le pays, chaque année. Après obtention d’une accréditation de sécurité, incluant une session au détecteur de mensonge et une enquête d’agents du FBI chargée de glaner des informations sur moi dans le campus, je me suis présenté avec anxiété à Fort Meade (siège de la NSA), pour des instructions de sécurité.

Cela fait plus de vingt ans que j’ai reçu ces premières instructions, et une grande partie de ce que j’ai appris est maintenant obsolète. À l’époque, bien peu avaient entendu parler d’une agence surnommée « No Such Agency » (NdT littéralement « pas de telle agence » ou l’agence qui n’existe pas) et le gouvernement souhaitait que cela reste ainsi. On nous disait de ne pas dire un mot sur la NSA. Si une personne nous posait la question, nous répondions que nous travaillions pour le ministère de la Défense (DoD – Department of Defense). C’est d’ailleurs ce qui était marqué sur mon CV et sur une de mes cartes d’accès officielles de la NSA (cf ci-dessus).

De nos jours, il y a peu d’intérêt à procéder ainsi. L’agence est sortie de l’ombre et fait régulièrement la Une des journaux. En 1992, on m’a appris que le code de classement des documents confidentiels était un secret bien gardé, que c’était un crime de le révéler à des personnes extérieures. Mais une simple recherche Google montre que les sites internet gouvernementaux sont parsemés de documents, qui furent en leur temps uniquement réservés aux personnes qui devaient le savoir.

Une autre chose qu’ils avaient l’habitude de dire est que la puissance de la NSA ne serait jamais utilisée contre les citoyens américains. À l’époque à laquelle j’ai signé, l’agence affirmait clairement que nous serions employés à protéger notre pays contre les ennemis extérieurs, pas ceux de l’intérieur. Faire autrement était contraire au règlement de la NSA. Et, plus important encore, j’ai eu la forte impression que c’était contraire à la culture interne. Après avoir travaillé là-bas pendant deux étés d’affilée, je croyais sincèrement que mes collègues seraient horrifiés d’apprendre que leurs travaux puissent être utilisés pour traquer et espionner nos compatriotes. Cela a-t-il changé ?

Les mathématiciens et les cryptoanalystes que j’ai rencontrés venaient de tout le pays et avaient des histoires très différentes, mais tous semblaient avoir été attirés par l’agence pour les deux mêmes raisons.

Premièrement, nous savions tous que les mathématiques étaient sexy. Ceci peut sembler étrange pour un non-mathématicien, mais outre le pur défi certains problèmes mathématiques dégagent quelque chose, un sentiment d’importance, de gravité, avec l’intuition que vous n’êtes pas si loin que ça de la solution. C’est énorme, et vous pouvez l’obtenir si vous réfléchissez encore un peu plus. Quand j’ai été engagé, je savais que la NSA faisait des mathématiques passionnantes, mais je n’avais aucune idée de ce dans quoi je mettais les pieds. Au bout d’une semaine, on m’a présenté un assortiment des problèmes mathématiques plus séduisants les uns que les autres. Le moindre d’entre eux pouvant éventuellement être donné à un étudiant très doué. Je n’avais jamais rien vu de tel, et je ne le reverrai jamais.

La seconde chose qui nous a attirés, c’est du moins ce que je pensais, était une vision idéaliste que nous faisions quelque chose de bien pour aider notre pays. Je connaissais suffisamment l’Histoire pour savoir qu’il n’était pas très délicat de lire les courriers de son ennemi. Et une fois que je fus à l’intérieur, je vis que l’agence avait un véritable impact sur la sécurité nationale par de multiples moyens. Même en tant que nouvel employé, j’ai senti que je pouvais apporter ma pierre. Certains des mathématiciens les plus expérimentés que nous avions rencontrés avaient clairement eu un impact palpable sur la sécurité des États-Unis, des légendes presque inconnues en dehors de notre propre club.

Cela ne veut pas dire que l’idéalisme est naïf. N’importe qui ayant passé du temps de l’autre coté du miroir de ce jeu d’intelligence sait à quel point l’enjeu peut être important. Nous savions tous que les (vrais) êtres humains en chair et en os peuvent mourir à cause d’une violation apparemment mineure des secrets que nous nous somme vu confier. Nous réalisions également que le renseignement requiert parfois d’utiliser des tactiques sournoises pour essayer de protéger la Nation. Mais nous savions tous que ces agissements étaient encadrés par la loi, même si cette loi n’est pas toujours noire ou blanche. L’agence insistait, encore et encore, sur le fait que les armes que nous fabriquions, car ce sont des armes même si ce sont des armes de l’information, ne pourraient jamais être utilisées contre notre propre population, mais seulement contre nos ennemis.

Que faire, maintenant que l’on sait que l’agence a depuis trompé son monde ?

Nous savons maintenant que les appels téléphoniques de chaque client Verizon aux USA ont été détournés par l’agence en toute illégalité alors qu’elle n’est justement pas supposée intervenir sur les appels qui proviennent et qui aboutissent aux États-Unis. Ce mercredi, de nouvelles preuves ont été révélées, montrant que l’agence a collecté des dizaines de milliers de courriels « complètement privés » n’ayant pas traversé les frontières. Nous savions que l’agence a d’importantes possibilités pour épier les citoyens des USA et le faisait régulièrement de manière accidentelle. Or nous disposons aujourd’hui d’allégations crédibles prouvant que l’agence utilise ces informations dans un but donné. Si les outils de l’agence sont réellement utilisés uniquement contre l’ennemi, il semble alors que les citoyens ordinaires en fassent dorénavant partie.

Aucun des travaux de recherche que j’ai effectués à la NSA ne s’est révélé particulièrement important. Je suis à peu près certain que mon travail accumule la poussière dans un quelconque entrepôt classé du gouvernement. J’ai travaillé pour l’agence fort peu de temps, et c’était il y a bien longtemps. Je me sens cependant obligé de prendre la parole pour dire à quel point je suis horrifié. Si c’est la raison d’être de cette agence, je suis plus que désolé d’y avoir pris part, même si c’était insignifiant.

Je peux aujourd’hui difficilement imaginer ce que vous, mes anciens collègues, mes amis, mes professeurs et mes mentors devez ressentir en tant qu’anciens de la NSA. Contrairement à moi, vous vous êtes beaucoup investis, vous avez passé une grande partie de votre carrière à aider la NSA à construire un énorme pouvoir utilisé d’une façon qui n’était pas censé l’être. Vous pouvez à votre tour vous exprimer d’une façon qui ne transgresse ni votre clause de confidentialité ni votre honneur. Il est difficile de croire que les professeurs que j’ai connus dans les universités à travers le pays puissent rester silencieux alors que la NSA les a abusés, a trahi leur confiance et a détourné leurs travaux.

Resterez-vous silencieux ?




Le site Groklaw baisse le rideau à cause de la surveillance de la NSA !

Coup de tonnerre dans la blogosphère ! Le célèbre site Groklaw vient de publier un poignant dernier billet, dont nous vous proposons la traduction ci-dessous.

En cause, la surveillance et l’impossibilité de sécuriser sa communication par courriel, suite aux récentes révélations de Snowden. La spécialité de Groklaw c’est d’expliquer, relater, voire parfois révéler, collectivement des affaires et questions juridiques liées aux nouvelles technologies en général et au logiciel libre en particulier. Comment poursuivre si on se sent ainsi potentiellement violé(e) sans plus pouvoir garantir la confidentialité de ceux qui participent et envoient des informations au site ?

Ce qui fait dire en fin d’article, non sans amertume, à la fondatrice du site Pamela Jones : “But for me, the Internet is over”.

Est-ce une décision exagérée ? A-t-elle réagi trop vite, sous la coup de la colère et de l’émotion ? Toujours est-il qu’une telle décision, aussi radicale soit-elle, aide à faire prendre conscience de la gravité de la situation…

Groklaw - Logo

Exposition forcée

Forced Exposure

Pamela Jones – 20 août 2013 – Groklaw
(Traduction : farwarx, GregR, aKa, phi, yoLotus, bituur, rboulle, eeva, Asta, Mari, goofy, GregR, Asta, Penguin, Slystone + anonymes)

Le propriétaire de Lavabit nous a récemment annoncé qu’il avait cessé d’utiliser les mails, et que si nous savions ce qu’il sait, nous en ferions autant.

Il n’y a aucun moyen de faire vivre Groklaw sans utiliser le courrier électronique. C’est là où est le casse-tête.

Que faire ?

Alors, que faire ? J’ai passé les deux dernières semaines à essayer de trouver une solution. Et la conclusion à laquelle je suis arrivée est qu’il n’y a aucun moyen de continuer Groklaw, pas sur le long terme, et c’est extrêmement malheureux. Mais il est bon de rester réaliste. Et la simple réalité est la suivante : peu importe les bons arguments en faveur de la collecte et de la surveillance de toutes les informations que nous échangeons avec les autres, et peu importe à quel point nous sommes tous « propres » pour ceux qui nous surveillent, je ne sais pas comment fonctionner dans un tel environnement. Je ne vois pas comment continuer Groklaw ainsi.

Il y a des années de cela, lorsque je vivais seule, je suis arrivée à New York et, comme j’étais encore naïve au sujet des gens malintentionnés dans les grandes villes, j’ai loué un appartement bon marché au sixième et dernier étage d’un bâtiment sans ascenseur, à l’arrière de celui-ci. Cela signifiait bien sûr, comme n’importe quel New-Yorkais aurait pu me le dire, qu’un cambrioleur pouvait monter le long de l’issue de secours incendie ou accéder au dernier étage via les escaliers intérieurs et ensuite sur le toit puis redescendre par une fenêtre ouverte de mon appartement.

C’est exactement ce qui s’est passé. Je n’étais pas là quand c’est arrivé, donc je n’ai été blessée physiquement d’aucune façon. De plus je n’avais rien de valeur et seulement quelques objets furent volés. Cependant tout a été fouillé et jeté au sol. Je ne peux pas décrire à quel point cela peut être dérangeant de savoir que quelqu’un, un inconnu, a farfouillé dans vos sous-vêtements, regardé vos photos de famille et pris quelques bijoux qui étaient dans votre famille depuis des générations.

Si cela vous est déjà arrivé, vous savez qu’il n’était plus possible pour moi de continuer à vivre là, pas une nuit de plus. Il se trouvait que, selon mes voisins, c’était certainement le fils du gardien. Ceci m’a frappée au premier abord mais ne semblait pas surprenant pour mes voisins les plus anciens. La police m’a simplement signifié qu’il ne fallait pas espérer récupérer quelque chose. Je me suis sentie violée. Mes sous-vêtements étaient tout ce qu’il y a de plus normal. Rien d’outrageusement sexy mais c’était l’idée que quelqu’un d’inconnu ait pu les toucher. J’ai tout jeté. ils ne seront plus jamais portés.

C’est comme ça que je me sens maintenant, sachant que des personnes que je ne connais pas peuvent se promener à travers mes pensées, espoirs, et projets, à travers les messages que j’échange avec vous.

Ils nous ont dit que si on envoyait un courriel hors des USA ou si on en recevait un venant de l’extérieur des USA, il serait lu. S’il est chiffré, il sera conservé pendant 5 ans, en espérant sans doute que la technologie aura assez évolué pour pouvoir le déchiffrer, contre notre volonté et sans que nous soyons au courant. Groklaw a des lecteurs partout sur la planète.

Je n’ai pas d’engagement en politique, par choix, et je dois dire qu’en me renseignant sur les derniers affaires, cela m’a convaincue d’une chose : j’ai raison de l’avoir évitée. Selon un texte sacré, il n’appartient pas à l’homme de savoir où mettre son prochain pas. Et c’est vrai. Les humains ne sont des humains et nous ne savons pas quoi faire de nos vies la moitié du temps, encore moins gouverner correctement d’autres humains. Et c’est démontré. Quel régime politique n’a pas été essayé ? Aucun ne satisfait tout le monde. Je pense que nous avons fait cette expérience. Je n’attends pas beaucoup de progrès sur ce point.

Je me souviens très nettement du 11 septembre. Un membre de ma famille était supposé être dans le World Trade Center ce matin-là, et quand j’ai regardé en direct à la télévision les gratte-ciel tomber avec des personnes à l’intérieur, je ne savais pas qu’elle était en retard ce jour et donc en sécurité. Mais est-ce qu’il importe que vous connaissiez quelqu’un en particulier, quand vous regardez des frères humains se tenir par la main et se jeter par des fenêtres de gratte-ciel vers une mort certaine, ou quand vous voyez les buildings tomber en poussière, sachant que de nombreuses personnes comme vous furent également transformées en poussière ?

J’ai pleuré pendant des semaines, comme ça ne m’est jamais arrivé, ni avant, ni depuis, et j’en garderai le souvenir jusqu’à ma mort. Une des choses qui m’angoissait le plus c’est de savoir qu’il y a des gens dans le monde qui ont envie d’infliger la même chose à d’autres, à des frères humains, des inconnus ou des civils nullement impliqués dans aucune guerre. Cela semble ridicule, je suppose. Mais je vous dis toujours la vérité et c’est ce que je ressentais sur le moment. Alors imaginez ce que je ressens, imaginez ce que je dois ressentir maintenant sur la planète où nous vivons, si les dirigeants du monde entier pensent que la surveillance totale est une bonne chose…

Je sais. Ce n’est peut-être même pas le cas. Mais si ça l’était ? Le savons-nous seulement ? Je l’ignore. Mais ce que je sais, c’est qu’il n’est pas possible d’être pleinement humain si vous êtes surveillé 24h sur 24, 7 jours sur 7.

Le Centre Berkman de l’Université de Harvard, il y a quelques années, avait un cours sur la cyber-sécurité et la vie privée sur internet. Les ressources liées à ce cours sont toujours en ligne. Ce cours expliquait comment protéger sa vie privée dans un monde virtuel, parlant de choses étonnantes, avec des intitulés tels que “Is Big Brother Listening?”

Et comment ?

Vous y trouverez toutes les lois des États-Unis relatives à la vie privée et à la surveillance. Il ne semble pas pour autant que chacun respecte les lois qui se mettent en travers de son chemin de nos jours. Ou bien si les gens trouvent qu’ils ont besoin d’une loi pour rendre un comportement légal, ils vont simplement écrire une nouvelle loi, ou réinterpréter une ancienne loi et passer outre. Ce n’est pas ça, le respect de la loi tel que j’ai appris.

Bref, le cours faisait mention de passages du livre de Janna Malamud Smith, “Private Matters: In Defense of the Personal Life” et je vous encourage à le lire. J’encourage le président et la NSA à le lire également. Je sais. Ils ne me lisent certainement pas. Pas de cette manière-là en tout cas. Mais c’est important, parce que l’idée de ce livre, c’est que la vie privée est vitale pour rester un être humain, c’est la raison pour laquelle l’une des pires punitions imaginables, c’est la surveillance totale :

Pour bien comprendre ce qu’est la vie privée il faut regarder ce qui se passe dans les situations extrêmes où elle est absente. Se remémorant Auschwitz, Primo Levi avait remarqué que « la solitude dans un camp était plus précieuse et rare que le pain ». La solitude est un des aspects de la vie privée et malgré la mort accablante, la famine et l’horreur des camps, Levi savait qu’elle lui manquait… Levi a passé une grande partie de sa vie à essayer de mettre des mots sur son expérience des camps. Comment, se demandait-il à voix haute, dans « Survivre à Auschwitz », décrire la « démolition d’un homme », un processus pour lequel les mots manquent dans notre langage.

Nous nous servons de notre vie privée comme d’un espace sûr loin de toute terreur ou d’agression. Lorsque vous enlevez à une personne la possibilité de s’isoler ou de conserver des informations intimes pour elle-même, vous la rendez extrêmement vulnérable…

L’état totalitaire surveille tout le monde, mais garde ses plans secrets. La vie privée est vue comme dangereuse car elle favorise la résistance. Espionner continuellement et ensuite poursuivre les gens pour ce qui est souvent de petites transgressions de la loi, voilà une façon de maintenir un contrôle sur la société, d’affaiblir et d’annihiler toute forme d’opposition…

Et même quand on se débarrasse de ceux qui nous harcèlent vraiment, il est souvent très difficile de ne pas se sentir soi-même surveillé, c’est pourquoi la surveillance est un moyen de contrôle extrêmement puissant. Cette tendance qu’a l’esprit de se sentir toujours surveillé, même étant seul… peut vous inhiber. Quand ils se sentent surveillés, sans en être vraiment sûrs, sans savoir ni si, ni quand, ni comment, la force de surveillance hostile les frappera, les gens se sentent effrayés, contraints, préoccupés.

J’ai déjà cité ce livre, quand les mails des reporters de CNET étaient lus par Hewlette-Packard. Nous avons pensé que c’était horrible. Et ça l’était. HP a fini par leur offrir de l’argent pour essayer de se faire pardonner. Nous en savions vraiment peu à l’époque.

Mme Smith continue :

Quelle que soit la société qui privilégie l’individualité, l’assurance d’une vie privée est une composante essentielle de l’autonomie, de la liberté et donc du bien-être psychologique des gens. Pour résumer rapidement, à la question « Comment ne pas déshumaniser les gens » nous pourrions répondre : ne terrorisez pas ou n’humiliez pas, n’affamez pas, ne laissez pas souffrir du froid, n’épuisez pas les populations, ne les avilissez pas, ou ne leur imposez pas une soumission dégradante. Ne provoquez pas l’éloignement des gens qui s’aiment, n’exigez rien en vous exprimant dans un langage incorrect, écoutez les gens attentivement, ne réduisez pas la vie privée à néant. Les terroristes de toutes sortes réduisent la vie privée en la condamnant à la clandestinité et en utilisant la surveillance hostile pour profaner cet indispensable sanctuaire.

Mais si nous décrivons une norme pour dire comment traiter quelqu’un humainement, pourquoi dépouiller quelqu’un de sa vie privée en est-il une violation ? Et qu’est-ce que la vie privée ? Dans son livre, Privacy and Freedom, Alan Westion cite quatre « états » de la vie privée : solitude, anonymat, réserve, et intimité. Les raisons pour lesquelles nous devons donner de la valeur à la vie privée deviennent plus claires lorsque l’on explore ces quatre états….

L’essence de l’intimité est un sentiment de choix et de contrôle. Vous contrôlez qui regarde ou apprend sur vous. C’est vous qui choisissez de partir ou de revenir…

L’intimité est un état interne qui nous permet de moduler notre personnage public, physiquement ou émotionnellement, et parfois les deux. Elle nous permet de nous construire une histoire personnelle, d’échanger un regard, ou de se reconnaître profondément. On peut s’ignorer sans se blesser. On peut faire l’amour. On peut se parler franchement avec des mots qu’on n’utiliserait pas face à d’autres, exprimer des idées et des sentiments, positifs ou négatifs, inacceptables en public. (Je ne pense pas avoir surmonté sa disparition. Elle parait incapable d’arrêter de mentir à sa mère. Il a l’air vraiment trop mou dans ce short de sport. Je me sens excité. En dépit de tout, il me tarde de le revoir. Je suis si en colère contre toi que je pourrais crier. Cette blague est dégoûtante, mais elle est très marrante, etc.). Protégée d’une exposition forcée, une personne se sent souvent plus capable de se livrer.

J’espère que cela éclaire les raisons de mon choix. Il n’existe dorénavant aucun bouclier contre l’exposition forcée. Rien de ce que nous faisons n’a de rapport avec le terrorisme, mais personne ne peut se sentir assez protégé face à cette exposition forcée, jusqu’au moindre petit échange avec quelqu’un par courriel, particulièrement vers les USA ou en provenance des USA, mais en réalité depuis n’importe où. Vous n’attendez pas d’un étranger qu’il lise votre conversation privée avec un ami. Et une fois que vous savez qu’on peut le faire, que dire de plus ? Contrainte et préoccupée, voilà exactement comment je me sens.

Voilà, nous y sommes. C’est la fin de la fondation Groklaw. Je ne peux pas faire vivre Groklaw sans votre participation. Je n’ai jamais oublié cela lorsque nous avons remporté des victoires. C’était vraiment un effort collectif, or de toute évidence il n’existe plus maintenant de moyen privé pour collaborer.

Je suis vraiment désolée qu’il en soit ainsi. J’aimais Groklaw, et je crois que nous y avons contribué significativement. Mais même cela s’avère être moins que ce que nous pensions, ou moins que je ne l’espérais en tous cas. Mon souhait a toujours été de vous montrer qu’il y a de la beauté et de la protection à l’intérieur des lois, que la civilisation actuelle en dépend en fait. Quelle naïveté !

Si vous voulez rester sur Internet, mes recherches indiquent qu’une mesure de sécurité à court terme face à la surveillance, dans la mesure où cela reste possible, est d’utiliser un service de courriels comme Kolab, qui est hébergé en Suisse, et par conséquent a une législation différente des USA, avec des lois qui visent à permettre davantage de confidentialité aux citoyens. J’ai maintenant une adresse chez eux, p.jones at mykolab.com, au cas où quelqu’un voudrait me contacter pour quelque chose de vraiment important et qui serait inquiet d’écrire un message vers une adresse sur un serveur américain. Mais mon autre adresse est encore valide. À vous de voir.

Ma décision personnelle est de me retirer d’Internet autant que possible. Je suis simplement une personne ordinaire. Je sais, après toutes mes recherches et des réflexions approfondies, que je ne peux pas rester en ligne sans perdre mon humanité, maintenant que je sais qu’assurer ma vie privée en ligne est impossible. Je me retrouve bloquée pour écrire. J’ai toujours été une personne réservée. C’est pourquoi je n’ai jamais souhaité être célèbre et c’est pourquoi je me suis toujours battue de toutes mes forces pour maintenir ma vie privée et la vôtre.

Si tout le monde faisait comme moi, rester en dehors d’Internet, l’économie mondiale s’effondrerait, je suppose. Je ne peux pas réellement souhaiter ça. Mais pour moi, Internet c’est fini.

Ceci est donc le dernier article de Groklaw. Je n’activerai pas les commentaires. Merci pour tout ce que vous avez fait. Je ne vous oublierai jamais et n’oublierai jamais le travail que nous avons fait ensemble. J’espère que vous vous souviendrez de moi aussi. Je suis désolée mais je ne peux pas aller contre mes sentiments. Je suis ce que je suis et j’ai essayé, mais je ne peux pas.




Comment perdre tous ses livres en traversant une frontière avec Google Play

Imaginez-vous partir en avion dans un autre pays en ayant emporté dans votre valise quelques livres à lire lors de votre séjour. Vous arrivez à destination, récupérez votre valise sur le tapis de roulant de l’aéroport, l’ouvrez pour vérifier son contenu et là surprise : tous vos livres ont purement et simplement disparu par l’opération du Saint-Esprit !

C’est c’est qui arrivé récemment à un bibliothécaire américain, à ceci près que les livres en question étaient électroniques et qu’ils avaient été achetés sur Google Play qui ne semble pas effectif à Singapour !

La conclusion s’impose d’elle-même mais nous ne vous ferons pas l’injure de l’expliciter 😉

Melenita2012 - CC by

DRM en folie

DRM follies

Jim O’Donnell – 15 août 2013 – Liste Liblicense
(Traduction : ProgVal, maximem, Slystone, Mathieu, Solarus, Feadurn, LordPhoenix, Kéviin, lamessen, Mogmi + anonymes)

Je suis à Singapour pour assister aux réunions de l’IFLA (Fédération Internationale des Associations de Bibliothécaires et des Bibliothèques). C’est un long voyage, mais j’ai pris la décision courageuse et audacieuse de ne dépendre que de mon iPad pour toutes mes lectures durant ce séjour, à partir des applications Kindle, iBooks, et « Google Play » (connu auparavant sous le nom de Google Books). Un simple petit exemplaire de sonnets de Shakespeare m’accompagne en version papier, pour que je puisse lire quelque chose pendant la période d’extinction des appareils électroniques à bord de l’avion.

Donc quand je suis arrivé, j’ai remarqué que plusieurs des applications de mon iPad pouvaient être mises à jour, j’ai donc cliqué et accepté. L’une d’elles était Google Play. Quand ce fut terminé et que j’ouvris l’application, elle m’annonça qu’il fallait mettre à jour les livres et que cela pourrait prendre quelques minutes. Le temps passa, et l’écran se remplit des couvertures des 30 ou 40 œuvres que je garde sur mon appareil. Deux d’entre elles étaient des livres que je lis beaucoup pour les cours que je donnerai cet automne.

Mais tous mes livres avaient disparu et devaient être à nouveau téléchargés L’application est un outil de téléchargement défaillant, presque aussi mauvaise que celui du New Yorker. Je le redoutais, mais j’ai cliqué sur les deux dont j’avais le plus besoin à cet instant. (J’ai vérifié la quantité d’espace de stockage utilisée, et effectivement, les fichiers avaient bel et bien disparu de ma tablette.)

Et le téléchargement n’aboutissait jamais. Il s’avère que, parce que je ne suis pas dans un pays où Google Books est une entreprise reconnue (ce qui englobe la plupart des pays sur la planète), je ne peux pas télécharger mes livres électroniques. Le peu de connaissances que j’ai en informatique me permettent de supposer que la suppression a eu lieu lorsque, à l’occasion de la mise à jour automatique, le système a détecté que j’étais en dehors des États-Unis, et a donc réagi.

Une fois n’est pas coutume, Google a une assistance pour Google Play disponible par courriel, mais une succession d’échanges a démontré que les droïdes de l’Android Market n’étaient ni en mesure de comprendre mon problème, ni de faire preuve d’empathie, ni de proposer une solution. Je dois nécessairement retourner aux États-Unis pour être autorisé à passer quelques heures à re-télécharger « mes » livres avant de pouvoir les lire à nouveau. À un moment on m’a demandé quelle fonctionnalité je pourrais suggérer d’ajouter à Google Play. J’ai suggéré « Don’t Be Evil » (NdT « Ne soyez pas malveillant », le fameux slogan de Google), mais je n’ai eu aucune réponse.

Heureusement, archive.org hébergeait une version scannée, et non produite par Google, du livre du XIXe siècle dont j’avais le plus besoin. Je l’ai téléchargée sans problème et je peux la lire dans l’app GoodReader, qui ne semble pas se préoccuper de savoir dans quel pays je me trouve.

Crédit photo : Melenita2012 (Creative Commons By)




Saviez-vous que Mozilla est en train de détourner l’Internet ? par Glyn Moody

« Les cons ça ose tout, c’est même à ça qu’on les reconnaît » disaient nos tontons.

Je ne connaissais pas l’Interactive Advertising Bureau, organisation regroupant des acteurs de la publicité sur Internet, mais ce qui est sûr c’est qu’elle ne gagne rien à se ridiculiser en attaquant ainsi Mozilla (qui nous protège justement de la prolifération actuelle des cookies intrusifs).

Qu’en pensent Google, Microsoft, Orange, TF1, etc., tous membres de la branche française de l’Interactive Advertising Bureau ?

Commentaire : L’image ci-dessous est extraite de l’article de l’Interactive Advertising Bureau qui a fait bondir Glyn Moody. Ce serait donc Mozilla qui enferme ses utilisateurs, vraiment trop forts nos publicitaires !

Interactive Advertising Bureau vs Mozilla

Saviez-vous que Mozilla est en train de détourner l’Internet ?

Did You Know that Mozilla is Hijacking the Internet?

Glyn Moody – 12 août 2013 – ComputerWorld (Open Entreprise)
(Traduction Framalang : ane o’nyme, Sky, LordPhoenix, bruno, Cryptie, anneau2fer, simplementNat, Zii, greygjhart + anonymes)

Il y a quelques semaines j’ai relaté l’attaque à peine croyable de la branche européenne du « Interactive Advertising Bureau (IAB) » envers Mozilla au motif que cette dernière aurait « renoncé à ses valeurs » car elle persisterait à défendre les droits des utilisateurs à contrôler comment les cookies sont utilisés sur leur système.

Vu l’avalanche de moqueries venues de toutes part que cette énorme idiotie tactique a provoquée, on pouvait s’attendre à ce que des conseillers plus sages l’emportent et à ce que l’IAB se replie dans un petit coin tranquille, dans l’espoir que les gens arrêtent de se moquer et oublient simplement et complètement ce déplorable incident.

Mais non. au lieu de cela, l’IAB revient à la charge avec une nouvelle attaque sous la forme d’une pleine page achetée dans le magazine Advertising Age, encore plus énorme, plus forte et plus dingue (aussi disponible en ligne pour votre plus grand plaisir).

Sous le sobre titre : « Empêchez Mozilla de détourner l’internet », on peut lire :

De nos jours, il est facile de trouver le contenu qui vous intéresse sur Internet. Cela est dû au fait que les publicitaires peuvent adapter les annonces aux intérêts précis des utilisateurs grâce à l’usage responsable et transparent de cookies.

Je dois dire que je suis vraiment reconnaissant envers l’IAB de m’avoir ouvert les yeux en mettant ceci à jour parce que jusqu’à ce que je lise ce paragraphe, je nageais dans l’ignorance la plus totale et croyais naïvement que c’était les moteurs de recherches que j’utilisais, d’abord Lycos, puis Altavista, suivi de Google et désormais Startpage, qui me permettaient de trouver les choses qui m’intéressaient. Mais je réalise maintenant mon erreur : j’apprends qu’en fait c’est grâce à tous ces petits cookies si bien disséminés à mon insu dans mon système que j’ai trouvé tout ces trucs. Qui l’eût cru ?

Ces mêmes personnes de l’IAB qui ont eu l’obligeance de mentionner cela ont aussi de mauvaises nouvelles pour moi :

Mais Mozilla veux éliminer ces mêmes cookies qui permettent aux publicitaires de toucher le public, avec la bonne publicité, au bon moment.

Méchant Mozilla. Oh, mais attendez, en fait ce n’est pas ce que Mozilla fait. Il veut au contraire juste contrôler le flot de cookies qui proviennent de sites que vous n’avez pas visités et qui sont envoyés sur votre système, aussi appelés les cookies tiers. Voici une bonne explication de ce qui se passe ici :

Tous les acteurs tiers sont en marge de la transaction et peuvent ajouter de la valeur mais leur but premier diffère du bien ou du service recherché. Ces tierces parties sont plutôt comme le type qui fait le tour du parking avec ses prospectus pendant que vous faites vos courses et met des bons de réduction sur le pare-brise de tout le monde (Oh ! Jamais en panne, 169€ par mois ?). Il ne remplit pas les rayons, ni n’emballe vos courses, mais il fait quand même partie (indirectement ou marginalement) de l’opération « aller faire ses courses ».

Il ne s’agit donc pas d’une volonté de Mozilla d’éliminer les cookies en général mais simplement de donner à l’utilisateur le pouvoir de contrôler ces publicités ennuyeuses glissées sous vos essuie-glaces numériques quand vous visitez un supermarché virtuel.

Mais revenons à la fine analyse de l’IAB :

Mozilla prétend que c’est dans l’intérêt de la vie privée. En vérité nous pensons qu’il s’agit d’aider certains modèles d’affaire à prendre un avantage sur le marché et à réduire la concurrence.

Heu, parlons-nous du même Mozilla ? Vous savez le projet open source qui a certainement fait plus pour défendre les utilisateurs et le Web ouvert que personne ? Ce projet-là ? Car j’ai bien peur d’avoir du mal à imaginer ces codeurs altruistes « aider certains modèles d’affaire à prendre un avantage sur le marché et à réduire la concurrence ».

Je veux dire, Firefox a justement été spécifiquement créé pour accroître la concurrence ; le credo de Mozilla est que chacun devrait être libre d’utiliser le Web comme il l’entend, ce qui inclut toutes sortes de modèles économiques. Penser sérieusement que donner aux utilisateurs le contrôle de leur navigateur Firefox n’est pas défendre la vie privée mais une sorte complot maléfique destiné à miner l’ensemble de l’écosystème est, pour le formuler simplement, totalement cinglé. Peut être l’IAB vit-il dans univers parallèle ?

Les consommateurs ont déjà le contrôle sur les publicités ciblées qu’ils reçoivent via le programme d’auto-régulation de la Digital Advertising Alliance.

Pas de doute, l’IAB vit bien dans un univers parallèle, un univers dans lequel les gens ont réellement rencontré ce programme d’autorégulation de la Digital Advertising Alliance. Parce que je peux honnêtement dire qu’en 20 ans de promenades sur le Web, et bien trop d’heures passées en ligne chaque jour (comme mes abonnés sur Twitter, identi.ca et G+ le savent trop bien), je ne suis jamais tombé sur ce légendaire programme d’autorégulation de la Digital Advertising Alliance, et je sais encore moins comment l’utiliser pour contrôler les publicités que je reçois. Et je me retrouve, dans ce lamentable état d’ignorance, qui suggère plutôt que peu d’autres personnes utilisant l’Internet sont tombés sur le programme d’autorégulation de la Digital Advertising Alliance ou l’ont utilisé (est-ce qu’un lecteur ici est déjà tombé dessus, je me le demande).

En fait, je pense que l’IAB a commis ici un autre faux pas. En mentionnant le programme d’autorégulation de la Digital Advertising Alliance comme une « solution » existante qui rend caduques les projets de Mozilla pour maîtriser les cookies tiers, un programme qui, autant que je puisse en juger, est utilisé par très peu de gens, l’IAB a ainsi mis en évidence le fait qu’il n’y a pas vraiment d’alternative viable à Mozilla.

Je dois également souligner le fait que l’image (voir plus haut) utilisée dans l’article en question, un ordinateur portable enchainé, relève au mieux de l’ignorance, au pire constitue une insulte pour les centaines de milliers de personnes qui ont contribué au projet Mozilla au cours de ces 15 dernières années. Mozilla s’est voué à libérer le Web et ses utilisateurs d’un monopole qui menaçait de le détruire : il est difficile de penser à une image moins appropriée !

Et si l’IAB se préoccupe vraiment de qui peut faire pression sur nos ordinateurs et nous ôter notre liberté avec des centaines de fichiers minuscules qui nous épient où que l’on aille sur Internet, et s’inquiète de qui est vraiment en train de prendre en otage les incroyables ressources du Net, que Mozilla a beaucoup contribué à développer, il ferait bien de se regarder dans une glace…




Continuer ou pas d’utiliser MySQL ? Telle est la question…

Vous trouverez ci-dessous un argumentaire exposant cinq (bonnes ?) raisons d’abandonner MySQL.

Dans la mesure où nombreux sont les sites dynamiques qui reposent encore sur cette célèbre base de données (à commencer par les nôtres), la question mérite d’être posée.

Ditch MySQL

5 raisons de larguer MySQL dès maintenant

5 Reasons It’s Time to Ditch MySQL

Rikki Endsley – 10 juillet 2013 – SmartBear Blog
(Traduction : Slystone, audionuma, tetrakos, goofy, mokas01, fred, Sky, ProgVal, ymai, Asta + anonymes)

MySQL est encore et toujours la plus populaire des bases de données open source, mais a perdu des fans au fil des années. Voici cinq raisons concrètes de laisser tomber MySQL.

En 2008, MySQL gagnait rapidement en popularité lorsque Sun Microsystems acheta MySQL AB pour environ un milliard de dollars. L’année suivante, Oracle racheta Sun, et MySQL faisait partie de la transaction. Les utilisateurs de MySQL et les développeurs ont commencé à se poser des questions sur le destin de ce système de base de données open source, et nombre d’entre eux commencèrent à chercher des alternatives

Revenons en 2013. Oracle n’a pas exterminé son précédent compétiteur et MySQL reste le système de bases de données le plus populaire. Et pourtant, cette popularité de MySQL est sur le déclin : tandis qu’il perd de son attrait, des alternatives viables pour la gestion des bases de données commencent à tirer leur épingle du jeu. Voici cinq bonnes raisons de ne pas utiliser MySQL, le système de gestion de bases de données qui fut libre (pour voir l’autre côté de la médaille, lire l’article d’Andy Patrizio qui donne les cinq bonnes raisons de continuer à utiliser MySQL, faites-vous un avis, et n’hésiter pas à le partager dans les commentaires).

1. MySQL n’est pas aussi mature que d’autres systèmes de gestion de bases de données.

MySQL n’a pas commencé comme un SGBDR (Système de Gestion de Bases de Données Relationnelles), mais a changé de direction par la suite pour inclure plus de fonctionnalités. Les SGBDR plus anciens et plus matures sont toujours considérés comme ayant plus de fonctionnalités que MySQL. Si vous voulez un SGBDR riche en fonctionnalités, vous pouvez jeter un œil à PostgreSQL ou à des options non open source, telles que Oracle DB ou Microsoft SQL Server.

Selena Deckelmann, une contributrice à PostgreSQL, affirme que Postgres est considéré comme le bon choix pour les nouveaux projets parmi les développeurs-euses Web qui ont besoin d’une base de données relationnelle. « Avec le type de données JSON, et PLV8, Postgres pourrait aussi bien devenir le choix par défaut pour le NoSQL. » dit-elle.

2. MySQL est open source… enfin, plus ou moins

Techniquement, MySQL est un système de bases de données open source, mais dans la pratique ce n’est plus le sentiment que l’on ressent. Sous le couvert d’Oracle, MySQL a maintenant plusieurs modules propriétaires dont le code source n’est pas public. « Sur le papier, MySQL est toujours vivant, mais la mainmise d’Oracle sur le développement et son refus de communiquer des exemples de tests concernant des bugs et des patches de sécurité pour MySQL a renforcé son contrôle sur le code et a poussé de nombreux développeurs open source à aller voir si l’herbe n’est pas plus verte aileurs. » explique Paula Ronney dans son article sur ZDNet, Est-il temps pour Oracle de donner MySQL à Apache ?

Ce n’est pas comme s’il n’y avait pas d’alternatives open source. MariaDB, un fork de MySQL, reste « véritablement open source ». SkySQL, une entreprise développant MariaDB qui a fusionné avec Monty Program Ab (l’entreprise mère de MariaDB) plus tôt cette année explique que « Tout le code dans MariaDB est fourni sous GPL, LGPL ou BSD. MariaDB n’a pas de module closed source comme ceux que vous pouvez trouver dans la MySQL Enterprise Edition. En fait, toutes les fonctionnalités closed-source de MySQL 5.5 Enterprise Edition se trouvent dans la version open source MariaDB. »

3. Les performances de MySQL ne valent pas celles de ses concurrents

Le blog de MariaDB offre un comparatif détaillé des résultats obtenus par les versions récentes de MySQL et de MariaDB, et bien que les résultats se jouent dans un mouchoir de poche, MariaDB possède une longueur d’avance.

Selena Deckelmann, contributrice à PostgreSQL, prétend que Heroku Postgres rend Postgres plus attirant pour plusieurs raisons, y compris au niveau de l’extensibilité. « Ils possèdent clairement le plus large environnement hébergé pour Postgres, s’adaptant automatiquement pour vos applications et acceptent des extensions (add-ons) qui rendent facile l’essai de nouvelles fonctionnalités avant même que les DevOps ne rencontrent la situation » ajoute-t-elle à ses explications. « Ils viennent tout juste d’annoncer le support de PLV8 qui permet de lancer JavaScript au sein même de la base de données et tire avantage des données JSON disponibles dans les versions 9.2 et supérieures. »

4. MySQL est la propriété d’Oracle, pas un projet communautaire

MySQL n’a pas radicalement changé d’objectif depuis son acquisition par Oracle, mais demeure la propriété d’Oracle, ce qui rend certains développeurs nerveux. « Et, pire encore, il est impossible pour la communauté de collaborer avec les développeurs de chez Oracle » dit Michael « Monty » Widenius, fondateur de MySQL et de MariaDB.

Widenius remarque qu’Oracle n’accepte pas les patchs et ne fournit aucune roadmap publique. « Il n’y a pas moyen de discuter avec les développeurs de MySQL sur l’implémentation de fonctionnalités ou le fonctionnement du code actuel » ajoute-t-il. S’il vous importe d’employer une base de données open source et développée par la communauté, Widenius vous conseille MariaDB (doh!), car elle est bâtie sur MySQL et offre plus de fonctionnalités, de vitesse et de stabilité, mais moins de failles de sécurité.

5. De plus en plus de grand projets abandonnent le navire

Lors des rencontres RedHat Summit 20013 Boston, RedHat a annoncé sa rupture avec MySQL. La distribution Linux Red Hat Entreprise (RHEL) intégrera MariaDB. Fedora a d’ores et déjà annoncé qu’il passerait de MySQL au fork MariaDB avec Fedora 19. Slackware Linux a annoncé la transition de MySQL à MariaDB en mars 2013 et openSUSE a fait une annonce similaire en janvier 2013.

Les distributions Linux ne sont pas les seules. En avril 2013, la Wikimedia Foundation a annoncé que Wikipédia, le septième site le plus populaire au monde allait adopter MariaDB. Dans le communiqué, Asher Feldman, le concepteur de sites de la Wikimedia Foundation, expliquait que les améliorations de l’optimisateur de MariaDB, et que l’ensemble de fonctionnalités XtraDB de Percona étaient des raisons très favorables à un changement. « Tout aussi important, en tant que supporters du mouvement de la culture libre, la Wikipedia Foundation préfère fortement les projets logiciels libres : cela inclut une préférence pour les projets sans base de code divisée entre éditions gratuites/libres et pour entreprises », ajoute-t-il. « Nous accueillons et supportons la MariaDB Foundation comme délégué à but non lucratif de la communauté de la base de données MySQL libre et ouverte. » Comme le fit remarquer le journaliste spécialisé en technologie Steven J. Vaughan-Nichols (et contributeur à SmartBear) à la fin de l’année 2012, peu importe ce que vous ressentez vis-à-vis d’Oracle ou du débat des logiciels open source/non-libres, « les meilleures performances de MariaDB à l’un des sites Web les plus chargés du monde va attirer l’attention de n’importe quelle personne utilisant des piles logicielles Linux, Apache, MySQL, PHP/Python/Perl (LAMP). »

Donc, que savent ces entreprises spécialisées dans la technologie et le Big Data que les utilisateurs fidèles de MySQL ignorent ? MySQL n’est plus le seul gros poisson dans le petit étang des solutions de bases de données. Au contraire, MySQL est en concurrence avec sa propre solution émancipée d’Oracle, une engeance véritablement open source, MariaDB, le SGBDR toujours plus populaire PostgreSQL, et un marché toujours plus florissant de solutions NoSQL.

Si vous n’avez pas encore laissé tomber MySQL, il y a plein de raisons pour y réfléchir à nouveau.




Soutenez la Quadrature du Net – Message de Jérémie Zimmermann à Framasoft

« Framasoftienne, framasoftien… » Dans ce court message vidéo, Jérémie Zimmermann s’adresse ici directement à notre communauté (c’est-à-dire à vous) pour nous expliquer en quoi il crucial de soutenir l’action et le développement actuel de la Quadrature du Net.

On compte sur vous (et n’hésitez pas à faire passer à votre voisin(e)).

(Téléchargement : MP4, WebM, Ogg et Torrent)

Soutenir la Quadrature du Net

En remerciement de votre don, vous obtiendrez un « Pi-xel » de la couleur de votre choix 🙂




Principes internationaux pour le respect des droits humains dans la surveillance des communications

International Principles on the Application of Human Rights to Communications Surveillance

(Traduction : Slystone, tradfab, hugo, Pascal22, Hubert Guillaud, sinma, big f, Guillaume, Barbidule, Calou, Asta, wil_sly, chdorb, maugmaug, rou, RyDroid, + anonymes)

Version finale du 7 juin 2013

Alors que se développent les technologies qui leur permettent de surveiller les communications, les États ne parviennent pas à garantir que les lois et réglementations relatives à la surveillance des communications respectent les droits humains et protègent efficacement la vie privée et la liberté d’expression (Ndt : le choix de traduire human rights par « droits humains » – plutôt que « droits de l’homme » – repose sur le choix délibéré de ne pas perpétuer une exception française sujette à caution.). Ce document tente d’expliquer comment le droit international des droits humains doit s’appliquer à l’environnement numérique actuel, à un moment où les technologies et les méthodes de surveillance des communications se généralisent et se raffinent. Ces principes peuvent servir de guide aux organisations citoyennes, aux entreprises et aux États qui cherchent à évaluer si des lois et des pratiques de surveillance, actuelles ou en discussion, sont en conformité avec les droits humains.

Ces principes sont le fruit d’une consultation globale d’organisations citoyennes, d’entreprises et d’experts internationaux sur les aspects juridiques, politiques et technologiques de la surveillance des communications.

Préambule

Le respect de la vie privée est un droit humain fondamental, indispensable au bon fonctionnement des sociétés démocratiques. Il est essentiel à la dignité humaine et renforce d’autres droits, comme la liberté d’expression et d’information, ou la liberté d’association. Il est consacré par le droit international des droits humains[1]. Les activités qui restreignent le droit au respect de la vie privée, et notamment la surveillance des communications, ne sont légitimes que si elles sont à la fois prévues par la loi, nécessaires pour atteindre un but légitime et proportionnelles au but recherché[2].

Avant la généralisation d’Internet, la surveillance des communications par l’État était limitée par l’existence de principes juridiques bien établis et par des obstacles logistiques inhérents à l’interception des communications. Au cours des dernières décennies, ces barrières logistiques à la surveillance se sont affaiblies, en même temps que l’application des principes juridiques aux nouvelles technologies a perdu en clarté. L’explosion des communications électroniques, ainsi que des informations à propos de ces communications (les « métadonnées » de ces communications), la chute des coûts de stockage et d’exploration de grands jeux de données, ou encore la mise à disposition de données personnelles détenues par des prestataires de service privés, ont rendu possible une surveillance par l’État à une échelle sans précédent[3].

Dans le même temps, l’évolution conceptuelle des droits humains n’a pas suivi l’évolution des moyens modernes de surveillance des communications dont dispose l’État, de sa capacité à croiser et organiser les informations obtenue par différentes techniques de surveillances, ou de la sensibilité croissante des informations auxquelles il accède.

La fréquence à laquelle les États cherchent à accéder au contenu des communications ou à leurs métadonnées – c’est-à-dire aux informations portant sur les communications d’une personne ou sur les détails de son utilisation d’appareils électroniques – augmente considérablement, sans aucun contrôle approprié[4]. Une fois collectées et analysées, les métadonnées issues des communications permettent de dresser le profil de la vie privée d’un individu, tel que son état de santé, ses opinions politiques et religieuses, ses relations sociales et ses centres d’intérêts, révélant autant de détails, si ce n’est plus, que le seul contenu des communications[5]. Malgré ce risque élevé d’intrusion dans la vie privée des personnes, les instruments législatifs et réglementaires accordent souvent aux métadonnées une protection moindre, et ne restreignent pas suffisamment la façon dont les agences gouvernementales peuvent les manipuler, en particulier la façon dont elles sont collectées, partagées, et conservées.

Pour que les États respectent réellement leurs obligations en matière de droit international des droits humains dans le domaine de la surveillance des communications, ils doivent se conformer aux principes exposés ci-dessous. Ces principes portent non seulement sur l’obligation pesant sur l’État de respecter les droits de chaque individu , mais également sur l’obligation pour l’État de protéger ces droits contre d’éventuels abus par des acteurs non-étatiques, et en particulier des entreprises privées[6]. Le secteur privé possède une responsabilité équivalente en termes de respect et de protection des droits humains, car il joue un rôle déterminant dans la conception, le développement et la diffusion des technologies, dans la fourniture de services de communication, et – le cas échéant – dans la coopération avec les activités de surveillance des États. Néanmoins, le champ d’application des présents principes est limité aux obligations des États.

Une technologie et des définitions changeantes

Dans l’environnement moderne, le terme « surveillance des communications » désigne la surveillance, l’interception, la collecte, le stockage, la modification ou la consultation d’informations qui contiennent les communications passées, présentes ou futures d’une personne, ainsi que de toutes les informations qui sont relatives à ces communications. Les « communications » désignent toute activité, interaction et échange transmis de façon électronique, tels que le contenu des communications, l’identité des parties communiquant, les données de localisation (comme les adresses IP), les horaires et la durée des communications, ainsi que les identifiants des appareils utilisés pour ces communications.

Le caractère intrusif de la surveillance des communications est traditionnellement évalué sur la base de catégories artificielles et formelles. Les cadres légaux existants distinguent entre le « contenu » et le « hors-contenu », les « informations sur l’abonné » ou les « métadonnées », les données stockées et celles en transit, les données restant à domicile et celles transmises à un prestataire de service tiers[7]. Néanmoins, ces distinctions ne sont plus appropriées pour mesurer le niveau d’intrusion causé par la surveillance des communications dans la vie privée des individus. Il est admis de longue date que le contenu des communications nécessite une protection légale importante en raison de sa capacité à révéler des informations sensibles, mais il est maintenant clair que d’autres informations issues des communications d’un individu – les métadonnées et diverses informations autres que le contenu – peuvent révéler encore davantage sur l’individu que la communication elle-même, et doivent donc bénéficier d’une protection équivalente.

Aujourd’hui, ces informations, qu’elles soient analysées séparément ou ensemble, peuvent permettent de déterminer l’identité, le comportement, les relations, l’état de santé, l’origine ethnique, l’orientation sexuelle, la nationalité ou les opinions d’une personne ; ou encore d’établir une carte complète des déplacements et des interactions d’une personne dans le temps[8]., ou de toutes les personnes présentes à un endroit donné, par exemple une manifestation ou un rassemblement politique. En conséquence, toutes les informations qui contiennent les communications d’une personne, ainsi que toutes les informations qui sont relatives à ces communications et qui ne sont pas publiquement et facilement accessibles, doivent être considérées comme des « informations protégées », et doivent en conséquence se voir octroyer la plus haute protection au regard de la loi.

Pour évaluer le caractère intrusif de la surveillance des communications par l’État, il faut prendre en considération non seulement le risque que la surveillance ne révèle des informations protégées, mais aussi les raisons pour lesquelles l’État recherche ces informations. Si une surveillance des communications a pour conséquence de révéler des informations protégées susceptibles d’accroître les risques d’enquêtes, de discrimination ou de violation des droits fondamentaux pesant sur une personne, alors cette surveillance constitue non seulement une violation sérieuse du droit au respect de la vie privée, mais aussi une atteinte à la jouissance d’autres droits fondamentaux tels que la liberté d’expression, d’association et d’engagement politique. Car ces droits ne sont effectifs que si les personnes ont la possibilité de communiquer librement, sans l’effet d’intimidation que constitue la surveillance gouvernementale. Il faut donc rechercher, pour chaque cas particulier, tant la nature des informations collectées que l’usage auquel elles sont destinées.

Lors de l’adoption d’une nouvelle technique de surveillance des communications ou de l’extension du périmètre d’une technique existante, l’État doit vérifier préalablement si les informations susceptibles d’être obtenues rentrent dans le cadre des « informations protégées », et il doit se soumettre à un contrôle judiciaire ou à un mécanisme de supervision démocratique. Pour déterminer si les informations obtenues par la surveillance des communications atteignent le niveau des « informations protégées », il faut prendre en compte non seulement la nature de la surveillance, mais aussi son périmètre et sa durée. Une surveillance généralisée ou systématique a la capacité de révéler des informations privées qui dépassent les informations collectées prises individuellement, cela peut donc conférer à la surveillance d’informations non-protégées un caractère envahissant, exigeant une protection renforcée[9].

Pour déterminer si l’État est ou non fondé à se livrer à une surveillance des communications touchant à des informations protégées, le respect de principes suivants doit être vérifié.

Les principes

Légalité: toute restriction au droit au respect de la vie privée doit être prévue par la loi. L’État ne doit pas adopter ou mettre en oeuvre une mesure qui porte atteinte au droit au respect de la vie privée sans qu’elle ne soit prévue par une disposition législative publique, suffisamment claire et précise pour garantir que les personnes ont été préalablement informées de sa mise en oeuvre et peuvent en anticiper les conséquences. Etant donné le rythme des changements technologiques, les lois qui restreignent le droit au respect de la vie privée doivent faire l’objet d’un examen régulier sous la forme d’un débat parlementaire ou d’un processus de contrôle participatif.

Objectif légitime : la surveillance des communications par des autorités étatiques ne doit être autorisée par la loi que pour poursuivre un objectif légitime lié à la défense d’un intérêt juridique fondamental pour une société démocratique. Aucune mesure de surveillance ne doit donner lieu à une discrimination sur le fondement de l’origine, du sexe, de la langue, de la religion, des opinions politiques, de la nationalité, de l’appartenance à un groupe social, de la richesse, de la naissance ou de tout autre situation sociale.

Nécessité : les lois permettant la surveillance des communications par l’État doivent limiter la surveillance aux éléments strictement et manifestement nécessaires pour atteindre un objectif légitime. La surveillance des communications ne doit être utilisée que lorsque c’est l’unique moyen d’atteindre un but légitime donné, ou, lorsque d’autres moyens existent, lorsque c’est le moyen le moins susceptible de porter atteinte aux droits humains. La charge de la preuve de cette justification, que ce soit dans les procédures judiciaires ou législatives, appartient à l’État.

Adéquation : toute surveillance des communications prévue par la loi doit être en adéquation avec l’objectif légitime poursuivi.

Proportionnalité : la surveillance des communications doit être considérée comme un acte hautement intrusif qui interfère avec le droit au respect de la vie privée, ainsi qu’avec la liberté d’opinion et d’expression, et qui constitue de ce fait une menace à l’égard les fondements d’une société démocratique. Les décisions relatives à la surveillance des communications doivent être prises en comparant les bénéfices attendus aux atteintes causées aux droits des personnes et aux autres intérêts concurrents, et doivent prendre en compte le degré de sensibilité des informations et la gravité de l’atteinte à la vie privée.

Cela signifie en particulier que si un État, dans le cadre d’une enquête criminelle, veut avoir accès à des informations protégées par le biais d’une procédure de surveillance des communications, il doit établir auprès de l’autorité judiciaire compétente, indépendante et impartiale, que :

  1. il y a une probabilité élevée qu’une infraction pénale grave a été ou sera commise ;
  2. la preuve d’une telle infraction serait obtenue en accédant à l’information protégée recherchée ;
  3. les techniques d’investigation moins intrusives ont été épuisées ;
  4. l’information recueillie sera limitée à ce qui est raisonnablement pertinent au regard de l’infraction concernée et toute information superflue sera promptement détruite ou restituée ;
  5. l’information est consultée uniquement par l’instance spécifiquement désignée, et utilisée exclusivement aux fins pour lesquelles l’autorisation a été accordée.

Si l’État cherche à avoir accès à des informations protégées via une surveillance des communications à des fins qui ne placeront pas une personne sous le risque de poursuites pénales, d’enquête, de discrimination ou de violation des droits de l’homme, l’État doit établir devant une autorité indépendante, impartiale et compétente que :

  1. d’autres techniques d’investigation moins intrusives ont été envisagées ;
  2. l’information collectée sera limitée à ce qui est raisonnablement pertinent, et toute information superflue sera promptement détruite ou restituée à la personne concernée ;
  3. l’information est consultée uniquement par l’instance spécifiquement désignée, et utilisée exclusivement aux fins pour lesquelles l’autorisation a été accordée.

Autorité judiciaire compétente : les décisions relatives à la surveillance des communications doivent être prises par une autorité judiciaire compétente, impartiale et indépendante. L’autorité doit être (1) distincte des autorités qui effectuent la surveillance des communications, (2) au fait des enjeux relatifs aux technologies de la communication et aux droits humains, et compétente pour rendre des décisions judiciaires dans ces domaines, et (3) disposer de ressources suffisantes pour exercer les fonctions qui lui sont assignées.

Le droit à une procédure équitable : Une procédure équitable suppose que les États respectent et garantissent les droits humains des personnes en s’assurant que les procédures relatives aux atteintes aux droits humains sont prévues par la loi, sont systématiquement appliquées et sont accessibles à tous. En particulier, pour statuer sur l’étendue de ses droits humains, chacun a droit à un procès public dans un délai raisonnable par un tribunal établi par la loi, indépendant, compétent et impartial[10] sauf cas d’urgence lorsqu’il y a un risque imminent de danger pour une vie humaine. Dans de tels cas, une autorisation rétroactive doit être recherchée dans un délai raisonnable. Le simple risque de fuite ou de destruction de preuves ne doit jamais être considéré comme suffisant pour justifier une autorisation rétroactive.

Notification des utilisateurs : les personnes doivent être notifiées d’une décision autorisant la surveillance de leurs communications, avec un délai et des informations suffisantes pour leur permettre de faire appel de la décision, et elles doivent avoir accès aux documents présentés à l’appui de la demande d’autorisation. Les retards dans la notification ne se justifient que dans les cas suivants :

  1. la notification porterait gravement atteinte à l’objet pour lequel la surveillance est autorisée, ou il existe un risque imminent de danger pour une vie humaine ; ou
  2. l’autorisation de retarder la notification est accordée par l’autorité judiciaire compétente conjointement à l’autorisation de surveillance ; et
  3. la personne concernée est informée dès que le risque est levé ou dans un délai raisonnable, et au plus tard lorsque la surveillance des communications prend fin.

À l’expiration du délai, les fournisseurs de services de communication sont libres d’informer les personnes de la surveillance de leurs communications, que ce soit de leur propre initiative ou en réponse à une demande.

Transparence : les États doivent faire preuve de transparence quant à l’utilisation de leurs pouvoirs de surveillance des communications. Ils doivent publier, a minima, les informations globales sur le nombre de demandes approuvées et rejetées, une ventilation des demandes par fournisseurs de services, par enquêtes et objectifs. Les États devraient fournir aux individus une information suffisante pour leur permettre de comprendre pleinement la portée, la nature et l’application des lois autorisant la surveillance des communications. Les États doivent autoriser les fournisseurs de service à rendre publiques les procédures qu’ils appliquent dans les affaires de surveillance des communications par l’État, et leur permettre de respecter ces procédures ainsi que de publier des informations détaillées sur la surveillance des communications par l’État.

Contrôle public : les États doivent établir des mécanismes de contrôle indépendants pour garantir la transparence et la responsabilité de la surveillance des communications[11]. Les instances de contrôle doivent avoir les pouvoirs suivants : accéder à des informations sur les actions de l’État, y compris, le cas échéant, à des informations secrètes ou classées ; évaluer si l’État fait un usage légitime de ses prérogatives ; évaluer si l’État a rendu publiques de manière sincère les informations sur l’étendue et l’utilisation de ses pouvoirs de surveillance ; publier des rapports réguliers ainsi que toutes autres informations pertinentes relatives à la surveillance des communications. Ces mécanismes de contrôle indépendants doivent être mis en place en sus de tout contrôle interne au gouvernement.

Intégrité des communications et systèmes : Afin d’assurer l’intégrité, la sécurité et la confidentialité des systèmes de communication, et eu égard au fait que toute atteinte à la sécurité pour des motifs étatiques compromet presque toujours la sécurité en général, les États ne doivent pas contraindre les fournisseurs de services, ou les vendeurs de matériels et de logiciels, à inclure des capacités de surveillance dans leurs systèmes ou à recueillir et conserver certaines informations exclusivement dans le but de permettre une surveillance par l’État. La collecte et le stockage des données a priori ne doivent jamais être demandés aux fournisseurs de services. Les personnes ont le droit de s’exprimer anonymement, les États doivent donc s’abstenir d’imposer l’identification des utilisateurs comme condition préalable pour l’accès à un service[12].

Garanties dans le cadre de la coopération internationale : en réponse aux évolutions dans les flux d’information et les technologies de communication, les États peuvent avoir besoin de demander assistance à un fournisseur de services étranger. Les traités de coopération internationale en matière de police et de justice et les autres accords conclus entre les États doivent garantir que, lorsque plusieurs droits nationaux peuvent s’appliquer à la surveillance des communications, ce sont les dispositions établissant la plus grande protection à l’égard des individus qui prévalent. Lorsque les États demandent assistance dans l’application du droit, le principe de double-incrimination doit être appliqué (NdT : principe selon lequel, pour être recevable, la demande de collaboration doit porter sur une disposition pénale existant à l’identique dans les deux pays). Les États ne doivent pas utiliser les processus de coopération judiciaire ou les requêtes internationales portant sur des informations protégées dans le but de contourner les restrictions nationales sur la surveillance des communications. Les règles de coopération internationale et autres accords doivent être clairement documentés, publics, et conformes au droit à une procédure équitable.

Garanties contre tout accès illégitime : les États doivent adopter une législation réprimant la surveillance illicite des communications par des acteurs publics ou privés. La loi doit prévoir des sanctions civiles et pénales dissuasives, des mesures protectrices au profit des lanceurs d’alertes, ainsi que des voies de recours pour les personnes affectées. Cette législation doit prévoir que toute information obtenue en infraction avec ces principes est irrecevable en tant que preuve dans tout type de procédure, de même que toute preuve dérivée de telles informations. Les États doivent également adopter des lois prévoyant qu’une fois utilisées pour l’objectif prévu, les informations obtenues par la surveillance des communications doivent être détruites ou retournées à la personne.

Signataires

  • Access Now
  • Article 19 (International)
  • Bits of Freedom (Netherlands)
  • Center for Internet & Society (India)
  • Comision Colombiana de Juristas (Colombia)
  • Derechos Digitales (Chile)
  • Electronic Frontier Foundation (International)
  • Open Media (Canada)
  • Open Net (South Korea)
  • Open Rights Group (United Kingdom)
  • Privacy International (International)
  • Samuelson-Glushko Canadian Internet Policy and Public Interest Clinic (Canada)
  • Statewatch (UK)

Notes

[1] Article 12 de la Déclaration universelle des droits de l’homme ; article 14 de la Convention des Nations Unies sur les travailleurs migrants ; article 16 de la Convention des Nations Unies sur la protection des droits de l’enfant ; pacte international relatif aux droits civils et politiques ; article 17 du pacte international relatif aux droits civils et politiques ; conventions régionales dont article 10 de la Charte africaine des droits et du bien-être de l’enfant, article 11 de la Convention américaine des droits de l’Homme, article 4 de la déclaration de principe de la liberté d’expression en Afrique, article 5 de la déclaration américaine des droits et devoirs de l’Homme, article 21 de la Charte arabe des droits de l’Homme et article 8 de la Convention européenne de la protection des droits de l’Homme et des libertés fondamentales ; principes de Johannesburg relatifs à la sécurité nationale, libre expression et l’accès à l’information, principes de Camden sur la liberté d’expression et l’égalité.

[2] Article 29 de la Déclaration universelle des droits de l’homme ; commentaire général numéro 27, adopté par le Comité des droits de l’Homme sous l’article 40, paragraphe 4, par The International Covenant On Civil And Political Rights, CCPR/C/21/Rev.1/Add.9, du 2 novembre ; voir aussi de Martin Scheinin, « Report of the Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while countering terrorism, » 2009, A/HRC/17/34.

[3] Les métadonnées des communications peuvent contenir des informations à propos de notre identité (informations sur l’abonné, information sur l’appareil utilisé), de nos interactions (origines et destinations des communications, en particulier celles montrant les sites visités, les livres ou autres documents lus, les personnes contactées, les amis, la famille, les connaissances, les recherches effectuées et les ressources utilisées) et de notre localisation (lieux et dates, proximité avec d’autres personnes) ; en somme, des traces de presque tous les actes de la vie moderne, nos humeurs, nos centres d’intérêts, nos projets et nos pensées les plus intimes.

[4] Par exemple, uniquement pour le Royaume-Uni, il y a actuellement environ 500 000 requêtes sur les métadonnées des communications chaque année, sous un régime d’auto-autorisation pour les agences gouvernementales, qui sont en mesure d’autoriser leurs propres demandes d’accès aux informations détenues par les fournisseurs de services. Pendant ce temps, les données fournies par les rapports de transparence de Google montrent qu’aux États-Unis, les requêtes concernant des données d’utilisateurs sont passées de 8 888 en 2010 à 12 271 en 2011. En Corée, il y a eu environ 6 millions de requêtes par an concernant des informations d’abonnés et quelques 30 millions de requêtes portant sur d’autres formes de communications de métadonnées en 2011-2012, dont presque toutes ont été accordées et exécutées. Les données de 2012 sont accessibles ici.

[5] Voir par exemple une critique du travail de Sandy Pentland, « Reality Minning », dans la Technology Review du MIT, 2008, disponible ici, voir également Alberto Escudero-Pascual et Gus Hosein « Questionner l’accès légal aux données de trafic », Communications of the ACM, volume 47, Issue 3, mars 2004, pages 77-82.

[6] Rapport du rapporteur spécial des Nations Unies sur la liberté d’opinions et d’expression, Frank La Rue, 3 juin 2013, disponible ici.

[7] « Les gens divulguent les numéros qu’ils appellent ou textent à leurs opérateurs mobiles, les URL qu’ils visitent et les adresses courriel avec lesquelles ils correspondent à leurs fournisseurs d’accès à Internet, et les livres, les courses et les médicaments qu’ils achètent à leurs boutiques en ligne… On ne peut présumer que toutes ces informations, volontairement divulguées à certaines personnes dans un but spécifique, sont, de ce seul fait, exclues de la protection du 4e amendement de la Constitution. » United States v. Jones, 565 U.S, 132 S. Ct. 945, 957 (2012) (Sotomayor, J., concurring).

[8] « La surveillance à court terme des déplacements d’une personne sur la voie publique est compatible avec le respect de la vie privée », mais « l’utilisation de systèmes de surveillance GPS à plus long terme dans les enquêtes sur la plupart des infractions empiète sur le respect de la vie privée. » United States v. Jones, 565 U.S., 132 S. Ct. 945, 964 (2012) (Alito, J. concurring).

[9] « La surveillance prolongée révèle des informations qui ne sont pas révélées par la surveillance à court terme, comme ce que fait un individu à plusieurs reprises, ce qu’il ne fait pas, et ce qu’il fait à la suite. Ce type d’informations peut en révéler plus sur une personne que n’importe quel trajet pris isolément. Des visites répétées à l’église, à une salle de gym, à un bar ou à un bookmaker racontent une histoire que ne raconte pas une visite isolée, tout comme le fait de ne pas se rendre dans l’un de ces lieux durant un mois. La séquence des déplacements d’une personne peut révéler plus de choses encore ; une seule visite à un cabinet de gynécologie nous en dit peu sur une femme, mais ce rendez-vous suivi quelques semaines plus tard d’une visite à un magasin pour bébés raconte une histoire différente. Quelqu’un qui connaîtrait tous les trajets d’une personne pourrait en déduire si c’est un fervent pratiquant, un buveur invétéré, un habitué des clubs de sport, un mari infidèle, un patient ambulatoire qui suit un traitement médical, un proche de tel ou tel individu, ou de tel groupe politique – il pourrait en déduire non pas un de ces faits, mais tous. » U.S. v. Maynard, 615 F.3d 544 (U.S., D.C. Circ., C.A.) p. 562; U.S. v. Jones, 565 U.S (2012), Alito, J., participants. « De plus, une information publique peut entrer dans le cadre de la vie privée quand elle est systématiquement collectée et stockée dans des fichiers tenus par les autorités. Cela est d’autant plus vrai quand ces informations concernent le passé lointain d’une personne. De l’avis de la Cour, une telle information, lorsque systématiquement collectée et stockée dans un fichier tenu par des agents de l’État, relève du champ d’application de la vie privée au sens de l’article 8 (1) de la Convention. » (Rotaru v. Romania, (2000) ECHR 28341/95, paras. 43-44.

[10] Le terme « Due process » (procédure équitable) peut être utilisé de manière interchangeable avec « équité procédurale » et « justice naturelle », il est clairement défini dans la Convention européenne pour les droits de l’Homme article 6(1) et article 8 de la Convention américaine relative aux droits de l’Homme.

[11] Le commissaire britannique à l’interception des communications est un exemple d’un tel mécanisme de contrôle indépendant. L’ICO publie un rapport qui comprend des données agrégées, mais il ne fournit pas de données suffisantes pour examiner les types de demandes, l’étendue de chaque demande d’accès, l’objectif des demandes et l’examen qui leur est appliqué. Voir ici.

[12] Rapport du rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression, Frank La Rue, 16 mai 2011, A/HRC/17/27, para 84.




Quelle entreprise peut encore faire confiance à Microsoft ? par Glyn Moody

Le titre se suffit à lui-même ici. On pourrait ajouter aux entreprises, les institutions et les particuliers, bref tout le monde.

Non content d’avoir été accusé par le passé de réserver dans Windows des portes dérobées à la NSA, non content d’être fortement suspecté de laisser les autorités américaines collecter nos données dans Skype, Microsft est maintenant soupçonné de différer la publication de ses patchs de sécurité pour en informer d’abord les mêmes autorités américaines !

Tout DSI normalement constiué(e) devrait lire cet article et en tirer avec sa direction ses propres conclusions.

Cambodia4kidsorg - CC by

Quelle entreprise peut encore faire confiance à Microsoft ?

How Can Any Company Ever Trust Microsoft Again?

Glyn Moddy – juin 2013 – Open Enterprise (Computer World)
(Traduction : Slystone, Luo, lamessen, Antoine, sinma, Pouhiou, Sky, Fe-lor, aKa, Asta, audionuma + anonymes)

Quels que soient les détails des récentes révélations sur l’espionnage de masse de la part des États-Unis fournis par Edward Snowden dans le Guardian, il y a déjà un énorme bénéfice collatéral. D’un côté, le gouvernement des États-Unis se replie sur lui-même, niant certaines allégations en offrant sa propre version de l’histoire. Cela, et pour la première fois, nous donne des détails officiels sur des programmes dont nous n’étions (au mieux) informés que par fuites et rumeurs, voire pas du tout. De plus, la précipitation indécente et l’histoire sans cesse changeante des autorités américaines est une confirmation, si elle était encore nécessaire, que ce que Snowden a révélé est important — vous ne provoquez pas un tel tapage pour rien.

Mais peut-être encore plus crucial, d’autres journalistes, poussés par la honte et leur culpabilisation, ont finalement posé des questions qu’ils auraient dû poser des années voire des décennies plus tôt. Cela a abouti à une série d’articles extrêmement intéressants à propos de l’espionnage de la NSA, dont beaucoup contiennent des informations auxiliaires qui sont aussi intéressantes que l’histoire principale. Voici un bel exemple de ce qui est apparu durant le week-end sur le site de Bloomberg.

Entre autres choses, il s’agit de Microsoft, et d’évaluer dans quelle mesure ils ont aidé la NSA à espionner le monde. Bien sûr, cette crainte n’est pas nouvelle. Dès 1999, il était déjà dit que des portes dérobées avaient été codées dans Windows :

Une erreur d’inattention de programmeurs Microsoft a révélé qu’un code d’accès spécial préparé par l’agence nationale de sécurité étasunienne (NSA) avait été secrètement implémenté dans Windows. Le système d’accès de la NSA est implémenté sous toutes les versions de Windows actuellement utilisées, à l’exception des premières versions de Windows 95 (et ses prédécesseurs). La découverte suivait de près les révélations survenues un peu plus tôt cette année concernant un autre géant du logiciel étasunien, Lotus, qui avait implémenté une trappe « d’aide à l’information » pour la NSA dans son système Notes. Des fonctions de sécurité dans d’autres logiciels systèmes avaient été délibérément paralysées.

Plus récemment, il y eut des craintes au sujet de Skype, racheté par Microsoft en mai 2011. En 2012, il y a eu des discussions pendant lesquelles on s’est demandé si Microsoft avait changé l’architecture de Skype pour rendre l’espionnage plus facile (l’entreprise a même un brevet sur l’idée). Les récentes fuites semblent confirmer que ces craintes étaient bien fondées, comme le signale Slate :

Le scoop du Washington Post sur PRISM et ses possibilités présente plusieurs points frappants, mais pour moi un en particulier s’est démarqué du reste. The Post, citant une diapositive Powerpoint confidentielle de la NSA, a écrit que l’agence avait un guide d’utilisation spécifique « pour la collecte de données Skype dans le cadre du programme PRISM » qui met en évidence les possibilités d’écoutes sur Skype « lorsque l’un des correspondants utilise un banal téléphone et lorsque deux utilisateurs du service réalisent un appel audio, vidéo, font du chat ou échangent des fichiers. »

Mais même cela devient dérisoire comparé aux dernières informations obtenues par Bloomberg :

D’après deux personnes qui connaissent bien le processus, Microsoft, la plus grande compagnie de logiciels au monde, fournit aux services de renseignement des informations sur les bogues dans ses logiciels populaires avant la publication d’un correctif. Ces informations peuvent servir à protéger les ordinateurs du gouvernement ainsi qu’à accéder à ceux de terroristes ou d’armées ennemies.

La firme de Redmond basée à Washington, Microsoft, ainsi que d’autres firmes œuvrant dans le logiciel ou la sécurité, était au courant que ce genre d’alertes précoces permettaient aux États-Unis d’exploiter des failles dans les logiciels vendus aux gouvernements étrangers, selon deux fonctionnaires d’État. Microsoft ne demande pas et ne peut pas savoir comment le gouvernement utilise de tels tuyaux, ont dit les fonctionnaires, qui ne souhaitent pas que leur identité soit révélée au vu de la confidentialité du sujet.

Frank Shaw, un porte-parole de Microsoft, a fait savoir que ces divulgations se font en coopération avec d’autres agences, et sont conçues pour donner aux gouvernements « une longueur d’avance » sur l’évaluation des risques et des mitigations.

Réfléchissons-y donc un moment.

Des entreprises et des gouvernements achètent des logiciels à Microsoft, se reposant sur la compagnie pour créer des programmes qui sont sûrs et sans risque. Aucun logiciel n’est complètement exempt de bogues, et des failles sérieuses sont trouvées régulièrement dans le code de Microsoft (et dans l’open source, aussi, bien sûr). Donc le problème n’est pas de savoir si les logiciels ont des failles, tout bout de code non-trivial en a, mais de savoir comment les auteurs du code réagissent.

Ce que veulent les gouvernements et les compagnies, c’est que ces failles soient corrigées le plus vite possible, de manière à ce qu’elles ne puissent pas être exploitées par des criminels pour causer des dégâts sur leurs systèmes. Et pourtant, nous apprenons maintenant que l’une des premières choses que fait Microsoft, c’est d’envoyer des informations au sujet de ces failles à de multiples agences, en incluant sans doute la NSA et la CIA. En outre, nous savons aussi que « ce type d’alerte précoce a permis aux U.S.A. d’exploiter des failles dans les logiciels vendus aux gouvernements étrangers »

Et rappelez-vous que « gouvernements étrangers » signifie ceux des pays européens aussi bien que les autres (le fait que le gouvernement du Royaume-Uni ait espionné des pays « alliés » souligne que tout le monde le fait). Il serait également naïf de penser que les agences de renseignement américaines exploitent ces failles « jour 0 » seulement pour pénétrer dans les systèmes des gouvernements ; l’espionnage industriel représentait une partie de l’ancien programme de surveillance Echelon, et il n’y a aucune raison de penser que les U.S.A. vont se limiter aujourd’hui (s’il y a eu un changement, les choses ont empiré).

Il est donc fortement probable que les faiblesses des produits Microsoft soient régulièrement utilisées pour s’infiltrer et pratiquer toutes sortes d’espionnage dans les gouvernements et sociétés étrangères. Ainsi, chaque fois qu’une entreprise installe un nouveau correctif d’une faille majeure provenant de Microsoft, il faut garder à l’esprit que quelqu’un a pu avoir utilisé cette faiblesse à des fins malveillantes.

Les conséquences de cette situation sont très profondes. Les entreprises achètent des produits Microsoft pour plusieurs raisons, mais toutes supposent que la compagnie fait de son mieux pour les protéger. Les dernières révélations montrent que c’est une hypothèse fausse : Microsoft transmet consciencieusement et régulièrement des informations sur la manière de percer les sécurités de ses produits aux agences américaines. Ce qui arrive à ces informations plus tard est, évidemment, un secret. Pas à cause du « terrorisme », mais parce qu’il est presque certain que des attaques illégales sont menées contre d’autres pays (et leurs entreprises) en dehors des États-Unis.

Ce n’est rien d’autre qu’une trahison de la confiance que les utilisateurs placent en Microsoft, et je me demande comment un responsable informatique peut encore sérieusement recommander l’utilisation de produits Microsoft maintenant que nous sommes presque sûrs qu’ils sont un vecteur d’attaques par les agences d’espionnage américaines qui peuvent potentiellement causer d’énormes pertes aux entreprises concernées (comme ce qui est arrivé avec Echelon).

Mais il y a un autre angle intéressant. Même si peu de choses ont été écrites à ce sujet — même par moi, à ma grande honte — un nouvel accord législatif portant sur les attaques en ligne est en cours d’élaboration par l’Union Européenne. Voici un aspect de cet accord :

Ce texte demandera aux États membres de fixer leur peine maximale d’emprisonnement à au moins deux ans pour les crimes suivants : accéder à ou interférer illégalement avec des systèmes d’informations, interférer illégalement avec les données, intercepter illégalement des communications ou produire et vendre intentionnellement des outils utilisés pour commettre ces infractions.

« Accéder ou interférer illégalement avec des systèmes d’informations » semble être précisément ce que le gouvernement des États-Unis fait aux systèmes étrangers, dont probablement ceux de l’Union Européenne. Donc, cela indiquerait que le gouvernement américain va tomber sous le coup de ces nouvelles réglementations. Mais peut-être que Microsoft aussi, car c’est lui qui en premier lieu a rendu possible l’« accès illégal ».

Et il y a un autre aspect. Supposons que les espions américains utilisent des failles dans les logiciels de Microsoft pour entrer dans un réseau d’entreprise et y espionner des tiers. Je me demande si ces entreprises peuvent elles-mêmes se trouver accusées de toute sorte d’infractions dont elles ne savaient rien ; et finir au tribunal. Prouver son innocence ici risque d’être difficile, car en ce cas les réseaux d’entreprise seraient effectivement utilisés pour espionner.

Au final, ce risque est encore une autre bonne raison de ne jamais utiliser des logiciels de Microsoft, avec toutes les autres qui ont été écrites ici ces dernières années. Ce n’est pas uniquement que l’open source est généralement moins cher (particulièrement si vous prenez en considération le prix de l’enfermement livré avec les logiciels Microsoft), mieux écrit, plus rapide, plus sûr et plus sécurisé. Mais par-dessus tout, le logiciel libre respecte ses utilisateurs, les plaçant solidement aux commandes.

Cela vous ôte toute crainte que l’entreprise vous ayant fourni un programme donne en secret à des tiers la possibilité de retourner contre vous ce logiciel que vous avez payé assez cher. Après tout, la plupart des résolutions des bogues dans l’open source est effectuée par des codeurs qui ont un peu d’amour pour l’autorité verticale, de sorte que la probabilité qu’ils donnent régulièrement les failles à la NSA, comme le fait Microsoft, doit être extrêmement faible.

Crédit photo : Cambodia4kidsorg (Creative Commons By)