En mai dernier, sur l’événement « Vosges Opération Libre », j’ai eu la chance d’assister à une conférence de Benjamin Sonntag qui ne m’était pas adressée. Ce défenseur de la culture libre, du chiffrement et de la neutralité du net avait choisi de parler aux barbu-e-s, à ces personnes qui font l’informatique, qui développent nos systèmes d’exploitation, logiciels et services. Son message était simple. Si l’on veut revenir à un « ordinateur ami », celui qui ne se retourne pas contre nous pour aspirer nos données, il faut qu’un maximum de monde utilise des services décentralisés, du chiffrement et du logiciel libre.

Et pour cela, inspirons-nous des succès du logiciel libre. Firefox, VLC, Wikipédia… sont constamment utilisés par les Dupuis-Morizeau, sans que cette sympathique famille-témoin de Normandie n’aille regarder sous le capot. Coder ne suffit pas. Il faut s’efforcer d’impliquer à la source du développement des ergonomistes, des designeurs et des graphistes. Des gens qui rendront l’utilisation du libre décentralisé et chiffré tellement simple qu’elle en deviendra évidente et se répandra comme une trainée de poudre. Des gens qui sauront se mettre à la place de l’utilisateur lambda, d’une Jessica.

L’histoire de Jessica ne nous enseigne pas d’abandonner toute éducation à l’informatique, au Libre et aux sujets qui nous mobilisent. L’histoire de Jessica nous rappelle qu’il y a des personnes qui conduisent sans connaître le fonctionnement d’un moteur à explosion. Et que c’est à nous de ne pas les laisser au bord de la route.

L’histoire de Jessica

Par SwiftOnSecurity (CC-BY 4.0)
Article original paru sur le tumblr de SwiftOnSecurity
Traduction Framalang : audionuma, Penguin, Diab, nilux, Omegax, nilux, lumi, teromene, r0u et les anonymes…

Je veux que vous vous imaginiez quelqu’un pour moi. Son nom est Jessica et elle a 17 ans. Elle vit dans un petit 3 pièces avec sa mère, et elle a un vieil ordinateur portable récupéré d’un ex de sa mère. Elle s’en sert pour se connecter au portail communautaire de son lycée. Elle s’intéresse aux garçons, à l’amour et au versement de la prochaine mensualité du loyer qui permettra à sa mère et elle de garder leur logement.

Elle n’a pas d’argent pour un nouvel ordinateur portable. Elle n’a pas non plus d’argent pour le mettre à niveau. Elle ne sait même pas comment on fait ça. Elle a d’autres centres d’intérêt, comme la biologie. Ce qui l’inquiète, c’est de savoir comment elle va payer ses études à la fac, et si ses résultats seront assez bons pour, d’une manière ou d’une autre, obtenir une bourse.

La seule personne de son entourage qui s’y connaisse en ordinateurs, c’est Josh, du cours d’anglais. Elle sait qu’il lui faut un antivirus, alors c’est à lui qu’elle demande. Il lui en propose un à 50$ par an, mais remarquant son soudain malaise, il mentionne gentiment un antivirus gratuit. Lorsqu’elle rentre à la maison, elle le télécharge et l’installe. Ça lui a demandé des efforts, ça semblait compliqué, ça a pris un peu de temps, mais il y avait maintenant une nouvelle icône rassurante en bas à droite de son écran qui indiquait « Protégé » lorsqu’elle passait sa souris dessus.

Jessica entend constamment aux infos des histoires d’entreprises piratées, de photos volées. Elle a entendu sur CNN qu’il fallait avoir un mot de passe complexe contenant quelque chose de spécial, comme un symbole dollar, alors elle obtempère. Au moins pour son compte Facebook — tout ça ne l’intéresse pas assez pour chercher comment changer les mots de passe de ses autres comptes. Ça semble tellement fastidieux, et elle est déjà assez occupée à retenir les équations abstraites de son cours de maths. Elle n’a pas envie de mémoriser une autre chaîne de caractères abstraite pour ses mots de passe. Et puis, c’est une adolescente ; son cerveau n’est doué ni pour l’organisation, ni pour prévoir et pallier les risques.

Elle a entendu parler d’un truc appelé gestionnaire de mots de passe, mais elle sait qu’il ne faut pas télécharger sur Internet. Elle ne sait pas à qui faire confiance. Une fois, elle a cliqué sur le bouton « Télécharger maintenant » pour un programme dont elle avait entendu parler aux infos, et ça l’a emmenée sur un site différent. Elle n’a pas de communauté à qui demander conseil. Et à côté de ça, elle essaie de trouver quoi porter pour son rendez-vous avec Alex samedi. Jessica se demande s’il l’aimera bien quand il la connaîtra mieux, après avoir passé du temps ensemble et parlé en tête à tête pour la première fois. Elle s’inquiète aussi de savoir s’il va briser son cœur, comme les autres.

Parfois, elle a des fenêtres qui lui demandent de mettre à jour un logiciel. Mais une fois, elle a mis à jour un truc appelé Java, et après avoir cliqué sur le E bleu qui la conduit sur Facebook, une nouvelle ligne d’icônes est apparue. Elle n’est pas sûre que ce soit lié, mais elle est du genre suspicieuse. L’ordinateur fonctionne toujours, et elle ne veut pas le casser en essayant de tirer ça au clair. Elle ne peut pas s’offrir une hotline comme Geek Squad pour 200$. C’est embêtant, mais ça fonctionne toujours. La prochaine fois que quelque chose lui demandera une mise à jour, elle dira non. Elle n’a pas besoin de nouvelles fonctionnalités, surtout si elles rendent sa fenêtre Facebook encore plus petite. Et si c’était important, elles s’installeraient toutes seules, non ? Pourquoi devraient-elles demander ? Il est 19H42, elle doit aller à son rendez-vous.

Un jour, Jessica reçoit un e-mail qui se dit être une lettre d’expulsion. Il dit aussi provenir de communication-locataires@hud.gov. Elle sait ce qu’est HUD, pour l’avoir vu sur les formulaires que sa mère remplit pour bénéficier d’une aide au paiement de l’appartement. Mais elle a entendu aux informations qu’il ne fallait pas ouvrir de fichiers inconnus. Elle s’improvise alors détective. Elle va sur le site hud.gov, et c’est bien ce à quoi elle s’attendait : le Département Américain de l’Habitation et du Développement Urbain. Elle navigue sur le site, qui ne semble pas avoir été écrit par un Russe. Elle ouvre donc le fichier. Adobe Reader s’ouvre, mais le mail dit clairement que si le document est vide, il n’y a pas à s’inquiéter. Elle essaie d’aller à la page suivante, mais il n’y en a pas. Tant pis. Elle n’en parlera pas pas à sa mère, car elle ne veut pas l’inquiéter.

Ce que Jessica ne sait pas, c’est que la lumière blanche qui a commencé à s’allumer sur son ordinateur est celle de la caméra intégrée. Elle ne sait même pas que son ordinateur a une caméra. Mais cette caméra a commencé à l’enregistrer. Et le logiciel qui enregistre sa caméra a aussi commencé à enregistrer tout ce qui s’affiche sur son écran. Y compris quand elle a envoyé à Alex les photos qu’elle a prise pour lui, lorsqu’elle est tombée amoureuse de lui. De toute façon, quand elle entre ses mots de passe, ils s’affichent sous la forme de ronds noirs. Même si quelqu’un était derrière elle et regardait son écran, il ne pourrait pas connaître son mot de passe. Elle ne sait pas que le logiciel enregistre aussi ce qu’elle tape sur son clavier. Rien ne l’a alertée. Tout comme rien ne l’a alertée que la caméra était allumée. Et le microphone.

De temps en temps, elle passe sa souris sur l’icône de l’antivirus. Ça lui dit « protégé ». Ça ne peut qu’être vrai. Après tout c’est le logiciel que Josh lui a conseillé…

Quel est le tort de Jessica dans cette histoire ? Est-ce le fait de ne pas s’être renseignée sur les avantages de l‘Open Source et de ne pas utiliser Linux, qui est gratuit ? Est-ce le fait de ne pas avoir d’amis ou de personnes de sa famille suffisamment calées en informatique et à qui elle pourrait demander conseil ? Est-ce le fait de ne pas s’être liée d’amitié avec Josh ? Est-ce le fait d’avoir d’autres priorités dans la vie ? Est-ce le fait de ne pas savoir que les sociétés qui lui fournissent des mises à jour en profitent pour envahir son ordinateur de logiciels malveillants, et qu’elle doive systématiquement décocher une case pour ne pas les avoir ? Est-ce le fait de ne pas savoir que le protocole SMTP est une vieille technologie qui ne demande pas d’authentification ? Pourquoi n’a-t-elle pas mis de ruban adhésif devant sa webcam ? Pourquoi n’a-t-elle pas démonté son ordinateur pour en retirer le microphone ?

Peut-être que ce n’est pas de sa faute. Peut-être que la sécurité informatique pour les gens normaux n’est pas la série d’étapes faciles et de vérités absolues que nous leur assénons avec notre prétendue sagesse, et qu’ils préfèrent ignorer par mépris pour la sous-classe de nerds que nous sommes.

Peut-être que c’est le fonctionnement même de l’informatique grand public qui en est la cause. Et qui a construit ce monde de libertés, un monde qui a si bien servi à cette Jessica de 17 ans ? C’est vous. C’est nous.

Alors ? À qui la faute ?
***

Crédits photos :

Conférence Benjamin Sonntag : CC-BY-SA Lionel Allorge

Innocent Girl on Laptop : CC-BY-SA Picture Youth

Internet Surveillance : CC-BY Mike Licht.

Comme une immense majorité de personnes qui se sont rassemblées, en France et dans le monde, à plusieurs reprises, depuis le 7 janvier, nous avons été sous le choc et dans l’incrédulité. Quels que soient nos parcours, quelles que soient nos positions, nos croyances, nos parti-pris, nous n’acceptons pas que l’on assassine 17 personnes au nom d’une conception du monde qu’il serait dangereux ou interdit de ne pas partager, de questionner, de moquer. Nous n’acceptons pas que l’on ait fait taire des voix et des plumes et que l’on ait pris pour cible ceux qui incarnaient Charlie Hebdo.
Nous ne l’acceptons pas mais il y a des morts aujourd’hui. Et les cadavres n’étaient même pas froids que déjà commençaient à se faire entendre les voix charognardes qui, au nom de la défense de la liberté et des valeurs républicaines, sont prêtes à restreindre nos libertés individuelles et collectives, comme par effet d’aubaine, comme s’ils n’attendaient que ça. ^[1]

Ils n’ont pas même attendu la fin du deuil officiel. Plus rapides que les événements en cours pour s’emparer de la tragédie et l’instrumentaliser, les politiques glapissants de l’obsession sécuritaire ont commencé à se répandre : « il nous faut renforcer notre arsenal sécuritaire », « il faudra bien entendu un Patriot Act à la française » (le tweet historique de Valérie Pécresse ), ou encore François Baroin qui laisse entendre au journal de France 2 ce dimanche qu’il va falloir mesurer quel degré d’acceptation aura la population de la restriction des libertés individuelles au profit de la sécurité (journal TV de 13h, vers la minute 48) etc. On peut être sûr que dès ce lundi, la surenchère sécuritaire va battre son plein.

En tant que membres d’une association qui vise à promouvoir le logiciel et la culture libres en s’efforçant de développer une éducation populaire, nous redoutons bien sûr de voir bridé et censuré ce qui est à nos yeux aujourd’hui le principal instrument de notre liberté à l’échelle de la planète : Internet.
Il nous semble donc urgent de dire avec force dès maintenant à quel point prendre pour cible cet outil précieux est à la fois inefficace et dangereux. Nous redoutons aussi l’usage immodéré qui pourrait être fait de nos données personnelles, notamment numériques, sans autorisation, sans que nous en soyons informés, sans qu’il soit possible d’exercer de contrôle. Déjà des voix s’élèvent parmi les défenseurs de nos libertés numériques (ne sont-elles pas devenues de facto des libertés fondamentales ?) mais seront-elles suffisantes pour contrebalancer le boucan médiatique qui va nous tympaniser ?

Un article récent du Point, pourtant peu suspect d’opinions gauchistes, expose bien ce qu’a été le Patriot Act et comment les dérives qui lui sont inhérentes, exposées par les révélations de Snowden, conduisent aujourd’hui l’opinion états-unienne à en remettre en question la nécessité :

le gouvernement avait une interprétation très vaste du Patriot Act qui lui permettait de collecter des informations sur des millions d’Américains sans lien avec le terrorisme. Selon un rapport du ministère de la Justice, les perquisitions secrètes servent surtout à coincer les trafiquants de drogue. En 2013, sur 11 129 demandes de perquisitions, seules 51 visaient des suspects de terrorisme.

Faut-il vraiment que les services qui veillent sur notre sécurité nationale aient un accès sans restriction ni contrôle judiciaire à toutes nos données personnelles ? Sans avoir à justifier que ces informations ont un quelconque rapport avec une enquête terroriste ? Faut-il croire aveuglément ou plutôt vouloir faire croire que le Patriot Act a été efficace, alors que nous avons encore en mémoire les attentats de Boston pour ne citer que ce terrible exemple ?

Que disent les responsables sérieux des forces de sécurité ? — Rien de tel : ils constatent qu’ils n’ont pas les moyens humains de surveiller et cibler le nombre à la fois limité mais inquiétant de personnes dangereuses susceptibles d’actes terroristes. Vous avez bien lu : ils ne réclament pas une surveillance généralisée ni la censure du Net (dont l’espace de communication leur est probablement au contraire un précieux moyen d’identifier les menaces) mais davantage de personnels formés et opérationnels pour mener cette lutte souterraine extrêmement compliquée et pour laquelle leur action est légitime et indispensable.
Alors qui veut vraiment que nous renoncions à nos libertés sous le prétexte d’obtenir davantage de sécurité ? Qui sont les vrais ennemis de notre liberté d’expression ?

Nous entamons aujourd’hui une série d’articles sur le sujet. Voici pour commencer une tribune libre de Christophe Masutti, à laquelle souscrit l’ensemble de l’association.
Les commentaires sont ouverts et seront modérés.

Aujourd’hui, tous au garde-à-vous — demain, chacun en garde à vue ?

Une tribune libre de Christophe Masutti

Mercredi dernier, c’était mon anniversaire, j’ai eu 40 ans. Eh bien, des jours comme ça, je m’en serais bien passé.
Hier, c’était la barbarie : c’est Cabu, Charb, Wolinski, Tignous, Honoré, et d’autres acteurs de Charlie Hebdo ^[2] qui ont été lâchement assassinés dans les locaux du journal par deux gros cons, des beaufs, des salauds. Ils s’en sont pris à des dessinateurs qui ont largement contribué à la formation de ma propre pensée critique à travers la lecture régulière du journal. Des copains, nos copains.
Ce matin, j’ai la tête en vrac. J’ai à l’esprit ces mots de Ricœur qui définissait la démocratie par le degré de maturation d’une société capable de faire face à ses propres contradictions et les intégrer dans son fonctionnement. Au centre, la liberté d’expression, outil principal de l’exercice de la démocratie. À travers nos copains assassinés, c’est cette liberté qui est en jeu aujourd’hui. Ils exerçaient cette liberté par le crayon et le papier. L’arme absolue.
La liberté est insupportable pour les pseudos-religieux sectaires — et pour tout dire, une grosse bande de crétins — qui tentent de la faire taire à grands coups de Kalachnikov et de bombes sournoises. La liberté est insupportable pour les fachos et autres réacs de tout poil qui ne manqueront pas de s’engouffrer dans le piège grossier du repli et de la haine. La liberté est insupportable pour celui qui a peur.

Le contre-pouvoir, c’est nous tous

Charlie Hebdo n’a pas vocation à incarner de grands symboles, au contraire, les dénoncer et faire tomber les tabous est leur principale activité. C’est justement parce que la mort de dessinateurs est aujourd’hui devenue un symbole universellement répété comme un mantra qu’il va falloir s’en méfier, car dans cette brèche s’engouffrent les tentatives protectionnistes et liberticides.
Car tel est le paradoxe de la peur appliqué aux outils de la liberté d’expression : ce qui menace vraiment la démocratie ne frappe pas forcément au grand jour…
Nous vivons depuis des années sous le régime des plans Vigipirate, des discours sécuritaires et du politiquement correct. Sous couvert de lutte contre le terrorisme, la surveillance généralisée de nos moyens de communication s’est taillé une belle part de nos libertés, sans oublier les entreprises qui font leur beurre en vendant aux États (et pas toujours les plus démocratiques) des « solutions » clé en main. Des lois liberticides au nom de l’antiterrorisme sont votées sans réel examen approfondi par le Conseil Constitutionnel. En guise de contre-pouvoir, on nous refourgue généralement des administrations fantoches aux pouvoirs ridicules, des « Conseils » et des « Hauts Comités » des mes deux.
Mais le vrai contre-pouvoir, ce sont les copains de Charlie Hebdo et tous leurs semblables, journalistes ou caricaturistes, qui l’exercent, ou plutôt qui le formalisent pour nous, à travers leurs dessins et leurs textes. Le contre-pouvoir, c’est nous tous tant que nous n’oublions pas de penser et d’exprimer nos contradictions. Et pour maintenir la démocratie, nous devons disposer intégralement de nos moyens de communication dont il revient à l’État de garantir la neutralité et la libre disposition.
Demain, nous risquons de nous retrouver tous en garde à vue et pas seulement à cause des terroristes. C’est là tout le paradoxe. La terreur est aussi bien instrumentalisée par les assassins que par certains membres de la classe politique, et pas seulement à droite. Tous sont prêts à brider et tenir en laisse notre liberté pour maintenir leurs intérêts électoraux ou d’autres intérêts financiers. La contrainte à laquelle ils veulent nous soumettre, c’est l’obligation du choix : il faudrait choisir entre la liberté et la dictature, entre la liberté et la peur, entre la liberté et l’esclavage, avec à chaque fois un peu de nos libertés qui s’envolent.

Soyons les jihadistes de la liberté

Non ! Assez ! Stop ! je suis pour la liberté sans concession. Une liberté obligatoire, une liberté que l’on assène sans contrepartie. Je suis un radical du papier, un ayatollah de la liberté d’expression, un taliban des communications ouvertes, un nazi des protocoles informatiques libres, un facho de la révélation snowdenienne ! Du moins je voudrais l’être, nous devrions tous l’être. Et sans avoir peur.
Je suis né il y a 40 ans, et cela fait presque autant de temps que se sont développés autour de moi des supports de communication qui sont autant de moyens d’exercices de la liberté d’expression. Comme beaucoup, j’oublie souvent que rien n’est acquis éternellement, que nos libertés sont le fruit de luttes permanentes contre ceux qui voudraient nous en priver.
La boucherie de la semaine dernière nous l’a cruellement rappelé.

Crédit image
Photo d’un graf mural à Saint-Nazaire, par bmanolea (CC BY 2.0)

Avant d’entrer en résistance contre la surveillance, il nous faut lutter contre notre faculté à oublier, tant tout nous invite à passer à autre chose. La surveillance, elle, ne connaît pas la trêve des confiseurs.
C’est pourquoi le rapide bilan proposé par l’EFF (Electronic Frontier Foundation) est précieux et s’accompagne d’une perspective pour 2015, celle de poursuivre le combat au plan de l’information mais aussi à celui de l’action judiciaire et politique.
Faut-il vraiment rappeler au lecteur que de notre côté de l’Atlantique aussi, une action vigilante et continue sur ces deux plans est évidemment nécessaire, aux côtés en particulier de la Quadrature du Net, qui a besoin de notre soutien permanent à ses initiatives, et pas seulement de notre soutien financier.
Que 2015 soit pour tous une année heureuse qui nous fasse faire un petit pas de plus vers des libertés numériques précieuses mais fragiles.
C’est à nous d’y veiller.

Ce que nous avons appris sur l’espionnage de la NSA en 2014 — et les combats que nous mènerons en 2015

Article original sur le site de l’EFF
Traduction Framalang : KoS, Sky, AFS, Achille, r0u, goofy

Après 2013, une année record où une lumière crue a été projetée sur les programmes de surveillance secrets de la NSA, à la fois de la part des lanceurs d’alerte et par les actions en justice engagées grâce à la Loi pour la liberté d’information (Freedom of Information Act), le rythme des révélations en 2014 a significativement ralenti.

Mais ce n’est pas parce que tous les secrets de la NSA ont été révélés.

En fait, quelques-unes des informations les plus significatives sur les programmes de surveillance de la NSA restent encore secrètes. Malgré l’une des plus importantes fuites de l’histoire américaine et malgré la promesse de déclassifier autant que possible des informations sur ces programmes, près de deux ans plus tard, le gouvernement continue de refuser de fournir au public les informations dont il a besoin. Par exemple, les responsables du gouvernement continuent à ne pas répondre à une question simple mais d’importance vitale : quel type d’information la NSA collecte-t-elle sur des millions ou des centaines de millions d’Américains, et sur des citoyens de tous les autres pays par la même occasion ? Et le gouvernement refuse toujours de communiquer les décisions les plus importantes du tribunal de surveillance du renseignement extérieur (United States Foreign Intelligence Surveillance Court : la cour secrète chargée en principe de contrôler les programmes de surveillance gouvernementaux).

Malgré un ralentissement en 2014, nous avons appris encore davantage de choses sur les programmes de surveillance de la NSA que nous ne connaissions pas auparavant :

• avec le programme Mystic, la NSA enregistre toutes les communications par téléphones mobiles des Bahamas et de l’Afghanistan et les conserve pendant 30 jours ;
• la NSA vise spécifiquement les administrateurs système — les personnes qui sont souvent chargées de maintenir les réseaux sains et sécurisés ;
• la NSA et ses partenaires exploitent les applications mobiles, comme le populaire jeu Angry Birds, pour accéder aux informations privées des utilisateurs comme la localisation, l’adresse du domicile, le sexe et davantage encore ;
• la NSA cherche à développer sa capacité à infecter des millions d’ordinateurs en implantant des logiciels malveillants avec son programme TURBINE ;
• l’opération Dishfire de la NSA collecte quotidiennement 200 millions de messages (SMS) d’utilisateurs du monde entier ;
• la NSA intercepte « des millions d’images par jour — incluant environ 55 000 images dont la qualité permet la reconnaissance faciale » et les traite avec de puissants logiciels de reconnaissance faciale.
• la NSA espionne les leaders d’opinion et défenseurs des droits civiques — The Intercept a mis des visages sur certaines cibles de l’espionnage par la NSA, publiant les profils de cinq leaders musulmans américains qui ont été l’objet de surveillance. On y trouve un avocat, deux professeurs, un ancien membre de l’administration Bush et le fondateur du Conseil pour les relations américano-islamiques (Council on American-Islamic Relations) .

Malgré l’émergence de toutes ces informations, beaucoup trop demeurent encore secrètes.

Mais 2015 est pleine d’espoirs. Déjà, suite à des poursuites judiciaires engagées par l’EFF grâce à la Loi pour la liberté d’information, une cour fédérale a ordonné au gouvernement de rendre publique au début de l’année 2015 une partie des avis encore secrets rendus par l‘United States Foreign Intelligence Surveillance Court.
Nous avons également lancé une campagne pour réformer l’ordre exécutif 12333, et dans cette campagne, nous pressons le gouvernement à être clair par rapport au type d’informations collectées sur des millions de personnes à travers le monde. Que ce soit devant une cour fédérale ou dans l’opinion publique, en 2015 nous continuerons à nous battre pour le droit de savoir. L’EFF se bat pour les droits numériques de chacun, n’hésitez pas à les soutenir

• Pour lire d’autres articles (en anglais) qui récapitulent les actions de l’EFF pour 2014, suivez ce lien.

Depuis un an ou deux une conscience floue de l’ubiquité du pistage est perceptible dans les conversations sous la forme de brèves remarques fatalistes :

— De toutes façons on est espionnés, alors…
— Ils peuvent savoir tout ce qu’on fait sur Internet, hein…

et chez les Dupuis-Morizeau :

— J’ai réservé la location moins cher avec le PC du boulot pour exactement la même chose… Faut croire que depuis qu’on fait des achats en ligne ils se figurent qu’on pourrait payer plus…

Vous qui savez, ne vous moquez pas trop vite : mieux vaut cette perception diffuse qu’une certitude naïve d’être protégé (« ah tu vois le petit s derrière http ça veut dire que c’est sécurisé ce site » hum) ou pire une ignorance dangereuse.
Certes le chemin est long encore avant de pouvoir susciter une plus large prise de conscience puis une évolution des comportements et des usages dans notre vie numérique. C’est à quoi Framasoft s’efforce de mener par étapes avec la campagne longue durée Dégooglisons Internet. Mais bien d’autres initiatives surgissent semaine après semaine, et nous sommes ravis de leur donner un écho.
Tel est le cas aujourd’hui avec le projet amiunique (non, ce n’est pas un site de rencontre pour trouver un seul ami pour la vie : Am I unique? signifie : « Suis-je unique ? »).
Nous sommes pistés, traqués, espionnés, piégés, profilés… d’accord, tout le monde en a désormais « entendu parler ». Mais que sait-on de nous au juste lorsqu’on va jeter coup d’œil sur un site web ?
Il existe déjà des moyens d’en avoir une idée, par exemple dans Firefox, de nombreux outils de développement proposent des fonctionnalités pour voir ce qui se passe sous les jupes de la connexion. Mais le site amiunique.org en facilite l’accès et explique de quoi il retourne.
On découvre ainsi que cette quantité importante d’informations permet le plus souvent de faire de vous un utilisateur « unique »
— Ah j’en vois qui se rengorgent de n’être pas comme tous les autres et qui sont tout fiers de se distinguer du supposé troupeau des internautes…^[1]
Mais ne vous réjouissez pas trop vite, écoutez un peu ce que nous dit Benoît Baudry et voyez comment tout au contraire se fondre dans une masse d’empreintes numériques similaires pourrait être un moyen de ne plus être unique, donc de risquer moins d’être pisté !

— Bonjour, pouvez-vous vous présenter brièvement ?
Je suis chercheur depuis 2004 dans le domaine du génie logiciel. J’ai beaucoup travaillé sur des outils et algorithmes pour améliorer les activités de test logiciel dans le domaine des systèmes embarqués. Cette activité s’est ensuite élargie pour traiter de problèmes d’analyse de programme. Depuis février 2013 je coordonne un projet de recherche européen (DIVERSIFY) sur le thème de la diversification du logiciel pour faire des applications web plus robustes.
Dans ce contexte, nous avons démarré une activité sur le browser fingerprinting, c’est-à-dire les empreintes, les traces numériques que laissent nos plateformes quand nous nous connectons avec nos navigateurs.
La petite équipe qui se consacre à amiunique.org et aux technologies anti-fingerprint comprend un doctorant et bénéficie du conseil scientifique et technique de deux chercheurs en sécurité et génie logiciel.

Il n’est pas si fréquent qu’un labo de recherche universitaire entame un projet qui peut toucher un assez vaste public et potentiellement l’ensemble des utilisateurs du Web. Alors pourquoi s’intéresser au fingerprinting ?
Tous nos travaux de recherche sont inspirés par des problèmes réels rencontrés lors de la construction de systèmes logiciels. La nouveauté dans ce cas tient sans doute au fait que le problème ne touche pas seulement les développeurs de logiciels, mais que tout internaute peut se sentir concerné.
Dans le cadre de DIVERSIFY, nous étudions la diversité logicielle et la manière dont elle peut être exploitée, voire amplifiée par des procédures automatiques. L’idée de ce projet c’est que l’augmentation de la diversité logicielle augmente également la résilience et la sécurité des applis webs.
Par ailleurs, nous avons découvert que dans le cas du browser fingerprinting la très grande diversité et la richesse de l’écosystème web sont devenues un problème pour la vie privée : cet écosystème très très riche permet à chacun de disposer d’une plateforme qui correspond parfaitement à ses envies et à son confort, mais c’est ce même phénomène qui rend chaque plateforme unique et donc traçable. La question qui nous a alors intéressés est la suivante :

Peut-on exploiter la diversité qui est à l’origine du problème de fingerprint pour lutter contre le traçage, en modifiant automatiquement et régulièrement la plateforme logicielle d’un internaute ?

La première étape pour répondre à cette question consiste à étudier de près la diversité des plateformes qu’on peut trouver sur le web, ce qui nous a amené à développer le site amiunique.org

Bon alors de quoi s’agit-il au juste ? Pourquoi devrais-je me demander si je suis unique ? C’est inquiétant d’être unique sur le Net ?

Une première remarque à propos de l’unicité : quand le site affiche « Êtes-vous unique ? Oui ! », ce qu’il faut comprendre c’est que la plateforme logicielle (navigateur, OS, polices, plugins, etc.) que vous avez utilisée pour aller sur le site est unique parmi toutes celles observées jusqu’à présent. 

Un clic pour essayer…

et voici le résultat :

Quand vous visitez un site web, celui-ci peut facilement récolter un grand nombre d’informations à propos de votre plateforme. Certaines de ces informations sont systématiquement fournies au site web par le navigateur (user agent et en-têtes http), et pour le reste le serveur peut interroger les interfaces Flash, JavaScript et toute autre interface offerte par le navigateur et ses plugins.

Une longue liste de données que l’on peut récolter… (cliquer pour agrandir)

Le problème d’avoir une plateforme unique c’est que les sites marchands peuvent personnaliser leur contenu en fonction de la plateforme (pratiques tarifaires en fonction des clients ou publicités ciblées). Par exemple, les sites peuvent varier les prix en fonction de la localisation de l’internaute, déduite approximativement par l’adresse IP (voyez cet exemple), ou en fonction du système d’exploitation (un autre exemple). Une étude a montré que le site de voyages Orbitz propose des prix plus élevés aux utilisateurs de Mac OS (exemple d’Orbitz).

Mais ce que vous proposez de faire, ça commence bien comme du pistage non ? Vous voulez qu’on vous donne toutes les informations sur notre navigateur pour votre recherche, vous êtes sympathique avec votre bonne tête de nerd barbu mais comment puis-je avoir confiance ? Et puis vous allez faire quoi de cette bientôt énorme base de données récoltées, mmh ? 

La politique de confidentialité d’amiunique.org établit très clairement ce qui advient des données récoltées : elles sont stockées sur une machine sécurisée et nous les utilisons à des fins d’analyse statistique. Par ailleurs, nous ne récoltons absolument aucune information qui nous permette de relier une empreinte à une personne, les donnée sont donc anonymes par construction. Les analyses statistiques d’empreintes réelles sont essentielles pour établir des procédures qui modifient automatiquement la plateforme d’un internaute de manière réaliste. Dans cet objectif, 2 défis à relever : réussir à modifier la plateforme de manière transparente, mais suffisamment pour changer l’empreinte ; modifier la plateforme tout en la faisant ressembler à une vraie plateforme pour éviter d’être repéré comme un usager qui essaie de se cacher.

Quelle est selon vous la masse critique d’empreintes collectées qui vous permettra de passer à la phase suivante du projet ?

Il est important pour nous de rassembler un maximum d’empreintes pour que le verdict que nous rendons aux visiteurs (oui / non vous êtes unique) soit vraiment significatif. À l’échelle du Web, être unique parmi quelques dizaines de milliers d’internautes, ce n’est pas forcément très impressionnant, alors qu’être unique parmi quelques millions c’est déjà plus surprenant. Pour nos travaux futurs sur le brouillage c’est surtout important de récupérer une très grande diversité d’empreintes (diversité géographique, diversité de navigateur, polices, etc.). Un échantillon étendu et diversifié nous permettra d’identifier quelles sont les caractéristiques les plus discriminantes, qui devront être la cible principale pour le brouillage.

et euh… je ne risque rien si je “triche” en envoyant finalement des données trompeuses ? C’est bien légal ça ?

Il n’y a rien d’illégal à modifier/changer/envoyer des fausses informations. Cependant, deux problèmes peuvent se poser avec les extensions de navigateurs qui renvoient de fausses informations dans le user agent (par exemple User agent switcher).
Le premier vient du fait que les informations que vous envoyez à un serveur sont censées être utilisées pour vous renvoyer une page web qui est parfaitement adaptée à votre navigateur et à sa configuration. Si vous mentez, la page web peut présenter de nombreux défauts et certaines fonctionnalités peuvent ne pas être opérationnelles.
Le second problème vient du fait que si vous mentez, il se peut que votre empreinte soit incohérente et cela vous rend tout de suite identifiable. Par exemple, sur une des empreintes récoltées sur amiunique, le navigateur annonce dans son User Agent qu’il tourne sous Windows alors que le moteur de rendu JavaScript nous indique que la machine en question est un Mac. Cette configuration qui n’est pas censée exister dans la réalité vous rend identifiable car vous serez une des seules personnes au monde à avoir cette configuration incohérente.
Ce n’est donc pas illégal de mentir, mais ça peut engendrer des problèmes à la fois liés à la navigation et au traçage par empreinte.

Par ailleurs, il n’y a rien d’illégal à modifier charger / supprimer des nouvelles polices à chaque lancement de votre navigateur ou à utiliser régulièrement une version différente d’un navigateur.
Nous pensons qu’un avantage de *modifier la plateforme* (plutôt que de renvoyer de fausses informations) c’est qu’on ne prendra pas le risque d’être identifié comme un menteur ou comme une plateforme qui tente d’envoyer des données trompeuses.

C’est astucieux tout ça mais vous ne craignez pas que ceux qui nous pistent trouvent une parade à votre dispositif ?

Certainement et c’est toute la difficulté de tout dispositif pour la vie privée : dès qu’un nouveau dispositif apparaît, il fixe également les nouvelles barrières à franchir pour ceux qui veulent nous pister. Ce que nous espérons surtout c’est que ce genre de mécanisme rende le pistage plus difficile et plus coûteux.

Est-ce qu’on peut espérer que cette expérience “de laboratoire” aura une utilité pour nous les internautes concernés par le pistage de nos empreintes ? Pour votre équipe c’est un intéressant objet de recherche, mais sous quelle forme finale pourrait aboutir votre projet pour la famille Dupuis-Morizeau^[2]  ?

Nous l’espérons vraiment. Pour l’instant, il faudrait idéalement que la famille Dupuis-Morizeau ait des PC sous Linux, et dans ce cas nous visons une solution qui puisse être téléchargée et utilisée à la place du navigateur standard. En gros, ça devrait être un conteneur qui isole le navigateur et tous les éléments de plateforme, qui est lancé à chaque fois que quelqu’un veut naviguer sur Internet. Au lancement de ce conteneur, un navigateur, des polices, des plugins, voire quelques éléments de configurations système sont sélectionné aléatoirement, assemblés et démarrés. L’internaute peut alors naviguer avec une plateforme différente de celle utilisée la dernière fois.

Distribuer l’URL pour augmenter le nombre d’empreintes c’est déjà une énorme contribution. Toute idée de forums internationaux pour augmenter la diversité des empreintes est aussi tout à fait bienvenue. Enfin, le code du site est open source et nous serions ravis d’avoir des contributions à ce projet sous forme de traduction de pages, revue de code (architecture du site, sécurité, etc.) ou toute idée pour mieux valoriser les données auprès des visiteurs.

On trouvera de la provocation, de l’ironie et du sarcasme, mais aussi de l’amertume et de la lassitude dans ce billet de Peter Sunde, le cofondateur de The Pirate Bay et, plus récemment, de Flattr. Il estime sans doute qu’il a conquis sa légitimité pour houspiller les manifestants virtuels, les commentateurs tellement malins et les militants par délégation, lui qui a donné de son énergie et mis en jeu sa propre liberté pour la cause qu’il défend : il sort de cinq mois de prison pour avoir facilité la violation de droit d’auteur…
Peu importe au fond s’il nous paraît prendre un peu trop la pose du martyr revenu de tout, il nous adresse ici de vraies questions sur la façon dont nous agissons ou non pour nos libertés numériques.
Certes tout le monde n’a pas le courage de Snowden ou Assange et chacun peut avoir à son modeste niveau son propre engagement. Mais notre soutien financier aux associations militantes actives (comme la Quadrature, l’April, Framasoft et bien d’autres qui sont sur le terrain…), s’il est nécessaire et vital pour mener des combats toujours à reprendre, est-il suffisant ? N’est-ce pas considérer à bon compte que d’autres agiront pour nous, à notre place ?
Voici peut-être ce que suggère ci-dessous Peter Sunde : ne perdons plus d’énergie à débattre avec des imprécateurs en carton-pâte, cessons de prendre des clics pour des actions et des retweets pour des opinions. Et si nous nous sortions plutôt les doigts du clavier ?

« Je suis allé en prison pour avoir défendu ma cause. Et vous, qu’avez-vous fait ? »

Article original publié dans le magazine Wired sous le titre Peter Sunde: I went to jail for my cause. What did you do?
Traduction Framalang : Narcisse, Sphinx, Bussy, goofy, Monsieur Tino, Sphinx, Penguin, smonff

Il y a certains moments décisifs dans la vie qui vous touchent profondément. Recevoir son diplôme, échanger un premier baiser, écrire son premier livre, publier son premier article scientifique, vivre la mort d’un être cher, accueillir votre premier client dans votre café… Aux yeux des autres, ce ne sont que des petits épisodes sans importance mais pour vous ils ont une importance cruciale et sont comme un tournant dans votre vie.

Aujourd’hui j’ai eu une impression de ce genre, j’ai eu le sentiment que nous avions atteint une certaine masse critique. Une masse critique qui est furieuse contre l’état actuel de l’Internet ou plutôt contre l’état actuel de contrôle de l’Internet et ce que cela signifie pour le monde. Une masse critique qui comprend enfin que nous sommes sur la voie d’une démocratie « en pyramide », qui accorde bien peu de participation à sa base.

Le site « The Pirate Bay » a été fermé^[1]. Dans la tête des gens, ça a fait tilt de savoir que demain, ils devraient télécharger leur émission de télévision favorite autre part. En y réfléchissant, ils ont décidé que c’était le début d’une pente glissante. Ils comprennent que ça veut peut-être dire que ce contenu alternatif sera probablement d’accès difficile voire impossible. Que les langoliers^[2] nous rattrapent plus vite que nous ne l’imaginions. Que ce que nous faisons, c’est-à-dire centraliser Internet, n’avoir qu’une poignée de services centralisés, appartenant pour la plupart à des entreprises d’un seul et même pays, pays qui ne se soucie pas tellement des frontières lorsqu’il s’agit de ses propres intérêts, n’est pas la meilleure des idées.

Mais un mouvement prend forme, un mouvement en-dehors de tout ça. Et demain, quand vous vous réveillerez, il aura atteint une taille gigantesque, une masse de peut-être un million de personnes, qui verront le groupe « Arrêtez de détruire Internet » ou « Rendez-nous notre Pirate Bay » sur Facebook. Ils cliqueront sur « J’aime » et se sentiront fiers. Ils l’auront finalement fait. Ils auront stoppé la destruction de l’Internet.

Honnêtement, j’ai vraiment l’impression que nous avons atteint un point culminant. C’est l’impression que près de 100 % de la communauté internet pense « oh, ce n’est pas mon problème, quelqu’un d’autre s’en chargera ». Mais ce n’est pas seulement l’actualité autour de The Pirate Bay qui m’a conduit à cette idée. Ça a pris du temps à mûrir. En fait, il ne reste que quelques militants actifs qui font réellement quelque chose. Nos ressources financières sont plus qu’amenuisées, nous vieillissons et nous devenons paresseux. Nous essayons de travailler de façon intelligente tout en continuant à avoir une vie de famille, gérant nos vies avec nos compagnes ou compagnons, nous pensons à nos carrières. La plupart des militants les plus engagés finissent par travailler à plein temps sur les projets dans des organisations comme l’EFF, qui peuvent obtenir un certain financement. La communauté finance ces organisations et c’est ainsi que la communauté a l’impression que si elle le fait, ces chouettes personnes résoudront les problèmes à leur place.

Nous avons stoppé ACTA. Nous avons stoppé SOPA, PIPA. Nous travaillons à stopper le TTIP. Nous sommes présents dans certains parlements. Parce que c’est ainsi que nous travaillons désormais. Internet fait partie de la vie de tous les jours, nous ne pouvons plus jouer aux activistes sauvages et faire comme bon nous semble. Nous devons agir de façon organisée. Nous devons écouter les autres personnes. Il ne s’agit plus du Far West. Alors nous nous rangeons en ordre de bataille. Et nous discutons. En attendant, nos opposants deviennent de plus en plus forts. Ils ont déjà corrompu leurs amis politiciens pour nous rogner les ailes. Nous jouons sur leur propre terrain et nous voulons vraiment obtenir notre dû, nous en avons fait plus que n’importe qui. Dans le même temps, plusieurs accords du type de ACTA/SOPA/PIPA/TTIP sont passés sans que nous en sachions quoi que ce soit. Nous stoppons un accord et trois passent inaperçus. Malgré notre victoire à la Cour suprême européenne, nous devons toujours nous battre contre la rétention des informations. C’est un combat sans fin.

Nous avons nos propres célébrités. Nous avons eu Wikileaks. Nous avons eu Snowden. Nous avons eu Manning. Nous avons eu Aaron Swartz. Certains sont morts, d’autres sont en prison pour toujours. Certains se cachent, craignant pour leur vie. Les révélations de ces personnes, les combats de ces personnes sont des causes importantes. Liberté d’information. Liberté d’opinion. Démocratie. Transparence gouvernementale et droit à une procédure judiciaire régulière. Des éléments que nous prenons pour acquis, qui sont les bases de notre société moderne. Nous en parlons beaucoup. Nous sommes déçus. Nous pleurons, nous crions. Parfois, nous manifestons. Nous avons nos t-shirts. Nous avons nos symboles. Nous avons nos masques, nos conférences et nos débats. Nous attirons quelquefois l’attention. En général, les gens nous apprécient. Nos adversaires sont des bâtards, engraissés, vendus, prostitués. La plupart sont des hommes, riches, vivant aux États-Unis. Ils sont corrompus. Ils sont facilement haïssables. On dirait un vieux film hollywoodien. Le genre de film que ces hommes réalisent pour obtenir l’argent avec lequel ils nous combattent.

Mais même dans ces films, ce sont les gentils qui gagnent à la fin. Et nous savons qui sont les gentils. Nous savons que nous avons nos droits. Nous savons que nous sommes protégés par la loi. Nous comprenons aussi que la loi ne pourra pas grand-chose pour nous protéger si les méchants viennent nous chercher. Le truc, c’est que nous n’avons rien fait de mal donc ça ne nous inquiète pas.

Des journalistes me contactent quotidiennement. La plupart sont intelligents, bien formés et très compétents sur le plan professionnel. Travaillant dans la presse, ils sont protégés. Dans la plupart des pays, la loi leur permet de protéger leurs sources. Ils ont tous lu les documents de Manning. Ils ont lu ce que Snowden a fait fuiter. Ils sont au courant de la surveillance exercée par la NSA. Mais eux aussi, au fond, pensent qu’ils font partie des gentils. Après tout, ce truc là, le PGP, ça tient plus de la prise de tête qu’autre chose. Gmail est si simple à utiliser, ça fonctionne partout. Ils n’ont jamais aucun problème auparavant et ils ne veulent pas finir paranos comme Glenn Greenwald.

On ne m’invite plus à des soirées. Ce n’est pas que je sois ennuyeux — au contraire, je suis plutôt un invité divertissant, avec des histoires dingues à raconter, Je fais mon numéro de clown cintré qui raconte les histoires de fous par lesquelles il est passé. J’ai rencontré la présidente du Brésil, je suis allé en prison avec des tueurs et des trafiquants de drogue. Mais c’est tellement embêtant que je ne sois pas sur Facebook, alors, quand quelqu’un organise une fête, il suppose que quelqu’un d’autre va m’inviter, et tout le monde suppose que quelqu’un d’autre l’a fait. Ils pensent que je suis trop parano parce que je ne suis pas sur Facebook.

Je suis toujours fâché contre certains de mes collègues de travail. Ils sont trop difficile à joindre. La plupart d’entre eux n’ont pas de téléphone portable. Nous devons décider d’une heure et d’un lieu pour avoir une conversation sur un chat chiffré, parce qu’ils ne veulent pas être pistés. S’ils ont un imprévu je ne peux pas le savoir. Quelquefois, j’ai attendu 6 à 7 heures à cause de problèmes de trains/bateaux/voitures. Pour qui ils se prennent à vouloir être aussi anonymes ? Je n’ai pas envie de finir comme eux, ils sont si paranoïaques. Je présume que mon téléphone n’est pas sur écoute, je ne suis pas intéressant. Il ne suffit pas que je connaisse beaucoup de gens qui pourraient être intéressants aux yeux de certains gouvernements pour que ça signifie qu’ils ont un mandat pour m’espionner.

Hier, j’ai lu des tas de commentaires sur un nombre incalculable de fils de discussion portant sur une déclaration où je souhaitais que The Pirate Bay soit fermé pour de bon, pour que quelque chose de nouveau puisse apparaître. Quelque chose de nouveau et frais. C’est fou comme la plupart des commentaires sont incroyablement perspicaces. Ils expliquent à quel point je suis paresseux de ne rien faire au lieu de gueuler que TPB est devenu merdique. Que je devrais ouvrir un nouveau site au lieu d’accepter de laisser fermer TPB. Qu’ils veulent récupérer le colis qu’ils m’ont envoyés pendant que j’étais en prison pour avoir milité. Puisque je suis trop mauvais pour ne pas faire revenir TPB. Je présume que tous ces mecs et leur superbe ortographe^[3] (oui, ce sont tous des mecs) sont eux aussi des activistes qui font leur part de boulot pour la communauté libre et open source. Si c’est le cas, alors je dois me tromper en pensant que nous ne sommes que quelques-uns — Il y a apparemment des dizaines de milliers de personnes qui font en réalité un travail important que je devrais apprécier.

Mon impression d’être à un moment crucial n’est peut être qu’un tas de ruminations sur la partie pourrie, naïve et paresseuse de notre chère communauté internet. Et peut-être que j’utilise ces termes uniquement pour faire un peu plus chier le monde. Mais bon. Je suis allé en prison pour avoir défendu ma cause et vos émissions télé. Et vous, qu’avez-vous fait ? Vous voulez qu’on vous renvoie un des 25 exemplaires de 1984 d’Orwell qui m’ont été envoyés quand j’étais en prison ? Je vais en prendre un et vous le ferai parvenir. Peut-être le lirez-vous plutôt que de l’envoyer à quelqu’un d’autre en espérant qu’on le lise à votre place.

[2] Allusion à des monstres dans un roman de Stephen King : « des créatures rondes avec seulement une énorme bouche et des dents aiguisées », voyez la page Wikipédia du roman.

[3] La faute est intentionnelle, elle figure dans le texte original.

Crédits

• photo Peter Sunde : Flickr.com/Share Conference/CC By SA 2.0
• image : Gégé le Geektionnerd Generator – licence WTFPL-2.0

Inviter les utilisateurs à reprendre le contrôle de leurs contenus, applications et données personnelles, comme nous proposons de le faire par petites étapes avec notre campagne Dégooglisons Internet, c’est aussi tenir compte des difficultés techniques qui doivent être surmontées. Car les opérations à réaliser ne sont pas si évidentes pour la plupart d’entre nous. Installer et maintenir son propre serveur, y installer des applications, en assurer la sécurité, autant de compétences à acquérir qui peuvent rebuter. Non, tout le monde n’a pas envie ni plaisir ni du temps pour apprendre des procédures et des lignes de commande, une maîtrise avancée des logiciels et matériels.

Aussi est-il réjouissant de voir émerger de nouvelles initiatives qui donnent un accès plus facile au plus grand nombre. Un mouvement se dessine depuis quelque temps, qui consiste à proposer davantage de services en ligne indépendants et qui évitent aux utilisateurs des procédures qui pourraient les décourager : owncloud, cozy, remotestorage… Voici maintenant une autre initiative intéressante qui pourrait bien changer la donne dans le monde de l’hébergement : le projet IndieHosters, propulsé par un duo de nerds qui n’en sont pas à leurs débuts.

C’est Pierre qui a accepté de répondre à nos questions en pleine campagne de financement participatif…

— Bonjour, qui es-tu, ô hébergeur providentiel ?

Bonjour, je suis Pierre, et après avoir erré sur la façon d’apporter ma pierre à l’édifice, j’ai rencontré Michiel de Jong. Il m’a convaincu que pour nous, nerds, le meilleur moyen d’aider les gens était de leur fournir de l’hébergement. Et j’ai donc décidé de quitter mon emploi d’administrateur systèmes à Seedrs.com il y a 2 mois pour fonder avec lui IndieHosters.

Je suis les projets de Michiel sur Internet depuis un bout de temps déjà, il a créé le mouvement Unhosted, et plus récemment Terms of Service, Didn’t read. Cela fait maintenant 4 ans qu’il a quitté son emploi pour consacrer sa vie à sauver les Internets. C’est un nomade numérique qui vit de donations pour ses projets. Nous nous sommes rencontrés lors de l’organisation du meeting annuel de Unhosted à Unhos, près de Lisbonne où je réside.

— Le site du projet le présente fort bien mais en anglais, pourrais-tu nous dire l’essentiel dans la langue de Benjamin Bayart… Hébergement d’accord, mais avec quelle “valeur ajoutée” ? Ce ne sont pas les hébergeurs qui manquent….Vous trouviez que les hébergeurs existants n’étaient pas à la hauteur ? pas assez libres ?

Comme les lecteurs habitués de ce blog le savent déjà, il existe une alternative propriétaire à chaque logiciel libre. Et ceci est valable sur votre ordinateur comme dans le nuage. Le problème dans le nuage, c’est qu’il existe une importante différence d’expérience utilisateur entre une application libre et une application propriétaire.

Prenons l’exemple d’une application de blogging. Si je vais sur une application propriétaire, skyblog par exemple, j’ai un bouton « Inscrivez-vous ». Si je vais sur une alternative libre, WordPress par exemple, j’ai un bouton « Télécharger ». Dans la famille Dupuis-Morizeau^[1], pas un seul membre ne saura d’emblée quoi faire avec un fichier tar.gz !

Notre idée, c’est donc de remplacer tous ces boutons Téléchargez par Inscrivez-vous avec IndieHosters.

Il est vrai qu’il existe déjà énormément d’hébergeurs, mais pas un seul ne nous satisfait. Dans le cas de WordPress, on peut en trouver beaucoup, mais quid de l’hébergement de mes mails ? Gandi, c’est cool, mais c’est pas pour la famille Dupuis-Morizeau. Même si les interfaces se sont énormément simplifiées, cela s’adresse toujours à des administrateurs systèmes.

Et qui va faire de l’hébergement pour Wallabag à part Framasoft ? L’idée, c’est aussi de faire de l’hébergement pour toutes ces applications de niche. Notre but, c’est aussi que les gens qui font des applications libres pour le nuage puissent proposer des hébergeurs. Et c’est ce qui manque aujourd’hui !

Il est vrai par ailleurs que la plupart des hébergeurs ne sont pas très libres, ils utilisent pour la plupart des applications comme Plesk ou CPanel qui sont propriétaires. Mais surtout, ce qui est important pour nous est de donner accès à ces applications libres à tout le monde, et pas seulement aux geeks que nous sommes !

— Il paraît que vous voulez re-décentraliser le Web ? Qu’est-ce que ça veut dire ?

On ne va pas re-décentraliser que le Web, on veut le faire aussi pour les mails, le xmpp, et d’autres. On veut re-décentraliser les Internets.

Mais parlons du Web, et particulièrement du Web 2.0. C’est une sacrée révolution en effet. On est passé d’un web statique au web des applications. Revenons seulement quelques années en arrière. Si vous avez vécu les années 90, vous vous en souvenez : vous utilisiez des applications sur votre ordinateur. Dans le cas d’un document texte, ça se passait bien. Vous aviez votre fichier sur votre bureau virtuel. Vous pouviez le modifier avec différents logiciels, Notepad sous Windows, vi sous GNU/Linux, ensuite le passer à un copain ou sur un autre appareil ne nécessitait qu’une disquette.

Le Web 2.0 a révolutionné cela. Les applications, dont votre Notepad, ont migré vers le Web. C’est devenu le Web des applications. En soi, c’est pas très grave. Le problème, ce sont les données produites par ces applications. Elles se sont retrouvés « enfermées » dans ces applications, qui sont devenues très populaires. En quelques années, quelques entreprises ont pris la main sur la majorité des données produites sur Internet.

Mais avant cette période, le Web des documents était décentralisé. Pour plusieurs raisons, on pense que cela est bien, et donc c’est pour cela que l’on veut re-décentraliser le Web^[2].

— Pourquoi mettez-vous en avant l’aspect migrateur d’IndieHosters ? Mes données vont migrer d’un serveur à l’autre telles des hirondelles deuzéros ?

Reprenons l’exemple de Notepad avec l’application de blog. Le fichier texte, vous pouviez l’éditer avec n’importe quelle application. Aujourd’hui, si vous utilisez une application pour éditer votre billet de blog, même libre comme WordPress, il vous faut l’application en question. C’est assez ennuyeux, mais le mouvement unhosted, avec remotestorage essaie de résoudre ce problème. En attendant, si vous voulez migrer vos données associées à votre application, eh bien, il faut s’y connaitre. Et même les administrateurs systèmes les plus avertis vous diront que c’est la galère !

Pour nous, un utilisateur limité à un seul fournisseur de service pour son application n’est pas libre, même si le logiciel utilisé est libre. Et il y a plein de raisons pour lesquelles un utilisateur voudrait migrer :

• un service moins cher ;
• un service de meilleure qualité ;
• un support dans sa langue ;
• un choix plus large d’applications ;
• le non-respect de la vie privée, la perte de confiance ;
• l’interruption d’activité du fournisseur de service qui ayant fait fortune décide d’aller garder des chèvres dans le Larzac.

C’est pourquoi nous travaillons sur un format de migration standard avec une procédure standard, ainsi l’utilisateur pourra migrer d’un fournisseur de services à un autre et ce sans compétences techniques. Le plus beau dans tout cela, c’est que Framasoft pourra faire partie de ce réseau. Et lorsque les gens demanderont si http://degooglisons-internet.org/ ne va pas devenir un nouveau silo, on pourra répondre, que Framasoft fait partie d’un réseau de migration, donc pas de soucis, les gens seront libres de migrer ailleurs !

On aime vraiment le slogan de Cozy :

Vous allez rester parce que vous pouvez partir.

— Mais en réalité vous proposez un réseau d’hébergement ? est-ce que ça veut dire que vous proposerez aux souscripteurs plusieurs serveurs ?

En fait c’est un réseau d’hébergement comme les gîtes de France. Gîtes de France propose un label avec lequel, où que vous alliez, vous savez à quelle qualité de service vous attendre. Pourtant chaque hébergement est complètement indépendant des autres. IndieHosters, c’est un peu pareil, on partage la manière d’importer et d’exporter les données. Mais ensuite l’utilisateur final sera libre de choisir son hôte !

— Ce réseau existe déjà ?

Oui, il existe déjà, vous avez le choix entre Michiel et Pierre. Je vous recommande Pierre car il parle bien mieux français que Michiel, mais Michiel se débrouille pas mal aussi dans la langue de Molière.

— Ça concerne qui ce projet ? Quelle est votre “cible” ? Vous croyez vraiment que je vais être capable de me débrouiller avec la gestion de mon hébergement ? ouh là… ça me fait un peu peur moi toute cette arrière-boutique.

Ben justement, la cible c’est toi ! Il n’y a rien à gérer : si tu sais de quelles applications tu as besoin, on te les héberge et on s’occupe des détails techniques. J’ai fait le test avec ma sœur dont le profil est celui de Mme Dupuis-Morizeau (mais ma sœur a beaucoup plus de talent). Elle voulait un site pour montrer les bijoux et vêtements qu’elle fabrique. Je lui ai mis en place un WordPress. Elle qui n’y connaît pas grand-chose en informatique a pourtant réussi sans l’aide de personne à créer son site, fièrement hébergé par Pierre, un des IndieHosters !

— Pour profiter de cet hébergement, il faut au préalable avoir un compte WordPress ou Known ?

Non, il suffit d’acheter le service, en ce moment en pré-vente sur IndieGogo. Ensuite, à partir de janvier, on commence à fournir le service.

— La préoccupation croissante en ce moment et sans doute pour un certain temps, c’est la sécurité et la confidentialité. Qu’est-ce que le projet IndieHosters apporte sur ces points ? Est-ce que je peux avoir confiance ? Leur nuage là c’est bien joli mais ça revient à envoyer mes données personnelles sur des machines qui sont loin et qui ne m’appartiennent pas hein…

En ce qui concerne la sécurité, nos configurations sont libres. On espère ainsi faire collaborer les utilisateurs et les hébergeurs pour fournir un service toujours de meilleure qualité. Pour ce qui est la vie privée, on estime que les utilisateurs ne devraient pas faire confiance à leur hébergeur. Et pour cela, on recommandera aux utilisateurs d’utiliser le chiffrement.

On commence par offrir seulement des applications de blogging. Dans ce cas-là, on fait de l’hébergement de données publiques. Ensuite, pour les autres applications, il va falloir voir au cas par cas. Je sais que owncloud propose du chiffrement côté serveur. Pour les emails, il n’y pas de soucis. On mise aussi sur le fait que les développeurs d’applications vont de plus en plus implémenter le chiffrement par défaut. Ainsi l’utilisateur n’aura pas à faire confiance à son hébergeur. Si l’utilisateur ne chiffre pas ses emails, il devra faire confiance à son hébergeur. Mais il va payer son hébergeur pour faire ce métier, il sait ainsi que l’hébergeur n’a pas à revendre ses données personnelles pour vivre. Et si à un moment il y a perte de confiance, il sera toujours libre de changer d’hébergeur facilement !

— Le réseau que vous proposez est alléchant, mais aussi très ambitieux, comment allez-vous concrètement financer tout cela alors que vous affichez que vous hébergerez…

pour la liberté, pas pour le profit

L’idée, c’est que le réseau IndieHosters soit une CyberFondation à but non lucratif. Son rôle est de détenir la marque, les configurations, les documents et le format de migration. On pense à signer la charte de Framasoft aussi, pour être sûrs que cette CyberFondation fera les choses bien !

Ensuite, chaque IndieHoster, ou hébergeur indépendant qui fait partie de ce réseau, est libre de vendre son service comme il l’entend. Notre idée dans « par pour le profit » est que l’on veut simplement en vivre, et non générer des millions pour les actionnaires. Mais ce simplement en vivre peut être interprété différemment selon les personnes. En réalité on ne sait pas encore très bien comment cela va se passer. On pense au début à un tarif de 8 € par mois (deux bières !) tout compris avec une réduction de 10 % pour un abonnement à l’année. Et on veut aussi donner de l’hébergement gratuit aux associations ou autres particuliers. Mais dans un premier temps, il faut que l’on se consacre à se constituer un salaire mensuel. En ce moment, on se paye 10 € de l’heure et c’est bien suffisant. On verra petit à petit comment faire.

Si vous voulez le service, allez directement sur IndieGoGo, on fait une pré-vente. Un nom de domaine avec une application pour faire partie de l’IndieWeb pour la modique somme de 50 € pour un an de service ! Dépêchez-vous, il n’y en aura pas pour tout le monde !

— Merci pour ce projet auquel Framasoft souhaite une pleine réussite. N’hésitez pas à participer au lancement d’IndieHosters, et que mille hébergeurs indépendants se lèvent !

Encore des liens

Le site du projet : https://indiehosters.net/

Si vous souhaitez participer à ce projet, il est open source, contribuez sur le github !

L’appel à financement participatif : https://www.indiegogo.com/projects/indiehosters

Le site de Pierre Ozoux : https://pierre-o.fr/

Les deux fondateurs du projet expliquent en vidéo (sous-titres en français en cliquant sur le petit logo CC) : http://igg.me/at/IndieHosters/x

Les algorithmes^[1] ne sont guère qu’une série d’instructions pas-à-pas généralement exécutées par un programme sur une machine. Cependant leur complexité et leur opacité pour le commun des mortels sont redoutables, et bien plus encore leur omniprésence dans tous les compartiments de notre vie, y compris la plus intime. Si le code fait la loi, c’est justement parce que les algorithmes sont à la fois puissants, invasifs et sont devenus aujourd’hui indispensables.
L’article ci-dessous ne met pas l’accent sur les nombreux domaines où nous utilisons des algorithmes sans en avoir conscience, il pointe davantage les risques et menaces qu’ils représentent lorsque ce sont les algorithmes qui déterminent notre existence, à travers quelques exemples parmi bien d’autres. Il pose également l’intéressante question de la responsabilité de ceux qui élaborent les algorithmes. Suffira-t-il de réclamer des concepteurs d’algorithmes un sympathique engagement solennel à la manière de celui des acteurs du Web ?

Les codeurs dont les algos contrôlent nos vies, qui les contrôle ? Pouvons-nous avoir un droit de regard sur les algorithmes qui désormais menacent de régir nos vies ?

Les algorithmes sont formidables mais peuvent aussi ruiner des vies

Extrait de l’essai (en anglais) The Formula: How Algorithms Solve All Our Problems—and Create More par Luke Dormehl.

Source : article du magazine Wired Algorithms are great and all, but can also ruin our lives

Traduction Framalang : Wan, r0u, goofy, Sphinx, sinma, Omegax, ylluss, audionuma

Le 5 avril 2011, John Gass, 41 ans, a reçu un courrier du service d’enregistrement des véhicules motorisés (Registry of Motor Vehicles ou RMV) de l’État du Massachusetts. La lettre informait M. Gass que son permis de conduire avait été annulé, qu’il lui était désormais interdit de conduire et que cela prenait effet immédiatement. Le seul problème, c’est qu’en bon conducteur n’ayant pas commis d’infraction grave au code de la route depuis des années, M. Gass n’avait aucune idée du motif de ce courrier.

Après plusieurs appels téléphoniques frénétiques, suivis par une entrevue avec les fonctionnaires du service, il en a appris la raison : son image avait été automatiquement signalée par un algorithme de reconnaissance faciale conçu pour parcourir une base de données de millions de permis de conduire de l’État, à la recherche de possibles fausses identités criminelles. L’algorithme avait déterminé que Gass ressemblait suffisamment à un autre conducteur du Massachusetts pour présumer d’une usurpation d’identité, d’où le courrier automatisé du RMV.

Les employés du RMV se sont montrés peu compréhensifs, affirmant qu’il revenait à l’individu accusé de prouver son identité en cas d’erreur quelconque et faisant valoir que les avantages de la protection du public l’emportaient largement sur les désagréments subis par les quelques victimes d’une accusation infondée.

John Gass est loin d’être la seule victime de ces erreurs d’algorithmes. En 2007, un bogue dans le nouveau système informatique du Département des services de santé de Californie a automatiquement mis fin aux allocations de milliers de personnes handicapées et de personnes âgées à bas revenus. Leurs frais d’assurance maladie n’étant plus payés, ces citoyens se sont alors retrouvés sans couverture médicale.

Là où le système précédent aurait notifié les personnes concernées qu’elles n’étaient plus considérées comme éligibles aux allocations en leur envoyant un courrier, le logiciel maintenant opérationnel, CalWIN, a été conçu pour les interrompre sans avertissement, à moins de se connecter soi-même et d’empêcher que cela n’arrive. Résultat : un grand nombre de ceux dont les frais n’étaient plus pris en charge ne s’en sont pas rendu compte avant de recevoir des factures médicales salées. Encore beaucoup n’avaient-ils pas les compétences nécessaires en anglais pour naviguer dans le système de santé en ligne et trouver ce qui allait de travers.

Des failles similaires sont à l’origine de la radiation de votants des listes électorales sans notification, de petites entreprises considérées à tort comme inéligibles aux contrats gouvernementaux, et d’individus identifiés par erreur comme « parents mauvais payeurs ». Comme exemple notable de ce dernier cas, Walter Vollmer, mécanicien de 56 ans, a été ciblé à tort par le Service fédéral de localisation des parents, et s’est vu envoyer une facture de pension alimentaire à hauteur de 206 000 $. L’épouse de M. Vollmer, 32 ans, a par la suite montré des tendances suicidaires, persuadée que son mari avait eu une vie cachée pendant la majeure partie de leur mariage.

Une possibilité tout aussi alarmante : qu’un algorithme puisse ficher par erreur un individu comme terroriste. Un sort qui attend chaque semaine environ 1500 voyageurs malchanceux qui prennent l’avion. Parmi les victimes passées de ces erreurs de corrélation de données, on retrouve d’anciens généraux de l’armée, un garçon de quatre ans, ainsi qu’un pilote d‘American Airlines, qui a été détenu 80 fois au cours d’une même année.

Beaucoup de ces problèmes sont dus aux nouveaux rôles joués par les algorithmes dans l’application de la loi. Les budgets réduits menant à des réductions de personnel, les systèmes automatisés, auparavant de simples instruments administratifs, sont maintenant des décideurs à part entière.

Dans nombre de cas, le problème est plus vaste que la simple recherche d’un bon algorithme pour une tâche donnée. Il touche à la croyance problématique selon laquelle toutes les tâches possibles et imaginables peuvent être automatisées. Prenez par exemple l’extraction de données, utilisée pour découvrir les complots terroristes : de telles attaques sont statistiquement rares et ne se conforment pas à un profil bien défini comme, par exemple, les achats sur Amazon. Les voyageurs finissent par abandonner une grande partie de leur vie privée au profit des algorithmes d’extraction de données, avec peu de résultats, si ce n’est des faux-positifs. Comme le note Bruce Schneier, le célèbre expert en sécurité informatique :

Chercher des complots terroristes… c’est comme chercher une aiguille dans une botte de foin, ce n’est pas en accumulant davantage de foin sur le tas qu’on va rendre le problème plus facile à résoudre. Nous ferions bien mieux de laisser les personnes chargées d’enquêtes sur de possibles complots prendre la main sur les ordinateurs, plutôt que de laisser les ordinateurs faire le travail et les laisser décider sur qui l’on doit enquêter.

Bien qu’il soit clair qu’un sujet aussi brûlant que le terrorisme est un candidat parfait pour ce type de solutions, le problème central se résume encore une fois à cette promesse fantomatique de l’objectivité des algorithmes. « Nous sommes tous absolument effrayés par la subjectivité et l’inconstance du comportement humain », explique Danielle Citron, professeur de droit à l’Université du Maryland. « Et à l’inverse, nous manifestons une confiance excessive pour tout ce que peuvent accomplir les ordinateurs ».

Le professeur Citron suggère que l’erreur vient de ce que nous « faisons confiance aux algorithmes, parce que nous les percevons comme objectifs, alors qu’en réalité ce sont des humains qui les conçoivent, et peuvent ainsi leur inculquer toutes sortes de préjugés et d’opinions ». Autrement dit, un algorithme informatique a beau être impartial dans son exécution, cela ne veut pas dire qu’il n’a pas de préjugés codés à l’intérieur.

Ces erreurs de jugement, implicites ou explicites, peuvent être causées par un ou deux programmeurs, mais aussi par des difficultés d’ordre technique. Par exemple, les algorithmes utilisés dans la reconnaissance faciale avaient par le passé de meilleurs taux de réussite pour les hommes que pour les femmes, et meilleurs pour les personnes de couleur que pour les Blancs.

Ce n’est pas par préjugé délibéré qu’un algorithme ciblera plus d’hommes afro-américains que de femmes blanches, mais cela ne change rien au résultat. De tels biais peuvent aussi venir de combinaisons plus abstraites, enfouies dans le chaos des corrélations de jeux de données.

Prenez par exemple l’histoire de l’afro-américaine Latanya Sweeney, docteure de l’Université d’Harvard. En effectuant des recherches sur Google, elle fut choquée de découvrir que les résultats de ses recherches étaient accompagnés de publicités demandant : « Avez-vous déjà été arrêté(e) ? ». Ces annonces n’apparaissaient pas pour ses collègues blancs. Sweeney se lança alors dans une étude, démontrant que les outils d’apprentissage automatique utilisés par Google étaient incidemment racistes, en associant plus souvent des noms donnés à des personnes noires avec des publicités ayant trait aux rapports d’arrestation.

Le système de recommandation de Google Play révèle un problème similaire : il suggère aux utilisateurs qui téléchargent Grindr, un outil de réseautage social basé sur la localisation pour les gays, de télécharger également une application qui assure le suivi géolocalisé des délinquants sexuels. Au vu de ces deux cas, devons-nous conclure que les algorithmes ont fait une erreur, ou plutôt qu’ils sont révélateurs des préjugés inhérents à leurs concepteurs ? Ou, ce qui semble plus probable, ne seraient-ils pas révélateurs d’associations inappropriées et à grande échelle entre — dans le premier cas — les personnes noires et le comportement criminel, et — dans le deuxième cas — l’homosexualité et les agressions sexuelles ?

Peu importe la raison, peu importe la façon répréhensible dont ces corrélations codifiées peuvent exister, elles révèlent une autre face de la culture algorithmique. Quand un seul individu fait explicitement une erreur de jugement, il ne peut jamais affecter qu’un nombre fini de personnes. Un algorithme, quant à lui, a le potentiel d’influer sur un nombre de vies exponentiellement plus grand.

Pour aller plus loin, 4 articles en français sur le même sujet :

• Surveiller les algorithmes
• Ces algorithmes qui vous nous gouvernent
• Ouvrir les modèles, pas seulement les données
• Le jaguar et le bus scolaire

Le bref article traduit ci-dessous ne fait que réunir et rassembler commodément des liens vers des ressources qui ne sont nullement secrètes. C’est au contraire tout à fait ouvertement que Google met à votre disposition ce qu’il sait de vous, il vous suffit de rechercher dans les paramètres de votre compte Google (mmmh car vous en avez encore un n’est-ce pas ?).

Vous vous demandez sans doute alors pourquoi un article du Framablog vous invite à cliquer sur les liens… Google, alors que nous sommes engagés dans une campagne à long terme pour vous inciter à vous déprendre de son emprise. Disons que c’est une façon rapide et frappante de prendre conscience de ce que nous sommes devenus pour cette entreprise : des données monnayables. C’est aussi une façon de découvrir que non seulement vous pouvez désactiver les fonctionnalités les plus intrusives, mais que vous pouvez même récupérer toutes les données que vous avez généreusement données à Google (voyez le 6^e lien) avant de supprimer votre compte !

Faites connaître autour de vous ces quelques liens, en particulier à ceux qui par simple ignorance ou par indifférence ne voient pas pourquoi ils devraient s’efforcer de renoncer peu à peu à Google, à ses pompes et à ses œuvres (oui je sais, Amazon, Apple, Facebook et d’autres sont sur les rangs aussi mais ils ne perdent rien pour attendre).

Article original sur le blog de Cloudfender 6 links that will show you what Google knows about you

Six liens qui vont vous montrer ce que Google sait de vous

Vous voulez savoir tout ce que Google sait sur vous ? Voici 6 liens qui vont vous montrer certaines des données que Google possède sur vous.

1. Découvrez comment Google vous voit

Google tente de créer un profil de base de vous, selon votre âge, votre sexe, vos centres d’intérêt. C’est avec ces données que Google vous « sert » des annonces pertinentes. Vous pouvez examiner la façon dont Google vous voit ici :

https://www.google.com/ads/preferences/

2. Découvrez l’historique de votre géolocalisation

Si vous utilisez Android, votre appareil mobile peut envoyer à Google des informations de géolocalisation et de vitesse de déplacement d’un point à l’autre. Vous pouvez voir l’historique complet de vos « positions » et les exporter ici :

https://maps.google.com/locationhistory

3. Découvrez l’intégralité de votre historique de recherches Google

Google enregistre jusqu’à la moindre recherche que vous faites. Par-dessus le marché, Google enregistre toutes les pubs Google sur lesquelles vous avez cliqué. L’historique est à votre disposition ici :

https://history.google.com

4. Découvrez tous les appareils qui ont accédé à votre compte Google

Si vous craignez que quelqu’un d’autre ait pu utiliser votre compte, vous pouvez trouver la liste de tous les appareils qui ont accédé à votre compte Google, leur adresse IP et leur emplacement approximatif :

https://security.google.com/settings/security/activity

5. Découvrez toutes les applications et les extensions qui ont accès à vos données Google

Ceci est une liste de toutes les applications qui ont tout type d’accès à vos données. Vous pouvez voir le type exact de permissions accordées à l’application et révoquer l’accès à vos données en suivant ce lien :

https://security.google.com/settings/security/permissions

6. Exportez l’ensemble de vos données de Google

Google vous permet d’exporter toutes vos données : marque-pages, courriels, contacts, fichiers du « Drive », informations de votre profil, vos vidéos YouTube, vos photos et encore davantage :

https://www.google.com/takeout

Tiens et ces options, vous les aviez repérées aussi, vous ?

Bon ça c’est fait. Par petites étapes, on va finir par y arriver !