Laissons Google tranquille (mais pas trop)

Evgeny Morozov CC-BY-SA re:publica
Evgeny Morozov CC-BY-SA re:publica

Un article qui « défend » Google sur le framablog… sérieusement ?

Oui : sérieusement. Car ce billet d’Evgeny Morozov ne défend pas Google, ni Facebook ni leurs consorts, mais il incite nos politiques à ne pas céder à la facilité de marteler le colosse de la Silicon Valley en lui imputant tous les maux du monopole actuel, et à s’attaquer au fond du problème : la maîtrise de nos données.

Lionel Maurel (juriste et bibliothécaire connu sous le pseudo Calimaq) parle au travers de son blog des données personnelles, et suit de près les théories qui évoluent d’une vision propriétariste à la perspective de données devenant un commun.

Plutôt que de démanteler les monopoles de GAFAM, la création d’un « commun des données » pourrait couper l’herbe sous les pieds d’argile de ces colosses de manière plus éthique et solidaire.

Et si l’Europe avait le pouvoir politique de rendre cela possible… ?

Pouhiou.

L’Europe a tort de s’attaquer à la hache au géant Google.

par Evgeny Morozov (tumblr).

Traduction : Goofy

C’est le passe-temps favori du continent, et même le Parlement européen ne peut y résister : s’attaquer au moteur de recherche le plus grand du monde. Lors d’un vote récent et largement symbolique, les députés européens ont insisté pour que la recherche Google soit séparée de ses autres services — exigeant, en substance, que l’entreprise soit démantelée.(1)

Ce serait bénéfique pour les détracteurs de Google, mais malheureusement pas pour les citoyens européens. La recherche, comme le secteur du réseautage social dominé par Facebook, semble être un monopole naturel. Plus Google connaît de chaque requête — qui demande quoi, où et et pourquoi — plus ses résultats seront pertinents. Une entreprise qui a organisé, disons, 90 pour cent de l’information du monde fera naturellement mieux que une société qui détient à peine un dixième de cette information.

Mais la recherche n’est qu’une partie du portefeuille tentaculaire d’activités de Google. Les thermostats intelligents et les voitures auto-conduites sont des entreprises d’information, aussi. Tous puisent dans les réservoirs sans fond des données captées par Google, par les capteurs tels que ceux intégrés dans le matériel et les algorithmes. Tous se nourrissent mutuellement.

Les décideurs politiques ne saisissent pas encore le dilemme. Désolidariser la recherche des autres services de Google revient à les couper de leur contexte qui améliore leur précision et leur pertinence. Mais laisser Google opérer comme un monopole naturel revient à lui permettre d’envahir d’autres domaines.

Facebook présente un dilemme similaire. Si vous voulez construire un service autour de votre personnage en ligne — que ce soit pour trouver des musiques nouvelles ou partager des outils électriques avec vos voisins — sa passerelle d’identification est très pratique. Comme il cartographie nos intérêts et nos liens sociaux, Facebook est le gardien de nos réputations et des profils de consommation. Il rend disponible notre identité numérique à d’autres entreprises et lorsque nous interagissons avec ces entreprises, Facebook lui-même en apprend encore plus sur nous.

Étant donné que les données sur notre comportement pourraient détenir la clé pour résoudre les problèmes, de la santé au changement climatique, qui devrait les rassembler ? Et devraient-elles être traitées comme une marchandise et revendues à tous ?

Imaginez que ces données puissent être accumulées par les citoyens qui sont effectivement ceux qui les génèrent, d’une manière qui favorise leur utilisation commune. Donc, une communauté pourrait visualiser ses besoins de voyage précis et organiser des services de bus flexibles et efficaces — ne jamais voyager trop vide ou trop plein – pour rivaliser avec l’entreprise de transport innovante Uber. Les taxis commandés via Uber (dont Google est actionnaire) peuvent maintenant jouer des chansons que les passagers ont déjà « aimées » sur le service de musique en streaming Spotify (Facebook est un allié), une indication de ce qui devient possible une fois que notre identité numérique est au cœur des prestations de services. Mais laisser ces données entre les mains du clan Google-Facebook revient à empêcher les autres de trouver de meilleurs usages.

Nous avons besoin d’un système de données radicalement décentralisé et sécurisé ; personne ne devrait être en mesure d’obtenir vos données sans autorisation, et personne d’autre que vous ne devrait en être propriétaire. Dépouillé de identificateurs de la vie privée compromettants, cependant, ces données devraient être regroupées en une ressource commune. Tout innovateur ou un entrepreneur en herbe — pas seulement Google et Facebook — devrait être en mesure d’accéder à ce pool de données pour construire sa propre application. Cela amènerait une abondance de fonctionnalités et de services jamais vus.

L’Europe a besoin non pas d’un Airbus pour concurrencer le Boeing de Google, mais de milliers d’entreprises agiles qui opèrent sur un pied d’égalité avec les grandes sociétés américaines. Cela n’arrivera pas tant que nous n’aurons pas traité certains types de données dans le cadre d’une infrastructure commune, ouverte à tous. Imaginez le scandale si une grande entreprise achetait tous les exemplaires d’un livre en particulier, n’en laissant aucun pour les bibliothèques. Pourquoi devrions-nous accepter un tel accord avec nos données ?

Water wordscape CC-BY Marius B
Water wordscape CC-BY Marius B.

Les recherches basiques  comme « Qui a écrit Guerre et Paix ? » ne nécessitent pas la sophistication de Google et peuvent être fournies gratuitement. Empêché d’accumuler les données des utilisateurs à des fins publicitaires, Google pourrait toujours fournir des services de recherche de pointe, peut-être de façon payante (pas nécessairement payés par les citoyens). La facture pour trouver des livres ou des articles en rapport avec celui que vous lisez pourrait être acquittée par les universités, les bibliothèques ou même votre employeur.

L’Amérique n’abandonnera pas le modèle actuel de services centralisés, financés par la publicité ; la surveillance d’état a besoin d’eux. La Russie et la Chine ont diminué leur dépendance à Google et Facebook, mais n’ont fait que les remplacer par des équivalents locaux.

L’Europe pourrait mieux faire. Elle dispose d’un minimum de respect de la protection des données. Ses citoyens sont mal à l’aise avec l’avidité de la Silicon Valley. Mais il n’y a aucune raison de revenir à un passé pas si lointain, lorsque les données étaient chères et difficiles à agréger. Les politiciens européens devraient adopter une vision à plus long terme. Le problème avec Google n’est pas qu’il est trop grand, mais qu’il siphonne des données qui ne lui appartiennent pas.

(1) sur la volonté européenne de scinder les activités de recherche du reste lire cet article.

 




Un Internet plus ouvert pour lutter contre le terrorisme.

À l’heure où l’on publie les décrets d’application d’une loi permettant la censure de sites sans passer par le pouvoir judiciaire… À l’heure où le choc émotionnel après les actes barbares est suivi de velléités politiques d’un Patriot Act à la française

…nous avons retrouvé et traduit une déclaration qui date de 2005.

Il y a près de dix ans, 60 chef d’états et le secrétaire général des Nations unies se retrouvaient à Madrid pour un sommet s’inscrivant dans une semaine d’hommages aux victimes des attentats de 2004.

Il y a donc près de dix ans, Kofi Annan, alors secrétaire général de l’ONU y déclarait :

Je dois malheureusement dire que les spécialistes des droits de l’homme, y compris ceux du système des Nations unies, considèrent tous, sans exception, que nombre de mesures qu’adoptent actuellement les États pour lutter contre le terrorisme constituent une atteinte aux droits de l’homme et aux libertés fondamentales.

Il y a près de dix ans, le sous-groupe Internet de ce sommet formulait une série de recommandations pour lutter contre le terrorisme en tenant compte de ce formidable outil d’expression et d’interconnexion qu’est Internet.

C’était il y a près de dix ans : une éternité en « temps Internet »… Et ce n’a jamais été autant d’actualité.

Pouhiou.

madrid summit on democracy - CC-BY Wendy Seltzer
Madrid summit on democracy – CC-BY Wendy Seltzer

L’infrastructure de la démocratie.

Renforcer l’ouverture d’Internet pour un monde plus sûr.

Source.

Traduction framalang : Narcisse, Tim, Monsieur Tino, audionuma et les anonymes…

Recommandations proposées par le groupe de travail sur Internet du Sommet international sur la démocratie, le terrorisme et la sécurité.

I. Au XXIe siècle, Internet fait partie des piliers d’une société démocratique, parce que les valeurs au cœur d’Internet et de la démocratie sont très proches.
  1. Les fondements d’Internet sont : ouverture, participation et liberté d’expression pour tous, ce qui augmente la diversité et la portée des informations et idées diffusées.
  2. Internet permet de communiquer et de collaborer entre différents pays et différentes croyances.
  3. Internet rapproche des familles et des cultures dispersées à travers le monde, met les citoyens en relation et les aide à créer des sociétés civiles
  4. Internet peut favoriser le développement économique en connectant ses utilisateurs à l’information et à des marchés.
  5. Internet présente des idées et des points de vue différents aux personnes isolées qui pourraient être séduites par la violence politique.
  6. Internet n’échappe pas à la loi et les principes législatifs qui sont appliqués dans le monde réel doivent l’être également aux activités humaines sur Internet.
II. Les systèmes décentralisés — le pouvoir du nombre — peuvent vaincre un adversaire centralisé.
  1. Les réseaux terroristes sont très décentralisés et distribués. Une action centralisée ne peut donc en elle-même lutter contre le terrorisme.
  2. Le terrorisme est l’affaire de tous. Internet nous relie tous. Des citoyens connectés sont la meilleure défense contre la propagande terroriste.
  3. Comme nous l’avons vu à la suite des attaques du 11 mars, la réponse a été spontanée et rapide car les citoyens ont pu utiliser Internet pour s’organiser entre eux.
  4. Comme nous pouvons le constater sur les blogs et les autres médias citoyens, ce sont des discussions ouvertes, entre interlocuteurs dont les avis divergent, qui font émerger la vérité.
III. La meilleure sanction contre l’abus d’ouverture : plus d’ouverture.
  1. Les environnements ouverts et transparents sont plus sûrs et plus stables que ceux qui sont fermés et opaques.
  2. Même si certains services en ligne peuvent être interrompus, Internet est un système planétaire très résistant aux attaques, même les plus sophistiquées et les plus distribuées.
  3. Les interconnexions humaines qui ont lieu via Internet mettent en échec les divisions que les terroristes essayent de susciter.
  4. Le fait qu’Internet soit ouvert peut être exploité par les terroristes, mais tout comme dans les gouvernements démocratiques, l’ouverture réduit les risques d’actes terroristes et augmente l’efficacité des réponses au terrorisme.
IV. La régulation bien intentionnée de l’Internet dans les démocraties en place pourrait menacer le développement des démocraties émergentes.
  1. Le terrorisme ne peut détruire Internet, mais une réponse législative trop zélée face au terrorisme le pourrait. Les gouvernements devraient faire preuve d’une extrême prudence avant d’imposer des modifications des fonctionnalités au cœur d’Internet.
  2. Certaines initiatives gouvernementales qui pourtant semblent raisonnables violent les principes de base qui ont fait le succès d’Internet.
  3. Certains prônent par exemple la fin de l’anonymat, ce qui n’arrêtera certainement aucun terroriste déterminé, mais aura un effet dissuasif sur les actions politiques ce qui aura pour conséquence de réduire la liberté et la transparence. Ainsi par un effet boule de neige inattendu, la restriction de l’anonymat menacera la liberté d’expression, en particulier dans les pays en pleine transition démocratique.
V. En conclusion, nous prions l’ensemble des délégués réunis ici à Madrid de :
  1. Soutenir la cause d’un Internet ouvert, pilier de la démocratie du XXIe siècle et outil essentiel à la lutte contre le terrorisme
  2. Considérer Internet comme un moyen de communication indispensable et investir dans sa consolidation contre les attaques et sa capacité à refonctionner rapidement en cas de dégâts.
  3. Favoriser un accès plus large et plus égalitaire à Internet, en s’employant à réduire la fracture numérique.
  4. Protéger la liberté d’expression et d’association, soutenir la mise à disposition pour tous de moyens communication anonymes.
  5. Résister aux tentatives de gouvernance internationale d’Internet, qui pourraient avoir des conséquences indésirables et vont à l’encontre de la nature démocratique d’Internet : privilégier les initiatives qui partent de la base.



Une voix pour la neutralité du Net

…et pas n’importe quelle voix ! Vous le savez sans doute, le combat pour la neutralité du Net est mené avec constance et détermination par la Quadrature du Net qui lui consacre une section entière et des dossiers très fouillés sur son site.

Aujourd’hui les institutions européennes sont la proie des groupes de pression très puissants qui s’activent ouvertement pour remettre en cause le principe de neutralité pourtant acté clairement par le Parlement européen en avril de l’année dernière.

Qu’appelle-t-on au juste la neutralité du Net ? En quoi est-ce important pour chaque citoyen ?

Pour comprendre simplement l’enjeu, nous vous proposons ici une claire et brève intervention de celui qui a inventé le Web.

sir_tim_berners-lee_1

La neutralité du Net est un enjeu décisif pour l’avenir de l’Europe.

par Sir Tim Berners-Lee, fondateur et directeur de la fondation World Wide Web

Article original publié sur le blog d’Andrus Ansip, membre du Parlement européen.
Traduction Framalang : Simon, Goofy, r0u, Framasky, panini, Narcisse, audionuma

En tant qu’inventeur du World Wide Web, on me demande souvent : « Et ensuite ? Quelle sera la prochaine révolution sur le Web ? »
Eh bien la vérité c’est que je n’en sais rien. Pourquoi ? Lorsque j’ai créé le Web, je l’ai conçu intentionnellement pour qu’il soit un espace neutre de création et de collaboration, qui repose sur l’ouverture offerte par Internet. Selon la vision que j’en avais, n’importe qui n’importe où dans le monde pourrait partager des connaissances et des idées sans avoir besoin d’acheter une licence ni de demander la permission, ni à moi ni à un quelconque PDG, ministère ou comité. Cette ouverture a déclenché un raz de marée d’innovations et continue de provoquer de nouvelles percées dans les sciences, le commerce, la culture et bien d’autres domaines encore.

Pourtant, aujourd’hui, un élément clé de l’ouverture qui sous-tend le Web et plus largement Internet, est menacé. Je suis en train de parler de la « neutralité d’Internet » — le principe suivant lequel chaque paquet de données doit être traité équitablement par le réseau. En pratique, cela signifie qu’il ne devrait pas y avoir de censure : l’État ne devrait pas restreindre le contenu légal créé par les citoyens, comme le garantit l’article 11 de la Charte des droits fondamentaux de l’UE. Cela veut dire aussi qu’il ne devrait pas y avoir de restrictions motivées par des intérêts économiques. Un paquet de données — un courriel, une page web ou un appel vidéo — doit être traité de la même manière, peu importe qu’il soit envoyé par une petite ONG à Ljubljana ou une entreprise londonienne cotée au FTSE 100.

Maintenir la neutralité du Net est crucial pour l’avenir du Web et celui des droits humains, de l’innovation et du progrès en Europe. Une étude commandée par le gouvernement des Pays-Bas en juin 2013 a montré que la neutralité du Net stimule un cercle vertueux entre plus de compétitivité, des prix plus bas, une meilleure connexion et de plus grandes innovations, bénéficiant à tous les citoyens, ainsi qu’aux petites et grandes entreprises d’Internet.

Et pourtant, certaines entreprises et gouvernements prétendent que l’on devrait abandonner le principe de neutralité du Net. Jusqu’à maintenant, on a largement pu se passer de lois explicites pour protéger la neutralité du Net, mais comme Internet évolue, la situation a changé. Si on veut maintenir et développer Internet comme un moteur pour la croissance, on doit s’assurer que les fournisseurs d’accès ne soient pas capables de bloquer, étrangler ou restreindre le contenu légal et les services en ligne de leurs utilisateurs, que ce soit pour des raisons politiques ou économiques. Bien entendu, il ne s’agit pas seulement du blocage et du ralentissement réseau. Il s’agit aussi de d’arrêter la « discrimination positive », comme lorsque un opérateur Internet favorise un service particulier par rapport à un autre. Si nous n’interdisons pas explicitement cela, nous laissons un immense pouvoir entre les mains des opérateurs téléphoniques et fournisseurs de services en ligne. En effet, il pourront devenir des gardiens vigiles — capables de choisir les gagnants et les perdants du marché et de favoriser leurs propres sites, services et plateformes par rapport à tous les autres. Cela supprimera la compétition et éliminera de nouveaux services avant même qu’ils n’aient vu la lumière du jour. Imaginez qu’une nouvelle start-up ou un fournisseur de services doive demander la permission ou payer une redevance à un concurrent avant d’avoir pu attirer des clients ! Cela ressemble fort à de la corruption ou à de l’abus de position dominante — mais il s’agit exactement du type de scénario qui nous attend si nous abandonnons la neutralité du Net.

Ces inquiétudes ne sont pas imaginaires — la neutralité du Net est déjà attaquée. La Web Foundation a récemment sorti son Web Index 2014, une étude portant sur 86 pays. 74 % des pays répertoriés par le Web Index manquent de règles claires et efficaces sur la neutralité du Net ou montrent une discrimination tarifaire. Dans 95 % des pays étudiés où il n’existe pas de lois sur la neutralité du Net, on voit émerger des signes de discrimination du trafic — signe que la tentation pour les entreprises ou les gouvernements d’interférer semble irrésistible.
Le paysage actuel de la neutralité du Net dans les pays de l’Union européenne est assez hétéroclite. Certains états membres, comme les Pays-Bas (qui obtiennent le score élevé de 8 sur les 10 points possibles du Web Index), ont déjà inscrit ce principe dans leur législation. La République Tchèque, la Norvège et le Danemark sont également bien placés dans l’Index, avec un score de 7, alors que d’autres, comme la Pologne ou l’Italie, atteignent seulement 2 sur 10. Sanctuariser la neutralité du Net dans l’Union européenne tout entière pourrait augmenter le niveau de performance des pays de rang secondaire, pour finalement permettre à l’Europe de récolter le plein potentiel de l’Internet ouvert comme moteur de croissance et de progrès social.
Soumettre des règles fixant la neutralité du Net aux délibérations de l’Union européenne (dans le cadre d’un bouquet de propositions de lois intitulé Telecoms Single Market Regulation (Marché unique des télécommunications) permettrait de faire exactement cela. Le Parlement européen a pris clairement position en faveur de la neutralité du Net dans sa version de la loi du printemps 2014. C’est maintenant au tour du Conseil de l’Union européenne de déterminer sa position.

Le Conseil a prévu de conclure la phase de débats vers le mois de mars 2015, mais seulement si elle reste une priorité dans l’ordre du jour de la prochaine présidence lettonne. Pour que la neutralité du Net demeure une priorité haute sur l’agenda politique, tweetez-le à la présidence lettonne (@eu2015lv) et dites-leur que les citoyens et le monde des affaires de l’Union européenne ont besoin de la neutralité du Net maintenant, avant que la discrimination en ligne ne devienne la norme.

* * * * * * * *

Pour voir une excellente animation vidéo (de 3 minutes trente) sur la neutralité du Net, cliquez sur cette image :


Vidéo « Neutralité, j'écris ton nom » sur Youtube

Crédit photo




Dégooglisons Internet : LA conférence !

En novembre 2014, plusieurs membres de Framasoft sont venus en force au Capitole du Libre de Toulouse pour y répandre bonne humeur, chatons et défense d’un Libre accessible à tou-te-s (oui : même aux Dupuis Morizeau !)

La fine équipe de Toulibre, le GUL toulousaing organisant avec brio le #CDL2014, a eu la bonne idée de capter ces conférences pour en faire profiter les internautes. Voici donc le premier d’une série de trois articles « Capitole du Libre ! »

Dégooglisons Internet : des alternatives libres sont possibles.

Et si Google était le Skynet de 2024 ?

par Pyg.

Après « Et si on quittait Google ? », l’association Framasoft s’est lancé un nouveau défi : « Et si on dégooglisait internet ? ». Évidemment, il s’agit d’un projet ambitieux (qui a dit prétentieux ?;-)). Cependant, nous pensons réellement que le logiciel libre est la meilleure alternative au monde proposé (imposé ?) par Google.

Framasoft propose déjà plusieurs services alternatifs, Framapad (Google Docs like), Framacalc (Google Spreadsheet like), Framadate (Doodle like), etc. Ces services sont utilisables par tous, librement et gratuitement (Liberté 0), sans publicité, sans exploitation ou revente des données. Mieux, ils peuvent être auto-hébergés, afin de lutter contre la centralisation des données.

Mais ne pourrait-on pas aller plus loin ? Par exemple en proposant, pour chaque service privateur, une alternative libre ? Des services comme Google Groups, Google Forms, Google Search, Youtube, etc. mais libres et respectueux de vos données et de votre vie privée. Et pourquoi pas des alternatives à d’autres géants comme Skype, Dropbox ou même Facebook ? L’idée n’est évidemment pas de concurrencer ces services, mais de montrer que des alternatives existent, et peuvent être mise en place à moindre coût.

Nous ferons donc un bilan de ce qui a été accompli ces deux dernières années, et nous dévoilerons en détail notre Plan de Libération du Monde (rien que ça ! 😉 ).
cyperpolicus

Bonus : Accessibilité, le cas Framadate

Par Armony Altinier et JosephK.

Framadate est un projet de sondage libre porté par Framasoft, mais pas du tout accessible… Enfin, jusqu’à il y a peu.

Tour d’horizon technique des problèmes et solutions apportées.

 




Et si nous concevions une informatique pour le grand public  ?

Conference_Benjamin_Sonntag_17_mai_2014_2_CC-BY-SA_Lionel_Allorge.jpgEn mai dernier, sur l’événement « Vosges Opération Libre », j’ai eu la chance d’assister à une conférence de Benjamin Sonntag qui ne m’était pas adressée. Ce défenseur de la culture libre, du chiffrement et de la neutralité du net avait choisi de parler aux barbu-e-s, à ces personnes qui font l’informatique, qui développent nos systèmes d’exploitation, logiciels et services. Son message était simple. Si l’on veut revenir à un « ordinateur ami », celui qui ne se retourne pas contre nous pour aspirer nos données, il faut qu’un maximum de monde utilise des services décentralisés, du chiffrement et du logiciel libre.

Et pour cela, inspirons-nous des succès du logiciel libre. Firefox, VLC, Wikipédia… sont constamment utilisés par les Dupuis-Morizeau, sans que cette sympathique famille-témoin de Normandie n’aille regarder sous le capot. Coder ne suffit pas. Il faut s’efforcer d’impliquer à la source du développement des ergonomistes, des designeurs et des graphistes. Des gens qui rendront l’utilisation du libre décentralisé et chiffré tellement simple qu’elle en deviendra évidente et se répandra comme une trainée de poudre. Des gens qui sauront se mettre à la place de l’utilisateur lambda, d’une Jessica.

L’histoire de Jessica ne nous enseigne pas d’abandonner toute éducation à l’informatique, au Libre et aux sujets qui nous mobilisent. L’histoire de Jessica nous rappelle qu’il y a des personnes qui conduisent sans connaître le fonctionnement d’un moteur à explosion. Et que c’est à nous de ne pas les laisser au bord de la route.

L’histoire de Jessica

Par SwiftOnSecurity (CC-BY 4.0)
Article original paru sur le tumblr de SwiftOnSecurity
Traduction Framalang : audionuma, Penguin, Diab, nilux, Omegax, nilux, lumi, teromene, r0u et les anonymes…

Je veux que vous vous imaginiez quelqu’un pour moi. Son nom est Jessica et elle a 17 ans. Elle vit dans un petit 3 pièces avec sa mère, et elle a un vieil ordinateur portable récupéré d’un ex de sa mère. Elle s’en sert pour se connecter au portail communautaire de son lycée. Elle s’intéresse aux garçons, à l’amour et au versement de la prochaine mensualité du loyer qui permettra à sa mère et elle de garder leur logement.

Elle n’a pas d’argent pour un nouvel ordinateur portable. Elle n’a pas non plus d’argent pour le mettre à niveau. Elle ne sait même pas comment on fait ça. Elle a d’autres centres d’intérêt, comme la biologie. Ce qui l’inquiète, c’est de savoir comment elle va payer ses études à la fac, et si ses résultats seront assez bons pour, d’une manière ou d’une autre, obtenir une bourse.

innocent_girl_on_laption_CC-BY-SA_picture_youth.jpg

La seule personne de son entourage qui s’y connaisse en ordinateurs, c’est Josh, du cours d’anglais. Elle sait qu’il lui faut un antivirus, alors c’est à lui qu’elle demande. Il lui en propose un à 50$ par an, mais remarquant son soudain malaise, il mentionne gentiment un antivirus gratuit. Lorsqu’elle rentre à la maison, elle le télécharge et l’installe. Ça lui a demandé des efforts, ça semblait compliqué, ça a pris un peu de temps, mais il y avait maintenant une nouvelle icône rassurante en bas à droite de son écran qui indiquait « Protégé » lorsqu’elle passait sa souris dessus.

Jessica entend constamment aux infos des histoires d’entreprises piratées, de photos volées. Elle a entendu sur CNN qu’il fallait avoir un mot de passe complexe contenant quelque chose de spécial, comme un symbole dollar, alors elle obtempère. Au moins pour son compte Facebook — tout ça ne l’intéresse pas assez pour chercher comment changer les mots de passe de ses autres comptes. Ça semble tellement fastidieux, et elle est déjà assez occupée à retenir les équations abstraites de son cours de maths. Elle n’a pas envie de mémoriser une autre chaîne de caractères abstraite pour ses mots de passe. Et puis, c’est une adolescente ; son cerveau n’est doué ni pour l’organisation, ni pour prévoir et pallier les risques.

Elle a entendu parler d’un truc appelé gestionnaire de mots de passe, mais elle sait qu’il ne faut pas télécharger sur Internet. Elle ne sait pas à qui faire confiance. Une fois, elle a cliqué sur le bouton « Télécharger maintenant » pour un programme dont elle avait entendu parler aux infos, et ça l’a emmenée sur un site différent. Elle n’a pas de communauté à qui demander conseil. Et à côté de ça, elle essaie de trouver quoi porter pour son rendez-vous avec Alex samedi. Jessica se demande s’il l’aimera bien quand il la connaîtra mieux, après avoir passé du temps ensemble et parlé en tête à tête pour la première fois. Elle s’inquiète aussi de savoir s’il va briser son cœur, comme les autres.

Parfois, elle a des fenêtres qui lui demandent de mettre à jour un logiciel. Mais une fois, elle a mis à jour un truc appelé Java, et après avoir cliqué sur le E bleu qui la conduit sur Facebook, une nouvelle ligne d’icônes est apparue. Elle n’est pas sûre que ce soit lié, mais elle est du genre suspicieuse. L’ordinateur fonctionne toujours, et elle ne veut pas le casser en essayant de tirer ça au clair. Elle ne peut pas s’offrir une hotline comme Geek Squad pour 200$. C’est embêtant, mais ça fonctionne toujours. La prochaine fois que quelque chose lui demandera une mise à jour, elle dira non. Elle n’a pas besoin de nouvelles fonctionnalités, surtout si elles rendent sa fenêtre Facebook encore plus petite. Et si c’était important, elles s’installeraient toutes seules, non ? Pourquoi devraient-elles demander ? Il est 19H42, elle doit aller à son rendez-vous.

Un jour, Jessica reçoit un e-mail qui se dit être une lettre d’expulsion. Il dit aussi provenir de communication-locataires@hud.gov. Elle sait ce qu’est HUD, pour l’avoir vu sur les formulaires que sa mère remplit pour bénéficier d’une aide au paiement de l’appartement. Mais elle a entendu aux informations qu’il ne fallait pas ouvrir de fichiers inconnus. Elle s’improvise alors détective. Elle va sur le site hud.gov, et c’est bien ce à quoi elle s’attendait : le Département Américain de l’Habitation et du Développement Urbain. Elle navigue sur le site, qui ne semble pas avoir été écrit par un Russe. Elle ouvre donc le fichier. Adobe Reader s’ouvre, mais le mail dit clairement que si le document est vide, il n’y a pas à s’inquiéter. Elle essaie d’aller à la page suivante, mais il n’y en a pas. Tant pis. Elle n’en parlera pas pas à sa mère, car elle ne veut pas l’inquiéter.

Ce que Jessica ne sait pas, c’est que la lumière blanche qui a commencé à s’allumer sur son ordinateur est celle de la caméra intégrée. Elle ne sait même pas que son ordinateur a une caméra. Mais cette caméra a commencé à l’enregistrer. Et le logiciel qui enregistre sa caméra a aussi commencé à enregistrer tout ce qui s’affiche sur son écran. Y compris quand elle a envoyé à Alex les photos qu’elle a prise pour lui, lorsqu’elle est tombée amoureuse de lui. De toute façon, quand elle entre ses mots de passe, ils s’affichent sous la forme de ronds noirs. Même si quelqu’un était derrière elle et regardait son écran, il ne pourrait pas connaître son mot de passe. Elle ne sait pas que le logiciel enregistre aussi ce qu’elle tape sur son clavier. Rien ne l’a alertée. Tout comme rien ne l’a alertée que la caméra était allumée. Et le microphone.

De temps en temps, elle passe sa souris sur l’icône de l’antivirus. Ça lui dit « protégé ». Ça ne peut qu’être vrai. Après tout c’est le logiciel que Josh lui a conseillé…

internet_surveillance_CC-BY_Mike_Licht.png

Quel est le tort de Jessica dans cette histoire ? Est-ce le fait de ne pas s’être renseignée sur les avantages de l‘Open Source et de ne pas utiliser Linux, qui est gratuit ? Est-ce le fait de ne pas avoir d’amis ou de personnes de sa famille suffisamment calées en informatique et à qui elle pourrait demander conseil ? Est-ce le fait de ne pas s’être liée d’amitié avec Josh ? Est-ce le fait d’avoir d’autres priorités dans la vie ? Est-ce le fait de ne pas savoir que les sociétés qui lui fournissent des mises à jour en profitent pour envahir son ordinateur de logiciels malveillants, et qu’elle doive systématiquement décocher une case pour ne pas les avoir ? Est-ce le fait de ne pas savoir que le protocole SMTP est une vieille technologie qui ne demande pas d’authentification ? Pourquoi n’a-t-elle pas mis de ruban adhésif devant sa webcam ? Pourquoi n’a-t-elle pas démonté son ordinateur pour en retirer le microphone ?

Peut-être que ce n’est pas de sa faute. Peut-être que la sécurité informatique pour les gens normaux n’est pas la série d’étapes faciles et de vérités absolues que nous leur assénons avec notre prétendue sagesse, et qu’ils préfèrent ignorer par mépris pour la sous-classe de nerds que nous sommes.

Peut-être que c’est le fonctionnement même de l’informatique grand public qui en est la cause. Et qui a construit ce monde de libertés, un monde qui a si bien servi à cette Jessica de 17 ans ? C’est vous. C’est nous.

Alors ? À qui la faute ?
***

Crédits photos :

Conférence Benjamin Sonntag : CC-BY-SA Lionel Allorge

Innocent Girl on Laptop : CC-BY-SA Picture Youth

Internet Surveillance : CC-BY Mike Licht.




Patriot Act à la française  ? — Pour nous, c’est NON !

Comme une immense majorité de personnes qui se sont rassemblées, en France et dans le monde, à plusieurs reprises, depuis le 7 janvier, nous avons été sous le choc et dans l’incrédulité. Quels que soient nos parcours, quelles que soient nos positions, nos croyances, nos parti-pris, nous n’acceptons pas que l’on assassine 17 personnes au nom d’une conception du monde qu’il serait dangereux ou interdit de ne pas partager, de questionner, de moquer. Nous n’acceptons pas que l’on ait fait taire des voix et des plumes et que l’on ait pris pour cible ceux qui incarnaient Charlie Hebdo.
Nous ne l’acceptons pas mais il y a des morts aujourd’hui. Et les cadavres n’étaient même pas froids que déjà commençaient à se faire entendre les voix charognardes qui, au nom de la défense de la liberté et des valeurs républicaines, sont prêtes à restreindre nos libertés individuelles et collectives, comme par effet d’aubaine, comme s’ils n’attendaient que ça. [1]

Ils n’ont pas même attendu la fin du deuil officiel. Plus rapides que les événements en cours pour s’emparer de la tragédie et l’instrumentaliser, les politiques glapissants de l’obsession sécuritaire ont commencé à se répandre : « il nous faut renforcer notre arsenal sécuritaire », « il faudra bien entendu un Patriot Act à la française » (le tweet historique de Valérie Pécresse ), ou encore François Baroin qui laisse entendre au journal de France 2 ce dimanche qu’il va falloir mesurer quel degré d’acceptation aura la population de la restriction des libertés individuelles au profit de la sécurité (journal TV de 13h, vers la minute 48) etc. On peut être sûr que dès ce lundi, la surenchère sécuritaire va battre son plein.

En tant que membres d’une association qui vise à promouvoir le logiciel et la culture libres en s’efforçant de développer une éducation populaire, nous redoutons bien sûr de voir bridé et censuré ce qui est à nos yeux aujourd’hui le principal instrument de notre liberté à l’échelle de la planète : Internet.
Il nous semble donc urgent de dire avec force dès maintenant à quel point prendre pour cible cet outil précieux est à la fois inefficace et dangereux. Nous redoutons aussi l’usage immodéré qui pourrait être fait de nos données personnelles, notamment numériques, sans autorisation, sans que nous en soyons informés, sans qu’il soit possible d’exercer de contrôle. Déjà des voix s’élèvent parmi les défenseurs de nos libertés numériques (ne sont-elles pas devenues de facto des libertés fondamentales ?) mais seront-elles suffisantes pour contrebalancer le boucan médiatique qui va nous tympaniser ?

Un article récent du Point, pourtant peu suspect d’opinions gauchistes, expose bien ce qu’a été le Patriot Act et comment les dérives qui lui sont inhérentes, exposées par les révélations de Snowden, conduisent aujourd’hui l’opinion états-unienne à en remettre en question la nécessité :

le gouvernement avait une interprétation très vaste du Patriot Act qui lui permettait de collecter des informations sur des millions d’Américains sans lien avec le terrorisme. Selon un rapport du ministère de la Justice, les perquisitions secrètes servent surtout à coincer les trafiquants de drogue. En 2013, sur 11 129 demandes de perquisitions, seules 51 visaient des suspects de terrorisme.

Faut-il vraiment que les services qui veillent sur notre sécurité nationale aient un accès sans restriction ni contrôle judiciaire à toutes nos données personnelles ? Sans avoir à justifier que ces informations ont un quelconque rapport avec une enquête terroriste ? Faut-il croire aveuglément ou plutôt vouloir faire croire que le Patriot Act a été efficace, alors que nous avons encore en mémoire les attentats de Boston pour ne citer que ce terrible exemple ?

Que disent les responsables sérieux des forces de sécurité ? — Rien de tel : ils constatent qu’ils n’ont pas les moyens humains de surveiller et cibler le nombre à la fois limité mais inquiétant de personnes dangereuses susceptibles d’actes terroristes. Vous avez bien lu : ils ne réclament pas une surveillance généralisée ni la censure du Net (dont l’espace de communication leur est probablement au contraire un précieux moyen d’identifier les menaces) mais davantage de personnels formés et opérationnels pour mener cette lutte souterraine extrêmement compliquée et pour laquelle leur action est légitime et indispensable.
Alors qui veut vraiment que nous renoncions à nos libertés sous le prétexte d’obtenir davantage de sécurité ? Qui sont les vrais ennemis de notre liberté d’expression ?

Nous entamons aujourd’hui une série d’articles sur le sujet. Voici pour commencer une tribune libre de Christophe Masutti, à laquelle souscrit l’ensemble de l’association.
Les commentaires sont ouverts et seront modérés.

Aujourd’hui, tous au garde-à-vous — demain, chacun en garde à vue ?

Une tribune libre de Christophe Masutti

Mercredi dernier, c’était mon anniversaire, j’ai eu 40 ans. Eh bien, des jours comme ça, je m’en serais bien passé.
Hier, c’était la barbarie : c’est Cabu, Charb, Wolinski, Tignous, Honoré, et d’autres acteurs de Charlie Hebdo [2] qui ont été lâchement assassinés dans les locaux du journal par deux gros cons, des beaufs, des salauds. Ils s’en sont pris à des dessinateurs qui ont largement contribué à la formation de ma propre pensée critique à travers la lecture régulière du journal. Des copains, nos copains.
Ce matin, j’ai la tête en vrac. J’ai à l’esprit ces mots de Ricœur qui définissait la démocratie par le degré de maturation d’une société capable de faire face à ses propres contradictions et les intégrer dans son fonctionnement. Au centre, la liberté d’expression, outil principal de l’exercice de la démocratie. À travers nos copains assassinés, c’est cette liberté qui est en jeu aujourd’hui. Ils exerçaient cette liberté par le crayon et le papier. L’arme absolue.
La liberté est insupportable pour les pseudos-religieux sectaires — et pour tout dire, une grosse bande de crétins — qui tentent de la faire taire à grands coups de Kalachnikov et de bombes sournoises. La liberté est insupportable pour les fachos et autres réacs de tout poil qui ne manqueront pas de s’engouffrer dans le piège grossier du repli et de la haine. La liberté est insupportable pour celui qui a peur.

Le contre-pouvoir, c’est nous tous

Charlie Hebdo n’a pas vocation à incarner de grands symboles, au contraire, les dénoncer et faire tomber les tabous est leur principale activité. C’est justement parce que la mort de dessinateurs est aujourd’hui devenue un symbole universellement répété comme un mantra qu’il va falloir s’en méfier, car dans cette brèche s’engouffrent les tentatives protectionnistes et liberticides.
Car tel est le paradoxe de la peur appliqué aux outils de la liberté d’expression : ce qui menace vraiment la démocratie ne frappe pas forcément au grand jour…
Nous vivons depuis des années sous le régime des plans Vigipirate, des discours sécuritaires et du politiquement correct. Sous couvert de lutte contre le terrorisme, la surveillance généralisée de nos moyens de communication s’est taillé une belle part de nos libertés, sans oublier les entreprises qui font leur beurre en vendant aux États (et pas toujours les plus démocratiques) des « solutions » clé en main. Des lois liberticides au nom de l’antiterrorisme sont votées sans réel examen approfondi par le Conseil Constitutionnel. En guise de contre-pouvoir, on nous refourgue généralement des administrations fantoches aux pouvoirs ridicules, des « Conseils » et des « Hauts Comités » des mes deux.
Mais le vrai contre-pouvoir, ce sont les copains de Charlie Hebdo et tous leurs semblables, journalistes ou caricaturistes, qui l’exercent, ou plutôt qui le formalisent pour nous, à travers leurs dessins et leurs textes. Le contre-pouvoir, c’est nous tous tant que nous n’oublions pas de penser et d’exprimer nos contradictions. Et pour maintenir la démocratie, nous devons disposer intégralement de nos moyens de communication dont il revient à l’État de garantir la neutralité et la libre disposition.
Demain, nous risquons de nous retrouver tous en garde à vue et pas seulement à cause des terroristes. C’est là tout le paradoxe. La terreur est aussi bien instrumentalisée par les assassins que par certains membres de la classe politique, et pas seulement à droite. Tous sont prêts à brider et tenir en laisse notre liberté pour maintenir leurs intérêts électoraux ou d’autres intérêts financiers. La contrainte à laquelle ils veulent nous soumettre, c’est l’obligation du choix : il faudrait choisir entre la liberté et la dictature, entre la liberté et la peur, entre la liberté et l’esclavage, avec à chaque fois un peu de nos libertés qui s’envolent. securiteLiberte2.png

Soyons les jihadistes de la liberté

Non ! Assez ! Stop ! je suis pour la liberté sans concession. Une liberté obligatoire, une liberté que l’on assène sans contrepartie. Je suis un radical du papier, un ayatollah de la liberté d’expression, un taliban des communications ouvertes, un nazi des protocoles informatiques libres, un facho de la révélation snowdenienne ! Du moins je voudrais l’être, nous devrions tous l’être. Et sans avoir peur.
Je suis né il y a 40 ans, et cela fait presque autant de temps que se sont développés autour de moi des supports de communication qui sont autant de moyens d’exercices de la liberté d’expression. Comme beaucoup, j’oublie souvent que rien n’est acquis éternellement, que nos libertés sont le fruit de luttes permanentes contre ceux qui voudraient nous en priver.
La boucherie de la semaine dernière nous l’a cruellement rappelé.

Crédit image
Photo d’un graf mural à Saint-Nazaire, par bmanolea (CC BY 2.0)

Notes

[1] Rappelons qu’il a été demandé aux candidats au 3e concours d’entrée à l’ENA 2014, de plancher sur une note « permettant d’évaluer les marges de manœuvre des pouvoirs publics pour restreindre les libertés publiques » (sic) Lien direct vers le PDF

[2] Sans oublier les policiers, un agent d’entretien puis d’autres victimes quelques jours après… cet article a initialement été rédigé jeudi matin, version sur le blog de Christophe Masutti




Réveillons… la lutte pour nos libertés numériques avec l’EFF (notamment)

Avant d’entrer en résistance contre la surveillance, il nous faut lutter contre notre faculté à oublier, tant tout nous invite à passer à autre chose. La surveillance, elle, ne connaît pas la trêve des confiseurs.
C’est pourquoi le rapide bilan proposé par l’EFF (Electronic Frontier Foundation) est précieux et s’accompagne d’une perspective pour 2015, celle de poursuivre le combat au plan de l’information mais aussi à celui de l’action judiciaire et politique.
Faut-il vraiment rappeler au lecteur que de notre côté de l’Atlantique aussi, une action vigilante et continue sur ces deux plans est évidemment nécessaire, aux côtés en particulier de la Quadrature du Net, qui a besoin de notre soutien permanent à ses initiatives, et pas seulement de notre soutien financier.
Que 2015 soit pour tous une année heureuse qui nous fasse faire un petit pas de plus vers des libertés numériques précieuses mais fragiles.
C’est à nous d’y veiller.

Ce que nous avons appris sur l’espionnage de la NSA en 2014 — et les combats que nous mènerons en 2015

Article original sur le site de l’EFF
Traduction Framalang : KoS, Sky, AFS, Achille, r0u, goofy

Après 2013, une année record où une lumière crue a été projetée sur les programmes de surveillance secrets de la NSA, à la fois de la part des lanceurs d’alerte et par les actions en justice engagées grâce à la Loi pour la liberté d’information (Freedom of Information Act), le rythme des révélations en 2014 a significativement ralenti.

Mais ce n’est pas parce que tous les secrets de la NSA ont été révélés.

En fait, quelques-unes des informations les plus significatives sur les programmes de surveillance de la NSA restent encore secrètes. Malgré l’une des plus importantes fuites de l’histoire américaine et malgré la promesse de déclassifier autant que possible des informations sur ces programmes, près de deux ans plus tard, le gouvernement continue de refuser de fournir au public les informations dont il a besoin. Par exemple, les responsables du gouvernement continuent à ne pas répondre à une question simple mais d’importance vitale : quel type d’information la NSA collecte-t-elle sur des millions ou des centaines de millions d’Américains, et sur des citoyens de tous les autres pays par la même occasion ? Et le gouvernement refuse toujours de communiquer les décisions les plus importantes du tribunal de surveillance du renseignement extérieur (United States Foreign Intelligence Surveillance Court : la cour secrète chargée en principe de contrôler les programmes de surveillance gouvernementaux).

Malgré un ralentissement en 2014, nous avons appris encore davantage de choses sur les programmes de surveillance de la NSA que nous ne connaissions pas auparavant :

  • avec le programme Mystic, la NSA enregistre toutes les communications par téléphones mobiles des Bahamas et de l’Afghanistan et les conserve pendant 30 jours ;
  • la NSA vise spécifiquement les administrateurs système — les personnes qui sont souvent chargées de maintenir les réseaux sains et sécurisés ;
  • la NSA et ses partenaires exploitent les applications mobiles, comme le populaire jeu Angry Birds, pour accéder aux informations privées des utilisateurs comme la localisation, l’adresse du domicile, le sexe et davantage encore ;
  • la NSA cherche à développer sa capacité à infecter des millions d’ordinateurs en implantant des logiciels malveillants avec son programme TURBINE ;
  • l’opération Dishfire de la NSA collecte quotidiennement 200 millions de messages (SMS) d’utilisateurs du monde entier ;
  • la NSA intercepte « des millions d’images par jour — incluant environ 55 000 images dont la qualité permet la reconnaissance faciale » et les traite avec de puissants logiciels de reconnaissance faciale.
  • la NSA espionne les leaders d’opinion et défenseurs des droits civiques — The Intercept a mis des visages sur certaines cibles de l’espionnage par la NSA, publiant les profils de cinq leaders musulmans américains qui ont été l’objet de surveillance. On y trouve un avocat, deux professeurs, un ancien membre de l’administration Bush et le fondateur du Conseil pour les relations américano-islamiques (Council on American-Islamic Relations) .

Malgré l’émergence de toutes ces informations, beaucoup trop demeurent encore secrètes.

Mais 2015 est pleine d’espoirs. Déjà, suite à des poursuites judiciaires engagées par l’EFF grâce à la Loi pour la liberté d’information, une cour fédérale a ordonné au gouvernement de rendre publique au début de l’année 2015 une partie des avis encore secrets rendus par l‘United States Foreign Intelligence Surveillance Court.
Nous avons également lancé une campagne pour réformer l’ordre exécutif 12333, et dans cette campagne, nous pressons le gouvernement à être clair par rapport au type d’informations collectées sur des millions de personnes à travers le monde. Que ce soit devant une cour fédérale ou dans l’opinion publique, en 2015 nous continuerons à nous battre pour le droit de savoir. L’EFF se bat pour les droits numériques de chacun, n’hésitez pas à les soutenir

eff.png

lqdn.png

  • Pour lire d’autres articles (en anglais) qui récapitulent les actions de l’EFF pour 2014, suivez ce lien.



Les empreintes de nos navigateurs nous identifient — et si on brouillait les pistes ?

Depuis un an ou deux une conscience floue de l’ubiquité du pistage est perceptible dans les conversations sous la forme de brèves remarques fatalistes :

— De toutes façons on est espionnés, alors…
— Ils peuvent savoir tout ce qu’on fait sur Internet, hein…

et chez les Dupuis-Morizeau :

— J’ai réservé la location moins cher avec le PC du boulot pour exactement la même chose… Faut croire que depuis qu’on fait des achats en ligne ils se figurent qu’on pourrait payer plus…

Vous qui savez, ne vous moquez pas trop vite : mieux vaut cette perception diffuse qu’une certitude naïve d’être protégé (« ah tu vois le petit s derrière http ça veut dire que c’est sécurisé ce site » hum) ou pire une ignorance dangereuse.
Certes le chemin est long encore avant de pouvoir susciter une plus large prise de conscience puis une évolution des comportements et des usages dans notre vie numérique. C’est à quoi Framasoft s’efforce de mener par étapes avec la campagne longue durée Dégooglisons Internet. Mais bien d’autres initiatives surgissent semaine après semaine, et nous sommes ravis de leur donner un écho.
Tel est le cas aujourd’hui avec le projet amiunique (non, ce n’est pas un site de rencontre pour trouver un seul ami pour la vie : Am I unique? signifie : « Suis-je unique ? »).
Nous sommes pistés, traqués, espionnés, piégés, profilés… d’accord, tout le monde en a désormais « entendu parler ». Mais que sait-on de nous au juste lorsqu’on va jeter coup d’œil sur un site web ?
Il existe déjà des moyens d’en avoir une idée, par exemple dans Firefox, de nombreux outils de développement proposent des fonctionnalités pour voir ce qui se passe sous les jupes de la connexion. Mais le site amiunique.org en facilite l’accès et explique de quoi il retourne.
On découvre ainsi que cette quantité importante d’informations permet le plus souvent de faire de vous un utilisateur « unique »
— Ah j’en vois qui se rengorgent de n’être pas comme tous les autres et qui sont tout fiers de se distinguer du supposé troupeau des internautes…[1]
Mais ne vous réjouissez pas trop vite, écoutez un peu ce que nous dit Benoît Baudry et voyez comment tout au contraire se fondre dans une masse d’empreintes numériques similaires pourrait être un moyen de ne plus être unique, donc de risquer moins d’être pisté !

Bonjour, pouvez-vous vous présenter brièvement ?
baudry.pngJe suis chercheur depuis 2004 dans le domaine du génie logiciel. J’ai beaucoup travaillé sur des outils et algorithmes pour améliorer les activités de test logiciel dans le domaine des systèmes embarqués. Cette activité s’est ensuite élargie pour traiter de problèmes d’analyse de programme. Depuis février 2013 je coordonne un projet de recherche européen (DIVERSIFY) sur le thème de la diversification du logiciel pour faire des applications web plus robustes.
Dans ce contexte, nous avons démarré une activité sur le browser fingerprinting, c’est-à-dire les empreintes, les traces numériques que laissent nos plateformes quand nous nous connectons avec nos navigateurs.
La petite équipe qui se consacre à amiunique.org et aux technologies anti-fingerprint comprend un doctorant et bénéficie du conseil scientifique et technique de deux chercheurs en sécurité et génie logiciel.

Il n’est pas si fréquent qu’un labo de recherche universitaire entame un projet qui peut toucher un assez vaste public et potentiellement l’ensemble des utilisateurs du Web. Alors pourquoi s’intéresser au fingerprinting ?
Tous nos travaux de recherche sont inspirés par des problèmes réels rencontrés lors de la construction de systèmes logiciels. La nouveauté dans ce cas tient sans doute au fait que le problème ne touche pas seulement les développeurs de logiciels, mais que tout internaute peut se sentir concerné.
Dans le cadre de DIVERSIFY, nous étudions la diversité logicielle et la manière dont elle peut être exploitée, voire amplifiée par des procédures automatiques. L’idée de ce projet c’est que l’augmentation de la diversité logicielle augmente également la résilience et la sécurité des applis webs.
Par ailleurs, nous avons découvert que dans le cas du browser fingerprinting la très grande diversité et la richesse de l’écosystème web sont devenues un problème pour la vie privée : cet écosystème très très riche permet à chacun de disposer d’une plateforme qui correspond parfaitement à ses envies et à son confort, mais c’est ce même phénomène qui rend chaque plateforme unique et donc traçable. La question qui nous a alors intéressés est la suivante :

Peut-on exploiter la diversité qui est à l’origine du problème de fingerprint pour lutter contre le traçage, en modifiant automatiquement et régulièrement la plateforme logicielle d’un internaute ?

La première étape pour répondre à cette question consiste à étudier de près la diversité des plateformes qu’on peut trouver sur le web, ce qui nous a amené à développer le site amiunique.org

Bon alors de quoi s’agit-il au juste ? Pourquoi devrais-je me demander si je suis unique ? C’est inquiétant d’être unique sur le Net ?

Une première remarque à propos de l’unicité : quand le site affiche « Êtes-vous unique ? Oui ! », ce qu’il faut comprendre c’est que la plateforme logicielle (navigateur, OS, polices, plugins, etc.) que vous avez utilisée pour aller sur le site est unique parmi toutes celles observées jusqu’à présent. 

Un clic pour essayer…

test_empreinte.png

et voici le résultat :

unique.png
Quand vous visitez un site web, celui-ci peut facilement récolter un grand nombre d’informations à propos de votre plateforme. Certaines de ces informations sont systématiquement fournies au site web par le navigateur (user agent et en-têtes http), et pour le reste le serveur peut interroger les interfaces Flash, JavaScript et toute autre interface offerte par le navigateur et ses plugins.

Une longue liste de données que l’on peut récolter… (cliquer pour agrandir)

Am_I_unique__2014-12-23_14-32-33.png

Le problème d’avoir une plateforme unique c’est que les sites marchands peuvent personnaliser leur contenu en fonction de la plateforme (pratiques tarifaires en fonction des clients ou publicités ciblées). Par exemple, les sites peuvent varier les prix en fonction de la localisation de l’internaute, déduite approximativement par l’adresse IP (voyez cet exemple), ou en fonction du système d’exploitation (un autre exemple). Une étude a montré que le site de voyages Orbitz propose des prix plus élevés aux utilisateurs de Mac OS (exemple d’Orbitz).

Mais ce que vous proposez de faire, ça commence bien comme du pistage non ? Vous voulez qu’on vous donne toutes les informations sur notre navigateur pour votre recherche, vous êtes sympathique avec votre bonne tête de nerd barbu mais comment puis-je avoir confiance ? Et puis vous allez faire quoi de cette bientôt énorme base de données récoltées, mmh ? 

La politique de confidentialité d’amiunique.org établit très clairement ce qui advient des données récoltées : elles sont stockées sur une machine sécurisée et nous les utilisons à des fins d’analyse statistique. Par ailleurs, nous ne récoltons absolument aucune information qui nous permette de relier une empreinte à une personne, les donnée sont donc anonymes par construction. Les analyses statistiques d’empreintes réelles sont essentielles pour établir des procédures qui modifient automatiquement la plateforme d’un internaute de manière réaliste. Dans cet objectif, 2 défis à relever : réussir à modifier la plateforme de manière transparente, mais suffisamment pour changer l’empreinte ; modifier la plateforme tout en la faisant ressembler à une vraie plateforme pour éviter d’être repéré comme un usager qui essaie de se cacher.

Quelle est selon vous la masse critique d’empreintes collectées qui vous permettra de passer à la phase suivante du projet ?

Il est important pour nous de rassembler un maximum d’empreintes pour que le verdict que nous rendons aux visiteurs (oui / non vous êtes unique) soit vraiment significatif. À l’échelle du Web, être unique parmi quelques dizaines de milliers d’internautes, ce n’est pas forcément très impressionnant, alors qu’être unique parmi quelques millions c’est déjà plus surprenant. Pour nos travaux futurs sur le brouillage c’est surtout important de récupérer une très grande diversité d’empreintes (diversité géographique, diversité de navigateur, polices, etc.). Un échantillon étendu et diversifié nous permettra d’identifier quelles sont les caractéristiques les plus discriminantes, qui devront être la cible principale pour le brouillage.

goofy-inquiet.jpget euh… je ne risque rien si je “triche” en envoyant finalement des données trompeuses ? C’est bien légal ça ?

Il n’y a rien d’illégal à modifier/changer/envoyer des fausses informations. Cependant, deux problèmes peuvent se poser avec les extensions de navigateurs qui renvoient de fausses informations dans le user agent (par exemple User agent switcher).
Le premier vient du fait que les informations que vous envoyez à un serveur sont censées être utilisées pour vous renvoyer une page web qui est parfaitement adaptée à votre navigateur et à sa configuration. Si vous mentez, la page web peut présenter de nombreux défauts et certaines fonctionnalités peuvent ne pas être opérationnelles.
Le second problème vient du fait que si vous mentez, il se peut que votre empreinte soit incohérente et cela vous rend tout de suite identifiable. Par exemple, sur une des empreintes récoltées sur amiunique, le navigateur annonce dans son User Agent qu’il tourne sous Windows alors que le moteur de rendu JavaScript nous indique que la machine en question est un Mac. Cette configuration qui n’est pas censée exister dans la réalité vous rend identifiable car vous serez une des seules personnes au monde à avoir cette configuration incohérente.
Ce n’est donc pas illégal de mentir, mais ça peut engendrer des problèmes à la fois liés à la navigation et au traçage par empreinte.

Par ailleurs, il n’y a rien d’illégal à modifier charger / supprimer des nouvelles polices à chaque lancement de votre navigateur ou à utiliser régulièrement une version différente d’un navigateur.
Nous pensons qu’un avantage de *modifier la plateforme* (plutôt que de renvoyer de fausses informations) c’est qu’on ne prendra pas le risque d’être identifié comme un menteur ou comme une plateforme qui tente d’envoyer des données trompeuses.

C’est astucieux tout ça mais vous ne craignez pas que ceux qui nous pistent trouvent une parade à votre dispositif ?

Certainement et c’est toute la difficulté de tout dispositif pour la vie privée : dès qu’un nouveau dispositif apparaît, il fixe également les nouvelles barrières à franchir pour ceux qui veulent nous pister. Ce que nous espérons surtout c’est que ce genre de mécanisme rende le pistage plus difficile et plus coûteux.

Est-ce qu’on peut espérer que cette expérience “de laboratoire” aura une utilité pour nous les internautes concernés par le pistage de nos empreintes ? Pour votre équipe c’est un intéressant objet de recherche, mais sous quelle forme finale pourrait aboutir votre projet pour la famille Dupuis-Morizeau[2]  ?

Nous l’espérons vraiment. Pour l’instant, il faudrait idéalement que la famille Dupuis-Morizeau ait des PC sous Linux, et dans ce cas nous visons une solution qui puisse être téléchargée et utilisée à la place du navigateur standard. En gros, ça devrait être un conteneur qui isole le navigateur et tous les éléments de plateforme, qui est lancé à chaque fois que quelqu’un veut naviguer sur Internet. Au lancement de ce conteneur, un navigateur, des polices, des plugins, voire quelques éléments de configurations système sont sélectionné aléatoirement, assemblés et démarrés. L’internaute peut alors naviguer avec une plateforme différente de celle utilisée la dernière fois.

Bon, on y voit un peu plus clair et ce projet a de quoi intéresser. Que peuvent faire les lecteurs de cet article s’ils souhaitent contribuer ?

Distribuer l’URL pour augmenter le nombre d’empreintes c’est déjà une énorme contribution. Toute idée de forums internationaux pour augmenter la diversité des empreintes est aussi tout à fait bienvenue. Enfin, le code du site est open source et nous serions ravis d’avoir des contributions à ce projet sous forme de traduction de pages, revue de code (architecture du site, sécurité, etc.) ou toute idée pour mieux valoriser les données auprès des visiteurs.

amiunique_geektionnerd.png

Liens

Notes

[1] Si vous pensez que les internautes moyens sont Mme Michu, une dinde ménopausée, et son mari tonton Roger, que ses gros doigts de pêcheur de brochet empêchent d’appuyer sur la bonne touche, cet article n’est pas pour vous.

[2] L’authentique Mme Michu a demandé qu’on cesse de la mentionner. Le Framablog a décidé d’employer désormais l’exemple des Dupuis-Morizeau, une sympathique famille recomposée qui vit à Rouen en Normandie.