Google Maps change de version ? Passons à OpenStreetMap !

Les nombreux services de Google sont généralement gratuits mais ils sont aussi propriétaires.

Ainsi les utilisateurs de Gmail s’en sont rendu compte dernièrement : Google modifie quand bon lui semble son interface et ses fonctionnalités. Et nous sommes mis devant le fait accompli de changements qui vont bien plus dans le sens d’une intégration toujours plus poussée avec les autres services Google (Google+ notamment) que d’un réel souci du confort des utilisateurs.

C’est également ce qui est en train de se produire actuellement avec Google Maps qui change d’interface et donc de version de son API, signifiant par là-même que tous ceux qui avaient développé des applications spécifiques avec la version précédente de l’API devront tout recoder avec la nouvelle version.

Une bonne occasion de migrer vers la carte libre OpenStreetMap[1] à l’aide du site Switch2OSM[2].

Google Maps v2

Faut-il mettre à jour la version 2 de l’API de Google ? Libérez-vous plutôt et passez à OpenStreetMap.

Upgrading from Google v2 API? Free yourself and upgrade to OpenStreetMap

5 novembre 2013 – OpenStreetMap Blog
(Traduction : goofy, lyn, GregR, Britz, Sphinx + anonymes)

Avez-vous reçu un courrier électronique comme celui-là (cf image ci-dessus) ?

Nous ne pouvons vous garantir que vous pourrez disposer de vos cartes. Nous vous recommandons vivement de migrer vers la version 3 de Google Maps avant le 19 novembre.

Oui, Google Maps a décidé de fermer sa vieille API JavaScript de Maps (v2). Ils vous conseillent de passer beaucoup de temps à ré-écrire votre code pour passer à la nouvelle API v3.

Mais pourquoi ne pas utiliser ce temps pour passer à un meilleur service ?

OpenStreetMap (OSM) est une carte créée par des experts, à savoir les habitants mêmes du territoire qu’ils cartographient. On y trouve les sentiers pédestres et les pistes cyclables, les canaux, les espaces verts et les espaces publics, de même que toutes les routes et les chemins de fer. Elle est continuellement mise à jour : pas besoin d’attendre le prochain passage de la voiture Google. Pas étonnant que Foursquare, Github et Mapquest aient déjà opté pour OSM.

Passer de Google Maps à OpenStreetMap est plus facile que vous ne le pensez. Si vous vous êtes déjà confronté à l’ancienne API de Google Map, vous allez trouver en notre équivalent, Leaflet, une bouffée d’air frais. Son interface douce et agréable vous permettra de mettre mieux en valeur l’apparence de votre site, et l’application mobile est aussi fluide que l’application native.

Si vous souhaitez aller plus loin, OpenStreetMap vous permet de créer une belle carte, personnelle, à partir de nos données. Vous n’êtes pas limité au seul style Google, que tout le monde utilise. Puisque les sources sont libres et ouvertes, vous n’avez pas à payer quoi que ce soit pour accéder à des services « premium ».

Comment franchir le pas ? Le site switch2osm.org, géré par la communauté OpenStreetMap, fournit des conseils pour passer à OpenStreetMap. Les sections « The Basics » (NdT : Premiers pas) et « Using Tiles » (Utiliser des tuiles) vous permettront de transformer votre code JavaScript pour qu’il fonctionne avec OSM. Ce site est également utile pour trouver toutes les informations nécessaires à la création de cartes personnalisées.

Au bout du compte, OpenStreetMap est beaucoup plus qu’une solution alternative à l’API Google Maps. Nous offrons quelque chose de différent : un accès libre et ouvert aux données cartographiques brutes. Cela permet aux développeurs de débrider leur créativité et d’innover un maximum, en allant beaucoup plus loin qu’une simple intégration d’une carte dans un site web. Cerise sur le gâteau : plus on utilise OSM sur des sites web, plus les cartes seront vues des utilisateurs et plus les contributeurs à ce travail de cartographie collaborative seront nombreux ; au final, la carte, créée par la communauté, devient de plus en plus précise.

Utiliser OpenStreetMap, c’est défendre et promouvoir ce projet et ainsi nous aider dans notre mission bénévole : créer la carte du monde la plus ouverte et la plus riche qui soit.

switch2osm.org

Notes

[1] Pour rappel notre article Framablog : Avez-vous le réflexe OpenStreetMap ? et notre tag dédié.

[2] Nous envisageons de traduire ce site en français.




Quel niveau de surveillance la démocratie peut-elle endurer ? par Richard Stallman

« Le niveau de surveillance actuel dans nos sociétés est incompatible avec les droits de l’homme… »

C’est ce qu’affirme et expose Richard Stallman dans ce long article argumenté en proposant un certain nombre de mesures pour desserrer l’étau.

Sur la photo ci-dessous, on voit Stallman lors d’une conférence en Tunisie muni d’un étrange badge. Il l’a recouvert lui-même de papier aluminium pour ne pas être pisté lors de l’évènement !

Quel niveau de surveillance la démocratie peut-elle supporter ?

par Richard Stallman

URL d’origine du document (sur GNU.org)

Une première version de cet article a été publiée sur Wired en octobre 2013.
Licence : Creative Commons BY-ND 3.0 US
Traduction : aKa, zimadprof, Lamessen, Sylvain, Scailyna, Paul, Asta, Monsieur Tino, Marc, Thérèse, Amine Brikci-N, FF255, Achille, Slystone, Sky, Penguin et plusieurs anonymes
Révision : trad-gnu@april.org – Version de la traduction : 14 août 2014

Grâce aux révélations d’Edward Snowden, nous comprenons aujourd’hui que le niveau de surveillance dans nos sociétés est incompatible avec les droits de l’homme. Le harcèlement répété et les poursuites judiciaires que subissent les opposants, les sources et les journalistes (aux États-Unis et ailleurs) en sont la preuve. Nous devons réduire le niveau de surveillance, mais jusqu’où ? Où se situe exactement le seuil tolérable de surveillance que l’on doit faire en sorte de ne pas dépasser ? C’est le niveau au delà duquel la surveillance commence à interférer avec le fonctionnement de la démocratie : lorsque des lanceurs d’alerte comme Snowden sont susceptibles d’être attrapés.

Face à la culture du secret des gouvernements, nous, le peuple,1 devons compter sur les lanceurs d’alerte pour apprendre ce que l’État est en train de faire. De nos jours, cependant, la surveillance intimide les lanceurs d’alerte potentiels, et cela signifie qu’elle est trop intense. Pour retrouver notre contrôle démocratique sur l’État, nous devons réduire la surveillance jusqu’à un point où les lanceurs d’alerte se sentent en sécurité.

L’utilisation de logiciels libres, comme je la préconise depuis trente ans, est la première étape dans la prise de contrôle de nos vies numériques – qui inclut la prévention de la surveillance. Nous ne pouvons faire confiance aux logiciels non libres ; la NSA utilise et même crée des failles de sécurité dans des logiciels non libres afin d’envahir nos ordinateurs et nos routeurs. Le logiciel libre nous donne le contrôle de nos propres ordinateurs, mais cela ne protège pas notre vie privée dès l’instant où nous mettons les pieds sur Internet.

Une législation bipartisane ayant pour but de « limiter les pouvoirs de surveillance sur le territoire national » est en cours d’élaboration aux États-Unis mais elle le fait en limitant l’utilisation par le gouvernement de nos dossiers virtuels. Cela ne suffira pas à protéger les lanceurs d’alerte si « capturer le lanceur d’alerte » est un motif valable pour accéder à des données permettant de l’identifier. Nous devons aller plus loin encore.

Le niveau de surveillance à ne pas dépasser dans une démocratie

Si les lanceurs d’alerte n’osent pas révéler les crimes, délits et mensonges, nous perdons le dernier lambeau de contrôle réel qui nous reste sur nos gouvernements et institutions. C’est pourquoi une surveillance qui permet à l’État de savoir qui a parlé à un journaliste va trop loin – au delà de ce que peut supporter la démocratie.

En 2011, un représentant anonyme du gouvernement américain a fait une déclaration inquiétante à des journalistes, à savoir que les États-Unis n’assigneraient pas de reporter à comparaître parce que « nous savons avec qui vous parlez ». Parfois, pour avoir ces renseignements, ils obtiennent les relevés téléphoniques de journalistes par injonction judiciaire, mais Snowden nous a montré qu’en réalité ils adressent des injonctions en permanence à Verizon et aux autres opérateurs, pour tous les relevés téléphoniques de chaque résident.

Il est nécessaire que les activités d’opposition ou dissidentes protègent leurs secrets des États qui cherchent à leur faire des coups tordus. L’ACLU2 a démontré que le gouvernement des États-Unis infiltrait systématiquement les groupes dissidents pacifiques sous prétexte qu’il pouvait y avoir des terroristes parmi eux. La surveillance devient trop importante quand l’État peut trouver qui a parlé à une personne connue comme journaliste ou comme opposant.

L’information, une fois collectée, sera utilisée à de mauvaises fins

Quand les gens reconnaissent que la surveillance généralisée atteint un niveau trop élevé, la première réponse est de proposer d’encadrer l’accès aux données accumulées. Cela semble sage, mais cela ne va pas corriger le problème, ne serait-ce que modestement, même en supposant que le gouvernement respecte la loi (la NSA a trompé la cour fédérale de la FISA,3 et cette dernière a affirmé être incapable, dans les faits, de lui demander des comptes). Soupçonner un délit est un motif suffisant pour avoir accès aux données, donc une fois qu’un lanceur d’alerte est accusé d’« espionnage », trouver un « espion » fournira une excuse pour avoir accès à l’ensemble des informations.

Le personnel chargé de la surveillance d’État a l’habitude de détourner les données à des fins personnelles. Des agents de la NSA ont utilisé les systèmes de surveillance américains pour suivre à la trace leurs petit(e)s ami(e)s – passés, présents, ou espérés, selon une pratique nommée « LOVEINT ». La NSA affirme avoir détecté et puni cette pratique à plusieurs reprises ; nous ne savons pas combien d’autres cas n’ont pas été détectés. Mais ces événements ne devraient pas nous surprendre, parce que les policiers utilisent depuis longtemps leurs accès aux fichiers des permis de conduire pour pister des personnes séduisantes, une pratique connue sous les termes de « choper une plaque pour un rencard ».

Les données provenant de la surveillance seront toujours détournées de leur but, même si c’est interdit. Une fois que les données sont accumulées et que l’État a la possibilité d’y accéder, il peut en abuser de manière effroyable, comme le montrent des exemples pris en Europe et aux États-Unis.

La surveillance totale, plus des lois assez floues, ouvrent la porte à une campagne de pêche à grande échelle, quelle que soit la cible choisie. Pour mettre le journalisme et la démocratie en sécurité, nous devons limiter l’accumulation des données qui sont facilement accessibles à l’État.

Une protection solide de la vie privée doit être technique

L’Electronic Frontier Foundation et d’autres structures proposent un ensemble de principes juridiques destinés à prévenir les abus de la surveillance de masse. Ces principes prévoient, et c’est un point crucial, une protection juridique explicite pour les lanceurs d’alerte. Par conséquent, ils seraient adéquats pour protéger les libertés démocratiques s’ils étaient adoptés dans leur intégralité et qu’on les faisait respecter sans la moindre exception, à tout jamais.

Toutefois, ces protections juridiques sont précaires : comme nous l’ont montré les récents événements, ils peuvent être abrogés (comme dans la loi dite FISA Amendments Act), suspendus ou ignorés.

Pendant ce temps, les démagogues fourniront les excuses habituelles pour justifier une surveillance totale ; toute attaque terroriste, y compris une attaque faisant un nombre réduit de victimes, leur donnera cette opportunité.

Si la limitation de l’accès aux données est écartée, ce sera comme si elle n’avait jamais existé. Des dossiers remontant à des années seront du jour au lendemain exposés aux abus de l’État et de ses agents et, s’ils ont été rassemblés par des entreprises, seront également exposés aux magouilles privées de ces dernières. Si par contre nous arrêtions de ficher tout le monde, ces dossiers n’existeraient pas et il n’y aurait pas moyen de les analyser de manière rétroactive. Tout nouveau régime non libéral aurait à mettre en place de nouvelles méthodes de surveillance, et recueillerait des données à partir de ce moment-là seulement. Quant à suspendre cette loi ou ne pas l’appliquer momentanément, cela n’aurait presque aucun sens.

En premier lieu, ne soyez pas imprudent

Pour conserver une vie privée, il ne faut pas la jeter aux orties : le premier concerné par la protection de votre vie privée, c’est vous. Évitez de vous identifier sur les sites web, contactez-les avec Tor, et utilisez des navigateurs qui bloquent les stratagèmes dont ils se servent pour suivre les visiteurs à la trace. Utilisez GPG (le gardien de la vie privée) pour chiffrer le contenu de vos courriels. Payez en liquide.

Gardez vos données personnelles ; ne les stockez pas sur le serveur « si pratique » d’une entreprise. Il n’y a pas de risque, cependant, à confier la sauvegarde de vos données à un service commercial, pourvu qu’avant de les envoyer au serveur vous les chiffriez avec un logiciel libre sur votre propre ordinateur (y compris les noms de fichiers).

Par souci de votre vie privée, vous devez éviter les logiciels non libres car ils donnent à d’autres la maîtrise de votre informatique, et que par conséquent ils vous espionnent probablement. N’utilisez pas de service se substituant au logiciel : outre que cela donne à d’autres la maîtrise de votre informatique, cela vous oblige à fournir toutes les données pertinentes au serveur.

Protégez aussi la vie privée de vos amis et connaissances. Ne divulguez pas leurs informations personnelles, sauf la manière de les contacter, et ne donnez jamais à aucun site l’ensemble de votre répertoire téléphonique ou des adresses de courriel de vos correspondants. Ne dites rien sur vos amis à une société comme Facebook qu’ils ne souhaiteraient pas voir publier dans le journal. Mieux, n’utilisez pas du tout Facebook. Rejetez les systèmes de communication qui obligent les utilisateurs à donner leur vrai nom, même si vous êtes disposé à donner le vôtre, car cela pousserait d’autres personnes à abandonner leurs droits à une vie privée.

La protection individuelle est essentielle, mais les mesures de protection individuelle les plus rigoureuses sont encore insuffisantes pour protéger votre vie privée sur des systèmes, ou contre des systèmes, qui ne vous appartiennent pas. Lors de nos communications avec d’autres ou de nos déplacements à travers la ville, notre vie privée dépend des pratiques de la société. Nous pouvons éviter certains des systèmes qui surveillent nos communications et nos mouvements, mais pas tous. Il est évident que la meilleure solution est d’obliger ces systèmes à cesser de surveiller les gens qui sont pas légitimement suspects.

Nous devons intégrer à chaque système le respect de la vie privée

Si nous ne voulons pas d’une société de surveillance totale, nous devons envisager la surveillance comme une sorte de pollution de la société et limiter l’impact de chaque nouveau système numérique sur la surveillance, de la même manière que nous limitons l’impact des objets manufacturés sur l’environnement.

Par exemple, les compteurs électriques « intelligents » sont paramétrés pour envoyer régulièrement aux distributeurs d’énergie des données concernant la consommation de chaque client, ainsi qu’une comparaison avec la consommation de l’ensemble des usagers. Cette implémentation repose sur une surveillance généralisée mais ce n’est nullement nécessaire. Un fournisseur d’énergie pourrait aisément calculer la consommation moyenne d’un quartier résidentiel en divisant la consommation totale par le nombre d’abonnés, et l’envoyer sur les compteurs. Chaque client pourrait ainsi comparer sa consommation avec la consommation moyenne de ses voisins au cours de la période de son choix. Mêmes avantages, sans la surveillance !

Il nous faut intégrer le respect de la vie privée à tous nos systèmes numériques, dès leur conception.

Remède à la collecte de données : les garder dispersées

Pour rendre la surveillance possible sans porter atteinte à la vie privée, l’un des moyens est de conserver les données de manière dispersée et d’en rendre la consultation malaisée. Les caméras de sécurité d’antan n’étaient pas une menace pour la vie privée. Les enregistrements étaient conservés sur place, et cela pendant quelques semaines tout au plus. Leur consultation ne se faisait pas à grande échelle du fait de la difficulté d’y avoir accès. On les consultait uniquement sur les lieux où un délit avait été signalé. Il aurait été impossible de rassembler physiquement des millions de bandes par jour, puis de les visionner ou de les copier.

Aujourd’hui, les caméras de sécurité se sont transformées en caméras de surveillance ; elles sont reliées à Internet et leurs enregistrements peuvent être regroupés dans un centre de données [data center] et conservés ad vitam aeternam. C’est déjà dangereux, mais le pire est à venir. Avec les progrès de la reconnaissance faciale, le jour n’est peut-être pas loin où les journalistes « suspects » pourront être pistés sans interruption dans la rue afin de surveiller qui sont leurs interlocuteurs.

Les caméras et appareils photo connectés à Internet sont souvent eux-mêmes mal protégés, de sorte que n’importe qui pourrait regarder ce qu’ils voient par leur objectif. Pour rétablir le respect de la vie privée, nous devons interdire l’emploi d’appareils photo connectés dans les lieux ouverts au public, sauf lorsque ce sont les gens qui les transportent. Tout le monde doit avoir le droit de mettre en ligne des photos et des enregistrements vidéo une fois de temps en temps, mais on doit limiter l’accumulation systématique de ces données.

Remède à la surveillance du commerce sur Internet

La collecte de données provient essentiellement des activités numériques personnelles des gens. D’ordinaire, ces sont d’abord les entreprises qui recueillent ces données. Mais lorsqu’il est question de menaces pour la vie privée et la démocratie, que la surveillance soit exercée directement par l’État ou déléguée à une entreprise est indifférent, car les données rassemblées par les entreprises sont systématiquement mises à la disposition de l’État.

Depuis PRISM, la NSA a un accès direct aux bases de données de nombreuses grandes sociétés d’Internet. AT&T conserve tous les relevés téléphoniques depuis 1987 et les met à la disposition de la DEA sur demande, pour ses recherches. Aux États-Unis, l’État fédéral ne possède pas ces données au sens strict, mais en pratique c’est tout comme.

Mettre le journalisme et la démocratie en sécurité exige, par conséquent, une réduction de la collecte des données privées, par toute organisation quelle qu’elle soit et pas uniquement par l’État. Nous devons repenser entièrement les systèmes numériques, de telle manière qu’ils n’accumulent pas de données sur leurs utilisateurs. S’ils ont besoin de détenir des données numériques sur nos transactions, ils ne doivent être autorisés à les garder que pour une période dépassant de peu le strict minimum nécessaire au traitement de ces transactions.

Une des raisons du niveau actuel de surveillance sur Internet est que le financement des sites repose sur la publicité ciblée, par le biais du pistage des actions et des choix de l’utilisateur. C’est ainsi que d’une pratique simplement gênante, la publicité que nous pouvons apprendre à éviter, nous basculons, en connaissance de cause ou non, dans un système de surveillance qui nous fait du tort. Les achats sur Internet se doublent toujours d’un pistage des utilisateurs. Et nous savons tous que les « politiques relatives à la vie privée » sont davantage un prétexte pour violer celle-ci qu’un engagement à la respecter.

Nous pourrions remédier à ces deux problèmes en adoptant un système de paiement anonyme – anonyme pour l’émetteur du paiement, s’entend (permettre au bénéficiaire d’échapper à l’impôt n’est pas notre objectif). Bitcoin n’est pas anonyme, bien que des efforts soient faits pour développer des moyens de payer anonymement avec des bitcoins. Cependant, la technologie de la monnaie électronique remonte aux années 80 ; tout ce dont nous avons besoin, ce sont d’accords adaptés pour la marche des affaires et que l’État n’y fasse pas obstruction.

Le recueil de données personnelles par les sites comporte un autre danger, celui que des « casseurs de sécurité » s’introduisent, prennent les données et les utilisent à de mauvaises fins, y compris celles qui concernent les cartes de crédit. Un système de paiement anonyme éliminerait ce danger : une faille de sécurité du site ne peut pas vous nuire si le site ne sait rien de vous.

Remède à la surveillance des déplacements

Nous devons convertir la collecte numérique de péage en paiement anonyme (par l’utilisation de monnaie électronique, par exemple). Les système de reconnaissance de plaques minéralogiques reconnaissent toutes les plaques, et les données peuvent être gardées indéfiniment ; la loi doit exiger que seules les plaques qui sont sur une liste de véhicules recherchés par la justice soient identifiées et enregistrées. Une solution alternative moins sûre serait d’enregistrer tous les véhicules localement mais seulement pendant quelques jours, et de ne pas rendre les données disponibles sur Internet ; l’accès aux données doit être limité à la recherche d’une série de plaques minéralogiques faisant l’objet d’une décision de justice.

The U.S. “no-fly” list must be abolished because it is punishment without trial.

Il est acceptable d’établir une liste de personnes pour qui la fouille corporelle et celle des bagages seront particulièrement minutieuses, et l’on peut traiter les passagers anonymes des vols intérieurs comme s’ils étaient sur cette liste. Il est acceptable également d’interdire aux personnes n’ayant pas la citoyenneté américaine d’embarquer sur des vols à destination des États-Unis si elles n’ont pas la permission d’y rentrer. Cela devrait suffire à toutes les fins légitimes.

Beaucoup de systèmes de transport en commun utilisent un genre de carte intelligente ou de puce RFID pour les paiements. Ces systèmes amassent des données personnelles : si une seule fois vous faites l’erreur de payer autrement qu’en liquide, ils associent définitivement la carte avec votre nom. De plus, ils enregistrent tous les voyages associés avec chaque carte. L’un dans l’autre, cela équivaut à un système de surveillance à grande échelle. Il faut diminuer cette collecte de données.

Les services de navigation font de la surveillance : l’ordinateur de l’utilisateur renseigne le service cartographique sur la localisation de l’utilisateur et l’endroit où il veut aller ; ensuite le serveur détermine l’itinéraire et le renvoie à l’ordinateur, qui l’affiche. Il est probable qu’actuellement le serveur enregistre les données de localisation puisque rien n’est prévu pour l’en empêcher. Cette surveillance n’est pas nécessaire en soi, et une refonte complète du système pourrait l’éviter : des logiciels libres installés côté utilisateur pourraient télécharger les données cartographiques des régions concernées (si elles ne l’ont pas déjà été), calculer l’itinéraire et l’afficher, sans jamais dire à qui que ce soit l’endroit où l’utilisateur veut aller.

Les systèmes de location de vélos et autres peuvent être conçus pour que l’identité du client ne soit connue que de la station de location. Au moment de la location, celle-ci informera toutes les stations du réseau qu’un vélo donné est « sorti » ; de cette façon, quand l’utilisateur le rendra, généralement à une station différente, cette station-là saura où et quand il a été loué. Elle informera à son tour toutes les stations du fait que ce vélo a été rendu, et va calculer en même temps la facture de l’utilisateur et l’envoyer au siège social après une attente arbitraire de plusieurs minutes, en faisant un détour par plusieurs stations. Ainsi le siège social ne pourra pas savoir précisément de quelle station la facture provient. Ceci fait, la station de retour effacera toutes les données de la transaction. Si le vélo restait « sorti » trop longtemps, la station d’origine pourrait en informer le siège social et, dans ce cas, lui envoyer immédiatement l’identité du client.

Remède aux dossiers sur les communications

Les fournisseurs de services Internet et les compagnies de téléphone enregistrent une masse de données sur les contacts de leurs utilisateurs (navigation, appels téléphoniques, etc.) Dans le cas du téléphone mobile, ils enregistrent en outre la position géographique de l’utilisateur. Ces données sont conservées sur de longues périodes : plus de trente ans dans le cas d’AT&T. Bientôt, ils enregistreront même les mouvements corporels de l’utilisateur. Et il s’avère que la NSA collecte les coordonnées géographiques des téléphones mobiles, en masse.

Les communications non surveillées sont impossibles là où le système crée de tels dossiers. Leur création doit donc être illégale, ainsi que leur archivage. Il ne faut pas que les fournisseurs de services Internet et les compagnies de téléphone soient autorisés à garder cette information très longtemps, sauf décision judiciaire leur enjoignant de surveiller une personne ou un groupe en particulier.

Cette solution n’est pas entièrement satisfaisante, car cela n’empêchera pas concrètement le gouvernement de collecter toute l’information à la source – ce que fait le gouvernement américain avec certaines compagnies de téléphone, voire avec toutes. Il nous faudrait faire confiance à l’interdiction par la loi. Cependant, ce serait déjà mieux que la situation actuelle où la loi applicable (le PATRIOT Act) n’interdit pas clairement cette pratique. De plus, si un jour le gouvernement recommençait effectivement à faire cette sorte de surveillance, il n’obtiendrait pas les données sur les appels téléphoniques passés avant cette date.

Pour garder confidentielle l’identité des personnes avec qui vous échangez par courriel, une solution simple mais partielle est d’utiliser un service situé dans un pays qui ne risquera jamais de coopérer avec votre gouvernement, et qui chiffre ses communications avec les autres services de courriels. Toutefois, Ladar Levison (propriétaire du service de courriel Lavabit que la surveillance américaine a cherché à corrompre complètement) a une idée plus sophistiquée : établir un système de chiffrement par lequel votre service de courriel saurait seulement que vous avez envoyé un message à un utilisateur de mon service de courriel, et mon service de courriel saurait seulement que j’ai reçu un message d’un utilisateur de votre service de courriel, mais il serait difficile de déterminer que c’était moi le destinataire.

Mais un minimum de surveillance est nécessaire.

Pour que l’État puisse identifier les auteurs de crimes ou délits, il doit avoir la capacité d’enquêter sur un délit déterminé, commis ou en préparation, sur ordonnance du tribunal. À l’ère d’Internet, il est naturel d’étendre la possibilité d’écoute des conversations téléphoniques aux connexions Internet. On peut, certes, facilement abuser de cette possibilité pour des raisons politiques, mais elle n’en est pas moins nécessaire. Fort heureusement, elle ne permettrait pas d’identifier les lanceurs d’alerte après les faits, si (comme je le recommande) nous empêchons les systèmes numériques d’accumuler d’énormes dossiers avant les faits.

Les personnes ayant des pouvoirs particuliers accordés par l’État, comme les policiers, abandonnent leur droit à la vie privée et doivent être surveillés (en fait, les policiers américains utilisent dans leur propre jargon le terme testilying4 au lieu de perjury5 puisqu’ils le font si souvent, en particulier dans le cadre de la comparution de manifestants et de photographes). Une ville de Californie qui a imposé à la police le port permanent d’une caméra a vu l’usage de la force diminuer de près de 60 %. L’ACLU y est favorable.

Les entreprises ne sont pas des personnes et ne peuvent se prévaloir des droits de l’homme. Il est légitime d’exiger d’elles qu’elles rendent public le détail des opérations susceptibles de présenter un risque chimique, biologique, nucléaire, financier, informatique (par exemple les DRM) ou politique (par exemple le lobbyisme) pour la société, à un niveau suffisant pour assurer le bien-être public. Le danger de ces opérations (pensez à BP et à la marée noire dans le Golfe du Mexique, à la fusion du cœur des réacteurs nucléaires de Fukushima ou à la crise financière de 2008) dépasse de loin celui du terrorisme.

Cependant, le journalisme doit être protégé contre la surveillance, même s’il est réalisé dans un cadre commercial.


La technologie numérique a entraîné un accroissement énorme du niveau de surveillance de nos déplacements, de nos actions et de nos communications. Ce niveau est bien supérieur à ce que nous avons connu dans les années 90, bien supérieur à ce qu’ont connu les gens habitant derrière le rideau de fer dans les années 80, et il resterait encore bien supérieur si l’utilisation de ces masses de données par l’État était mieux encadrée par la loi.

A moins de croire que nos pays libres ont jusqu’à présent souffert d’un grave déficit de surveillance, et qu’il leur faut être sous surveillance plus que ne le furent jadis l’Union soviétique et l’Allemagne de l’Est, ils nous faut inverser cette progression. Cela requiert de mettre fin à l’accumulation en masse de données sur la population.

Notes :


Notes de traduction

  1. Allusion probable à la Constitution de 1787, symbole de la démocratie américaine, qui débute par ces mots : We, the people of the United States (Nous, le peuple des États-Unis). ?
  2. Union américaine pour les libertés civiles. ?
  3. Loi sur la surveillance du renseignement étranger ; elle a mis en place une juridiction spéciale, la FISC, chargée de juger les présumés agents de renseignement étrangers sur le sol américain. ?
  4. Testilying : contraction de testify, faire une déposition devant un tribunal, et lying, acte de mentir. ?
  5. Perjury : faux témoignage. ?



Le chiffrement, maintenant (la récap’)

Voici la dernière livraison de notre traduction par épisodes de Encryption Works. Vous trouverez ci-dessous les quelques lignes qui concluent l’ouvrage original ainsi que des liens vers le miniguide de 30 pages en français qui réunit les épisodes en un seul document.

Une chance de s’en sortir

Protéger sa vie privée à l’ère de la surveillance omniprésente de la NSA est incroyablement complexe. L’effort d’acquisition des concepts à maîtriser, représente une sacrée courbe d’apprentissage, plus ou moins facilitée par l’utilisation des logiciels déjà disponibles. Mais même avec un accès direct à toutes les données transitant à la vitesse de la lumière par les fibres optiques, formant l’épine dorsale d’Internet, même avec la coopération des principales entreprises des États-Unis (qu’il est extrêmement difficile pour les gens de boycotter), le plus grand, le plus puissant et le meilleur système de surveillance que l’humanité ait jamais connu ne pourra pas battre les mathématiques. Le défi pour le nouveau mouvement cypherpunk est de rendre la sécurité et le chiffrement vérifiés de bout à bout accessibles à tout le monde et activés par défaut.

L’ensemble du guide en une seule fois

Cliquez sur le lien avec le bouton droit, puis « Enregistrer la cible du lien sous… »

Pour aller plus loin, appel à contributions

Ce guide n’a pas la prétention de proposer une couverture exhaustive d’une question aussi épineuse. C’est pourquoi, si vous souhaitez contribuer à proposer un guide plus complet, nous vous invitons à apporter votre pierre à ce projet : Votre sécurité sur Internet, notions de base (un gros ouvrage de plus de 400 pages). Le travail est actuellement en cours sur la plateforme Flossmanuals francophone sur laquelle il faut donc s’inscrire pour pouvoir modifier/traduire le texte. Quelques points importants :

  • Le premier jet de traduction a déjà été réalisé (notamment pour plusieurs chapitres par des étudiants de l’INRIA de Rouen encadrés par leur enseignant).
  • Nous avons besoin :
  • — de contributeurs capables de proposer des images d’illustration (captures d’écran) avec des textes inclus en français

    — de relecteurs spécialisés et compétents sur les problèmes techniques de sécurité, car outre la bonne conformité des termes employés, ils devront réviser voire refondre certains chapitres qui ne seraient plus tout à fait à jour, particulièrement en fonction des dernières révélations sur les capacités de nuisance de la NSA.

  • Ceux qui estimeront qu’il manque des informations voire un chapitre etc. pourront tout à fait ajouter ce qu’ils estiment nécessaire sur la plateforme.

— à bientôt !




BD Framabook : Sortie du 5e (et dernier) GKND How I met your sysadmin

GKND 5 - Couverture - Gee - CC by-sa

Les fans de la première heure et des tomes précédents l’attendaient avec impatience : Le tome 5 de notre série BD Framabook GKND vient de voir le jour !

Son titre et sa couverture interpellent : How I met your sysadmin. Quelque chose me dit qu’on y fait la part belle à la Geekette. Mais nous n’irons pas plus loin dans la description, le spoiling c’est pas le genre de la maison, d’autant que nous vous proposons une interview de son auteur ci-dessous.

La sortie a été annoncée sur Linuxfr d’où l’on peut lire le commentaire suivant : « C’est exactement le reflet de ce que j’ai vécu à l’IUT Info 😀 (Le club info, les projets de 4 semaines que l’on faisait en une nuit blanche, les soirées LAN, les tests à l’arrache après compil…), dommage que la série se termine mais j’adore ! »

Simon « Gee » Giraudot sera à Paris samedi 19 octobre prochain pour dédicacer son livre (en compagnie de Pouhiou). Une occasion unique de pouvoir dire : How I met l’un des meilleurs dessinateurs de sa génération 😉

Simon Gee Giraudot - Dédicace

Entretien avec Simon « Gee » Giraudot

Pouhiou : Alors débarrassons-nous de LA question à laquelle tu n’échapperas pas : à quel point cette histoire est-elle autobiographique ? Non parce que, ça sent le vécu, quand même ?

Gee : Comme dans les autres bouquins, je puise pas mal d’inspiration dans ma propre vie, mais il y a aussi une grande part de fiction. La nuit blanche pour finir un projet qui a traîné pendant des semaines, j’ai pratiqué, la procastination devant des séries stupides aussi. Et pour la fameuse « friend zone », c’est du 100% vécu. Hé oui… Mais on est beaucoup à être passés par là, non ? Sauf que ça finit rarement comme dans cette histoire !

Par contre, et c’est pourtant l’élément principal de l’histoire, je n’ai jamais fréquenté de geekette. Mais après tout, c’est parfois plus enrichissant d’être avec quelqu’un qui ne vient pas du même monde. Et puis ça fait une personne de plus à rallier à la cause des barbus/libristes 🙂

Pour ce dernier volume, tu as décidé de bousculer les codes, en confiant par exemple la narration à la Geekette… pourquoi ces choix ?

J’ai eu très tôt l’idée de faire cette histoire avec ce titre et cette couverture (oui, quand même). Après, au moment de me pencher sérieusement sur le scénario, j’avais plusieurs angles d’approche :

  • L’écrire comme un tome de conclusion, donc y aller à fond et faire une fin digne de ce nom à la série ;
  • L’écrire avec un narrateur dans le futur, à la manière de How I met your mother justement ;
  • Reprendre l’histoire des 4 premiers tomes mais du point de vue de la Geekette.

Finalement, n’arrivant pas à me décider sur un angle, j’ai décidé de mélanger les trois ! C’est donc un tome de conclusion raconté depuis le futur par la Geekette. Il reprend les éléments des 4 premiers tomes (même s’il ne se limite pas à ça, contrairement à mon intention originale, puisqu’il offre aussi la suite et fin de l’histoire).

Avoir la Geekette comme narratrice, ça permet de revivre les anciennes aventures de son point de vue. C’est un personnage un peu compliqué, ses actions et ses pensées sont parfois diamétralement opposées : je trouvais cela amusant de revoir ses actions passées à la lumière de ce qu’elle pense véritablement.

Cela veut-il dire que tes personnages (d’ordinaire chastes et polis) vont se mettre à jurer ? Aura-t-on droit à une scène de sexe ?

Non, ça reste tout public ! Ça n’a jamais été officiel, mais je limite toujours les mots grossiers dans mes bandes dessinées. Ils sont soit remplacés par des symboles abscons du genre #£&*#! (un grand classique), soit gribouillés pour qu’on ne puisse pas les lire directement mais les deviner. Ce tome ne déroge pas à la règle.

Pour la scène de sexe, je pense que la couverture offre une partie de la réponse… Mais de même, ça reste suggéré. Je n’ai pas été jusqu’à la jouer façon « série puritaine américaine » où les femmes font l’amour en gardant leur soutif (mouarf), mais il n’y aucune image interdite aux mineurs dans le livre 😉

On est loin du vieux clicheton où le super héros moustachu sauve la princesse cruche en rose… Dirais-tu qu’il s’agit d’une BD féministe ?

J’ai essayé de rester loin des clichés, que ce soit le geek asocial qui ne connait que des filles en .JPG ou le héros à 2 balles qui finit par avoir la fille en « prouvant sa valeur » et en « montrant qu’il en a » : ce sont juste deux jeunes adultes encore un peu ados dans leurs têtes qui ne savent pas trop comment s’y prendre.

Une BD féministe ? Je ne sais pas, elle n’est pas militante en tout cas. Dans mon cas, le féminisme n’est pas une cause, ça fait juste parti des principes selon lesquels je vis, au même titre qu’être contre le racisme ou pour la paix dans le monde (et pour les bisounours et les poneys, oui je sais). Ça ne veut pas dire que la BD est antiraciste ou pacifiste, mais puisque l’auteur l’est, ça peut en être imprégné. Après, écrire d’un point de vue féminin, c’est une expérience intéressante : tu te poses des questions comme « comment je réagirais dans cette situation si j’étais une fille ? ». Au final, je ne sais pas si mon texte sonne juste, mais j’ai essayé de rester loin de la caricature sans en rajouter dans l’autre sens.

C’est le dernier tome de GKND… Cela veut-il dire qu’on ne reverra plus jamais ces personnages ?

Non, bien sûr. Les personnages reviennent de toute façon régulièrement dans les articles quotidiens du Geektionnerd. La fin de cette saga, c’est surtout la fin d’une forme (une BD à trois images par page et beaucoup de texte) dans laquelle je commençais à me sentir un peu à l’étroit. Je ne m’interdis pas du tout de raconter d’autres histoires sur ces personnages, sous une forme ou une autre. J’ai quelques idées, mais rien de concret pour le moment.

Après, je rappelle que ces œuvres sont libres, ce qui signifie que n’importe qui peut s’emparer de l’histoire et la continuer à sa guise. Avec plus de 1500 articles et 5 livres, la base de dessins du Geektionnerd commence à être fournie. Alors vous savez ce qu’il vous reste à faire…

Et tu as des projets pour la suite ?

Des tonnes, je croule sous les projets (le tout étant de venir à bout de quelques-uns, pas toujours simple quand on veut garder une vie sociale et une vie professionnelle). Le Geektionnerd reste toujours actif. J’ai aussi Superflu, ma « jolie-BD-pas-geek », qui me prend du temps mais progresse tranquillement (11 épisodes au moment où j’écris ces lignes) : ça, c’est vraiment un projet qui me tient à cœur… Il y a les projets avec Framasoft, qui sollicitent parfois mes compétences de dessinateur. Enfin, il est aussi possible que je réalise prochainement (comprendre : je ne sais pas quand) une BD dont je ne serai pas scénariste (uniquement dessinateur), mais c’est encore un projet top secret 😉

Enfin, en vrac : des histoires écrites (nouvelles voire romans), des bandes dessinées « one shot » (histoire unique hors-série), de la musique… Mais je m’arrête là car je diverge (et dix verges, c’est énorme, comme disait Pierre…).

» Lire, télécharger, acheter, partager, etc. le GKND tome 5 sur Framabook

GKND 5 - Gee - CC by-sa




La « politique » Framabook et les licences libres, Par C. Masutti et B. Jean

Un « livre libre » est un un livre qui offre à l’auteur, au lecteur et à l’éditeur les mêmes libertés (et obligations) qu’un programmeur, un utilisateur ou un éditeur de logiciel libre. Mais comment ces libertés s’accordent-elles avec le droit d’auteur ? Comment faire vivre une collection de livres libres dans le contexte d’une économie culturelle ?

La collection Framabook a dû élaborer une stratégie qui la positionne assez clairement (politiquement et économiquement) à la fois par rapport au droit d’auteur et par rapport aux multiples licences libres (et assimilées) existantes. À l’issue du processus créatif d’un auteur, celui-ci effectue un choix : doit-il on non placer son œuvre sous licence libre? Si oui, quelles sont les clauses les plus susceptibles de protéger son œuvre ? Pour un auteur qui n’est pas forcément spécialiste du droit et familier avec certains concepts inhérents aux licences libres, il peut-être difficile de comprendre le choix de la collection Framabook à ne pas accepter de clauses empêchant les modifications ou limitant les usages commerciaux. Ceci est d’autant plus étonnant que le penchant légitime, et presque naturel, d’un auteur est de souhaiter que son œuvre soit transmise en toute intégrité, dans un respect très strict de ses idées.

Christophe Masutti et Benjamin Jean se font l’écho d’un débat déjà assez ancien, à la fois dans la communauté du Libre mais aussi à l’intérieur de l’association Framasoft. Ils voient que finalement, le choix d’une licence ne s’établit pas seulement sur l’idée qu’une licence libre suffit à elle seule pour protéger une œuvre, mais que cette protection s’établit dans un dialogue entre les droits d’auteur et les licences libres.

Ce débat, ici rapporté pour ce qui concerne la collection Framabook, dépasse ce seul cadre et s’adresse à différents modèles d’édition, du simple blog personnel aux modèles d’éditions ouvertes (dans les sciences ou d’autres domaines). Nous vous invitons après lecture à le poursuivre dans les commentaires.

Remarque : Vous trouverez en pièce-jointe ci-dessous une version de l’article sous différents formats : PDF, HTML, ODT et TeX.

La « politique » Framabook et les licences libres

Article placé sous triple licence Licence Art Libre 1.3, GNU Free Documentation License 1.3 et Creative Commons By-SA 3.0.

Par Christophe Masutti, Benjamin Jean

Christophe Masutti est docteur en histoire des sciences et des techniques, chercheur associé au SAGE (Société, Acteurs, Gouvernements en Europe, Université de Strasbourg), responsable des affaires européennes à la Direction Générale des Hôpitaux Universitaires de Strasbourg. Président de l’association Framasoft depuis janvier 2012.

Benjamin Jean est membre de l’équipe du CUERPI (Centre Universitaire d’Enseignement et de Recherches en Propriété Intellectuelle) co-fondateur de la société Inno3, consultant au Cabinet Gilles Vercken et maître de conférence à Science Po. Co-fondateur de l’association Veni, Vidi, Libri et du cycle de conférences European Open Source & Free Software Law Event (EOLE).

Initié en mai 2006, Framabook est le nom donné au projet de collection de livres libres édités par Framasoft[1]. Basée sur une méthode de travail collaborative entre l’auteur et des bénévoles de l’association, la collection dispose d’un comité de lecture et d’un comité éditorial. Elle propose des manuels, des essais et même des bandes dessinées et des romans en lien avec le logiciel libre ou la culture libre en général. Le choix des licences qui les accompagnent les inscrit dans la culture libre et la participation aux biens communs.

Depuis que Framasoft a choisi de devenir éditeur de sa collection, nous avons tant bien que mal travaillé à la construction d’un modèle alternatif et collaboratif d’édition. Dans nos discussions avec les auteurs, la question des licences acceptées pour la diffusion des projets est récurrente (pour ne pas dire systématique). Ce sujet relativement technique a mobilisé le débat de nos assemblées générales, se poursuivant parfois tard en soirée et sur nos listes de discussion, pour des réponses finalement toujours similaires (« des licences libres et seulement des licences libres »). Nous nous sommes aperçus que cette recherche répétée de consensus résultait surtout du manque d’exposition claire des principes auxquels adhère la collection Framabook. C’est pour y remédier que cet article a été écrit. Il cherche à exposer les principes de la politique éditoriale du projet Framabook tout en rassemblant les différents éléments de discussion issus des archives de nos listes et qui concernent précisément les licences libres. D’une certaine manière, il témoigne aussi d’une réflexion devenue mature et qui nous semble valider la pertinence d’un modèle d’édition ouverte.

Nous destinons aussi ces quelques lignes aux auteurs et éditeurs, afin de les aider à cerner les enjeux du choix d’une licence pour une œuvre destinée à être publiée dans la collection Framabook ou ailleurs. Nous avons conscience que ce choix n’est pas anodin et peut même être difficile, tant d’un point de vue culturel après presque trois siècles d’histoire du droit d’auteur, que d’un point de vue économique et éthique, dans le contexte d’une économie de la culture qui multiplie les abus en tout genre. Nous ne cherchons pas non plus à prétendre que ce modèle devrait remplacer les modèles existants, nous souhaitons seulement démontrer qu’il peut être viable et, surtout, qu’il ne génère pas tous les risques et déviances qu’on lui rattache fréquemment.

Bien que l’un de nos ouvrages compte désormais comme une référence en la matière (Benjamin Jean, Option Libre. Du bon usage des licences libres)[2], certaines subtilités nécessitent à la fois une connaissance du droit d’auteur, une connaissance du domaine de l’édition et une connaissance des licences libres. L’ensemble est néanmoins à la portée de tous et n’excède pas les quelques minutes de la lecture à laquelle nous vous invitons, sous la forme de questions fréquemment posées (QFP)…

1. Sous quelle licence dois-je placer mon œuvre dans la collection Framabook ?

Le premier postulat de notre collection est que les auteurs sont absolument libres d’utiliser les licences qu’ils souhaitent pourvu qu’elles soient « libres », c’est-à-dire qu’elles assurent à l’utilisateur une libre utilisation, copie, modification ou redistribution de l’ouvrage ou de ses dérivés (ce qui exclut donc toutes les licences Creatives Commons limitant l’usage commercial « NC » ou la modification « ND », ainsi que nous allons le développer plus loin).

Dans l’esprit du Libre auquel nous adhérons, cette définition n’exclut pas les licences dites copyleft qui imposent la pérennité des libertés assurées à l’utilisateur (garantissant à l’auteur que le livre ne pourra être exploité que librement). Ce choix n’est pas neutre puisque ce type de licences permet d’alimenter un « pot commun » auquel tout le monde peut puiser à condition d’y reverser à son tour ses propres contributions.

En d’autres termes, un Framabook pourra être aussi bien sous Licence Art Libre 1.3, sous licence CC-By-SA 3.0, que sous licence CC-By 3.0 (« tout court ») voire sous CC-0[3]. Vous serez toujours libre de réutiliser ces ouvrages (même commercialement), mais à votre charge de respecter les obligations que ces licences contiennent.

Par exemple – Si quelqu’un rédige un texte incluant un passage substantiel (en termes qualitatifs ou quantitatifs) tiré d’un Framabook, et même si cet usage dépasse le cadre délimité du droit de citation, la licence libre associée par l’auteur lui accordera les droits nécessaires (à condition que soient parallèlement respectées les contraintes qu’elle impose). Au titre de ces contraintes, certaines licences copyleft imposeront que toutes modifications apportées à ce texte soient diffusées selon la même licence, voire que l’intégralité de l’œuvre utilisatrice soit distribuée selon la même licence (ce qui, contrairement à la première hypothèse, limite grandement le type d’exploitation possible). Ainsi qu’indiqué précédemment, cette obligation permet d’assurer une relative pérennité au projet initial et s’ajoute aux obligations classiques telle que l’obligation d’attribuer la paternité de l’œuvre initiale à nos auteurs (et ceux-ci seulement ; vous serez pour votre part auteur de votre propre version dérivée).

2. Pourquoi utiliser des licences libres ?

Avant toute autre considération, le Libre procède d’une volonté de partage. Si vous placez une œuvre sous licence libre, c’est que vous désirez la partager avec le plus grand nombre d’« utilisateurs » ou de contributeurs possible. Importante dans le monde physique, cette notion de partage se révèle encore plus évidente dans le monde immatériel (celui de la propriété intellectuelle) où l’acquisition par un individu n’implique pas l’aliénation ou la perte par l’autre (bien au contraire)[4].

Ainsi, « Libre » ne signifie donc pas « libre de droits » (notion qui n’a aucune valeur juridique) et les licences libres sont là pour traduire et sécuriser juridiquement la relation souhaitée[5].

Le projet Framabook repose donc sur :

  • l’usage de licences libres par lesquelles les auteurs exploitent leurs droits. C’est grâce à ce contrat que toutes les autorisations indispensables à l’évolution et à la diffusion de l’œuvre sont données (en l’absence de licence, rien ne serait permis).
  • le respect du droit d’auteur dans sa globalité, et notamment des prérogatives morales (droit de divulgation, droit de paternité, droit au respect de l’intégrité de l’œuvre, etc.) qui protègent l’auteur en raison des liens étroits qu’il entretient avec son œuvre. Ajoutons qu’il n’y a pas de remise en cause de ces prérogatives morales par les licences libres ; bien au contraire, celles-ci les rappellent (et parfois renforcent) systématiquement.
  • sur le respect des conditions relatives au prix de vente des livres. La loi Lang (81-766 du 10 août 1981 modifiée 2008) sur le prix unique du livre doit toujours être respectée quelle que soit la politique éditoriale choisie (ces règles s’appliquent aussi sur la vente des versions numériques – même si un prix différent du prix papier peut alors être décidé).

Ainsi, l’utilisation d’une licence libre est indispensable pour assurer aux utilisateurs les libertés proclamées par l’auteur et par la collection.

3. N’est-ce pas contradictoire avec la commercialisation des livres ?

L’adage « libre ne signifie pas gratuit » s’applique parfaitement pour ce qui concerne la collection Framabook. La politique de la collection consiste à proposer un modèle économique du livre basé à la fois sur la primauté de la diffusion et la juste rémunération des auteurs. Puisque nous vendons les livres « papier » et encourageons d’éventuelles rééditions, nous ne voulons pas utiliser de clause de licence interdisant à priori la vente (pas de -NC dans le cas des licences Creative Commons). Bien que la clause NC puisse être légitimée, il y a un contexte propre à la collection Framabook.

Framasoft est un réseau d’éducation populaire dédié au Libre qui s’appuie sur une association d’intérêt général à but non lucratif. De cette orientation découle toute l’importance de la diffusion au plus grand nombre. C’est pour cela que nous avons fait le choix de distribuer gratuitement les versions numériques des ouvrages. Mais elles auraient pu aussi bien être vendues au même titre que les livres « papier ». Quoi qu’il en soit, les sources (les fichiers originaux servant à la composition de l’œuvre) étant elles aussi disponibles, tout le monde peut les utiliser afin de diffuser à son tour gratuitement ou non.

Par essence, la clause de type -NC contrevient au principe de libre diffusion et de partage, à moins de lever à chaque fois cette clause pour chaque cas particulier (et, même dans cette situation, nous nous placerions dans une situation privilégiée qui serait contre-productive compte tenu du partage qui nous motive). Certaines maisons d’édition effectuent ainsi une sorte de « Libre-washing » en profitant de leur position de monopole sur l’œuvre pour lever cette clause temporairement moyennant une rémunération que l’auteur ne touche pas obligatoirement. L’idée est de prétendre une œuvre libre mais en conservant le monopole et en exerçant des contraintes indues. Nous pensons que dans la mesure où une maison d’édition désire rééditer un Framabook, moyennant les conditions exposées à la question numéro 4, elle devrait pouvoir le faire indépendamment de Framasoft, en directe relation avec l’auteur. Nous n’avons donc pas à fixer un cadre non-commercial et encore moins fixer un prix pour ces rééditions. L’exemple typique est le besoin d’une réédition locale hors de France afin d’économiser des frais de port parfois exorbitants : soit il s’agit d’une réédition, soit il s’agit d’une simple ré-impression, mais dans les deux cas, nous n’avons aucun profit à tirer puisqu’il s’agit de toute façon d’un territoire ou d’un secteur dans lequel nous ne sommes pas présent ou actif. Au contraire, une telle diffusion par un tiers (partenaire ou non) est créateur de valeur pour ce tiers, pour la collection ainsi que pour l’auteur (qui, selon nous, mérite un intéressement bien que les négociations ne nous regardent pas). Par ailleurs, ne bénéficiant que d’une simple cession de droits non exclusive de la part de nos auteurs, nous assumons pleinement le risque d’être concurrencés dans notre rôle d’éditeur si jamais nous ne remplissions pas nos engagements (éthiques ou économiques).

Dans le cas d’une traduction, l’usage d’une licence contenant une clause -NC interdirait à priori la vente de l’œuvre traduite (et donc modifiée). En faisant une nouvelle voie d’exploitation, des maisons d’édition proposent parfois de lever la clause pour cette traduction moyennant une somme forfaitaire sur laquelle l’auteur peut le plus souvent ne rien toucher puisque son contrat ne le lie qu’à la première maison d’édition. Par ailleurs, comme le contrat de cet auteur est généralement exclusif, il ne peut contracter librement avec la maison d’édition qui édite la traduction, sauf accord préalable avec la première. Nous pensons au contraire que non seulement les contrats d’édition ne doivent pas « lier » (au sens premier) un auteur avec sa maison d’édition mais aussi que celle-ci doit prendre la mesure de sa responsabilité éditoriale sans exercer de monopole et signer avec l’auteur des contrats non exclusifs qui lui permettent d’être contacté par une maison d’édition cherchant à traduire son œuvre à lui, sans pour autant passer par un intermédiaire rendu obligatoire uniquement pour des raisons mercantiles (il peut y avoir des raisons tout à fait acceptables, cependant)[6].

Concernant les livres « papier », nous avons fait le choix de ne pas (tous) les vendre à prix coûtant. Il y a deux raisons à cela :

  1. Depuis 2011, Framasoft a choisi de devenir son propre éditeur. À ce titre nous passons directement des contrats d’édition avec les auteurs, comprenant une rémunération à hauteur de 15% du prix de vente de chaque exemplaire. Ce pourcentage est toujours négociable, mais nous essayons d’en faire une règle, sans quoi il influe trop sur le prix de vente. Nous avons bien conscience que ce pourcentage est nettement plus élevé que ce qui se pratique habituellement dans le monde de l’édition. Il nous semble en effet important que nos auteurs qui ont fait le choix et le pari de la licence libre avec nous s’y retrouvent financièrement et bénéficient ainsi du modèle contributif dans lequel s’inscrit la collection[7].
  2. Framasoft est composé de bénévoles mais repose sur une association qui compte aujourd’hui plusieurs permanents[8]. À ce titre, le budget de tout projet doit être le plus équilibré possible. Or, éditer un livre suppose de nombreux coûts : le prix de vente est basé sur la fabrication, les frais de port et les frais annexes (administration, BAT, pertes, dons de livres, commission de l’association EnVentelibre.org qui se charge de la vente, des livraisons, de la charge TVA, etc.). Dans les frais annexes, nous pouvons aussi inclure les livres qui sont vendus à prix coûtant (afin de maintenir un prix « acceptable »[9]). Ainsi, en faisant en sorte de rester en deçà des prix habituellement pratiqués et gardant comme objectif de favoriser la diffusion des connaissances dont elle est responsable, l’association Framasoft perçoit une somme forfaitaire à chaque vente qui lui permet de contribuer à faire vivre les projets éditoriaux de l’association[10].

Ainsi, l’usage d’une licence qui autorise les usages commerciaux est à la fois conforme à nos objectifs internes (et à la mission d’intérêt général que revêt Framasoft) et constitutive d’un modèle d’édition ouvert qui tire plein profit des opportunités de notre société numérique et internationale.

4. Puis-je rééditer un Framabook ?

Oui, c’est même encouragé, sans quoi le modèle économique que nous défendons n’aurait pas de sens. Cependant, n’oubliez pas que les licences libres imposent certaines contraintes ! En plus de celles-ci, pour ce qui concerne les Framabooks, il y a d’autres éléments à prendre en compte.

  • Toute réédition doit bien sûr respecter la licence de l’ouvrage à la lettre, à défaut de quoi elle serait non autorisée et donc contrefaisante (cela couvre les obligations en matière de mentions légales – respect de la paternité, indication du Framabook d’origine, de la licence, etc. –, mais plus largement toutes les autres obligations de la licence – et donc notamment lorsqu’elle se présente la clause share alike/copyleft à laquelle est parfois associée l’obligation de livrer la version source du fichier publié).
  • Les auteurs des Framabook ont signé des contrats d’édition. Soumis par le Code de la propriété intellectuelle à un régime dédié, les contrats d’édition sont particulièrement protecteurs des intérêts des auteurs (et un éditeur ne peut y déroger)[11]. Les contrats conclus par Framasoft avec les auteurs ne couvrent que notre propre collection et sont dits « non exclusifs » (n’empêchant donc pas un auteur de publier une réédition ailleurs). Toute nouvelle édition de l’ouvrage devra donc donner lieu à un nouveau contrat d’édition signé par le ou les auteurs (avec ou sans un intéressement à la vente, selon les négociations).
  • Toute réédition d’un Framabook consiste à utiliser le contenu d’un livre (en le modifiant ou non) pour le diffuser par une autre maison d’édition, avec un nouvel ISBN. Il ne s’agit donc pas seulement de revendre un Framabook déjà édité par Framasoft. Dans ce cadre, hors accord spécifique avec l’association Framasoft, toute réédition ne doit pas réutiliser l’identité de Framasoft (ou son dérivée Framabook) qui est une marque déposée. Naturellement, Framasoft doit être mentionné dans les crédits (« Première édition : Framasoft <année> »).

5. Alors, tout le monde pourrait modifier mon œuvre et je n’aurais rien à dire ? Ne devrais-je pas plutôt utiliser une licence comme CC-BY-ND (sans modification) ?

La réponse mérite un développement.

Certaines personnes, et c’est en particulier le cas de Richard M. Stallman, affirment que dans le cas d’œuvres dites « d’opinion », la pensée de l’auteur ne devrait pas pouvoir être déformée[12]. Ces œuvres constitueraient donc autant de cas où une licence doit pouvoir empêcher toute modification de l’œuvre[13].

En réalité, le droit d’auteur[14] est bien plus subtil que ne laisse paraître ce genre de posture.

Premièrement, Richard M. Stallman confond le fond et la forme : le droit d’auteur protège la forme que donne l’auteur à certaines idées, en aucun cas il ne protège les idées ou l’opinion d’un auteur (celles-ci n’étant, en tant que telles, génératrices d’aucun droit).

À partir de là, apposer sur la forme une licence qui limite la réutilisation qui peut en être faite apparaît comme une limitation qui empêche in fine (pour un auteur) d’utiliser une certaine matière (les écrits, tournures, etc.) sans pour autant apporter de garantie quant à la réutilisation (ou non) des idées ou opinions qu’elle contient. Cela est d’autant plus dommage que la société actuelle donne une place de plus en plus grande au « mashup », ainsi qu’à tous ces processus de créations utilisant des œuvres premières comme matière, et qu’une licence qui interdit les dérivations s’oppose frontalement à cet usage.

Aussi, jamais une licence libre (qui ne porte donc que sur le droit d’auteur – l’expression, la forme) n’autorisera de modifier une œuvre de telle sorte que cette modification porte atteinte à l’intégrité de l’œuvre. Dans le cadre d’une œuvre conçue par son auteur comme ouverte et collaborative, la modification par un contributeur est par principe entièrement respectueuse de l’intégrité de l’œuvre. Néanmoins, s’il était porté sur l’œuvre une modification manifestement non conforme à la représentation qu’en avait son auteur, il serait tout à fait valable qu’un auteur agisse sur le fondement de ses droits moraux pour faire cesser cette atteinte (de la même façon qu’il pourrait le faire en l’absence de licence libre), en particulier si l’œuvre était utilisée pour véhiculer des messages manifestement contraires à l’intention de l’auteur.

Au-delà du champ du droit d’auteur, ajoutons qu’il reste bien entendu interdit de publier toute version dérivée qui serait présentée de telle sorte qu’elle véhiculerait une idée fausse : soit que l’auteur initial de l’œuvre en serait aussi l’auteur, soit qu’il ait écrit certaines choses de certaines façons, etc. Ce type de comportement serait tout à fait sanctionnable d’un point de vue civil comme pénal. Il n’est bien sûr pas inutile de le rappeler, mais en revanche nul besoin d’utiliser une « licence verbatim » (interdisant toute modification) à cette seule fin.

Dans le cas des Framabooks, une clause de type -ND (ou toute autre clause de la même famille) est donc superflue. La suite va nous montrer qu’elle peut même être gênante.

Le second argument concerne la réédition. En effet, une modification de l’œuvre n’a d’intérêt que pour la diffuser. Il s’agit dans ce cas d’une réédition. Comme il est expliqué dans la question numéro 4, toute réédition d’un Framabook est soumise à certaines conditions. Parmi celles-ci, le contrat d’édition signé par l’auteur : puisque le contrat est « nommé », il lie l’auteur à son œuvre de manière formelle. Ainsi, il resterait toujours possible pour un imprimeur de réaliser des copies papiers « à la demande » dès lors qu’il ne rentrerait pas dans une démarche similaire à celle d’un éditeur et toute nouvelle édition serait nécessairement rattachable à un auteur (soit l’auteur initial de l’œuvre s’il choisit de souscrire à un nouveau contrat et dès lors que ce nouveau contrat ne souffre pas de la non exclusivité accordée à Framasoft ; soit l’auteur d’une version dérivée dès lors que les apports de chacun des auteurs sont clairement identifiés).

Le troisième argument, « l’absence de risque », est sans doute le plus important. Une licence sans clause -ND (ou autre clause du même genre) aura seulement pour conséquence :

  • de permettre des créations nouvelles empruntant pour partie à l’œuvre initiale, mais : a) en attribuant l’œuvre initiale et b) en se dissociant de façon non équivoque. C’est le cas par exemple de traductions ou des « mises à jour » de l’œuvre ;
  • de permettre des « grandes citations » (ou toute autre réutilisation qui dépasserait le seul cadre des exceptions prévues par la Loi) au sein d’une autre œuvre.

Ainsi, dans la mesure où notre objectif premier est celui de la diffusion, une clause interdisant toute modification fait obstacle à l’apparition de nouvelles créations susceptibles de devenir le support second de cette propagation.

En guise d’illustration, nous pouvons citer deux extraits du préambule de la Licence Art Libre, mise à disposition pour des œuvres artistiques : « Avec la Licence Art Libre, l’autorisation est donnée de copier, de diffuser et de transformer librement les œuvres dans le respect des droits de l’auteur (…) L’intention est d’autoriser l’utilisation des ressources d’une œuvre ; créer de nouvelles conditions de création pour amplifier les possibilités de création. La Licence Art Libre permet d’avoir jouissance des œuvres tout en reconnaissant les droits et les responsabilités de chacun ». Cet esprit est d’autant plus présent dans la LAL que le texte distingue l’original de la copie : les droits portant sur les copies de l’original (qui pour sa part ne peut être modifié sans autorisation de son auteur et qui doit être mentionné comme tel).

Pour revenir au contexte d’édition dans lequel nous nous situons, le choix d’une licence entièrement libre est aussi une assurance pour le projet et ses contributeurs : même si l’auteur se désengage et ne souhaite ou ne peut assurer de nouvelle version, d’autres pourront prendre le relais (comme ce fut le cas pour le premier Framabook Utilisez Thunderbird 2.0 !).

6. Et si je décide de ne pas m’encombrer les neurones ?

Les raisons esthétiques ci-dessus ne s’appliquent que peu aux ouvrages de la collection Framabook, mais restent néanmoins discutables dans le cadre d’une démarche de partage libre. A contrario, nous pouvons signaler que certains ouvrages de la collection sont, eux, sous licence CC-Zéro. C’est-à-dire qu’il s’agit de ce que l’on pourrait appeler le « domaine public volontaire ».

Certes, nous avons dit plus haut qu’il était impossible pour un auteur, du point de vue légal et dans beaucoup de juridictions, de renoncer à tous ses droits d’auteurs (en particulier les droits moraux). Cela dit, les choses peuvent aussi s’envisager d’un point de vue beaucoup plus pratique : le fait de déclarer que non seulement l’œuvre est libre mais aussi qu’elle a pour vocation de suivre son cours en pleine autonomie, un cours que l’auteur s’engage à ne pas influencer (à ne pas exercer son droit d’auteur qui pourtant lui colle à la peau).

La licence CC-0 cherche à traduire ces effets au sein d’un contrat qui propose alternativement et successivement : une renonciation aux droits, une cession de tous les droits patrimoniaux et moraux ou une cession des seuls droits patrimoniaux. En d’autres termes, les droits de Propriété Intellectuelle (et régimes associés) étant territoriaux, la licence CC-0 fonctionne différemment selon que l’auteur peut renoncer à ses droits, céder ses droits moraux ou non. Dans les faits, la licence confère ainsi à l’œuvre le statut juridique s’approchant le plus de la volonté de l’auteur (en France, un statut très proche de la CC By : une cession très large des droits patrimoniaux avec une obligation de citer l’auteur – sauf si ce dernier souhaite rester anonyme).

C’est notamment le cas du roman Le Cycle des NoéNautes, par Pouhiou[15]. Nous pouvons le citer :

« Dès aujourd’hui, je fais passer Les Noénautes dans le domaine public volontaire. Cela veut dire que tu as le droit d’en faire ce que tu veux. Tu n’as aucun compte à me rendre. Tu peux éditer et vendre cette œuvre pour ton propre compte, tu peux la réécrire, l’adapter, la recopier, en faire de la pub ou des navets… Tu es libre. Parce que légalement, cette œuvre est libre. La loi Française imposerait que tu fasses mention de l’auteur malgré tout : OSEF, j’irai pas t’attaquer ! J’avoue que si tu fais quelque chose de tout cela, ça m’amuserait que tu me tiennes au jus. Mais tu n’as plus d’autres obligations que celles que tu te crées. »[16]

Conclusion

Elle s’exprime en une phrase : la collection Framabook édite des livres sous licence libre, sans clause non commerciale ou empêchant toute modification de l’œuvre. Voici des exemples de licence qui peuvent être utilisés :

  • GNU FDL – Issue du projet GNU, elle est au départ adaptée aux manuels de logiciels. C’est une licence très permissive ;
  • CC-By – Creative commons – paternité (obligation de nommer l’auteur pour toute redistribution avec ou sans modification) ;
  • CC-By-SA – Creative commons – Paternité – Partage à l’identique (share alike) : toute redistribution doit être partagée sous les mêmes termes de licence ;
  • LAL – Licence Art Libre, conçue comme une adaptation de la GNU GPL au domaine de l’art ;
  • CC-Zéro – il s’agit du versement volontaire de l’œuvre dans le domaine public.

Cette liste n’est pas limitative et nous nous ferons un plaisir de vous accompagner si vous souhaitez discuter de la pertinence de toute autre licence. Le choix de la licence de la part de l’auteur doit être un choix éclairé et mûrement réfléchi. Il entre dans une démarche de partage et en même temps dans un circuit éditorial. Il n’échappe néanmoins pas à la juridiction du droit d’auteur.

– Framasoft, le 15 octobre 2013

Notes

[1] Voir : http://fr.wikipedia.org/wiki/Framasoft#cite_note-32. La collection est coordonnée par Christophe Masutti.

[2] Nous avons également publié un essai qui propose, lui, de se passer complètement du droit d’auteur : J. Smiers, et M. van Schijndel, Un monde sans copyright… et sans monopole.

[3] De manière plus complexe, certains de nos ouvrages sont soumis à plusieurs licences libres : tel l’ouvrage précité « Option Libre » qui est diffusé sous triple licence CC-By-SA 3.0, Licence Art Libre 1.3, GNU FDL 1.3.

[4] Lorsque je souhaite donner un fichier, je fais une copie, ce qui devient du partage : ce principe est évidemment contrarié par la pléthore de dispositifs de surveillance et de protection de la part des ayants droits (type DRM, ou lobbying législatif) qui visent à empêcher le partage pour des raisons plus ou moins défendables.

[5] Il est en effet admis, au moins en Europe, qu’un auteur ne peut décider d’élever de lui-même une œuvre dans le domaine public (un tel acte serait certainement sans valeur juridique et l’auteur ou ses ayants droit pourraient valablement revenir dessus plusieurs années plus tard).

[6] Nous avons récemment rencontré le cas avec la traduction d’un chapitre de l’ouvrage de C. Kelty, tiré de Two Bits. The Cultural Significance of Free Software (http://twobits.net), que nous souhaitions intégrer dans le Framabook Histoires et cultures du Libre. Bien qu’ayant l’accord de l’auteur, son livre étant sous licence CC-BY-NC-SA, c’est l’éditeur seul qui pouvait lever temporairement la clause NC, moyennant une rétribution (certes faible, de l’ordre d’une centaine de dollars), afin que nous puissions inclure ce chapitre dans l’ouvrage destiné à la vente. La clause -SA posait aussi un grave problème pour l’ensemble de l’ouvrage. Nous l’avons donc inclus uniquement dans la version numérique gratuite.

[7] Pour les ouvrages où il n’y a pas de contrat d’auteur, les bénéfices sont reversés à Framasoft et entrent dans le cadre de l’équilibre budgétaire (en principe, lorsque celui-ci peut être atteint).

[8] Framasoft compte trois permanents à ce jour, affectés à la gestion des multiples projets de l’association ainsi qu’à son administration.

[9] C’est par exemple le cas des bandes dessinées GKND pour lesquelles nous avons fixé un objectif de prix (pas au-delà de 12 euros la version imprimée). Ce prix permet à l’auteur de toucher un intéressement, mais ne couvre pas les frais annexes (stockages, frais de port pour les approvisionnements, etc.). Cela peut bien entendu changer si nous empruntons une autre voie plus économique pour la production.

[10] L’essentiel des revenus de l’association étant composé des dons faits à l’association. Les revenus provenant de la vente des ouvrages permet d’avoir à disposition un fonds de roulement permettant d’acheter des stocks d’imprimés.

[11] Voir article L132-1 du CPI : « Le contrat d’édition est le contrat par lequel l’auteur d’une œuvre de l’esprit ou ses ayants droit cèdent à des conditions déterminées à une personne appelée éditeur le droit de fabriquer ou de faire fabriquer en nombre des exemplaires de l’œuvre, à charge pour elle d’en assurer la publication et la diffusion ». Constitue une faute de la part de l’éditeur le fait de n’avoir pas passé un contrat d’édition avec une personne à laquelle il reconnaissait la qualité d’auteur (Paris, 4e chambre, 22 novembre 1990).

[12] R. M. Stallman affirme en effet : « Selon moi, les licences non libres qui permettent le partage sont légitimes pour des œuvres artistiques ou de divertissement. Elles le sont également pour des œuvres qui expriment un point de vue (comme cet article lui-même). Ces œuvres ne sont pas dédiées à une utilisation pratique, donc l’argument concernant le contrôle par l’utilisateur ne s’y applique pas. Ainsi, je ne vois pas d’objection à ce qu’elles soient publiées sous licence CC BY-NC-ND, qui ne permet que la redistribution non commerciale de copies identiques à l’original. »

[13] Dans le même registre, et pour des motifs tout à fait recevables selon l’usage, certaines licences libres – une principalement : la GNU Free Documentation License – permettent d’identifier des passages spécifiques d’une œuvre comme invariants (cela notamment afin d’assurer une plus grande diffusion des textes philosophiques et/ou politiques annexer à une documentation).

[14] Le droit d’auteur se décompose entre droit moral et droit patrimonial : en vertu du droit patrimonial, l’auteur a la possibilité d’exploitation son œuvre (par des contrats de cession telle qu’une licence libre) ; en vertu du droit moral, l’auteur peut limiter certains usages préjudiciables pour son œuvre ou le lien qu’il entretient avec cette dernière.

[15] Ainsi que Joost Smiers et Marieke van Schijndel, op. cit.

[16] Voir : http://noenaute.fr/bonus-13-inspirations-et-digestion/2.




Quand le logiciel libre restaure la dignité

Un article assez vieux que nous avons décidé de traduire car le récit et le témoignage nous semblent intéressants.

Auriez-vous des histoires similaires à nous raconter, dans les bibliothèques ou ailleurs, dans les commentaires ?

Vincent Desjardins - CC by

Est-ce que le logiciel libre restaure la dignité ?

Does Free Software Restore Dignity?

Phil Shapiro – 3 juin 2011 – PCWorld.com
(Traduction : Penguin, benjbubu, baba, GregR, benjbubu, genma + anonymes)

L’autre jour, un lycéen est venu au centre informatique de la bibliothèque publique où je travaille à Takoma Park, dans le Maryland. Je l’ai tout de suite reconnu, parce qu’il vient souvent au centre informatique pour faire ses devoirs. Ce jour-là il avait l’air triste.

« Vous avez un DVD de restauration pour ce portable Sony Vaio ? » m’a-t-il demandé, avec son portable Windows 7, relativement récent, sous son bras.

« Désolé, non », ai-je répondu.

Son ordinateur portable avait besoin d’être restauré, et il avait égaré le DVD de restauration. Il m’a dit que Sony demandait 139$ pour lui envoyer un DVD de restauration. Il n’avait pas ces 139$, ni même ses parents qui travaillent dur. Je ne voulais pas que cet étudiant reparte les mains vides, alors je lui ai dis :

« Si tu veux, j’installerai Linux sur ton ordinateur portable, et tu pourras le faire fonctionner de nouveau comme ça. »

« Cela me va », répondit-il rapidement.

20 minutes plus tard, nous avions installé Linux Mint sur son ordinateur portable et il surfait déjà sur le Web en Wi-Fi avec Firefox. Bien qu’il ait été confronté à ces frais punitifs que demandait Sony, il a trouvé de l’aide dans sa bibliothèque publique locale. Mais je me demande : est-ce que d’autres bibliothèques aident ainsi ses adhérents à installer Linux sur leurs ordinateurs ? Est-ce que ces bibliothèques distribuent des CDs de Linux et/ou des CDs avec OpenOffice ? Peut-être qu’une minorité de bibliothèques publiques le font. Mais en majorité les membres ont peu d’options lorsque Sony réclame 139$ pour un DVD de restauration.

Hmmmm. Je me demande si ces 139$ incluent les frais de préparation et d’expédition Si j’étais Sony, je demanderais 39$ de plus en frais d’expédition. Autant escroquer les gens quand ils sont le plus vulnérables, n’est-ce pas? Un peu comme le fait d’humilier cet étudiant devant ses parents, parce qu’il a égaré ses DVD de restauration.

Dans le même ordre d’idée, la semaine dernière un autre membre de la bibliothèque m’a apporté un portable Pentium III et m’a demandé de le donner à quelqu’un qui pourrait s’en servir. Avec Linux installé, ce portable pourrait encore être utilisé pendant quelques années par un collégien ou un lycéen. Dans une famille où partager un ou deux ordinateurs fixes est une source de conflits, ce portable pourrait diminuer ces tensions. Cela valait assurément le coup pour moi d’installer Linux sur ce portable. J’y installerai Linux Mint LXDE, qui marche parfaitement avec 256MB de mémoire. Et j’y ajouterai TuxTyping, parce que ceux qui auront ce portable pourraient avoir envie d’apprendre la dactylographie 😉

Si vous n’êtes pas sûr que votre bibliothèque municipale distribue des CDs Linux, appelez-les pour demander. Profitez-en pour demander s’ils ne dispensent pas des formations à OpenOffice (maintenant appelé LibreOffice), GIMP, Scribus, ou encore Inkscape, tous d’excellents logiciels libres. Si la bibliothèque municipale n’en a jamais entendu parler, c’est alors peut-être le bon moment pour eux de s’y intéresser.

Sinon, vous pouvez continuer à cracher 139$ à Sony pour de nouveaux DVDs de restauration. La cupidité n’a aucune entrave, tant qu’elle n’est pas enchaînée elle-même. Les seules personnes pouvant le faire : c’est nous. Nous sommes la solution. Vous êtes la solution, si vous le souhaitez.

Lorsque la dignité est refusée, le logiciel libre restaure la dignité.

Crédit photo : Vincent Desjardins – CC by




Le chiffrement, maintenant (7)

Tails : un système live anonyme et amnésique

L’utilisation de « systèmes crypto implémentés proprement » a une courbe d’apprentissage énorme et nécessite des utilisateurs dévoués qui soient prêts à travailler un peu plus pour reprendre le contrôle de leur vie privée. C’est principalement pour cette raison que OTR et PGP ne sont pas largement répandus. Mais même en utilisant ces outils, comment être sûr d’avoir une sécurité « de bout en bout » quand vous ne pouvez pas forcément faire confiance à votre système d’exploitation ou aux autres logiciels que vous utilisez tous les jours ?

La solution consiste à utiliser un système d’exploitation totalement différent composé uniquement de « logiciels de confiance » quand vous avez besoin d’une confidentialité absolue. Tails vous aide à résoudre ce problème.

Tails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d’utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n’importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d’exploitation complet destiné à être utilisé depuis un DVD ou une clef USB indépendamment du système installé sur l’ordinateur. C’est un logiciel libre basé sur Debian GNU/Linux.

Tails est livré avec de nombreuses applications, configurées avec une attention particulière accordée à la sécurité : navigateur web, client de messagerie instantanée, client email, suite bureautique, éditeur d’image et de son, etc.

Tails n’est pas destiné à tout le monde. Il est toujours difficile de le comparer à un système d’exploitation classique. Il est lent, il ne comporte pas tous les logiciels que vous pourriez vouloir. Mais Tails a ces particularités parce qu’il a été conçu spécifiquement pour être plus difficile de compromettre la protection des points d’accès. Si vous êtes dans une situation qui vous fait penser que la NSA ou n’importe quel attaquant potentiel peut vous cibler vous et vos collègues (les journalistes ou les relations des lanceurs d’alarme me viennent à l’esprit), c’est l’un des meilleurs outils disponibles.

Comme Tails n’est pas pratique pour une utilisation quotidienne de l’ordinateur, c’est une bonne idée de s’habituer à utiliser OTR et PGP sur votre système d’exploitation principal autant que possible. Tails n’aide pas à adoucir les effets de la surveillance en elle-même, mais chiffrer autant que possible les actions quotidiennes le permettra.

À chaque fois que vous lancez Tails, vous démarrez sur un système propre. Tout ce que vous avez fait lors de vos précédentes sessions sur Tails est effacé et vous repartez de l’état initial. Ce qui signifie que si vous avez été infecté par un malware en utilisant Tails, celui-ci aura disparu à votre prochaine connexion.

Vous pouvez commencer à utiliser Tails en téléchargeant l’image ISO et en la gravant sur un DVD. Vous devez alors démarrer sur le DVD. Cette étape dépend de votre modèle d’ordinateur, mais nécessite généralement d’entrer dans le BIOS et de changer l’ordre de démarrage de votre ordinateur de façon à ce qu’il tente de démarrer sur le DVD avant d’essayer sur votre disque dur. Sur les nouveaux PC, vous devrez peut-être désactiver le « secure boot » de l’UEFI : il s’agit du crypto utilisé pour être sûr que votre ordinateur ne va démarrer que sur une version de Windows signée numériquement (ce qui, en fait, rend le démarrage sur un système d’exploitation non-Windowsien plus difficile). Le site web de Tails propose davantage d’informations sur les outils de démarrage sur un DVD ou une clé USB.

Après avoir démarré sur le DVD, vous avez la possibilité d’installer Tails sur une clé USB. C’est particulièrement utile car cela permet de configurer un volume persistant, c’est à dire une partie de votre clé USB chiffrée pour stocker vos données. Malgré le retour à un espace propre à chaque démarrage, il est important de pouvoir accéder à vos clés OTR et PGP, vos configurations Claws mail (voir plus bas) et Pidgin ainsi que les documents sur lesquels vous travaillez. Votre volume persistant vous permet tout ceci.

PGP et courriels sur Tails

Je parlais de l’utilisation de Thunderbird avec l’add-on Enigmail pour accéder à vos courriels et utiliser PGP. Cependant, ce logiciel n’est pas fourni avec Tails. Tails est livré avec Claws Mail qui comprend un plug-in PGP.

Au lieu d’utiliser l’interface graphique utilisateur du gestionnaire de clé d’Enigmail pour importer, exporter, générer et voir le détail des clés signées, vous pouvez cliquer sur l’icône du presse-papiers en haut à droite de l’écran et choisir le gestionnaire de clés pour ouvrir SeaHorse, qui propose ces mêmes fonctions.

Procédure

Pour commencer à avoir un espace de communication privé avec vos amis et collègues, et disposant d’un haut niveau de sécurité des points d’accès, voici les étapes à suivre.

  • Rencontrez vos amis en face à face. Chacun devra apporter son propre PC portable ou clé USB.
  • Téléchargez et gravez un DVD de Tails, puis démarrez dessus et créez une clé USB pour chaque personne.
  • Quand tout le monde a sa clé USB Tails, chacun doit démarrer dessus sur son propre PC et configurer un volume persistant. Une fois que ce volume est chiffré, chacun peut générer sa propre phrase de passe sécurisée qu’il devra entrer à chaque démarrage sur Tails, avant de redémarrer sur son PC avec Tails et cette fois monter le volume persistant.
  • Chacun crée alors un nouveau pseudo pour compte Jabber. L’une des solutions est d’aller sur https://register.jabber.org depuis iceweasel. Comme Tails fait transiter les échanges internet via Tor, cela permet bien de créer un compte jabber anonyme.
  • Chacun ouvre alors Pidgin et le configure en utilisant ce nouveau compte Jabber et crée une nouvelle clé OTR. Chacun ajoute les autres dans sa liste d’amis et démarre une session OTR avec les autres. Une fois que tout le monde est dans la même discussion, c’est le moment idéal pour comparer les empreintes et vérifier l’identité de chaque personne afin de pouvoir communiquer de façon sécurisée via internet à l’avenir.
  • Chacun devrait se créer une nouvelle adresse de courriel de la même façon. Certains fournisseurs de courriels, comme Gmail, rendent difficile la création de nouveaux comptes en utilisant Tor et en restant anonyme. Dans ce cas, utilisez un autre fournisseur de courriels. Assurez-vous que celui-ci supporte IMAP (de façon à pouvoir utiliser un client de messagerie courriel) à travers un SSL (pour que votre client de messagerie utilise une communication chiffré avec le serveur courriel). Si vous choisissez tous le même fournisseur de courriels, envoyer des courriels entre les comptes ne devrait jamais quitter le serveur, ce qui réduit les métadonnées disponibles relatives à votre utilisation du courrier électronique pour ceux qui surveillent internet.
  • Chacun devra générer une nouvelle clé PGP pour son adresse de courriel. comme pour le chiffrage du disque, il est important de choisir une phrase de passe complexe au moment de cette génération de clé PGP.
  • Le client de messagerie compatible PGP livré avec Tails s’apelle Claws Mail. Chacun doit configurer Claws Mail pour utiliser sa nouvelle adresse courriel, et envoyer une copie de sa clé publique aux autres personnes présentes dans votre réunion. Puis chacun devra importer la clé publique des autres dans son propre trousseau de clé, puis vérifier manuellement l’empreinte PGP. Ne sautez pas cette étape. Finalement, chacun devra avoir un trousseau de clé contenant les clés signées de tous les autres.

Si quelqu’un de malveillant vole physiquement votre clé USB Tails, la modifie et vous la rend, il peut compromettre toute la sécurité de Tails. C’est pour cela qu’il est très important de toujours garder votre clé USB avec vous.

Si le directeur de la CIA David Petraeus (général 4 étoiles à la retraite) et sa biographe Paula Broadwell avaient décidé d’utiliser Tails, OTR et PGP, leur liaison extra-conjugale serait sans doute restée secrète.

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.




Comment la NSA déploie des logiciels malveillants

Nouvelles révélations, nouvelles précautions

Nous reprenons ici l’article récemment publié par KoS, il s’agit de la traduction française de l’article de l’Electronic Frontier Foundation : How The NSA Deploys Malware: An In-Depth Look at the New Revelations par : Sphinx, KoS, Scailyna, Paul, Framatophe et 2 auteurs anonymes

– – – – – –

Nous avons longtemps suspecté que la NSA, la plus grande agence d’espionnage du monde, était plutôt douée pour pénétrer les ordinateurs. Désormais, grâce à un article de Bruce Schneier, expert en sécurité qui travaille avec The Guardian sur les documents de Snowden, nous avons une vision bien plus détaillée de la manière dont la NSA utilise des failles pour infecter les ordinateurs d’utilisateurs ciblés.

La méthode utilisée par la NSA pour attaquer les gens avec des logiciels malveillants est largement utilisée par les criminels et les fraudeurs ainsi que par les agences de renseignement, il est donc important de comprendre et de se défendre contre cette menace pour éviter d’être victime de cette pléthore d’attaquants.

Comment fonctionnent les logiciels malveillants exactement ?

Déployer un logiciel malveillant via le Web nécessite généralement deux étapes. Premièrement, en tant qu’attaquant, vous devez attirer votre victime sur un site web que vous contrôlez. Deuxièmement, vous devez installer un logiciel sur l’ordinateur de la victime pour prendre le contrôle de sa machine. Cette formule n’est pas universelle, mais c’est souvent ainsi que les attaques sont exécutées.

Pour mener à bien la première étape, qui consiste à amener un utilisateur à visiter un site sous le contrôle de l’attaquant, ce dernier peut envoyer à la victime un courriel avec un lien vers le site web concerné : c’est ce que l’on appelle une attaque par hameçonnage (phishing). La NSA aurait parfois eu recours à ce type d’attaque, mais nous savons à présent que cette étape était généralement accomplie via une méthode dite de « l’homme du milieu » (man-in-the-middle)¹. La NSA contrôle un ensemble de serveurs dont le nom de code est « Quantum », situés sur les dorsales Internet et ces serveurs sont utilisés pour rediriger les cibles vers d’autres serveurs contrôlés par la NSA et chargés d’injecter le code malveillant.

Dans ce cas, si un utilisateur ciblé visite, par exemple, le site yahoo.com, son navigateur affichera la page d’accueil ordinaire de Yahoo! mais sera en réalité en communication avec un serveur contrôlé par la NSA. La version malveillante du site web de Yahoo! demandera au navigateur de l’utilisateur d’adresser une requête à un autre serveur contrôlé par la NSA et chargé de diffuser le code néfaste.

Quand un utilisateur ciblé visite un site web mal intentionné, quels moyens l’attaquant utilise-t-il pour infecter l’ordinateur de la victime ? Le moyen le plus direct est probablement d’amener l’utilisateur à télécharger et à exécuter un logiciel. Une publicité intelligemment conçue s’affichant dans une fenêtre pop-up peut convaincre un utilisateur de télécharger et d’installer le logiciel malveillant de l’attaquant.

Toutefois, cette méthode ne fonctionne pas toujours et repose sur une initiative de l’utilisateur visé, qui doit télécharger et installer le logiciel. Les attaquants peuvent choisir plutôt d’exploiter des vulnérabilités du navigateur de la victime pour accéder à son ordinateur. Lorsqu’un navigateur charge une page d’un site, il exécute des tâches telles que l’analyse du texte envoyé par le serveur et il arrive souvent qu’il charge des greffons (plugins) tels que Flash pour l’exécution de code envoyé par le serveur, sans parler du code JavaScript que peut aussi lui envoyer le serveur. Or, les navigateurs, toujours plus complexes à mesure que le web s’enrichit en fonctionnalités, ne sont pas parfaits. Comme tous les logiciels, ils ont des bogues, et parfois ces bogues sont à la source de vulnérabilités exploitables par un attaquant pour prendre le contrôle d’un ordinateur sans que la victime ait autre chose à faire que visiter un site web particulier. En général, lorsque les éditeurs de navigateurs découvrent des vulnérabilités, ils les corrigent, mais un utilisateur utilise parfois une version périmée du navigateur, toujours exposée à une attaque connue publiquement. Il arrive aussi que des vulnérabilités soient uniquement connues de l’attaquant et non de l’éditeur du navigateur ; ce type de vulnérabilité est appelée vulnérabilité zero-day.

La NSA dispose d’un ensemble de serveurs sur l’internet public désignés sous le nom de code « FoxAcid », dont le but est de déployer du code malveillant. Une fois que des serveurs Quantum ont redirigé une cible vers une URL spécialement forgée et hébergée sur un serveur FoxAcid, un logiciel installé sur ce serveur se sert d’une boîte à outils d’exploitation de failles pour accéder à l’ordinateur de l’utilisateur. Cette boîte à outils couvre vraisemblablement des vulnérabilités connues, utilisables contre des logiciels périmés, et des vulnérabilités zero-day, en règle générale réservées à des cibles de haute valeur ². Nos sources indiquent que l’agence utilise ensuite ce code malveillant initial pour installer d’autres logiciels à le plus long terme.

Quand un attaquant réussit à infecter une victime avec du code malveillant, il dispose d’ordinaire d’un accès complet à l’ordinateur de cette dernière : il peut enregistrer les saisies du clavier (qui peuvent révéler mots de passe et autres informations sensibles), mettre en route la webcam ou lire n’importe quelle donnée conservée sur cet ordinateur.

Que peuvent faire les utilisateurs pour se protéger ?

Nous espérons que ces révélations pousseront les éditeurs de navigateurs à agir, que ce soit pour renforcer leurs logiciels contre les failles de sécurité ou pour tenter de détecter et de bloquer les URL utilisées par les serveurs FoxAcid.

Entre-temps, les utilisateurs soucieux de leur sécurité s’efforceront de suivre des pratiques de nature à assurer leur sécurité en ligne. Gardez toujours vos logiciels à jour, en particulier les greffons des navigateurs tels que Flash, qui nécessitent des mises à jour manuelles. Assurez-vous de bien faire la différence entre les mises à jour légitimes et les avertissements sous forme de pop-ups qui se font passer pour des mises à jour. Ne cliquez jamais sur un lien suspect dans un courriel.

Les utilisateurs qui souhaitent aller un pas plus loin — selon nous, tout le monde devrait se sentir concerné —, utiliseront l’activation en un clic de greffons Flash ou Java de manière à ce que ces derniers ne soient exécutés sur une page web qu’à la condition que l’utilisateur l’approuve. Pour Chromium et Chrome, cette option est disponible dans Paramètres => Afficher les paramètres avancés => Confidentialité => Paramètres du contenu => Plug-ins.

La même chose peut être faite pour Firefox à l’aide d’une extension comme Click to Play per-element. Les greffons peuvent également être désactivés ou complètement désinstallés. Les utilisateurs devraient également utiliser un bloqueur de publicité afin d’empêcher les requêtes superflues du navigateur destinées aux publicitaires et aux pisteurs du web. Ils devraient en outre utiliser l’extension HTTPS Everywhere afin d’utiliser le chiffrement des connexions associées à HTTPS sur le plus de sites possibles.

Si vous êtes un utilisateur prêt à supporter quelques désagréments au bénéfice d’une navigation plus sûre, regardez du côté de NotScripts (Chrome) ou de NoScript (Firefox), qui permettent de limiter l’exécution des scripts. Cela signifie qu’il vous sera nécessaire d’autoriser par un clic l’exécution des scripts un à un. JavaScript étant très répandu, attendez-vous à devoir cliquer très souvent. Les utilisateurs de Firefox peuvent s’orienter vers une autre extension utile, RequestPolicy, qui bloque le chargement par défaut des ressources tierces sur une page. Ici aussi, votre navigation ordinaire pourrait être perturbée car les ressources tierces sont très utilisées.

Enfin, pour les plus paranoïaques, HTTP Nowhere permettra de désactiver l’ensemble du trafic HTTP, avec pour conséquence que votre navigation sera entièrement chiffrée et, par la même occasion, limitée aux seuls sites offrant une connexion HTTPS.

Conclusion

Le système de la NSA pour déployer les logiciels malveillants n’a rien de particulièrement novateur, mais avoir un aperçu de la façon dont il opère devrait aider les utilisateurs et les éditeurs de logiciels et de navigateurs à mieux se défendre contre ces types d’attaques, et contribuer à une meilleure protection de tous contre les criminels, les agences de renseignement et une pléthore d’autres attaquants. C’est pourquoi nous jugeons vital que la NSA soit transparente quant à ses capacités et aux failles ordinaires de sécurité auxquelles nous sommes exposés — notre sécurité en ligne en dépend.


1. Le terme « homme du milieu » est parfois réservé aux attaques sur les connexions sécurisées par cryptographie, par exemple au moyen d’un certificat SSL frauduleux. Dans cet article, toutefois, on entend plus généralement toute attaque où l’attaquant s’interpose entre un site et la victime.
2. D’après l’article de The Guardian, « Les exploits les plus précieux sont réservés aux cibles les plus importantes ».