Ne plus dépendre de Gmail, Yahoo ou Outlook.com, ne plus avoir toutes ses conversations stockées et centralisées sur les serveurs des géants du web étasunien… C’est un peu le Graal des Dupuis-Morizeau.

Mais comment faire, lorsqu’on a peu de connaissances en informatique, pour avoir une boite email vraiment indépendante et pouvoir chiffrer ses échanges ?

Les barbu-e-s du logiciel libre le savent, la solution la plus sensée réside dans l’auto-hébergement, et c’est souvent complexe à mettre en place.

Mais des solutions innovantes, à base de logiciel et de matériel libre, naissent pour aider notre famille témoin à reprendre le contrôle de leurs emails sans se fouler le clavier.

Aujourd’hui, nous interrogeons Pierre Parent, co fondateur de Own-Mailbox : un petit boîtier qui pourrait bien être une solution simple, respectueuse et efficace pour tous les Dupuis-Morizeau qui nous entourent.

Salut, tu peux expliquer d’où vient le projet, tout ça ? Les membres sont, cocorico, français ?

Salut,

Donc tout d’abord, je me présente : Pierre Parent, cofondateur de Own-Mailbox.

Le projet a pour origine tout d’abord mon engagement et mon attachement au logiciel libre et à la vie privée sur Internet.
J’ai découvert les logiciels libres en 2007 grâce à un professeur de l’Insa de Rouen où j’ai fait mes études.

Le projet a aussi pour origine ma volonté de me libérer du travail subordonné et donc salarié. J’ai cette pulsion de liberté qui me pousse à rêver de pouvoir travailler librement sur des choses que je juge moi-même bonnes pour le monde et pour les autres ; ou à défaut, a minima obéir à des décisions collectives et démocratiques auxquelles j’aurai moi-même pris part.

Dès lors, de nombreuses idées de produit pouvant permettre le lancement d’une création d’entreprise me sont venues.
Own-Mailbox a été la plus consistante. J’ai donc continué dans cette cette voie pour améliorer l’idée et aller plus loin.

Romain Kornig, un ami de l’Insa de Rouen, a tout de suite été très enthousiaste quand je lui ai parlé de l’idée de Own-Mailbox,

Un peu plus tard quand le projet a commencé à prendre forme et que j’ai senti que cela pouvait déboucher sur quelque chose de sérieux, je me suis rendu compte que je ne pouvais faire ce projet tout seul. J’ai proposé à Romain de me rejoindre, et il a tout de suite dit oui !

Nous avons fondé tous les deux la boite (sans jeux de mots !) à Rennes.

Own-Mailbox, c’est un boîtier qu’on met entre Internet et sa machine ?

Non. Own-Mailbox, c’est un tout petit serveur mail que l’on branche chez soi, qui se configure automatiquement, et qui devient alors accessible depuis partout dans le monde. On peut alors y accéder via un webmail (HTTPS) ou en IMAPS, depuis chez soi, mais aussi depuis partout dans le monde. Le serveur permet de chiffrer les emails de manière très simple, afin d’éviter d’être espionné.

Own-Mailbox remplace un peu les serveurs de Gmail, mais en tout petit, chez soi, et hors de portée de la NSA.

Et comment ça se branche, ce boîtier, il faut une prise spéciale ? Et une fois le truc branché, mon ordinateur va le reconnaître tout de suite ou bien il y a un logiciel à installer, des paramètres à régler, une authentification à opérer, etc. ?

C’est très simple. On branche un câble Ethernet entre la Own-Mailbox et sa box internet, et on la relie au secteur via le transformateur fourni. Voilà.

Aucun logiciel supplémentaire n’est nécessaire, on accède à la Own-Mailbox via un navigateur web (comme Firefox) ou un client mail (comme Thunderbird)

Ça veut dire qu’il faut se promener partout avec ?

Non, la Own-Mailbox doit rester chez vous.

Je te préviens, s’il faut que je me mette à Linux et à la ligne de commande, compte pas sur moi.

Pas du tout, c’est très simple, comme tu peux le voir notre vidéo de démonstration (en anglais) :

Par les temps qui courent, on comprend bien l’intérêt de protéger sa correspondance, mais ça ne rend pas les choses un peu compliquées ? Notre famille-test, les Dupuis-Morizeau, ils vont s’en sortir ?

Own-Mailbox est précisément conçue pour rendre le chiffrement et l’auto-hébergement accessibles à tous. Nous nous assurons qu’à aucun moment l’utilisation d’une Own-Mailbox ne demande une quelconque compétence technique.

En revanche la question serait plutôt : est-ce que notre famille-test va accorder assez d »importance à la vie privée pour investir le minimum (temps et argent) nécessaire à sa défense ? Je ne connais pas encore la réponse…

Pourquoi les gens qui s’y connaissent me cassent les pieds avec la différence entre « chiffrer » et « crypter ». Ça ne veut pas dire « rendre illisible » dans les deux cas ?

Ha ha! Il y a quelques années je disais tous le temps « encrypter » jusqu’à ce que l’on me reproche tellement, et que l’on me dise que ça n’est pas français, que j’ai commencer à dire « chiffrer ».

Explique plus doucement, je n’y comprends rien. Ces histoires de clé privée / clé publique. Je ne sais jamais si je publie la bonne… Et si je l’efface par mégarde, ma clé, je ne pourrai plus lire mes vieux mails ?

Bon à mon avis il faut publier la clef… publique ! Après je ne suis pas sûr sûr… 😉

Plus sérieusement Own-Mailbox publiera pour toi la clef publique donc pas besoin de t’embêter avec ça !

Avec Own-Mailbox tu ne pourras pas effacer ta clef par erreur, à moins d’avoir les compétences techniques nécessaires (console linux, ssh, etc.)

Si ça n’est pas le cas, ou si tu ne bidouilles pas ta Own-Mailbox, tu n’as rien a craindre ! 😉

C’est vraiment sûr et garanti, le chiffrage ? Nan, passque quitte à se faire suer, autant que ça marche, hein… La NSA, elle peut peut-être lire quand même ? On peut le pirater, ce boîtier ?

Le chiffrement de Own-Mailbox se base sur des logiciels libres reconnus, testés et éprouvés depuis des années (la technologie GPG).

Eux-mêmes reposent sur des algorithmes mathématiques qui rendent le déchiffrement par des tiers tellement coûteux en temps de calcul qu’il paraît impossible.

Edward Snowden a fait confiance à ces logiciels à des moments où sa vie était en jeu.

Après, un bug est toujours possible, mais le code des logiciels de chiffrement étant ouvert il est constamment relu par de nombreuses personnes ce qui réduit le risque de bug, et le cas échéant réduit le délai avant qu’il ne soit corrigé.

Il va falloir que je retienne un mot de passe de vingt caractères, avec des chiffres et des caractères spéciaux ? Pfou !

Non, avec la Own-Mailbox un mot de passe de 10 caractères est sûr.

Des mesures sont prises de manière à ce que l’interface de connexion ne puisse être piratée avec un mot de passe de 10 caractères

(Empêcher le brute force, voir notre FAQ).

Comment dialoguer avec un-e correspondant-e qui ne chiffre pas ses mails ? Comment ille fait pour lire ce que je lui écris ?

Alors soit ce que tu veux lui envoyer n’est pas confidentiel, et tu as toujours la possibilité de le lui envoyer en clair.
Soit tu veux lui envoyer un message confidentiel, eh bien nous avons conçu un système basé sur un lien HTTPS, en le cliquant la personne destinataire du message pourra le visualiser ton message sans risque d’être espionnée.

Une dernière solution est aussi de la convaincre de commencer à chiffrer ses emails et/ou utiliser une Own-Mailbox !

Et si j’écris à quelqu’un-e qui utilise une boite mail fournie par Google ou Microsoft, ça sert à quelque chose de chiffrer ?

Oui, le principe du chiffrement est justement que les intermédiaires (Google ou Microsoft), ne peuvent pas déchiffrer le contenu, seul le destinataire le peut.

Je vois dans la partie « Fonctionnalités » du site web l’annonce suivante : « Integrated Framasoft services, to provide you with private large file sharing, event scheduling, shared spreadsheet and documents. », ça veut dire quoi ?

Cela veut dire que l’on planifie d’ajouter de manière pré-installé sur notre boîtier, une partie des services proposées par Framasoft pour « dégoogliser » Internet( http://degooglisons-internet.org/liste/ ) afin de fournir des services connexes aux mails tel que le partage de gros fichier, les tableurs partagés, l’organisation de réunions, le tout de manière totalement confidentielle.

Vous aussi, vous vous lancez dans le crowdfunding ? Forcément, on vous imagine mal demander des subventions au Ministère de l’Intérieur. 🙂

Pour que Own-Mailbox puisse être utilisable par tous il faut qu’elle soit « All-In-The-Box » et « Plug-And-Play ». Cela implique que nous
produisions des boîtiers physiques pré-configurées.

Nous ne pouvons évidement pas financer de notre poche les premières séries de production, et les banques et autres investisseurs traditionnels ont du mal à se projeter dans ce type de projet un peu hors-système.

Le crowdfunding paraît donc la solution optimale pour ce type de projet, et vous retrouverez notre campagne ici, sur kickstarter.

N’hésitez pas à participer, la campagne ne dure que jusqu’au 5 Octobre 2015.

L’étape d’après, c’est quoi ?

Alors tout d’abord l’étape la plus importante, c’est de livrer les Own-Mailbox aux contributeurs sur Kickstarter, puis aux clients qui suivront !

Lorsque la Own-Mailbox sera bien lancée nous allons sortir une version PME de Own-Mailbox. Car l’espionnage industriel implique de grosses pertes pour les entreprises française comme l’a révélé Wikileaks il y a quelques mois (à hauteur de 200 millions par an).

Par la suite nous avons beaucoup d’autres projets de produits dans les cartons, mais pour l’instant nous gardons cela pour nous !

—

Pour soutenir ce projet et avoir votre Own-Mailbox avant tout le monde, allez sur leur page Kickstarter.

Rappel des épisodes précédents : MyPads est un « plugin » qui permet à notre service en ligne Framapad (un outil en ligne de rédaction collaborative), d’organiser ses documents.

Pour savoir de quoi il retourne : http://fr.ulule.com/etherpad-framapad/

Cet article sur le Framablog fait partie des derniers d’une longue série présentant les avancées du développement de ce plugin. Voir https://framablog.org/tag/mypads/

Ainsi, cet article est (volontairement) plutôt technique, et non un article généraliste plutôt dédié au grand public comme habituellement sur le Framablog.

Deux semaines après la seconde version admissible, en voici une nouvelle. Merci aux tests, retours, suggestions que certains d’entre vous nous ont envoyés. C’est grâce à ceux-ci que nous avons pu améliorer MyPads et commencer à anticiper les évolutions futures.

Changements depuis la RC2

Par ordre chronologique, voici la liste des changements depuis la RC2 :

• Interface graphique Web
  • Amélioration du rendu pour l’élément HTML5 permettant de choisir la couleur par défaut employée au sein des pads.
  • Ajout d’une icône au niveau de la liste de ses groupes pour aller plus directement aux pads de chaque groupe.
  • Remplacement des termes ‘ASC’ et ‘DESC’ (pour ascendant et descendant) par des flèches pour le tri de ses groupes.
  • Mise à jour du titre de la fenêtre en fonction de la navigation de l’utilisateur.
  • Mise en avant de l’usage des emails au détriment des identifiants dans les créations de listes utilisateurs, invitation d’utilisateurs…
  • Correction d’un mauvais alignement des blocs groupe lorsque ceux-ci sont nombreux.
  • Icônes plus logiques en fonction des actions qu’elles entraînent (édition, écriture dans un pad etc.).
  • Correction d’un problème de duplication, dans le client Web et en affichage seulement, des utilisateurs en cas d’invitations multiples de la même personne.
  • Redirection propre avec message d ‘erreur, sur le client Web, si le groupe ou pad pointé n’existe pas en base de données (cas entre autres rencontré lorsque l’élément a été intentionnellement supprimé).
• Anomalies et régressions
  • Correction de l’impossibilité de créer un pad sous etherpad si le nom donné via MyPads est trop long (régression amenée par l’usage d’identifiants humainement compréhensibles).
  • Correction d’un bug gênant dans certains cas d’invitations d’utilisateurs sur des groupes restreints, qui rendait l’affichage du groupe impossible dans le client Web.
  • Correction d’un souci au niveau des permissions en cas de pad privé avec son propre mot de passe au sein d’un groupe lui aussi contraint par mot de passe.
  • Résolution d’une anomalie à la première connexion après inscription, qui nécessitait que l’utilisateur recharge la page pour pouvoir continuer.
• Améliorations
  • Usage de l’en-tête HTTP Authorization pour que le client et le serveur s’échangent le jeton d’authentification plus discrètement lorsque cela était possible.
  • Invitation d’utilisateurs rendue plus efficace avec l’option d’utiliser un bloc texte, avec une adresse mail ou un identifiant par ligne.
  • Redirection, en cas d’accès direct à un pad restreint ou privé, vers l’interface MyPads (notamment pour y saisir le mot de passe).
  • L’envoi de mail à partir du serveur utilise la langue sélectionnée par l’utilisateur lors de la création de son compte, et s’il n’y en a pas eu, la langue par défaut que l’administrateur a choisi pour MyPads.
  • La possibilité, en cas de vérification des emails activée par l’administrateur, pour un nouvel inscrit qui aurait manqué son mail de confirmation (sa validité étant limitée dans le temps), de se le voir envoyer à nouveau par la procédure de récupération de mot de passe.
• Nouvelles fonctionnalités
  • Possibilité, pour l’administrateur MyPads d’interdire la création de pads en dehors de MyPads et son ajout dans l’interface d’administration de MyPads.
  • Migration de l’authentification de l’administrateur MyPads vers le nouveau système d’authentification et son système de jetons.
• Générales
  • Quelques améliorations de la traduction.
  • Et bien entendu une part non négligeable des tests unitaires et fonctionnels ont dû être adaptés à tous ces changements.

Ce qu’il reste pour la version stable

En dehors de nouvelles anomalies à corriger, il ne reste, pour annoncer la version stable, que :

• À améliorer la suppression des données du plugin. Aujourd’hui, si vous désinstallez MyPads depuis l’interface d’administration d’etherpad, toutes les données de MyPads sont supprimées. Il semblerait que ce comportement soit peut être trop radical et qu’il vaudrait mieux que les données ne soient effacées qu’après une action volontaire sous MyPads et non plus automatiquement à la désinstallation.
• Donner la possibilité à l’administrateur de fixer un temps de validité pour les jetons d’authentification.
• Ajouter davantage de traces pour le débogage au niveau du code serveur de MyPads.
• Retravailler les feuilles de style de manière à les rendre plus aisées à modifier.
• Améliorer globalement le style employé au sein du plugin.
• Optimiser le chargement du code JavaScript de MyPads en le rendant plus compact.
• Publier MyPads sur NPM de manière à ce qu’il soit installable directement depuis etherpad et non manuellement comme c’est le cas aujourd’hui.

Il est possible qu’une nouvelle fonctionnalité fasse exceptionnellement son apparition à la demande de Framasoft : l’envoi de mails groupés à ses listes d’utilisateurs pour faciliter le partage de groupes, pads publics ou sous mot de passe.

D’autres améliorations plus importantes sont prévues pour les versions ultérieures. Vous en trouverez trace dans notre espace gitlab et toute aide sera bienvenue pour les implémenter.

MyPads RC3

Two weeks after RC2, here is a new release candidate. Thank you all for testing, giving us feedback and suggestions. By means of these, we’ve improved Mypads and begun to plan future developments.

Changes from RC2

Here is a list of changes by chronological order :

• Web user interface
  • HTML5 input color render enhancement for pad author default color.
  • Icon addition on own groups list to be able to go more directly to group’s pads.
  • Replacement of ‘ASC’ and ‘DESC’ terms by up and down arrows for group ordering.
  • Window title updates according to user navigation.
  • Email emphasis to the detriment of logins into userlists creation, invitation…
  • Bad alignment fix for group blocks when there are many of them.
  • More meaningful icons depending on called actions (update, pad writing etc).
  • Duplication problem fix for users already invited.
  • Clean redirection with error message, in the Web client, if the group or pad is not found in database (scenario encountered for example when an element has been deliberately removed).
• Bugs and regressions
  • Fix for etherpad inability to create a pad when the name chosen under MyPads was too long (a regression that come from human readable identifiers).
  • Fix for an annoying bug which happens with restricted groups and some invitations, that ends to an impossible group view.
  • Fix for correct permission when a private pad has its own password into a password-protected group.
  • Fix for a bug right after subscription : it was abnormally needed to reload the page to be able to interact with the client.
• Improvements
  • HTTP Authorization header usage for a more discrete token exchange between client and server, when possible.
  • More efficient user invitation with an additional option : textarea block which one email address or login per line.
  • Redirection, from direct access to a restricted or private pad, to the MyPads interface (in particular to be able to enter a password).
  • Email sending from server now uses the selected language from the user or, if there is no, the default language chosen by the MyPads administrator.
  • In the case of emails check activated by the administrator, a fresh subscriber who have missed the confirmation mail (which validity expires), can have a new one from password recovery procedure.
• Features
  • The MyPads administrator can forbid pads creation outside from MyPads and the option can be managed from MyPads administration interface.
  • MyPads administration has been migrated from old cookie authentication to the new token-based one.
• Global
  • Translations enhancements.
  • And of course a significant part of unit and functional tests have been adapted to this changes.

Things to do before stable

Apart from new bugs to fix, the stable version only needs :

• To improve plugin data removal. At the moment, if you uninstall MyPads from etherpad plugins administration, all MyPads data is erased. It seems that this behavior to be too drastic. A better way may be to remove data only after an intentional action from MyPads administration and no more an automatic hook after uninstalling.
• Give the ability for the administrator to fix an expiration for authentication tokens.
• Add more debug traces for the server part of MyPads.
• Rework stylesheets in order to make them more readable and easy to update.
• Globally improve the used style for MyPads.
• Optimize JavaScript code loading by making it more compact.
• Publish MyPads on the NPM registry for allowing direct installation from etherpad plugins administration.

We would like to exceptionally add a new feature (asked by Framasoft): grouped emails sending to your user lists with the stated goal to make easier groups, pads shares.

Other features and improvements are expected for next versions. You can see some of them in our Gitlab space. Any help will be welcomed.

Dans notre volonté d’éducation populaire au Libre, il nous semble essentiel d’expliquer les rouages des géants du web (Google, Apple, Facebook, Amazon, Microsoft, alias « GAFAM »). Voilà pourquoi Framasoft a décidé de reprendre les prochains épisodes du « Guide du Connard Professionnel » un MOOC versé dans le domaine public.

Le dimanche, c’est Bastardise !

Scénarisé par Pouhiou et illustré par Gee (mais dont le narrateur serait un certain « Octave Geehiou ») , cette parodie empreinte d’un joyeux cynisme est un de ces projets annexes, potaches et exutoires, qui naissent lors de rencontres Framasoftiennes. Vous pouvez découvrir et télécharger les anciens épisodes sur le site (hébergé par Framasoft ^^) à l’URL inénarrable : www.connard.pro…

Nous ne reprendrons sur le Framablog que l’épisode de cette quinzaine (et des quatre suivantes) qui s’attaquent au quinté GAFAM (dans le désordre).

Nous vous souhaitons donc un bon dimanche de Connards 😉 !

Épisode 18 – Rappeler qui est le maître (GAFAM 1/5)

Les objets nous possèdent. Bien entendu, quand je parle de nous, je parle des autres. Ceux qui sont assez stupides pour abandonner cette vérité aux moines bouddhistes et aux hippies san franciscains : les objets nous possèdent, parce que les Connards y veillent. C’est une danse de tous les instants, un équilibre à trouver dans cette relation maître-esclave que nous nous plaisons à renommer « dessein de l’expérience utilisateur » ou « UX Design » en bon novlangue. L’informatique personnelle est le champ d’expression de tous nos recherches en Bastardises. Par exemple avant l’USB, votre vie ressemblait à ça :

Puis est arrivé l’USB. Imprimante, souris, webcam, scanner, clavier, PDA, GPS, MP3, téléphone…

Un câble pour les brancher tous.

Un câble pour les relier.

Un câble pour les connecter tous et dans l’insertion vous faire chier, au pays des connards où s’étendent les profits.

Car si l’USB (ou son cousin le HDMI) vous parait si pratique, il nous a tout de meme fallu le créer avec un défaut de conception qui vous remette à votre place de client pas doué et impuissant : le fameux effet « gna j’arrive pas à le brancher, je retourne et mince c’est à l’envers, je re-retourne et cette fois ça y est. »

Mieux que l’obsolescence programmée, l’impuissance programmée est la marque d’un système qui vous offre des récompenses futiles en échange de votre servitude. Car l’USB n’était qu’une première étape de cet éducation populaire à la servitude. Pour qu’un objet vous possède vraiment, il faut le concevoir  tellement fun, cool, hype, kawaii et swag que vous ne vous rendrez meme pas compte que vous n’en avez plus la maîtrise. Comme le dit l’adage d’un grand Connard : « Bâtir un empire sur l’impuissance programmée, c’est possible : il y a une application pour ça. »

L’impuissance programmée est une question de mesure, de rythme. Tout se joue dans la progression. Il faut d’abord donner du « pratique » à votre cible (le pigeon-client de classe moyenne qui ne peut consacrer son temps à apprendre et qui va donc consacrer son argent à en avoir plus rien à foutre). Cette ergonomie, il faut la voir comme le lubrifiant qui fera passer votre maitrise de plus en plus grosse, de plus en plus profonde. Jusqu’à ce qu’enfin, vous possédiez le client sans même qu’il ne s’en aperçoive.

Le summum actuel de l’impuissance programmée est l’assistante personnelle (disponible en voix masculine pour 0.99 € ou en voix de Yoda à 3.99 €) qui répond à toute les demandes vocales que vous lui ferez. il n’est même plus besoin de tapoter sa requête, votre machine vous répond à la voix… Cette bastardise est si prisée que toute la concurrence s’y est mise. Sans trahir le secret professionnel, je puis vous assurer que cet engouement des géants de l’informatique pour les assistant vocaux n’est pas une volonté d’offrir un meilleur service… Oui, c’est pratique, mais cela ne suffit pas. Afin de vous habituer à l’utiliser, les connards professionnels qui l’ont conçue ont eu le génie d’y programmer quelques traits d’humour.

Téléchargez le pdf de l’épisode

Et rendez-vous dans 15 jours pour la suite !

Rappel des épisodes précédents : MyPads est un « plugin » qui permet à notre service en ligne Framapad (un outil en ligne de rédaction collaborative), d’organiser ses documents.
Pour savoir de quoi il retourne : http://fr.ulule.com/etherpad-framapad/
Cet article sur le Framablog est l’avant-dernier d’une longue série présentant les avancées du développement de ce plugin. Voir https://framablog.org/tag/mypads/
Ainsi, cet article est (volontairement) plutôt technique, et non un article généraliste plutôt dédié au grand public comme habituellement sur le Framablog.

La première version admissible – Release Candidate – est sortie il y a dix jours. Un grand merci à ceux qui ont pris la peine de la tester et de nous faire des retours. Ces derniers ont conduit à une seconde version admissible.

Changements depuis la RC1

Depuis le début de la semaine dernière et les premiers échanges :

• Jusqu’ici tous les éléments de MyPads étaient dotés d’un identifiant unique aléatoire généré par la bibliothèque cuid. Efficaces et ordonnés, les identifiants ainsi générés avaient pour défaut principal d’être trop peu visuels et compréhensibles pour un usage en adresse web. Il a ainsi été décidé de passer à une génération empreinte de davantage de sens.
  Par exemple, un groupe nommé Affaires classées 312 aura maintenant pour identifiant affaires-classees-312-xxxxxxx. Les derniers caractères restent cependant aléatoires afin de ne pas imposer l’usage de noms uniques lors de la création dans toute l’instance. Ont été impactés par ce changement les groupes, pads, utilisateurs et listes d’utilisateurs.
• L’email était d’ores et déjà obligatoire pour la création d’un compte utilisateur. Pourtant, il n’était pas forcément unique en base de données : seuls les identifiants devaient l’être. Ce choix avait été fait pour permettre de créer plusieurs comptes sur une même adresse mail. Nous avons souhaité revenir sur cet état de fait et de rendre les adresses elles aussi uniques, ce qui nous permet dorénavant :
  • au niveau des groupes restreints, d’inviter des utilisateurs ou de partager avec eux l’administration de ces groupes via leurs adresses email en plus de leurs identifiants;
  • pour le module de listes utilisateurs, également les emails en plus des identifiants;
  • enfin, le recouvrement de mot de passe se fait maintenant par la saisie de l’adresse email.
• Lorsque vous invitez des utilisateurs, vous êtes maintenant plus clairement informés concernant ceux pour qui l’opération a réussi et ceux pour qui ce n’est pas le cas.
• L’ensemble des éléments de MyPads possède aujourd’hui un champ contenant leur date de création, pour un tri plus fiable au sein de l’application.
• Un bug gênant introduit par le changement récent de méthode d’authentification a été corrigé : en effet, un certain nombre de modifications concernant les comptes utilisateurs, par exemples les favoris, n’étaient pas reflétées au niveau du cache serveur, ce qui entrainait la perte des informations après un rafraîchissement manuel de la page.
• Des correctifs concernant les traductions.
• Une partie non négligeable des tests unitaires et fonctionnels ont dû être adaptés suite à ces modifications.

La suite

À court terme il est toujours important que cette seconde version admissible soit massivement testée et que les anomalies rencontrées puissent être rapportées dans notre espace Gitlab.

Vous pouvez maintenant tester cette version (dont seules quelques améliorations nous séparent de la version définitive) à l’adresse : https://mypads.framapad.org

Comme nous considérons l’application suffisamment stable, nous ne supprimerons à priori pas les données des pads créés à cette adresse (cependant, nous ne pouvons pas le garantir de façon absolue).

Note importante : si vous utilisez de comptes privés sur l’ancienne version d’Etherpad, nous vous invitons dès aujourd’hui à copier-coller le contenu de vos anciens pads dans de nouveaux pads créés pour l’occasion sur https://mypads.framapad.org

MyPads RC2

The first MyPads release candidate version has been published more than a week ago. A big thank you to those who have spent some time to test and formalize some feedback. The latter have brought us to the second release candidate.

Changes from RC1

From the beginning of last week and first issues reported :

• Until now all the MyPads elements had an unique random identifier, generated by the cuid library. Efficient and ordered, theses identifiers had a main problem : being no human readable for an URL usage. It has been decided to move to a more meaningful generation.
  For example, a group named Classed cases 312 now have for identifier classed-cases-312-xxxxxxx. The last characters are random in the purpose to not command unique names at creation across the whole instance. This change impacts groups, pads, users and and user lists.
• Email has already been required for user account creation. However, uniqueness into database was not enforced : only the logins were. This choice has been made in order to allow multiple accounts creation with a same email. We have chosen to revisit our opinion and now MyPads requires unique email addresses, which allows :
  • for restricted groups, user invitation or administration sharing from email address in addition to their login;
  • in the user lists module, emails and logins too;
  • last, password recovery now ask for email address.
• From now on user invitation, you are more clearly informed about those for who the operation has succeeded and those where it has failed.
• All MyPads elements now handle a creation date field, allowing a more reliable ordering inside the application.
• An annoying bug has been introduced with the recent authentication method change and has been fixed : actually number of changes around accounts, like bookmarks, were not reflected at the server cache level, and had for consequence data loss after manual reloading of the page.
• Some corrections for translations.
• A significant part  of unit and functional tests had to be adapted after these modifications.

Suite

Short-term it’s still important for this RC2 to be massively tested and that the encountered bugs can be reported into our Gitlab.

You can try this version (only few changes before final) here : https://mypads.framapad.org

As we consider the application stable enough, in principle we won’t remove data for pads and groups created at this domain (even so, we can’t absolutely guarantee that).

important note : if you have used private accounts on the old Etherpad version at Framapad, we invite you, as soon as possible, to copy paste your old pads content into new pads created on https://mypads.framapad.org

Après deux semaines de tests sur la bêta 2, nous atteignons aujourd’hui un nouveau palier et n’avons jamais été aussi proches de la version stable : nous vous présentons aujourd’hui MyPads version admissible (release candidate).

Derniers travaux réalisés

Depuis le point du 30 juillet :

• Comme prévu, la gestion de l’envoi de mails depuis MyPads avec
  • au souhait de l’administrateur, la vérification des adresses mails avant activation du nouvel inscrit;
  • une procédure de recouvrement de mot de passe;
  • la génération de jetons dont la validité est limitée dans le temps pour ces deux actions;
  • côté administration la configuration du serveur SMTP qui sera employé pour l’envoi des mails.
• La possibilité de fournir des paramètres propres à chaque pad. Par exemple, dans un groupe sur invitation, il est dorénavant possible d’y créer un pad public ou en lecture seule. Dans un groupe protégé par mot de passe, vous pouvez créer un pad qui aura son propre mot de passe etc. Par défaut le comportement reste le même, à savoir que les pads héritent des propriétés de leur groupe parent.
• L’ajout d’un champ facultatif de description pour chaque groupe.
• Un certain nombre de corrections concernant les visibilités publiques et par mot de passe, notamment lorsque les pads ont des options différentes des groupes auxquels ils sont rattachés.
• Quelques améliorations concernant les traductions.

Plus récemment, une refonte conséquente de l’authentification a du être entreprise. L’un des plugins d’etherpad, dont nous avions parlé en semaine 17, a la fâcheuse tendance à empêcher le fonctionnement de MyPads. Ce comportement s’est avéré aléatoire en fonction de la base de données utilisée par l’instance et le temps que celle-ci mettait à répondre après le lancement d’etherpad. Il faut dire que les plugins etherpad sont lancés suite à un événement global et que nous ne pouvons à notre connaissance pas contrôler leur ordre de lancement. Pour passer outre, il a fallu initialiser MyPads plus tôt, ce qui a empêché ce dernier de se brancher sur le système de sessions utilisé d’etherpad. C’est pourquoi, afin de garantir un fonctionnement sans conflit, il a été nécessaire de passer d’un système d’authentification simple en local vers un système à jetons,  JSON Web Token, mais toujours au travers de la bibliothèque passportjs.

L’aboutissement

Cela fait un peu plus d’un an que le projet MyPads a été financé. Le développement, dont le début était prévu pour novembre, a été reculé à février de cette année et la charge de travail initialement prévue a été largement dépassée, en partie en raison d’une mésestimation du travail nécessaire pour créer un tel plugin pour Etherpad (ce type d’extension étant rare) et de bonus vis à vis du cahier des charges initial, ajoutés gracieusement par le prestataire. Ce dernier s’étant engagé, le dépassement est resté à sa charge et le plugin ne coûtera pas davantage que ce qui était prévu. Notez que Framasoft n’a de son côté pas souhaité appliquer des pénalités pour les retards constatés (MyPads, une fois le développement repris en février, devait être publié avant la fin du mois d’avril).

Quelques chiffres : MyPads, c’est aujourd’hui un peu plus de 13.000 lignes pour 10.000 lignes de code. Les deux tiers de ce total sont consacrés aux tests unitaires et fonctionnels du plugin. En tout, le logiciel aura vu passer un peu moins de 80.000 lignes – ajouts et suppressions – dont une faible partie provient des dépendances et le reste de refactorisations du code.

De nouvelles tâches sont prévues pour les mois à venir mais il ne devrait plus y avoir d’ajout avant la version stable et la mise en production sur les serveurs de Framasoft.

Testez

Merci à ceux qui ont déjà fait l’effort de tester MyPads. Pour cette toute dernière ligne droite, nous avons à nouveau besoin de vous. MyPads a été installé sur notre instance bêta. Plus cette version sera utilisée et plus les anomalies rencontrées seront rapportées, moins il y aura de mauvaises surprises pour le déploiement et l’utilisation par tous. Ceci est prévu dans à peine quelques semaines.

MyPads : release candidate

After two weeks of beta 2, today we reach another step and we’ve never been so close to release: here we have MyPads RC – release candidate.

Last progress

Since our last point:

• As planned, email sending management into MyPads with
  • as the administrator desires, email addresses checking before subscriber account activation;
  • password recovery procedure;
  • token generation with a time limited validity for both actions;
  • on the plugin administration,  SMTP server configuration.
• The ability to opt for pad personal parameters. For example, in a restricted group, it is now possible to create a public pad  or a readonly one. In a password-protected group, you can add a pad with its own password etc. By default, behavior stays as before : pads inherit their properties from their parent group.
• An optional description field for each group had been added.
• Some bugs around public and private visibility have been fixed, in particular when pads have their own properties.
• Some enhancements on translations.

Recently, a substantial rewriting of the authentication system has been made. One of the etherpad plugins, which we talk about into week 17 point, has a nasty tendency to prevent MyPads to work. This behavior has been randomly experienced, depending on the database used by the instance and the time it needs to setup after etherpad launch. Etherpad plugins are called through a global event and we can not, as far as we know, control their order. To disregard, we had to setup MyPads sooner, what prevents it to correctly plug with the session system used by etherpad. That’s why we decide, to secure functioning, to migrate from a simple local authentication to a token system, JSON Web Token, but still with the help of the passportjs library.

Completion

MyPads crowdfunding campaign has ended more than a year ago. Development, which has been initially expected on November, has been delayed to February and the predictable workload has been overstepped to a great extent. Reasons include a wrong initial estimation of needed work to create such a plugin (this kind of extension is rare into etherpad ecosystem) and some bonus features regarding the specifications; features added free of charge. The contractor has been engaged to complete the plugin, so the overload is on him and the plugin won’t cost more than expected. Note that Framasoft has not wanted to apply some fees for the delays (MyPads, once the development starts again in February, has been announced to be published before the end of April).

Some numbers : MyPads today represents a little more than 13,000 lines for 10,000 lines of code. Two thirds has been dedicated to unit and functional testing. In all, the plugin has regrouped a bit less than 80,000 lines – additions and deletions – including a little part from dependencies and mainly code refactorizations.

New features are planned next monthes but it won’t be any addition before stable version and deployment on the Framasoft and Framapad servers.

Tests

Thanks to all who have already took some time to test MyPads. For this last home straight, we need you, again. MyPads has been installed on our beta instance. More this version will be used and bugs will be reported, less we got bad surprises in a few weeks, when MyPads will be published and installed publicly.

Le dernier point concernant MyPads remonte au début du mois. Il était donc temps de donner des nouvelles. Au menu : seconde, et sans doute dernière, bêta mais aussi des avancées significatives.

Ces dernières semaines

La liste des tâches réalisées est la suivante :

• Quitter un groupe de pads : dans le cadre des groupes sur invitation, la possibilité de quitter un groupe, pour un administrateur s’il n’est pas le seul administrateur ou pour tout autre utilisateur.
• Les listes d’utilisateurs : chaque personne disposant d’un compte peut créer des listes d’utilisateurs, lesquelles regroupent, à partir de leurs identifiants, d’autres inscrits à l’instance MyPads. Cela est surtout utile lorsque vous créez un groupe et que vous voulez soit partager l’administration de ce groupe soit dans le cadre d’un groupe restreint, inviter des inscrits à celui-ci. Vous pouvez maintenant ajouter une liste complète d’inscrits au lieu de le faire personne après personne.
• L’accès aux groupes et pads dont vous n’êtes pas utilisateur ni administrateur, avec ou sans compte :
  • Les groupes publics : l’adresse Web suffit.
  • Ceux protégés par mot de passe : l’adresse Web saisie, le mot de passe est demandé avant affichage des informations.
  • Les données visibles sont filtrées par rapport à un groupe restreint : il n’y a par exemple pas les informations sur les administrateurs du groupe de pads.
  • Pour faciliter le partage des liens, des boutons de partage sont disponibles un peu partout.
• Le tri des listes de groupes et des listes de pads. Par défaut, ceux-ci sont rangés par ordre de création. Il est dorénavant possible d’opter pour un tri par nom, dans les deux sens.
• Le module de configuration de MyPads
  • Avec un couple identifiant / mot de passe qui emploie celui de l’administration de l’instance Etherpad ;
  • Lequel permet la gestion des paramètres de MyPads : titre à afficher, taille des mots de passe, paramètres d’envoi de mail…
  • Mais aussi la gestion des utilisateurs : après une recherche par identifiant, il est possible pour les administrateurs de modifier un profil, de changer un mot de passe ou encore de supprimer un compte.
• Et bien entendu les classiques correctifs et autres petites améliorations.

Fonctionnellement, avant la version stable, il ne reste plus qu’à terminer la gestion de l’envoi des mails par serveur SMTP et ce qui en découle : vérification, selon les souhaits de l’administrateur de l’instance, des adresses mail saisies à l’inscription et récupération de mot de passe pour les utilisateurs.

MyPads recherche testeurs

Maintenant que MyPads est quasiment terminé, il est important que nous disposions de vos retours et de personnes testant la solution afin que nous puissions envisager un passage en production.
Pour rappel, la dernière version de MyPads est mise en place à cette adresse. Attention, car il s’agit d’une adresse de démonstration et les données y sont régulièrement supprimées. Si possible, merci d’utiliser notre instance Gitlab pour effectuer vos retours, notamment les anomalies que vous pourriez rencontrer.

MyPads : beta2

Last point about MyPads development has been done at the beginning of the month. It’s time to give you some fresh news. Here you’ll find : the second, and probably the last, beta version as well as significant progress.

Last weeks

Tasks which have been done :

• Group leaving : in the context of restricted groups, the ability to quit a group, for a non-unique administrator or for any invited user.
• Userlists : everyone who own an account can now create lists of users. They regroup, by their login, other MyPads node subscribers. This is mainly useful when you create a new group and want either sharing its administration or invite users to participate. You can now add a complete list of users instead of only adding them one by one.
• Groups and pads access, even if you are not user or administrator, with or without an account :
  • Public groups : you only need the URL.
  • Password protected groups : once the Web address is reached, the password will be asked before displaying any useful information.
  • Visible data is then filtered : for example, for guests there are no details about administrators.
  • To make sharing easier, share buttons are available on many pages.
• Groups and pads ordering. By default, they are ordered by creation. You can now choose a name order, in both directions.
• MyPads configuration module
  • With user/password that match Etherpad node administrators ;
  • From where you can handle MyPads settings : title, password sizes, mail sending parameters…
  • And also users management : after a research by login, administrators can update a profile, change a password or remove an account.
• And of course small fixes and improvements.

About features, before stable version, there are very few things left : finish the mail sending module and then what will be result from : email verification, according to the option checked or not by the admin, and password recovery for users.

MyPads need beta testers

Now that MyPads is almost done, it matters that we can have feedback and people who test the plugin before we deploy it. Please remember that the last MyPads version is available here. Be careful : it’s a demo and data is frequently trashed. If possible, thank you to use our Gitlab website to give us your feedback, particularly bugs you may encounter.

Dans cette dernière partie, Eben Moglen nous donne quelques pistes pour protéger nos données personnelles.

Source : The Guardian, Privacy under attack: the NSA files revealed new threats to democracy

Traduction : Thérèse, fatalerrors (Geoffray Levasseur), goofy, audionuma, Diab, Paul, Omegax, lumi

L’incessante poursuite du profit qu’engendre l’extraction de données par tous les moyens légaux imaginables a causé une dévastation environnementale. Personne n’a jamais imposé les contraintes qui auraient dû exister dans l’intérêt de la protection contre la dégradation de l’environnement.

On a tendance à condamner le partage à outrance. On entend souvent dire que le véritable problème de la vie privée est que les enfants vont bien trop loin dans le partage. Quand vous démocratisez un média, ce que nous sommes en train de faire avec le Net, les personnes ordinaires auront naturellement tendance à en dire plus qu’elles ne l’ont jamais fait. Ce n’est pas un problème. Dans une société libre, les gens devraient être protégés dans l’exercice de leurs droits à en dire autant ou aussi peu qu’ils le souhaitent.

Le véritable problème est que nous sommes en train de perdre l’anonymat de la lecture, ce pour quoi personne n’a signé.

Nous avons perdu la capacité de lire anonymement, mais cette perte nous est dissimulée à cause de la manière dont nous avons construit le web. Nous avons donné au public des programmes appelés « navigateurs » que tout le monde peut utiliser, mais nous avons fait des « serveurs web » dont seuls les geeks peuvent faire usage — très peu de gens ont eu un jour l’occasion de consulter le journal d’un serveur web. C’est un immense échec de l’éducation à la technologie pour notre société, comme si l’on dissimulait aux enfants ce qui se passe quand des voitures entrent en collision et que les passagers ne portent pas de ceinture de sécurité.

Nous n’expliquons pas aux gens comment le journal d’un serveur web enregistre en détail l’activité des lecteurs, ni même combien on peut en apprendre sur eux simplement en sachant ce qu’ils lisent, et comment. À partir de ces journaux, vous pouvez savoir combien de temps chaque lecteur passe sur une page, comment il la lit, où il se rend ensuite, ce qu’il fait ou recherche à partir de ce qu’il vient de lire. Si vous pouvez rassembler toutes les informations qu’il y a dans ces journaux, alors vous commencez à posséder ce que vous ne devriez pas avoir.

Sans anonymat de la lecture il n’y a pas de liberté de l’esprit. C’est en effet littéralement l’esclavage. L’abolitionniste Frederick Douglass a écrit que la lecture était le chemin menant de l’esclavage à la liberté. Lorsqu’il décrit son propre cheminement dans ses mémoires, Douglass se souvient que lorsque l’un de ses propriétaires l’empêche de lire, « j’ai alors compris ce qui avait été pour moi une grande source de perplexité — à savoir, le pouvoir de l’homme blanc à asservir l’homme noir. » Et si chaque livre ou journal qu’il avait touché l’avait signalé ?

Si vous avez un compte Facebook, Facebook surveille chaque instant que vous y passez. Mais plus important encore, chaque page visitée contenant un bouton « J’aime » informera Facebook que vous avez lu cette page, que vous cliquiez sur ce bouton ou non. Si le journal que vous lisez chaque jour contient un bouton « J’aime » de Facebook ou les boutons de services similaires, alors Facebook ou les autres services vous regardent lire le journal : ils savent quels articles vous avez lus et combien de temps vous avez passé dessus.

Chaque fois que vous twittez une URL, Twitter la raccourcit pour vous. Mais il s’arrange aussi pour que toute personne cliquant dessus soit surveillée par Twitter pendant qu’elle lit. Vous n’aidez pas seulement des gens à savoir ce qu’on trouve sur le Web, vous aidez aussi Twitter à lire par-dessus l’épaule de toutes les personnes qui lisent tout ce que vous recommandez. Ce n’est pas transactionnel, c’est écologique. C’est une destruction environnementale de la liberté de lire des autres personnes. Votre activité est conçue pour les aider à trouver les choses qu’elles veulent lire. L’activité de Twitter est de travestir aux yeux de tous la surveillance de la lecture qui en résulte.

Nous avons permis à ce système de grandir si rapidement autour de nous que nous n’avons pas eu le temps d’en comprendre les implications. Une fois que ces implications ont été bien pesées, les gens qui comprennent n’ont pas envie de parler, parce qu’ils ont un avantage et que cet avantage est dirigé contre vous. Puis la surveillance commerciale attire l’attention des gouvernements, avec deux résultats dont Snowden nous a apporté la preuve : la complicité et le vol qualifié.

Aussi pratiques, voire nécessaires, que leurs services puissent nous paraître, faute d’arriver à regagner la confiance de leurs clients, ils sont fichus.

Les entreprises spécialisées dans l’extraction de données croyaient, disaient-elles, qu’elles étaient simplement dans une situation de complicité avec le gouvernement. Après avoir créé des structures technologiques dangereuses qui fouillaient vos données personnelles, elles pensaient qu’elles étaient simplement engagées dans des négociations secrètes sur la quantité qu’elles devaient en livrer. C’était, bien sûr, un jeu où s’entremêlaient avidité et peur.

En gros, ce que les entreprises américaines d’extraction de données croyaient, ou voulaient nous faire croire qu’elles croyaient jusqu’à ce que Snowden les réveille, était qu’à travers leur complicité elles avaient obtenu l’immunité pour leurs vols qualifiés. Mais nous avons maintenant appris que leur complicité ne leur a rien rapporté. Elles nous ont vendu pour moitié, et le gouvernement a volé le reste. Elles ont découvert que ce qu’elles attendaient de l’honnêteté des grandes oreilles américaines, NSA et autres agences, elles étaient très loin de l’avoir obtenu. À l’évidence, l’attitude des grandes oreilles se résumait à : « Ce qui est à nous est à nous et ce qui est à vous est négociable… à moins que nous ne l’ayons d’abord volé. »

De même que l’industrie mondiale de la finance, les grandes entreprises d’extraction de données ont pris les promesses des grandes oreilles américaines trop au sérieux. C’est en tout cas l’interprétation charitable qu’on peut donner de leur conduite. Elles pensaient qu’il y avait des limites à ce que ferait le pouvoir.

Grâce à Snowden, que ce soit pour les extracteurs de données ou pour les grandes oreilles américaines, la situation n’est plus contrôlable politiquement. Ils ont perdu leur crédit, leur crédibilité, aux yeux du monde. Aussi pratiques, voire nécessaires, que leurs services puissent nous paraître, faute d’arriver à regagner la confiance de leurs clients, ils sont fichus.

Les problèmes environnementaux — tels le changement climatique, la pollution de l’eau, l’esclavage ou la destruction de la vie privée — ne se résolvent pas par des transactions entre individus. Il faut une union pour détruire l’esclavage. De même, l’essence de notre difficulté est l’union ^[1].

Cependant, une des caractéristiques des grands extracteurs de données est qu’il n’y a pas d’union des travailleurs, de syndicat, en leur sein ni autour d’eux. Ce sont maintenant des entreprises publiques, mais l’union des actionnaires ne contrôle pas efficacement les méfaits environnementaux qu’elles commettent. Ces entreprises sont d’une opacité remarquable en ce qui concerne leurs activités réelles et elles sont si profitables que les actionnaires ne tueront jamais la poule aux œufs d’or en remettant en cause l’éthique de leurs méthodes commerciales. Dans ces entreprises, un petit nombre d’individus puissants contrôle tous les votes ayant un effet concret ; la main d’œuvre n’a pas de voix collective.

Snowden a toujours été clair sur le fait que le remède à cette destruction environnementale est la démocratie. Mais il a aussi fait remarquer à plusieurs reprises que partout où les travailleurs ne peuvent pas s’exprimer et n’ont pas de voix collective, le droit du public à l’information n’est pas protégé. Quand il n’y a pas de voix collective pour ceux qui sont au sein de structures qui trompent et oppriment le public, alors quelqu’un doit agir courageusement de son propre chef.

Avant Auguste, les Romains de la république finissante savaient que le secret du scrutin était essentiel aux droits du peuple. Mais dans tous les pays du monde où se déroulent des élections dignes de ce nom, Google sait comment vous allez voter. Il est déjà en train de façonner votre paysage politique, dans vos fils d’actualité personnalisés, en fonction de ce que vous voulez lire, de qui vous êtes et de ce que vous aimez. Non seulement il sait comment vous allez voter, mais il vous aide en outre à vous conforter dans votre décision de voter ainsi — à moins qu’un autre message n’ait été acheté par un sponsor.

Sans anonymat de la lecture, il n’y a pas de démocratie. Je veux dire, bien sûr qu’il n’existe pas d’élection juste et libre, mais de manière plus fondamentale, je veux dire qu’il n’existe même plus d’autogouvernance libre.

Et nous sommes toujours très mal informés parce qu’il n’y a pas de syndicat cherchant à mettre en lumière les problèmes éthiques chez les extracteurs de données et que nous avons trop peu de Snowden.

L’avenir des extracteurs de données n’est pas le même pour tous. Google en tant qu’organisation s’est interrogé dès le début sur les implications éthiques de ses activités. Larry Page et Sergey Brin, les fondateurs de Google, ne sont pas tombés par hasard sur l’idée qu’ils avaient une obligation particulière à ne pas faire le mal. Ils comprenaient les dangers potentiels inhérents à la situation qu’ils créaient.

Il est techniquement possible pour Google de faire de Gmail un système véritablement sûr et respectueux du secret de la correspondance, quoique non anonyme. Les messages pourraient être chiffrés — en utilisant des clés publiques dans un réseau de confiance — au sein même des ordinateurs des utilisateurs, dans les navigateurs. Les messages stockés chez Google pourraient être chiffrés à l’aide d’algorithmes dont seul l’utilisateur et non Google posséderait les clés.

Google aurait à renoncer aux maigres profits de Gmail, mais ses actions seraient cohérentes avec l’idée qu’Internet appartient à ses utilisateurs à travers le monde. À long terme, il est bon pour Google de montrer, non seulement qu’il croit en cette idée, mais aussi qu’il agit en conséquence, car c’est la seule manière de regagner la confiance des utilisateurs. Il y a beaucoup de personnes réfléchies et dévouées chez Google qui doivent choisir entre faire ce qui est bon et sonner l’alarme sur ce qui ne l’est pas.

La situation chez Facebook est différente. Facebook opère une mine à ciel ouvert de la société humaine. Scruter tout ce que chacun partage dans sa vie sociale en ligne et instrumentaliser le web pour surveiller tout ce que chacun lit en dehors du système est intrinsèquement immoral.

Mais de Facebook, nous n’avons besoin de rien d’autre que de vérité dans sa communication. Nul besoin de règles, de sanctions ni de lignes directrices. Nous avons seulement besoin de vérité. Facebook devrait s’incliner et dire à ses utilisateurs ce qu’il fait. Il devrait dire : « Nous vous observons à chaque instant que vous passez ici. Nous regardons chacun des détails de ce que vous faites. Nous avons mis le Web sur écoute avec des boutons “J’aime” qui nous informent automatiquement de ce que vous lisez. » À chaque parent, Facebook devrait dire : « Vos enfants passent des heures chaque jour avec nous. Nous les espionnons bien plus efficacement que vous ne serez jamais capables de faire. Et nous ne vous dirons jamais ce que nous savons d’eux. »

Rien que cela, juste la vérité. Ce serait suffisant. Mais la bande qui fait tourner Facebook, cette petite poignée de personnes riches et puissantes ne s’abaissera jamais au point de vous dire la vérité.

Mark Zuckerberg a récemment dépensé 30 millions de dollars pour acheter toutes les maisons autour de la sienne à Palo Alto en Californie — parce qu’il a besoin de davantage de vie privée. Cela vaut pour nous aussi. Nous devons manifester des exigences semblables en faveur de notre vie privée, aussi bien auprès des gouvernements que des entreprises.

Les gouvernements, comme je l’ai dit, doivent nous protéger de l’espionnage des gouvernements étrangers et doivent assujettir leurs propres écoutes domestiques aux règles établies par la loi. Les entreprises, pour regagner notre confiance, doivent être honnêtes sur leurs pratiques et leurs relations avec le pouvoir. Nous devons savoir ce qu’elle font réellement afin de décider si nous acceptons ou non de leur confier nos données.

Une grande confusion a été créée par la distinction entre données et métadonnées, comme s’il y avait une différence et que l’espionnage des métadonnées était moins grave. L’interception illégale du contenu d’un message viole le secret de son contenu. L’interception illégale des métadonnées du message viole votre anonymat. Ce n’est pas moins grave, c’est différent et la plupart du temps, c’est plus grave. En particulier, la collecte des métadonnées viole l’anonymat de la lecture. Ce n’est pas le contenu du journal que Douglass lisait qui posait problème ; c’était que lui, un esclave, ait eu l’audace de le lire.

Le président peut s’excuser auprès des citoyens pour l’annulation de leur police d’assurance maladie, mais il ne peut se contenter d’excuses au peuple pour l’annulation de la Constitution. Quand vous êtes président des États-Unis, vous ne pouvez pas vous excuser de ne pas être du côté de Frederick Douglass.

Neuf votes à la Cour suprême des États-Unis peuvent remettre nos lois d’aplomb, mais le président des États-Unis possède l’unique vote qui importe en ce qui concerne la fin de la guerre. Car toute cette destruction de la vie privée par le gouvernement, organisée par-dessus un désastre écologique encore plus étendu causé par l’industrie, tout cet espionnage, c’est un truc de temps de guerre. Le président doit arrêter la guerre qui fait rage au sein du Net et nous dépossède de nos libertés civiles sous prétexte de vouloir priver d’asile les étrangers mal intentionnés.

Un homme qui apporte à la démocratie les preuves de crimes contre la liberté est un héros. Un homme qui vole la vie privée des sociétés humaines à son profit est un malfaiteur. Nous avons suffisamment d’infamie et pas assez d’héroïsme. Nous devons dénoncer cette différence de manière assez vigoureuse pour encourager d’autres personnes à faire ce qui est juste.

Nous avons vu qu’avec un acharnement digne des opérations militaires les grandes oreilles américaines sont engagées dans une campagne contre la vie privée du genre humain. Elles compromettent le secret, détruisent l’anonymat et nuisent à l’autonomie de milliards de personnes.

Elles font tout ceci parce qu’une administration américaine extraordinairement imprudente leur a attribué une mission – après avoir échoué à prévenir une attaque très grave de civils sur le territoire national, en grande partie à cause de sa négligence des mises en garde – en décrétant qu’elle ne serait plus jamais placée dans une situation où « elle aurait dû savoir ».

Le problème fondamental était le manque de discernement des politiques, pas celui des militaires. Quand des chefs militaires se voient assigner des objectifs, ils les atteignent au prix de tout dommage collatéral qu’on ne leur a pas explicitement demandé de ne pas dépasser. C’est pourquoi nous considérons le contrôle civil sur les forces armées comme une condition sine qua non de la démocratie. La démocratie exige également que les citoyens soient informés.

Le peuple des États-Unis ne veut pas devenir la police secrète du monde

Sur ce sujet, Snowden est d’accord avec Thomas Jefferson [auteur principal de la Déclaration d’indépendance américaine], ainsi qu’avec presque toutes les autres personnes qui ont un jour sérieusement réfléchi au problème. Snowden nous a montré l’extraordinaire complicité entre tous les gouvernements. Ils nous a montré, en d’autres termes, que les politiques souhaitées par les peuples sont partout délibérément contrariées par leurs gouvernements. Ce que veulent les peuples, c’est être protégés contre l’espionnage d’origine étrangère ; ils veulent aussi que les activités de surveillance menées par leur propre gouvernement pour assurer la sécurité nationale soient conduites sous l’examen minutieux et indépendant qui caractérise l’État de droit.

Par ailleurs, le peuple des États-Unis n’est pas prêt à abandonner son rôle de porte-drapeau de la liberté dans le monde. Il n’est pas prêt à se lancer à la place dans la dissémination des procédures du totalitarisme. Nous n’avons jamais voté pour cela. Le peuple des États-Unis ne veut pas devenir la police secrète du monde. Si nous avons dérivé dans cette direction parce qu’une administration imprudente a donné le pouvoir aux militaires, il est temps pour le peuple américain d’exprimer son opinion démocratique et sans appel ^[2].

Nous ne sommes pas les seuls au monde à avoir des responsabilités politiques exigeantes. Le gouvernement britannique doit cesser d’affaiblir les libertés civiles de son peuple et doit cesser d’utiliser son territoire et ses infrastructures de transport comme auxiliaires du mauvais comportement des forces armées américaines. Et il doit cesser de priver la presse de sa liberté. Il doit cesser de mettre sous pression les rédactions qui cherchent à informer le monde des menaces sur la démocratie, alors qu’il se montre assez compréhensif pour les éditeurs qui espionnent les familles de petites filles assassinées.

La chancelière allemande doit arrêter de parler de son téléphone mobile et commencer à s’exprimer sur la question de savoir s’il est bon de livrer tous les appels téléphoniques et tous les SMS d’Allemagne aux États-Unis. Les gouvernements qui sont régis par des constitutions protégeant la liberté d’expression doivent se demander, de toute urgence, si cette liberté continue à exister quand tout est espionné, surveillé, écouté.

Outre faire de la politique, nous devons absolument légiférer. Défendre l’État de droit est toujours un travail de juriste. En certains lieux, ces juristes auront besoin d’être extrêmement courageux ; partout ils devront être bien entraînés ; partout ils auront besoin de notre soutien et de notre implication. Mais il est également clair que soumettre les écoutes gouvernementales à l’autorité de la loi n’est pas le seul travail qui attend les juristes.

Comme nous l’avons vu, les relations entre les grandes oreilles militaires aux États-Unis, les grandes oreilles ailleurs dans le monde et les grandes entreprises d’extraction de données sont trop complexes pour être sans danger pour nous. Les révélations de Snowden ont montré que les géants américains de l’extraction de données ont été intimidés, séduits mais aussi trahis par les oreilles. Cela n’aurait pas dû les surprendre, mais ils l’ont apparemment été. Beaucoup d’entreprises gèrent nos données ; la plupart n’ont pas de responsabilité juridique envers nous qu’on puisse faire respecter. Il y a du travail pour les avocats là aussi.

Aux États-Unis, par exemple, nous devrions en finir avec l’immunité accordée aux opérateurs de télécommunication pour leur assistance dans les écoutes illégales. Cette immunité a été prorogée par la loi en 2008. Pendant la course à la présidence, Barack Obama avait dit qu’il ferait obstruction à cette législation. Or, en août 2008, quand il est apparu clairement qu’il serait le prochain président, il a changé d’avis. Non seulement il a jeté aux orties sa menace d’obstruction, mais en outre il a interrompu sa campagne pour voter en faveur de l’immunité.

Il n’est pas utile de polémiquer sur le bien-fondé de l’extension d’immunité. Nous devons fixer une date – éventuellement le 21 janvier 2017 ^[3] – après laquelle tout opérateur de télécommunications faisant affaire aux États-Unis et facilitant les écoutes illégales devrait être soumis aux règles du régime ordinaire de la responsabilité civile. Une coalition intéressante entre les juristes spécialisés dans les droits de l’homme et les avocats spécialisés en recours collectifs d’ordre commercial émergerait immédiatement, avec des conséquences très positives.

Si cette non-immunité était étendue aux opérateurs de réseau non américains qui font affaire aux États-Unis, par exemple Deutsche Telekom, cela aurait également d’immenses conséquences positives pour les citoyens des autres pays. Dans tout pays ou l’immunité existe aujourd’hui de facto et peut être levée, elle doit l’être.

Tous les systèmes juridiques connaissent bien les problèmes posés par l’énorme tas de données nous concernant qui sont entre les mains d’autres personnes. Les principes nécessaires sont invoqués chaque fois que vous portez vos vêtements chez le teinturier. Les juristes anglo-saxons appellent ces principes « droit du dépôt » (law of bailment). Ce qu’ils entendent par là, c’est que si vous confiez vos affaires à d’autres, ces derniers doivent en prendre soin au moins autant qu’ils le feraient avec les leurs. À défaut, ils sont responsables de leur négligence.

Nous devons appliquer ce principe de la mise en dépôt, qu’il soit désigné sous ce nom ou un autre dans les vocabulaires juridiques locaux, à toutes les données que nous avons confiées à d’autres personnes. Cela rend ces dernières juridiquement responsables envers nous de la manière dont elles s’en occupent. Il y aurait un énorme avantage à appliquer aux données personnelles le droit du dépôt ou un droit équivalent.

Ces règles sont soumises au droit du lieu où le dépôt est effectué. Si le teinturier choisit de déplacer vos vêtements dans un autre lieu et qu’un incendie y survient, le lieu où le feu s’est déclaré est sans importance : la loi en vigueur est celle du lieu où il a pris en charge vos vêtements. Au contraire, les grandes entreprises d’extraction de données exploitent en permanence la ficelle de la règle du lieu (lex loci) pour leurs serveurs : « Oh, nous ne sommes pas vraiment dans le pays X, nous sommes en Californie, c’est là que nos ordinateurs se trouvent. » C’est une mauvaise habitude juridique. Cela ne les desservirait pas trop si on les aidait à en sortir.

Ensuite, il y a du travail à faire au niveau du droit public international. Nous devons tenir les gouvernements responsables les uns envers les autres afin de remédier à la dévastation environnementale actuelle. Le deux gouvernements les plus puissants du monde, les États-Unis et la Chine, sont maintenant fondamentalement d’accord sur leurs politiques vis-à-vis des menaces sur Internet. Le principe de base est le suivant : « Quel que soit l’endroit du net où existe une menace pour notre sécurité nationale, nous allons l’attaquer. »

Dans les années 50, les États-Unis et l’Union soviétique ont mis le monde en péril d’empoisonnement pour cause d’essais atmosphériques d’armes nucléaires. À leur crédit, ils furent capables de conclure des accords bilatéraux pour les interdire. Les États-Unis et le gouvernement chinois pourraient se mettre d’accord pour ne pas transformer l’humanité en zone de tir à volonté pour l’espionnage. Mais ils ne le feront pas.

Nous devons chercher à obtenir réparation, par les voies politique et judiciaire, pour ce qui nous a été fait. Mais la politique et le droit sont trop lents et trop incertains. Sans solution technique, nous n’y arriverons pas, de même qu’on ne peut décontaminer l’air et l’eau ni agir positivement sur le climat à l’échelle mondiale sans changement technologique.

Partout, les entreprises utilisent des logiciels qui sécurisent leurs communications et une bonne part de ces logiciels sont écrits par nous. Par « nous », j’entends ici les communautés qui partagent du logiciel libre ou open source, communautés avec lesquelles je travaille depuis des décennies.

Les protocoles qui implémentent des communications sécurisées et que les entreprises utilisent entre elles et avec leurs clients (HTTPS, SSL, SSH, TLS, OpenVPN, etc.) ont tous été la cible de l’interférence des grandes oreilles. Snowden a apporté la preuve des efforts qu’ont fait ces dernières pour casser nos chiffrements.

Les oreilles américaines jouent avec le feu d’un désastre financier mondial. Si elles devaient réussir à compromettre les procédés techniques fondamentaux grâce auxquelles les entreprises communiquent de manière sécurisée, il suffirait d’une panne catastrophique pour qu’on bascule dans le chaos financier mondial. Leur conduite apparaîtra rétrospectivement comme aussi irresponsable du point de vue économique que la dévaluation de la monnaie romaine. Ce n’est ni plus ni moins qu’une menace pour la sécurité économique du monde.

La mauvaise nouvelle est qu’elles ont fait quelques pas en direction de la catastrophe irrémédiable. D’abord, elles ont corrompu la science. Elles ont secrètement influencé l’élaboration des standards techniques, affaiblissant ainsi la sécurité de tous, partout, afin de faciliter le vol de données à leur profit.

Ensuite, elles ont volé des clés, comme seuls les voleurs les mieux financés du monde peuvent le faire. Elles ont investi tous les endroits où est fabriqué du matériel intégrant des clés de chiffrement.

Début septembre ^[4], quand les documents de Snowden sur ce sujet ont été rendus publics, les ondes de choc se sont propagées dans toute l’industrie. Mais les documents divulgués ont également montré que les grandes oreilles sont encore obligées de voler les clés plutôt que de casser nos verrous. Elles ne disposent pas encore de l’expertise technique suffisante pour casser les bases du chiffrement qui forme le socle de l’économie mondiale.

La publication des types de chiffrement que la NSA ne peut casser est la plus incendiaire des révélations de Snowden du point de vue des grandes oreilles. Aussi longtemps que personne ne sait ce qu’elles ne sont pas en capacité de lire, elles jouissent d’une aura d’omniscience. Lorsqu’on saura ce qu’elles ne peuvent pas lire, tout le monde va utiliser ce type de chiffrement et elles seront alors rapidement dans l’incapacité de lire quoi que ce soit.

Nous devons banaliser l’usage par les particuliers de technologies déjà adoptées par les entreprises, visant à sécuriser les communications et protéger la vie privée. Utiliser ces technologies doit être aussi simple qu’installer un détecteur de fumée

Snowden a dévoilé que leurs avancées sur les bases de notre cryptographie étaient bonnes mais pas excellentes. Il nous a aussi montré que nous avons très peu de temps pour l’améliorer. Nous devons nous dépêcher de remédier au tort qui nous a été fait par la corruption des standards techniques. À partir de maintenant, les communautés qui font les logiciels libres de chiffrement pour les autres doivent partir du principe qu’elles se heurtent aux « services nationaux du renseignement ». Dans ce domaine, c’est une mauvaise nouvelle pour les développeurs car il s’agit de jouer dans la cour des grands. Quand vous jouez contre eux, la plus minuscule des erreurs est fatale.

De plus, nous devons modifier l’environnement technique afin qu’il soit plus sûr pour les personnes ordinaires et les petites entreprises. Ceci consiste pour une grande part dans la diffusion de technologies que les grandes entreprises utilisent depuis une décennie et demie. Beaucoup trop peu a été accompli dans ce domaine jusqu’à présent. C’est comme si chaque usine de nos sociétés était équipée d’un système de protection perfectionné contre l’incendie – détecteurs de fumée, détecteurs de monoxyde de carbone, arroseurs, lances à haute pression, extincteurs de haute qualité – alors que les maisons du commun des mortels n’avaient rien de tout ça.

Nous devons banaliser l’usage par les particuliers de technologies déjà adoptées par les entreprises, visant à sécuriser les communications et protéger la vie privée. Utiliser ces technologies doit être aussi simple qu’installer un détecteur de fumée, fixer un extincteur au mur, dire à vos enfants quelle porte prendre si l’escalier brûle ou même attacher une échelle de corde à la fenêtre du premier étage. Rien de tout cela ne règle le problème de l’incendie, mais s’il éclate, ces mesures simples sauveront la vie de vos enfants.

Il existe beaucoup de projets logiciels et de jeunes pousses qui travaillent sur des mesures de ce type. Ma FreedomBox, par exemple, est un de ces projets logiciels bénévoles. Et je suis enchanté de voir s’installer le début d’une concurrence commerciale. Les entreprises sont maintenant averties : les peuples du monde n’ont pas consenti à ce que les technologies du totalitarisme soient ancrées dans chaque foyer. Si le marché leur propose de bons produits, qui rendent l’espionnage plus difficile, ils les achèteront et les utiliseront.

Le courage de Snowden est exemplaire. Mais il a mis fin à ses efforts parce que c’est maintenant qu’il nous faut savoir. Nous devons accepter en héritage sa compréhension de cette situation d’urgence extrême. Nos hommes politiques ne peuvent pas se permettre d’attendre. Ni aux États-Unis, où la guerre doit s’arrêter. Ni dans le monde, où chaque peuple doit exiger de son gouvernement qu’il remplisse son obligation minimale de protection de sa sécurité.

C’est à nous de terminer le travail qu’ils ont commencé.

Nous avons besoin de décentraliser les données. Si nous conservons tout dans un seul grand tas – s’il y a un type qui conserve tous les messages électroniques et un autre qui gère tous les partages sociaux, alors il n’y a aucun moyen véritable d’être plus en sécurité que le maillon le plus faible de la clôture qui entoure ce tas.

En revanche, si chacun de nous conserve ce qui lui est propre, les maillons faibles de la clôture ne livreront à l’attaquant que les affaires d’une et une seule personne. Ce qui, dans un monde gouverné par le principe de l’État de droit, serait optimal : cette seule personne est la personne qu’on peut espionner car on a pour cela des éléments tangibles ^[5].

La messagerie électronique s’adapte admirablement bien à un système où personne n’est au centre et ne conserve tout. Nous devons créer un serveur de messagerie pour monsieur tout-le-monde, qui coûte moins de cinq euros et puisse être posé à l’endroit où l’on plaçait ordinairement le répondeur téléphonique. Et quand il casse, on le jette.

La décentralisation des partages sociaux est plus difficile, mais reste à notre portée. Pour les personnes engagées et douées pour la technologie partout dans le monde, c’est le moment crucial, car si nous faisons notre travail correctement, la liberté survivra ; et quand nos petits-enfants diront « Alors, qu’avez-vous fait à cette époque ? », la réponse pourrait être « J’ai amélioré SSL. »

Snowden a fait avancer avec noblesse nos efforts pour sauver la démocratie. Ce faisant, il s’est hissé sur les épaules d’autres personnes. L’honneur lui en revient et à eux aussi, mais la responsabilité est nôtre. C’est à nous de terminer le travail qu’ils ont commencé. Nous devons veiller à ce que leur sacrifice ait un sens, veiller à ce que cette nation, toutes les nations, connaissent une renaissance de la liberté, et à ce que le gouvernement du peuple, par le peuple et pour le peuple, ne disparaisse pas de la surface de la Terre.

Cet article est dérivé de la série de conférences « Snowden and the Future », donnée à la Columbia Law School fin 2013 et disponible à l’adresse snowdenandthefuture.info. Une première traduction en français de ces conférences a été effectuée par Geoffray Levasseur et publiée à l’adresse www.geoffray-levasseur.org.

Voici enfin la suite des conférences d’Eben Moglen sur les révélations d’Edward Snowden. Pour vous remettre dans le bain, reportez-vous à la première partie. Ce texte a été publié avant que le Congrès des États-Unis ne refuse de proroger tels quels les amendements à la loi dite FISA (Foreign Intelligence Surveillance Act) donnant une grande latitude à la NSA pour surveiller les citoyens et résidents des États-Unis (la surveillance du reste de la planète restant inchangée).

Mais l’Union européenne et en particulier la France semblent suivre le chemin inverse ; il semble qu’elles n’aient rien appris des révélations de Snowden. Faites lire ce texte à vos proches, pour qu’à leur tour ils voient les conséquences de ce qui se trame et puissent nous aider à faire pression pour essayer d’éviter le pire.

Source : The Guardian, Privacy under attack: the NSA files revealed new threats to democracy

Traduction : Thérèse, fatalerrors (Geoffray Levasseur), goofy, audionuma, Diab, Paul, Omegax, lumi

En d’autres termes, le respect de la vie privée est requis pour l’exercice de l’autogouvernance démocratique. Les efforts tendant à soumettre la société humaine à ces méthodes de surveillance généralisée sont l’antithèse de la liberté. C’est la conversation que n’ont pas tenue tous ces « N’écoute pas mon téléphone portable ! » trompeurs ^[1]. Si cela ne tenait qu’aux gouvernements nationaux, le débat en resterait à ce niveau de charlatanisme pour toujours.

Le gouvernement des États-Unis et ses grandes oreilles n’ont pas avancé un seul argument pouvant nous convaincre que ce qu’il font est compatible avec l’éthique de la liberté, les lois constitutionnelles américaines ou les droits de l’homme internationaux. Au lieu de cela, ils essaient autant que possible de changer de sujet, et s’ils ne parviennent pas à en changer, à accuser le messager.

Personne n’a besoin d’accéder à des documents classés secrets pour voir comment les forces armées et les stratèges se sont adaptés à la fin de la Guerre froide en planifiant la surveillance invasive des sociétés du monde. Depuis le début des années 90, la documentation publique concernant la politique de défense américaine montre que les planificateurs et stratèges militaires avaient prévu un monde dans lequel les États-Unis n’auraient pas d’adversaire étatique significatif. Par conséquent, nous serions forcés de nous engager dans un ensemble de « conflits asymétriques », ce qui signifiait des « guérillas » impliquant des « acteurs non étatiques ».

Au cours de la redéfinition du comportement stratégique des États-Unis, les stratèges militaires et leurs collègues de la communauté du renseignement en sont venus à voir les droits américains à la vie privée dans les communications comme l’équivalent d’un asile pour les groupes terroristes. Ils étaient convaincus que les forces armées des États-Unis, les grandes oreilles, devraient nécessairement s’attaquer à ces asiles.

Puis, à l’avènement du 21^e siècle, une administration américaine qui restera dans l’Histoire pour sa tendance à tirer d’abord et réfléchir ensuite a tout gobé – hameçon, ligne et plomb ^[2] – du plan comportant « refus d’asile », surveillance invasive et « totale connaissance de l’information ». Dans un intervalle de temps vraiment court, depuis janvier 2002, principalement en secret, ils ont mis tout ça sur pied.

Les conséquences partout dans le monde n’ont pas été controversées, c’est à noter. Dans une large mesure, les États ont approuvé ou accepté. Après septembre 2001, le gouvernement des États-Unis a fait une démonstration de force tout à fait extraordinaire aux yeux du monde : vous étiez soit avec nous, soit contre nous. Par ailleurs, beaucoup d’autres gouvernements en étaient venus à fonder de manière capitale leurs propres services de renseignement sur la coopération avec les oreilles des États-Unis.

Une fois l’actuelle administration américaine bien installée, des responsables politiques de haut niveau ont considéré qu’il y avait un consensus multilatéral concernant les écoutes ayant pour objet les autres sociétés : elles ne pouvaient être arrêtées et donc ne devaient pas être limitées. Les Chinois ont approuvé. Les États-Unis ont approuvé. Les Européens ont approuvé ; leur position était quelque peu réticente, mais ils étaient dépendants des écoutes effectuées par les États-Unis et n’avaient pas tellement le pouvoir d’objecter.

Personne ne l’a annoncé aux peuples du monde. Depuis la fin de la première décennie du 21ème siècle, un fossé s’est ouvert entre les droits que les peuples du monde pensent posséder et ceux qui ont été bradés par leurs gouvernements en contrepartie d’un renseignement qui n’est utile qu’aux gouvernements eux-même. Ce fossé est si profond, si fondamental pour la signification de la démocratie, que les opérateurs de ce système ont commencé à douter de sa légitimité – ce qu’ils auraient dû faire plus tôt.

Snowden a vu ce qui est arrivé aux autres lanceurs d’alerte et a agi en conséquence. Sa théorie politique est tout à fait exacte et totalement cohérente. Il dit que l’existence de ces programmes, non révélée au peuple américain, est une violation fondamentale des valeurs démocratiques des États-Unis. Assurément, il ne peut y avoir d’argument pour le contester.

La position de Snowden est qu’un effort si global, si massivement puissant et si propice aux abus ne devrait pas être entrepris sans consentement démocratique. Il a exprimé à maintes reprises sa croyance que le peuple des États-Unis a le droit de donner ou refuser ce consentement informé. Mais Snowden a également identifié le fait de soumettre la population mondiale à ces programmes comme une action problématique méritant une forme d’analyse morale et éthique qui va bien au-delà de la simple raison d’État ^[3].

Snowden veut dire, je pense, que nous devrions prendre ces décisions, non pas dans l’intérêt étroit et égoïste d’une nation, mais avec un sens moral particulièrement élevé de ce qui est approprié de la part d’une nation qui voudrait se faire passer pour le symbole de la liberté aux yeux de l’humanité.

Nous pouvons parler, naturellement, des lois constitutionnelles des États-Unis et de l’importance de l’appareil législatif américain – règles, protections, droits, devoirs – avec le respect qui leur est dû. Mais il doit être clair dans notre esprit que, lorsque nous parlons des traditions constitutionnelles des États-Unis en matière de liberté et d’esclavage, nous ne parlons pas seulement de ce qui est écrit dans les livres de droit.

Nous sommes confrontés à deux affirmations — on les entend partout — qui résument bien les orientations contre lesquelles nous travaillons. La première dit : « C’est sans espoir, la vie privée n’existe plus, à quoi bon lutter ? » ; la seconde : « Je ne fais rien de mal, pourquoi devrais-je m’en soucier ? » Ce sont là les objections les plus significatives qui nous sont opposées lorsque nous faisons ce que nous savons devoir faire.

Si nous ne faisons rien de mal,

alors nous avons le droit de résister

Tout d’abord, notre lutte pour la survie de la vie privée est loin d’être sans espoir. Snowden nous a décrit quelle protection était encore efficace. Son souci était de différencier les formes de communication en réseau définitivement corrompues et inutilisables, de celles qui sont mises en danger par les assauts continuels d’une agence dévoyée et de celles que, même avec son immense pouvoir, son poids financier, ses ambitions déplacées et ses efforts consciencieux, cette agence n’arrive pas à casser.

Le désespoir est seulement une maladie qu’ils veulent vous voir attraper, pas une maladie inéluctable.

Quant à la seconde affirmation, nous nous devons d’y répondre tout à fait clairement : « Si nous ne faisons rien de mal, alors nous avons le droit de résister. » Si nous ne faisons rien de mal, alors nous avons le droit de faire tout notre possible pour maintenir l’équilibre traditionnel entre nous et le pouvoir qui écoute. Nous avons le droit d’être invisibles. Nous avons le droit de parler de manière inaudible. Nous avons le droit de parler des langues qu’ils ne comprennent pas. Nous avons le droit de nous rencontrer aux endroits, aux moments et de la manière qui nous conviennent.

Nous avons une tradition constitutionnelle aux États-Unis contre les mandats de portée générale. Elle est née au 18^e siècle pour de bonnes raisons. Nous limitons la capacité de l’État à perquisitionner des lieux et à saisir des objets à ce qu’un juge indépendant estime raisonnable d’autoriser.

Ce principe qui lui était cher, le Premier Congrès l’a placé dans notre Déclaration des droits parce qu’il était cher aux Nord-Américains britanniques ; parce qu’au cours du 18ème siècle, ceux-ci avaient appris de quelle manière le pouvoir exécutif pouvait se servir des mandats de portée générale pour tout fouiller, partout, à la recherche d’une chose qui lui déplaisait et en forçant les pouvoirs locaux à l’y aider. Ce fut un problème au Massachusetts en 1761 ^[4] et cela resta un problème jusqu’à la fin de l’autorité britannique en Amérique du Nord. Et même alors le problème demeura parce que les présidents, sénateurs et chancellors (juges) étaient eux aussi sans scrupules dans leurs comportements. Thomas Jefferson aussi, comme le président actuel, a annoncé un jeu bien meilleur qu’il n’avait en réalité.

Ce principe est assez clair. Mais il n’y a que neuf votes à la Cour suprême des États-Unis, et ce sont les seuls qui comptent pour le moment ^[5]. Nous devons attendre de voir combien d’entre eux sont prêts à reconnaître la simple inconstitutionnalité d’un système scélérat beaucoup trop gros pour faire faillite. Mais puisque ces neuf votes sont les seuls qui ont de l’importance, le reste d’entre nous devons mener nos activités d’une autre façon.

La tradition constitutionnelle des États-Unis que nous admirons a principalement été établie par des personnes qui ont fui l’Europe et sont venues en Amérique du Nord pour être libres. Ce sont leurs activités politiques et intellectuelles que nous retrouvons traduites dans les documents qui ont construit la République.

Mais il y a une seconde tradition constitutionnelle. Elle fut établie par des personnes qui ont été amenées ici contre leur gré ou qui sont nées dans l’esclavage et ont dû fuir pour pouvoir être libre, ici même. Cette seconde tradition constitutionnelle est légèrement différente par sa nature de la première, même si elle a conduit, en fin de compte, à des conclusions similaires.

Fuir l’esclavage est une activité de groupe. Fuir l’esclavage requiert l’assistance de ceux qui pensent que l’esclavage est une mauvaise chose. Les gens, aux États-Unis, ont oublié ce que notre tradition constitutionnelle doit au contact entre des personnes qui avait besoin de fuir pour devenir libres et des personnes qui savaient qu’elles devaient les aider, parce que l’esclavage est mal.

Nous avons maintenant oublié que durant l’été 1854, quand Anthony Burns — qui avait fui l’esclavage depuis Richmond en Virginie — fut renvoyé en esclavage par un juge d’État agissant comme commissaire fédéral pour le Second Fugitive Slave Act ^[6], Boston dut être placée sous la loi martiale pendant trois jours entiers. Les troupes fédérales bordaient les rues alors que Burns était conduit sous escorte vers le port de Boston et placé à bord d’un bateau pour le renvoyer à l’esclavage. Si Boston n’avait pas été contenue par la force, il y aurait eu une émeute.

Quand Frederick Douglass a fui l’esclavage en 1838, il eut l’aide de sa chère Anna Murray, qui lui envoya une partie de ses économies et les vêtements de marin qu’il porta. Il eut l’aide d’un marin noir libre qui lui donna des papiers d’identité. De nombreuses personnes prirent beaucoup de risques pour l’aider à atteindre New York.

Notre tradition constitutionnelle ne repose pas seulement sur les droits négatifs qui se trouvent dans la Déclaration des droits. Elle repose également sur l’histoire d’une lutte de la communauté, souvent illégale d’un point de vue formel, pour la liberté et contre l’esclavage. Cette partie de notre tradition dit que la libération du contrôle oppressif doit être accordée à tous les peuples, partout, comme un droit. Elle dit que l’esclavage est tout simplement immoral, qu’il ne peut être toléré, ni justifié par la peur du maître ou un besoin de sécurité.

Par conséquent, la tradition constitutionnelle que les Américains devraient défendre actuellement est une tradition qui va bien au-delà de toute limitation spatiale ou temporelle pouvant s’appliquer au quatrième amendement ^[7]. Le peuple des États-Unis ne doit pas se contenter de défendre le droit d’être libre des intentions oppressives du gouvernement national, il ne doit pas simplement se battre pour une chose qui est incarnée par la clause de procédure régulière ^[8] du quatorzième amendement. Nous devrions plutôt nous battre contre les processus totalitaristes ; car l’esclavage est mal. Parce que soumettre l’ensemble du genre humain à la surveillance du maître est mal. Parce que fournir l’énergie, l’argent, la technologie, le système pour assujettir la vie privée de tous dans le monde — pour détruire l’asile de la liberté de parole américaine — est mal.

Snowden nous a donné la chose la plus précieuse qu’un peuple jouissant de l’autonomie démocratique puisse avoir, l’information sur ce qui se passe. Si nous voulons exercer nos droits en tant que peuple autogouverné en exploitant les informations qu’il nous a livrées, nous devons avoir clairement à l’esprit les fondements politiques de notre action. Elles ne se limitent pas seulement aux paroisses, ou aux nations, ou à ce que l’on trouve dans les archives des décisions de la Cour suprême.

Une nation conçue dans la liberté et dévouée à la proposition que tous les hommes sont nés égaux a réduit en esclavage des millions de personnes. Elle s’est lavée de ce péché dans une terrible guerre. Le peuple des États-Unis devrait en tirer la leçon et est appelé à le faire aujourd’hui.

chaque gouvernement doit subordonner ses écoutes domestiques

aux principes de l’État de droit

À la lumière de ce que nous savons grâce à Snowden, les citoyens, partout, doivent exiger deux choses de leur gouvernement. En premier lieu, nous devons dire à nos dirigeants « Vous avez la responsabilité, le devoir, de protéger nos droits en nous protégeant de l’espionnage venant de l’extérieur ». Tout gouvernement a cette responsabilité. Il doit protéger le droit de ses citoyens à être libres de la surveillance intrusive de masse d’autres États. Aucun gouvernement ne peut prétendre à la souveraineté et à la responsabilité à moins de tout mettre en œuvre, dans la mesure de son pouvoir et de ses moyens, pour garantir ce résultat.

En second lieu, chaque gouvernement doit subordonner ses écoutes domestiques aux principes de l’État de droit. L’arrogance monumentale des grandes oreilles et la stupidité de la dernière administration ont laissé le gouvernement des États-Unis dans un piège qui n’avait pas lieu d’être. Avant que la dernière administration n’affranchisse ses oreilles de la loi, le gouvernement américain aurait pu regarder le monde en face et proclamer que seules ses oreilles étaient soumises aux règles de l’État de droit. Cela aurait été une prétention exacte. Mais pour presque rien, l’histoire s’en souviendra, ils ont jeté cela aux orties.

Aux citoyens américains revient une plus grande responsabilité. Le gouvernement projette l’immensité de son pouvoir dans la destruction de la vie privée au sein des autres sociétés du monde. Il le fait sans aucun contrôle ni supervision démocratique et son peuple doit l’arrêter. Le rôle des Américains comme symbole de liberté dans le monde n’exige rien de moins.

La liberté a été pourchassée tout autour du globe. L’Asie et l’Afrique l’ont expulsée depuis longtemps. L’Europe a été harcelée pour que cette liberté soit traitée comme une étrangère et le Royaume-Uni l’arrêterait à Heathrow s’il la voyait arriver. Le président des États-Unis a exigé que personne n’accepte la fugitive et il n’est peut-être que la présidente brésilienne, Dilma Rousseff, pour souhaiter préparer le moment venu un asile pour l’humanité.

Les dirigeants politiques du monde entier ont eu beaucoup de choses à dire depuis que Snowden a commencé ses révélations, mais pas une fois on n’a entendu une déclaration du genre « Je regrette d’avoir soumis mon propre peuple à ces procédés ». La chancelière allemande, malgré une réélection triomphale sans un nuage dans son ciel politique, n’est pas en position de dire « J’ai été d’accord avec les Américains pour autoriser l’interception de 40 millions d’appels téléphoniques par jour ; je veux juste qu’ils arrêtent d’écouter mon téléphone ! »

Les grandes oreilles américaines ont affaire à une crise politique allant bien au delà de ce qu’ils avaient pu imaginer. Elles n’apprécient pas d’apparaître au grand jour, ni même d’être simplement visibles. Elles ont perdu leur crédibilité auprès de l’industrie de la cybersécurité, car cette dernière a pris conscience qu’elles ont trahi leurs promesses implicites sur ce qu’elles ne pirateraient pas. L’industrie de la finance mondiale est envahie de peur à la vue de ce qu’elles ont fait. Les autres agences du gouvernement des États-Unis, sur le soutien desquelles elles peuvent habituellement compter, les fuient.

ils sont en train de faire du net un espace de guerre perpétuelle

Nous n’aurons plus jamais un tel moment de désarroi politique dans le camp qui agit contre la liberté. Non seulement ils ont rendu ce problème évident pour tout le monde — non seulement ils ont fait des martyrs de nos camarades résidant à Fort Leavenworth ^[9], à l’ambassade d’Équateur à Londres ^[10] et dans un endroit secret de Moscou ^[11] — non seulement ils ont allumé un incendie qu’ils ne peuvent plus éteindre en pissant dessus, mais ils ont aussi perdu leur armure. Ils se tiennent devant nous dans la totalité de qui ils sont réellement. Il nous appartient de montrer que nous les reconnaissons pour ce qu’ils sont.

Ce qu’ils ont fait, c’est de créer un état de guerre permanent sur le net. Douze années d’une guerre qui semble sans fin ; ils sont en train de faire du net un espace de guerre perpétuelle. Nous devons imaginer à nouveau de quoi aurait l’air un Internet en paix — la cyberpaix. Les jeunes gens de par le monde qui travaillent en ce moment sur la théorie de la cyberpaix font le travail politique le plus important de notre temps. Il nous faudra désormais assurer ce que les démocraties assurent le mieux, la paix. Nous devons être disposés à déclarer la victoire et rentrer chez nous. Quand nous le ferons, nous laisserons derrière nous un Internet qui ne sera plus en état de guerre, un Internet qui n’utilisera plus la surveillance pour détruire la vie privée, fondement de la démocratie.

C’est une question de droit public international. Au final, c’est semblable à l’interdiction des armes chimiques ou des mines antipersonnel, une question de traités de désarmement, une question de maintien de la paix.

La difficulté, c’est que nous n’avons pas seulement affaire à nos concitoyens, bons et patriotes, pour qui des élections sont un remède suffisant, mais également à une immense structure de surveillance privée qui est devenue réalité. Cette structure a tout à fait le droit d’exister dans un marché libre, mais elle génère maintenant un désastre écologique dont seuls les gouvernements ont bénéficié. Par conséquent nous ne devons pas seulement réfléchir à ce que sont nos politiques vis-à-vis des États mais également vis-à-vis des entreprises.

En fait, nous en sommes encore à un spectacle de marionnettes où les objets légitimes de la surveillance internationale — nommément les politiciens, chefs d’état, cadres de l’armée et diplomates — sont en train de pleurer en nous disant qu’ils ne devraient pas être écoutés. Comme s’ils étaient nous et avaient le droit d’être laissés tranquilles.

Et ceci, bien sûr, c’est ce qu’ils veulent. Ils veulent nous induire en erreur. Ils veulent que nous pensions qu’ils sont nous — qu’ils ne sont pas les personnes qui ont permis à tout ceci d’arriver, qui l’ont applaudi, qui en ont fait commerce.

Nous devons faire face aux problèmes que leurs duperies ont créés. Les grandes oreilles ont détruit la politique de liberté d’Internet du gouvernement des États-Unis. Ils ont eu une bonne main tant qu’ils ont pu jouer des deux côtés à la fois. Et à présent, nous avons des collègues et camarades partout dans le monde qui travaillent pour la liberté du net dans les sociétés dangereuses ; ils dépendent du support matériel et de l’assistance du gouvernement des États-Unis et ils ont maintenant toutes les raisons d’être effrayés.

Que se serait-il passé si les chemins de fer clandestins ^[12] avaient été constamment soumis à un effort de pénétration de la part du gouvernement des États-Unis au nom de l’esclavage ? Que se serait-il passé si tous les livres des 500 dernières années avaient signalé leurs lecteurs à la maison mère ?

Lorsque nous décidons de donner des informations personnelles,

nous fragilisons également la vie privée d’autres personnes.

La mauvaise nouvelle pour les peuples de la planète, c’est que tout le monde nous a menti de manière éhontée pendant près de vingt ans. La bonne nouvelle, c’est que Snowden nous a dit la vérité.

Edward Snowden a révélé des problèmes auxquels nous devons trouver des solutions. La vaste organisation industrielle de surveillance qui s’est développée depuis 2001 n’aurait pas pu se construire sans les sous-traitants du gouvernement ni l’industrie de l’extraction de données. Tous deux sont impliqués dans une crise écologique causée par la surenchère industrielle. Nous avons échoué à saisir la nature de cette crise parce que nous avons mal compris la nature de la vie privée. Les entreprises ont cherché à profiter de notre confusion et les gouvernements en ont profité encore davantage, ce qui menace la survie même de la démocratie.

Dans ce contexte, nous devons nous souvenir que la vie privée concerne notre environnement social, pas les interactions isolées que nous avons individuellement avec d’autres. Lorsque nous décidons de donner des informations personnelles, nous fragilisons également la vie privée d’autres personnes. Par conséquent, la vie privée est toujours une relation entre de nombreuses personnes, plutôt qu’une transaction entre deux d’entre elles.

Beaucoup de gens vous prennent de l’argent en occultant cette distinction. Par exemple, ils vous proposent des services de messagerie gratuits. En retour, ils vous demandent de les laisser lire tous vos messages. Leur objectif affiché est de vous envoyer des publicités. Ce n’est qu’un échange entre deux parties. Ou alors, ils vous offrent un hébergement gratuit pour vos communications sociales, puis ils observent tout ce que regarde tout le monde.

C’est pratique pour eux, mais frauduleux. Si vous acceptez cette supposée offre bilatérale de service de messagerie qui vous est fourni gratuitement pour autant qu’ils puissent tout lire, alors chaque personne qui correspond avec vous est soumise à ce marché. Si dans votre famille il y a quelqu’un qui reçoit ses messages avec Gmail, alors Google obtient une copie de toutes les correspondances de votre famille. Si un autre membre de votre famille reçoit ses messages à l’aide de Yahoo, alors Yahoo reçoit également les correspondances de toute votre famille.

Peut-être que déjà ce niveau de surveillance des messages de votre famille par des grandes entreprises est trop pour vous. Mais comme les révélations de Snowden ont pu le montrer, à la déconfiture des gouvernements et de ces entreprises, elles ont aussi partagé tout ces courriers avec le pouvoir — qui les achète, obtient des tribunaux des injonctions à les produire ou les vole — que cela leur plaise ou non.

Ce sera la même chose si vous décidez de vivre votre vie sociale sur un site Internet géré par un abruti qui surveille toute interaction sociale en gardant une copie de tout ce qui est dit et en regardant tout le monde regarder tous les autres. Si vous amenez de nouveaux « amis » vers ce service, vous les attirez dans cette inspection dégueulasse, en les forçant à subir tout cela avec vous.

C’est un problème écologique parce que nos choix individuels aggravent l’état du groupe dans son ensemble. L’intérêt des entreprises de service, mais pas le nôtre, est de cacher cet aspect du problème et de se concentrer sur l’obtention de consentements individuels. D’un point de vue juridique, l’essence d’une transaction est le consentement. Si la vie privée est transactionnelle, votre consentement à l’espionnage est tout ce dont l’espion commercial a besoin. Mais si la vie privée est comprise correctement, le consentement est généralement hors sujet et se focaliser dessus est fondamentalement inapproprié.

En ce qui concerne la pureté de l’air et de l’eau, nous ne fixons pas les limites acceptables de pollution par consentement ; la société a établi des normes de propreté que tout le monde doit respecter. Les lois environnementales ne sont pas des lois de consentement. Mais pour ce qui est du respect de la vie privée, on nous a autorisés à nous faire des illusions ; ce qui est véritablement un sujet de réglementation environnementale nous a été vendu comme un simple problème de négociation bilatérale. Les faits montrent que ceci est totalement faux.

(à suivre…)

Crédits images

• Eben Moglen par Doc Searls (CC-BY-2.0)
• François-Auguste Biard Abolition de l’esclavage (détail) – Domaine public
• Logo NSA inside par Bruce Sterling (CC-BY-2.0)