Addictions en série

Gouvernements européens, il est temps de chasser le colon Microsoft

Une enquête réalisée par un consortium de neuf journalistes européens met à jour les risques qui dérivent de la dépendance des gouvernements à Microsoft — aucun n’est indemne…

Même si çà et là des efforts sont notés pour migrer vers des solutions open source voire libres, l’adversaire est impitoyable et utilise un arsenal bien rodé.

Combien faudra-t-il encore de telles enquêtes pour provoquer une prise de conscience et pour que les décisions nécessaires soient prises et mises en œuvre ?

 

Traducteurs : PasDePanique, Paul, dominix, Asta, Luc, MO, lyn., Jérochat, simon, LP, Opsylac, Paul, Hello, Mika + 5 anonymes

L’addiction de l’Europe à Microsoft, un énorme risque pour la sécurité

Nous vous proposons ici une traduction de l’article paru dans Der Tagesspiegel, qui correspond à une partie de l’enquête menée par neuf journalistes européens dans leurs pays respectifs sur les relations entre Microsoft et les institutions publiques, chacun traitant de la situation particulière dans son pays (voir les différents articles déjà publiés ici). L’hebdomadaire Marianne a publié l’article de de Leila Minano dans son édition du 19 mai sur la situation française, intitulé Microsoft : menace sur la sécurité de l’État.

Le 13 mai 2017

par Crina Boros, Wojciech Ciesla, Elisa Simantke, Ingeborg Eliassen, Leila Minano, Nikolas Leontopoulos, Maria Maggiore, Paulo Pena et Harald Schumann

Le Parlement européen de Strasbourg – Photo par Frédéric Chateaux (CC BY-SA 2.0)

 

Le 12 mai 2017, des hackeurs ont frappé plus d’une centaine de pays à l’aide d’un outil volé à la NSA, en ciblant des vulnérabilités des logiciels Microsoft. Les attaques ont infecté uniquement des appareils fonctionnant avec le système d’exploitation Windows. Parmi les victimes, on compte plusieurs organismes publics, par exemple les hôpitaux du NHS (National Health Service, Service national de santé) au Royaume-Uni. Investigate Europe a passé des mois à enquêter sur l’extrême dépendance des pays européens envers Microsoft et les risques que cela implique pour la sécurité. Lisez notre enquête complète.

Nota bene : cet article est une traduction de la version anglaise d’un billet d’Investigate Europe publiée le 13 mai 2017. Pour savoir dans quelles publications de presse, pays et langues le billet est disponible, veuillez consulter cette page.

En général, lorsque le conseil municipal de Munich se réunit, ça n’intéresse pas grand-monde en dehors du périmètre de la ville. Mais en ce jour de février, tout est différent. Dans le grand hall du magnifique hôtel de ville néogothique, tous les sièges réservés à la presse et aux spectateurs sont occupés. Ceux qui n’ont pas trouvé de place se tiennent debout dans les allées. Des membres du conseil rapportent qu’ils ont reçu des courriels et des demandes de médias en provenance de toute l’Allemagne et de toute l’Europe.

Et pourtant l’événement semble purement technique. Pendant dix ans, des experts ont travaillé à migrer le système informatique de la ville vers des logiciels libres et ouverts. Les coûteux logiciels de l’entreprise américaine Microsoft ne sont désormais plus utilisés qu’exceptionnellement. Cela n’a pas seulement permis à la ville d’économiser plusieurs millions d’euros de frais de licences, mais a aussi rendu le système plus sûr – « un franc succès », ainsi que l’annonçaient en 2014 les responsables politiques de la ville. Mais, aujourd’hui, le maire, Dieter Reiter, et sa grande coalition rassemblant le Parti Social-Démocrate (SPD), de centre-gauche, et l’Union Chrétienne Sociale (CSU), de centre-droit, souhaitent ramener chez Microsoft les 24 000 ordinateurs de la ville.

Les débats sont animés. M Reiter et ses sympathisants ne réussissent pas à donner d’arguments convaincants – ni à dire combien pourrait coûter la transition. La décision est donc reportée. Le chef du groupe parlementaire des Verts, Florian Roth, est agacé : « Cela ne semble être rien de plus qu’un jeu de pouvoir politique, dit-il, mais un jeu à haut risque ». Il ajoute en guise d’avertissement : « Voulons-nous vraiment rendre notre administration éternellement dépendante du monopole de l’américain Microsoft ? »

Dans toute l’Europe, les systèmes informatiques des administrations publiques reposent sur les programmes de Microsoft

Le problème n’est absolument pas exagéré et ne se limite pas à Munich. Dans l’Europe entière, de la Finlande au Portugal, de l’Irlande à la Grèce, les technologies informatiques dans les administrations publiques reposent sur les programmes de l’éditeur de logiciels états-unien. Et puisque les systèmes numériques continuent à grandir et à prendre de plus en plus d’importance, les États deviennent de plus en plus dépendants de cette unique entreprise. La Commission européenne a même admis qu’elle était « concrètement captive de Microsoft ».

Quelles sont les conséquences de ce lock-in, comme on l’appelle dans le jargon technique, qui nous attache à un seul fournisseur ? Et comment les gouvernements peuvent-ils gérer cela ? L’équipe de journalistes d’Investigate Europe s’est lancée pendant trois mois dans une mission d’exploration pour établir des faits et interviewer des économistes, des responsables informatiques, des experts en sécurité et des politiciens dans douze pays européens, ainsi qu’à la Commission et au Parlement européens. Les résultats sont inquiétants.

La dépendance des États envers Microsoft :

  • engendre des coûts en hausse constante et bloque le progrès technique au sein des autorités publiques ;
  • contourne systématiquement les lois européennes en matière de passation des marchés et de règles de concurrence ;
  • introduit une influence politique étouffante de la part de cette entreprise ;
  • crée pour les systèmes informatiques étatiques, ainsi que pour les données de leurs citoyens, un grand risque technique et de sécurité politique.

Microsoft n’a souhaité répondre à aucune des questions d’Investigate Europe sur ces sujets. Et les personnels qui travaillent au sein des services informatiques des administrations savent pourquoi.

« De nombreuses administrations publiques sont tellement dépendantes de cet unique fournisseur qu’elles n’ont plus aucune liberté quand il s’agit de choisir un logiciel. Cela signifie que les États européens risquent de perdre le contrôle sur leurs propres infrastructures informatiques », avertit l’ingénieur informaticien et avocat Martin Schallbruch. Jusqu’à 2016, il était directeur du département des nouvelles technologies et de la cybersécurité au ministère de l’Intérieur fédéral allemand. Schallbruch n’est que trop familier de cette situation précaire. Si on voulait écarter ce danger et « basculer vers une architecture numérique indépendante, cela demanderait d’énormes investissements », déclare ce responsable informatique expérimenté, qui mène désormais des recherches au sein de l’école de commerce de Berlin ESMT.

Le problème n’est pas seulement grave, il est aussi complexe. Au cœur des enjeux se trouve le modèle économique de Microsoft. Le géant des logiciels, basé à Redmond dans l’État de Washington aux États-Unis, vend ses logiciels, en particulier le système d’exploitation Windows et les programmes de bureautique tels que Word, Excel, Powerpoint et Outlook, en tant que produits sous licence. Dans le métier, on qualifie ce type de logiciel de « propriétaire », ce qui signifie qu’il interdit à tout concurrent d’utiliser ses propres logiciels pour interpréter correctement les données encodées par les programmes de Microsoft. Concrètement, ce seront, par exemple, des titres, des tableaux ou des dates dont les données de mise en forme ou en page seront modifiées ou perdues.

C’est là la clé du monopole global de Microsoft – un business de rêve aussi ! Année après année, ce sont ainsi quelques 50 milliards de dollars que la multinationale empoche sous la forme de redevances de licences qui ne couvrent rien d’autre que la distribution de copies de ses programmes. Et parce que vos collègues, vos relations commerciales ou personnelles utilisent des fichiers Microsoft, cela paraît logique de faire de même, même si cela engage des frais, encore et toujours. La plupart des utilisateurs d’ordinateurs Apple, eux aussi, continuent d’acheter la suite Microsoft Office.

Les autorités administratives à la merci de Microsoft

Les administrateurs des services informatiques de l’État sont parfaitement avertis de cet état de fait. Cette monoculture présente de sérieux désavantages. Dans d’autres secteurs, le développement logiciel adhère depuis longtemps à un principe complètement différent. Google ou Siemens, par exemple, travaillent en priorité avec des programmes dits open source, en d’autres termes des programmes dont le code est partagé librement. Dans ce cadre, n’importe quel programmeur ou entreprise peut utiliser le code, à la condition que le dernier arrivé mette chaque amélioration qu’il apporte au code à la disposition de tous. Cela signifie que les entreprises ne peuvent pas gagner d’argent en vendant ce genre de logiciel. Mais, dans le même temps, elles bénéficient du travail des programmeurs du monde entier sans avoir à les rémunérer.

Quels que soient les produits, de la centrale électrique à l’appareil de radiographie, Siemens a besoin d’un ensemble étendu de logiciels. « Or, 90 % d’entre eux réalisent des tâches de pure routine », explique Karsten Gerloff, informaticien du service concerné au sein de l’entreprise. « Pour cela, nous utilisons bien sûr des solutions open source ». L’entreprise utilise du « code propriétaire » uniquement pour des fonctionnalités précises, propres aux machines de Siemens. Si tous les logiciels devaient être mis au point par des équipes de l’entreprise, « ce sont 1 000 programmeurs de plus que nous devrions employer et nous ne serions plus compétitifs », indique M. Gerloff.

Le recours à la créativité d’une masse de cerveaux de par le monde engendre une dynamique bien plus forte que celui qui serait restreint aux seuls cerveaux d’une entreprise. C’est pourquoi « l’open source est maintenant la norme dans le domaine scientifique et économique » pour Matthias Kirschner, président de la Free Software Foundation Europe (FSFE), qui plaide pour une plus grande autonomie dans l’usage des technologies de l’information. Cela s’applique autant aux smartphones qu’aux superordinateurs, systèmes de commande des machines ou serveurs web. L’ancien modèle du monopole ne concerne plus que les logiciels d’ordinateurs de bureau et les suites bureautiques.

Il n’en reste pas moins que les administrations publiques s’appuient toujours sur ce vieux monopole, et pas uniquement pour la bureautique. Il existe des milliers d’applications dont seules les autorités ont l’usage. Qu’il s’agisse d’augmenter les impôts, de payer les retraites ou de calculer le coût de la collecte des déchets, que ce soit dans la police, à la sécurité sociale ou dans les services de l’urbanisme, pour quasiment chaque service que rend l’État, il existe un logiciel opérationnel spécifiquement conçu pour cette tâche. Or, parce que le système d’exploitation Windows est utilisé partout, la plupart de ces « applications spécifiques » reposent sur ce système, mettant les autorités à la merci de son éditeur.

On a vu jusqu’où cela pouvait aller quand, à la fin de l’année 2014, Microsoft a cessé de fournir des mises à jour de sécurité pour Windows XP. Du jour au lendemain, des services publics partout en Europe se sont vus contraints de souscrire des contrats de service onéreux avec Microsoft afin de s’assurer que l’entreprise continuerait de colmater les failles de sécurité de son vieux système d’exploitation. Le gouvernement britannique a ainsi déboursé 6,5 millions de livres afin de disposer d’une année supplémentaire pour migrer ses ordinateurs vers Windows 7. Les Pays-Bas, ainsi que les länder allemands de Basse-Saxe et de Berlin, ont, eux aussi, payé plusieurs millions d’euros pour disposer d’un délai. « Il s’est passé la même chose dans toute l’Europe », confirme un expert de la Commission européenne. Et cela risque de se reproduire, vu que dans trois ans, c’en sera terminé des mises à jour de Windows 7.

La Commission européenne n’écoute pas ses propres experts

Dans le même temps, les États prennent du retard à cause du verrouillage de Microsoft. « Il n’existe pas de preuves formelles de ceci actuellement, mais il est logique de supposer que la dépendance envers un fournisseur unique ralentit le progrès technique dans le secteur public », prévient Dietmar Harhoff, directeur de l’institut Max-Planck pour l’innovation et la concurrence à Munich. Par exemple, si les municipalités pouvaient développer leurs centaines d’applications dédiées sur la base de programmes open source, chaque innovation pourrait être immédiatement utilisée par les services d’autres villes sans coût supplémentaire. « Ce potentiel est énorme pour le secteur public », selon D. Harhoff.

Dès 2012, la Commission européenne avait, par conséquent, lancé un programme au nom évocateur : « Contre le verrouillage ». L’idée était que les futurs appels d’offres publics portant sur l’achat de technologies informatiques et de logiciels ne comporteraient plus la mention explicite de noms d’entreprises et de technologies « propriétaires » de ces dernières. À la place, les administrations publiques devaient s’astreindre à demander le recours à des « normes ouvertes » accessibles à l’ensemble des fabricants et éditeurs logiciels. Ce faisant, le monopole de Microsoft disparaîtrait au fil du temps dans la mesure où les problèmes de compatibilité ne se poseraient plus : les fichiers pourraient être lus par des logiciels concurrents, et cela sans perte de données. Si tous les services administratifs publics utilisaient les mêmes formats ouverts, on économiserait le prix des licences. « Les normes ouvertes créent de la concurrence, mènent à l’innovation et font économiser de l’argent », expliquait la commissaire à la Concurrence d’alors, Nellie Kroes. Selon ses experts, « le manque de concurrence » dans le secteur informatique et télécoms « coûte à lui seul 1,1 milliards d’euros par an au secteur public ».

Mais l’inertie des bureaucrates de l’État a eu raison des bonnes intentions, et l’initiative n’a abouti à rien. Pourtant, la législation européenne définit désormais des règles précises. Les administrations publiques nationales sont tenues de passer par des appels d’offres européens pour toute commande dont le montant excède 135 000 euros. Pour les autres organismes publics, cette règle s’applique pour des montants supérieurs à 209 000 euros. Quand ils achètent des logiciels standards pour leurs administrations, les gouvernements des États membres, comme un seul homme, passent outre la loi en vigueur et privilégient le fournisseur habituel Microsoft.

La mise en concurrence remplacée par de curieuses procédures

Une curieuse façon de procéder. Sans passer d’appel d’offres publics, les administrations négocient des réductions avec l’entreprise états-unienne et concluent des contrats-cadres sur cette base. Tous les groupements publics peuvent ensuite en profiter. Dans les offres ultérieures, ils cherchent uniquement des revendeurs qui leur vendront des licences Microsoft selon ces conditions. Il n’y a de facto aucune concurrence pour ces contrats publics.

En Allemagne aussi. En 2015, le ministère de l’Intérieur a convenu de nouvelles « conditions contractuelles » avec la filiale irlandaise de Microsoft, d’où la firme conduit ses affaires européennes pour optimiser ses impôts. Les rabais identifiés dans le nouvel accord peuvent être utilisés par tous les pouvoirs publics, du ministère fédéral jusqu’à la petite municipalité. La ville de Dortmund a ainsi passé un appel d’offres, par exemple pour trouver un « distributeur pour le contrat BMI de licences Microsoft en volume ».

« C’est comme si l’État publiait une offre pour acheter des voitures, mais uniquement de revendeurs Volkswagen », se moque l’avocat néerlandais Matthieu Paapst, dont le doctorat à l’Université de Groningen a porté sur l’achat de logiciels dans le secteur public. Sa conclusion : « Se fournir en produits Microsoft, pour une administration publique, sans passer d’appel d’offres ouverts, viole la législation européenne en vigueur ». En vérité, selon l’avocat, la Commission européenne devrait engager des poursuites contre ce phénomène. L’unique raison pour laquelle elle s’en garde bien, c’est qu’elle n’applique pas elle-même les recommandations.

En effet, la Commission européenne a un contrat exclusif avec Microsoft, valable pour toutes les institutions de l’UE – elle ignore de ce fait les recommandations de ses propres experts. C’est aussi « parfaitement légal » se défend Gertrud Ingestad, qui est responsable de la Direction générale pour l’Informatique (DG Digit), dans une interview à Investigate Europe. Il n’y aurait « pas d’autres possibilités » de garantir la continuité du travail de l’Union européenne. Et, dans ce cas, la législation permet explicitement le recours à une « procédure de négociation » non publique. Mais ce n’est pas exact : cette exception est explicitement valable « seulement quand il n’existe pas d’alternative raisonnable ou de solution de remplacement », selon l’article 32 du livret de recommandations de l’UE. Et c’est justement ce que la Directrice générale G. Ingestad et ses collègues ne peuvent pas prouver. Il existe des alternatives viables.

Le général italien Camillo Sileo, par exemple, a beaucoup à dire sur ce sujet. Ce militaire, qui travaille au ministère de la Défense, à Rome, reçoit dans une petite bibliothèque. Là, un sourire aux lèvres, d’une voix douce, il parle de son projet comme d’une affaire mineure. Pourtant, il est à la tête d’une opération peu commune, voire révolutionnaire, l’opération «Libre Défense ». Son objectif est de migrer les quelques 100 000 ordinateurs de l’armée italienne vers des logiciels open source. « Nous avons constaté que les deux types de logiciels sont capables de satisfaire de la même façon nos besoins », explique le général. « Voyez par vous-même », dit-il en montrant à l’écran la première page d’une étude récente du ministère. « Ici, vous avez un fichier Microsoft Word », dit-il avant de cliquer, « Et, ici, la version open source LibreOffice. Le logo, le titre, la structure, tout est là. Aucune différence, » dit-il, radieux. «La migration permettra une économie de 28 millions d’euros d’ici 2020 », a prévu le général. Par temps de crise en Italie, l’armée, elle aussi, doit faire des économies.

Le fait est que si la migration s’est déroulée sans accroc jusqu’ici, c’est grâce à une solide planification, selon le général. Le logiciel libre de remplacement peut satisfaire tous les besoins, mais il se manipule différemment et les utilisateurs doivent donc être formés. Pour cela, des volontaires de l’association « LibreItalia » ont formé des personnels de tous les services de l’armée devenus à leur tour formateurs et conseillers pour former leurs collègues. Ainsi, il y aura bientôt assez d’experts dans tous les services de l’armée. « Bien communiquer est un préalable à la réussite du projet », précise le général Sileo. « Si les gens comprennent l’objectif du changement, ils sont capables de surmonter toutes leurs résistances mentales ». Il n’a pas encore été décidé si l’armée migrera aussi son système d’exploitation un jour,  pour être totalement indépendante de Microsoft, mais la question sera examinée de très près », accorde le général Sileo.

La gendarmerie nationale française, l’une des deux forces de police nationales, a déjà mené à bien une opération de migration démarrée dès 2005. Aujourd’hui, 72 000 ordinateurs de la gendarmerie nationale sont équipés d’une version particularisée du système d’exploitation Linux, avec LibreOffice comme application principale. La gendarmerie affirme que l’économie réalisée depuis le début du projet s’élevait en 2014 à quelques 20 millions d’euros. Précisons que jusqu’à cette année-là, la migration s’était déroulée pratiquement dans le secret. « La migration vers Linux pourrait  être vue par Microsoft comme une menace de son monopole », peut-on lire dans une note interne obtenue par Investigate Europe. Cela aurait pu « déclencher des actions visant à discréditer cette politique de la gendarmerie ». C’est pour cette raison que la migration s’est effectuée « sans publicité » jusqu’au moment où le processus est devenu irréversible.

Les institutions mettent la pression sur ceux qui se désengagent

Ces précautions étaient fondées. Encore aujourd’hui, 12 ans après le lancement du projet, la direction de la gendarmerie est sous « pression permanente » pour faire marche arrière, rapporte un membre de l’équipe du département Informatique et Télécom du ministère de l’Intérieur à Paris, qui ne souhaite pas être nommé de peur de représailles. « Chaque jour de fonctionnement du système est une gifle pour notre administration qui maintient que seul Microsoft fonctionne correctement » dit-il.

Le bras de fer entre le ministère de tutelle et les partisans de Linux au sein de la gendarmerie est confirmé par une lettre du ministre, d’avril 2016, qu’Investigate Europe a eue entre les mains. Dans cette lettre, le ministre demande aux fonctionnaires responsables de la gendarmerie un retour définitif et intégral à Windows – prescription dont la direction de la police n’a pas tenu compte jusqu’à présent. Interrogé sur la question, un porte-parole faisait savoir « avec regret » qu’il était dans « l’incapacité de fournir une explication ». En parallèle, cependant, il écrivait de façon clairement subversive que la migration vers le logiciel libre « se passait en douceur et pour longtemps ». « Nous avons choisi Linux parce que le rapport coût/bénéfice est meilleur et, au final, nous gagnons en indépendance».

Ce conflit est caractéristique de ce que vivent partout les pionniers d’une émancipation vis-à-vis du monopole. Partout en Europe, il y a eu et il y a des centaines d’administrations et de municipalités qui ont migré ou tentent de migrer vers des logiciels open source : que ce soit l’administration des retraites de l’État en Suède, les écoles de Jaworzno en Pologne, les services municipaux de la ville de Rome, l’arrondissement de Camden à Londres, la grande ville de Nantes en France, le gouvernement de la communauté autonome d’Estrémadure en Espagne ou encore la ville de Vieira do Minho au Portugal. Ces projets sont à ce jour autant d’îlots perdus dans l’océan Microsoft. Pour cette raison, nombreux sont ceux qui subissent régulièrement des pressions pour rentrer dans le rang, parce que les produits et les lobbyistes de Microsoft sont omniprésents et peuvent créer de nouveaux ennuis.

Des lobbyistes à l’œuvre au sein des ministères

Dans le différend concernant l’administration municipale de Munich, ce qui se passe en coulisses est aussi un élément à prendre en considération. Dans cette ville, le maire centre-gauche SPD a besoin des voix du centre-droit CSU. Or, ce dernier est étroitement lié à l’entreprise étasunienne. Dorothee Belz, par exemple, vice-présidente chez Microsoft Europe jusqu’en 2015, fait partie du comité exécutif du conseil économique du parti conservateur.

Des épisodes identiques « d’allers-retours » se constatent partout en Europe. En Italie, un ancien directeur chez Microsoft pilote aujourd’hui la « transformation numérique » des affaires de la ville de Milan. Au Portugal, c’est un cadre de Microsoft qui a organisé la campagne pour l’élection du président conservateur. Plus de six cadres et directeurs ont des liens étroits avec des ministres et des politiciens. Dans le même temps, des techniciens de Microsoft travaillent directement dans les services informatiques des administrations. Au moins cinq d’entre eux possèdent une adresse électronique qui les identifie comme s’ils faisaient partie du personnel administratif, ce qui leur permet de « faire leur travail de lobbying pour Microsoft à l’intérieur de l’administration », affirme un fonctionnaire à Investigate Europe. En Allemagne aussi, l’accès aux ordinateurs du gouvernement est largement ouvert. Il existe plusieurs milliers d’experts dans les centres informatiques du gouvernement, y compris des personnels de Microsoft et ses partenaires, indique l’ex-responsable informatique du gouvernement fédéral, Martin Schallbruch.

Microsoft peut également instrumentaliser sans restriction les écoles et les universités à des fins marketing. Les écoliers et les enseignants reçoivent en général les produits Microsoft gratuitement, de sorte que les enfants grandissent sans rien connaître d’autre. La stratégie veut qu’après leurs études ils payeront des frais de licence pendant le reste de leur existence. « Une telle méthode est un classique du modèle « crack », utilisé dans le trafic de drogue », explique Rufus Pollock du Centre pour la propriété Intellectuelle et les lois de l’information (CIPIL) à l’Université de Cambridge. Les produits sont gratuits jusqu’à ce que les utilisateurs soient rendus accros.
Cela démontre que les gouvernements européens approuvent tacitement leur propre dépendance envers Microsoft. Ainsi que le formule Anna Strezynska, ministre polonaise du numérique : « Oui, nous sommes dépendants, mais je pense que c’est raisonnable ».
Cela signifie aussi que ces décideurs exposent leurs pays et leurs citoyens à d’innombrables risques de sécurité, tant techniques que politiques.

Ce n’est pas un hasard si les attaques informatiques majeures qui, ces dernières années, ont pris pour cible des institutions de l’État comme le Bundestag allemand ou encore la Commission et le Parlement européens, ont systématiquement exploité des failles de sécurité des logiciels Microsoft. La suite bureautique de Microsoft, notamment, et les fichiers qu’elle permet de créer, sont une des portes d’entrée privilégiée par les hackeurs, selon le rapport 2011 du Bureau fédéral allemand pour la Sécurité des technologies de l’information (BSI). D’après ce rapport, la moitié des attaques ciblées avait pour origine des documents infectés de type Microsoft, tels les fichiers « .docx », dans lesquels les hackeurs avaient dissimulé leur logiciel malveillant. « La particulière complexité de ces fichiers facilite la tâche des hackeurs », affirment les experts du BSI. Ces fichiers contiennent bien plus de code que nécessaire, ne serait-ce que pour empêcher d’autres logiciels de les lire facilement. « Ce constat est toujours d’actualité, confirme Joachim Wagner, porte-parole du BSI. Le format des fichiers Microsoft est bien plus complexe que celui des logiciels open source, ce qui augmente d’autant la « surface d’attaque» de la cible pour les hackeurs ».

Italo Vignoli, un des experts qui travaillent sur le logiciel libre LibreOffice, l’a testé pour Investigate Europe avec un simple texte de 5 500 caractères. Sous la version courante de Microsoft Word, le code du fichier couvre 390 pages. Par comparaison, le format libre OpenDocumentText ne fait que onze pages.

Les programmes de Microsoft sont confus et vulnérables

La particulière vulnérabilité des logiciels de bureautique de Microsoft se voit au nombre de failles de sécurité. « Aux États-Unis, le National Institute for Standards and Technology (NIST, Institut national des normes et de la technologie) a repéré 188 nouvelles failles dans la suite Microsoft Office au cours des trois années précédant le mois d’avril 2017. Les trois quarts de ces failles font partie de la catégorie des failles les plus graves. Sur la même période, on n’a découvert que onze failles dans LibreOffice. D’après M. Vignoli, cela n’a rien à voir avec le fait que LibreOffice est moins répandu. Simplement, malgré tous leurs efforts, même les meilleurs experts n’ont pu dénicher d’autres failles dans LibreOffice.

Cela n’a rien de surprenant. N’importe quel utilisateur chevronné peut contrôler le code source de LibreOffice. Pour l’un des meilleurs experts européens, Michael Waidner, directeur de l’institut Fraunhofer pour la sécurité des technologies de l’information, c’est la clef de voûte : « Si l’Union européenne ou un État entend vraiment préserver sa souveraineté, il doit être en mesure de vérifier que ses matériels informatiques et ses logiciels font bien ce qu’ils sont censés faire et rien d’autre, explique-t-il. Cela ne revient pas à dire que l’Europe doit devenir autonome. « Mais nous devons faire en sorte que nos experts aient accès à toute l’information requise pour tester les logiciels là où la sécurité est en jeu. Il est essentiel d’avoir accès au code source », exige l’expert. Sans cela, affirme-t-il, il ne peut y avoir de « souveraineté numérique ».

Or, c’est précisément ce que Microsoft refuse de fournir. L’entreprise a créé un « centre de la transparence», à Bruxelles, où les représentants gouvernementaux sont invités à inspecter le code source. Mais le BSI allemand juge la proposition insuffisante. « Microsoft doit satisfaire à un éventail complet de prérequis techniques pour créer un climat de confiance », a expliqué le BSI au magazine spécialisé C’t. Or Microsoft n’autorise même pas les experts à conserver leurs notes écrites et exige la signature d’un accord de non-divulgation, a confirmé un expert de la BSI à Investigate Europe.
Même si une inspection du code était possible, les conclusions en seraient probablement obsolètes dès la mise à jour suivante. En outre, le risque que représentent les produits Microsoft n’est pas seulement technique, il est aussi politique.

Déclasser l’Europe au rang de colonie numérique

L’entreprise est soumise aux lois des États-Unis. Cela signifie qu’à tout moment l’administration de ce pays peut la forcer à collaborer afin d’accéder aux données des citoyens et des pouvoirs publics d’autres pays. Pour satisfaire cet objectif, il existe ce qu’on appelle « la lettre du renseignement » dans la loi américaine, autorisant des tribunaux secrets à délivrer de telles instructions, avec obligation de se taire sous peine de poursuites légales. Les révélations de l’ancien agent Edward Snowden ont montré que les services de renseignement américain font un usage démesuré de leurs pouvoirs. Les documents qu’il a publiés révèlent que Microsoft coopère étroitement avec les services secrets de la NSA.

Un document de la NSA du 8 mars 2013 explique avec force détails que Microsoft a ouvert aux autorités américaines l’accès à ses services dans le nuage (cloud), autrement dit aux dispositifs de stockage de données auxquels recourent un nombre grandissant d’organisations privées, mais aussi publiques, qui confient ainsi à un prestataire externe leurs données informatiques par souci d’économiser sur les coûts de leur informatique interne. Les documents de Snowden ont aussi révélé que la NSA utilise une cyber-arme, Regin, en collaboration avec ses partenaires britanniques pour espionner la Commission et le Parlement européens via une faille de sécurité du programme Windows.

Wikileaks a publié des documents secrets qui prouvent que ce n’était pas un cas isolé. Ils montrent que la CIA a même développé un véritable arsenal de logiciels malveillants (malwares) ciblant exclusivement les logiciels de Windows. La NSA n’est pas en reste, un de ses outils exploitant, ainsi que l’a révélé récemment le groupe de hackeurs Shadow Brokers, quatre failles de sécurité du système d’exploitation Windows inconnues jusqu’alors (vulnérabilités Jour Zéro).

De fait, l’utilisation de produits Microsoft par les institutions de l’État « n’est plus compatible avec un État de droit », affirme le juriste et député Vert du Parlement européen Jan Philipp Albrecht. Beaucoup le considèrent comme le père de la loi européenne sur la protection des données. Albrecht précise qu’il y a pléthore de données individuelles stockées dans des ordinateurs appartenant à l’État, tels les montants acquittés pour les impôts, l’état de santé, les fichiers de police et les données sociales. « Cependant, les institutions ne peuvent garantir la confidentialité de ces données tant qu’elles travaillent avec des logiciels dont elles n’ont pas le contrôle », prévient Albrecht. Il va falloir changer cela, sous peine de « transformer l’Europe en une colonie numérique ».

M. Albrecht n’est pas le seul à exprimer ce genre d’opinion. En 2014, après les révélations d’E. Snowden, une grande majorité du Parlement européen appelait les États membres de l’UE à s’unir pour « développer des compétences-clés autonomes dans le domaine des technologies de l’information », qui devraient « être basées sur des standards ouverts et des logiciels open source », de manière à pouvoir « être testées ».

Un an plus tard, le Parlement nouvellement élu appelait à nouveau à l’adoption d’« une stratégie européenne pour l’indépendance du secteur des technologies de l’information ». Il indiquait aussi comment cela pouvait être acté : il est important d’établir « un code source publiquement accessible comme critère de sélection obligatoire dans toutes les procédures d’attribution des technologies de l’information du secteur public », ainsi que le préconisait l’expert en sécurité Michael Waidner.

 

Si l’open source devenait la norme obligatoire pour le développement logiciel, « les acteurs européens deviendraient immédiatement compétitifs ».

Si cela se faisait, M. Albrecht pense qu’il y aurait un effet sur les technologies de l’information « semblable à celui du projet Airbus ». De la même manière que l’Europe s’est autrefois affranchie de Boeing, elle pourrait s’affranchir aujourd’hui de sa dépendance à Microsoft, et cela pour un coût bien moindre, pense-t-il ; si l’open source devenait la norme obligatoire pour le développement logiciel, « les acteurs européens deviendraient immédiatement compétitifs, affirme Albrecht. Après tout, ajoute-t-il, les solutions alternatives sont développées depuis longtemps ».

Pourtant, aujourd’hui encore, les gouvernements européens s’avèrent incapables de chiffrer le montant du tribut versé au « seigneur » des licences de Redmond, aux États-Unis. De la Norvège au Portugal, la réponse des administrations compétentes aux demandes d’information d’Investigate Europe a invariablement été qu’il n’existe pas de statistiques en la matière. En Allemagne, le bureau des achats du ministère fédéral de l’Intérieur a précisé ne pouvoir fournir qu’une « estimation » des dépenses en licences Microsoft des autorités fédérales. Dix semaines après la demande, le bureau n’était toujours pas en mesure de fournir ces données.

Pierre Audoin Consultants, société spécialisée dans l’analyse des marchés IT, estime que, globalement, en Europe, Microsoft a tiré près de 2 milliards d’euros de revenus de ses opérations avec le secteur public pour l’exercice fiscal 2015-16. Cela voudrait dire que ce sont au moins 20 milliards d’euros de recettes fiscales européennes qui partent vers l’entreprise étasunienne tous les dix ans,  assurément assez pour que l’Europe développe sa propre industrie du logiciel.

Jusqu’à présent, les dirigeants européens ne veulent rien entendre d’un « projet Airbus » pour le secteur des technologies de l’information. Andrus Ansip, commissaire européen au marché unique du numérique ne veut même pas en parler. Son directeur de cabinet, Roberto Viola, botte en touche en déclarant que ce n’est pas là leur principal souci

Les entreprises américaines de l’Internet, de leur côté, n’ont pas besoin d’un dessin. Que se soit Facebook, Google ou Amazon, leurs infrastructures informatiques fonctionnent exclusivement avec des logiciels libres à en croire leurs porte-paroles. C’est le seul moyen qu’elles ont de se protéger. C’est bien aussi l’intention des dirigeants chinois, qui ont commencé à se libérer du monopole de Microsoft après le scandale de la NSA.

Sous l’égide de l’Académie nationale d’ingénierie chinoise, un système d’exploitation ouvert, Neokylin, a été développé, accompagné de sa suite bureautique. L’opération de « déwindowsisation », comme l’appelle le professeur Ni Guangang, chef du projet, concernera au premier chef les secteurs les plus sensibles en termes de sécurité. C’est pourquoi l’usage de programmes libres/ouverts est en train de devenir obligatoire pour les militaires, l’administration d’État et le secteur financier. L’opération devrait se terminer en 2020.
La Chine prend le chemin de l’indépendance. Que fait l’Europe pendant ce temps-là ?

photo par Leonid Mamachenkov (CC BY 2.0)

Cet article est une traduction de la version anglaise d’un billet d’Investigate Europe publiée le 13 mai 2017. Pour savoir dans quelles publications de presse, pays et langues le billet est disponible, veuillez consulter la page suivante.

 




Framalibre : une ressource vous manque ? À vous de l’ajouter !

Nous vous avons récemment présenté la refonte de notre projet historique, l’annuaire de Framasoft. Comme tous nos outils, celui-ci n’aura de sens que si vous vous en emparez.

Voici le troisième et dernier tutoriel de cette série vous aider à découvrir, utiliser et participer à ce grand projet collaboratif. Cette semaine, on vous incite à participer à cet annuaire du Libre. En effet, comme une belle auberge espagnole (ou comme le 6e site web le plus visité au monde) : vous n’y trouverez que ce que vous y apporterez.

Créer une notice

une notice dans Framalibre
Voici un exemple de notice, une fois remplie.

Nous avons fait en sorte que ce soit le plus simple possible :

  1. Faites une recherche pour bien vérifier que la notice que vous voulez ajouter n’existe pas déjà 😉
  2. Créez-vous un compte (cf. tuto précédent)
  3. Connectez-vous à votre compte
  4. Cliquez sur « ajouter une notice » toujours présent dans une colonne latérale.

7 types de notices différentes

Le bouton « ajouter une notice » vous propose un choix déroulant qui vous mènera vers 7 formulaires différents. Il convient de choisir celui le mieux adapté au type de ressource que vous voulez présenter :

  • Logiciel : ajouter un logiciel libre
  • matériel : ajouter une référence pour du matériel, outils, dispositifs, etc.
  • Un article : ajouter un article issu d’une revue, d’un journal, d’un blog, d’un site… (utile pour la catégorie « S’informer », par exemple)
  • Chronique : ajouter une chronique critique à propos d’une ressource de l’annuaire (attention, il s’agit là d’un complément à une notice, et non pas d’une notice en soi !)
  • Livre : pour signaler une monographie ou un ouvrage collectif
  • Média : ajouter une ressource multimédia (vidéo, musique, diaporama…)
  • Ressource générique : Ajouter une autre ressource (contenu non spécifique)

Notez que les types de ressources ne sont pas des catégories : vous pouvez très bien créer une ressource de type Média et la ranger dans la catégorie « électronique » car il s’agit par exemple d’un tutoriel sur un montage électronique. À vous de voir ce qui est le mieux approprié.

À remplir obligatoirement

Il y a quelques champs à remplir obligatoirement, car sans eux votre notice ne serait pas vraiment utile…

  • La catégorie (et sous-catégorie) : à choisir parmi celles existantes.
  • Le titre de la ressource (le nom, l’intitulé, le titre, etc.)
  • Le lien officiel : le but de cet annuaire est de fournir les liens des sites officiels des ressources.
  • Les tags (mots clés) : choisir de préférence parmi les tags existants (en tapant les premières lettres), ils permettent de relier la ressource à celles qui lui correspondent. C’est une fonctionnalité importante de l’annuaire car grâce à elle des découvertes sont possibles.
  • La description.

Les champs complémentaires :

Bien entendu, si les autres champs sont présents, c’est que nous les jugeons importants. Fournir un ou plusieurs visuels de votre ressource (capture d’écran, logo, photo, pochette, etc.) ou un résumé court est essentiel si vous voulez que sa notice donne envie d’en savoir plus.

N’hésitez donc pas à rechercher plus en profondeur (le site officiel ou la page wikipédia de la ressource, par exemple) afin de bien remplir l’ensemble des champs demandés… une fois le ou les visuels fournis, remplir une fiche peut prendre 5 minutes montre en main…

Des questions ?

La foire aux questions

Nous maintenons à jour une foire aux questions sur Framalibre afin de vous permettre de maîtriser le site en toute autonomie… Vous y trouverez des astuces pour créer votre notice, comme :

L’équipe de modération

L’équipe de modération recevra automatiquement les courriels envoyés grâce au formulaire accessible depuis le bouton « signaler un contenu ».

Bien sûr les possibilités de signalement sont limitées : c’est parce qu’elles ne concernent que les situations où le simple utilisateur n’est pas en mesure d’agir (doublons, malveillances, etc.).

S’il s’agit de modifier une notice, par exemple, vous pouvez le faire directement et même contacter le créateur de la notice.

Si vous désirez suggérer une amélioration technique de l’annuaire, vous pouvez contribuer en écrivant une issue sur le dépôt GIT du projet.

Pour rejoindre l’équipe de modération, il faut les retrouver sur le forum des bénévoles de Framasoft.

Modifier une notice (et le suivi de versions)

Si vous voyez une erreur, un manque, ou une information obsolète dans une notice, nous vous encourageons fortement à proposer une modification, c’est cela qui fait vivre l’annuaire et permet qu’il soit à jour !

Là aussi, vous devrez être connecté·e à votre compte Framalibre afin de pouvoir proposer des modifications.

vue d'une notice avec un compte connecté
Pour soumettre une mise à jour d’une notice, il suffit de cliquer !

 

Comment modifier une notice ?

  1. Allez sur la fiche de la notice
  2. cliquez sur l’onglet modifier au-dessus de la notice (à côté de l’onglet « Voir ») OU sur « Soumettre une mise à jour »
  3. Effectuez les modifications dans le formulaire.
  4. (optionnel) Relisez à l’aide de l’Aperçu, ou vérifiez les changements avec le bouton « Voir les modifications »
  5. Enregistrez votre mise à jour.

À chaque fois qu’une notice est modifiée, son créateur est prévenu par courriel. Il se génère aussi une archive de la notice dans sa version préexistante. Les différentes versions (l’historique des modifications et les noms des contributeurs) peuvent alors être visualisées et comparées (à la manière d’un wiki).

Ainsi à chaque fois que vous modifiez une notice, vous pouvez commenter votre révision, cela aidera le créateur à comprendre votre intention. Les révisions des notices (lorsqu’il y en a) sont accessibles en ajoutant le mot « revisions » (sans accent) à l’adresse de la notice, ainsi : framalibre.org/content/nom-de-la-notice/revisions

Une fois ma modification proposée…

Elle est automatiquement validée et le créateur originel est prévenu par courriel.

Dès lors, la personne ayant créé la notice pourra voir vos apports et interagir le cas échéant.

En cas de litige ou d’absence, notre équipe de modération fera de son mieux pour vous aider.

Pour aller plus loin :




Framalibre : se créer un compte, ça compte !

Nous vous avons récemment présenté la refonte de notre projet historique, l’annuaire de Framasoft. Comme tous nos outils, celui-ci n’aura de sens que si vous vous en emparez.

Voici le deuxième tutoriel d’une série de trois pour vous aider à découvrir, utiliser et participer à ce grand projet collaboratif. Cette semaine, voyons comment pourquoi se créer un compte sur cet annuaire du Libre. Car si vous voulez tirer amplement parti de cet annuaire, nous vous recommandons fortement de vous créer un compte…

Comment se créer un compte ?

formulaire de création du compte

 

  1. Cliquez sur « Créer un compte » en haut à droite.
  2. Entrez un nom d’utilisateur/utilisatrice (les espaces sont permis !) et une adresse email valide (elle vous servira de contact régulièrement dans votre utilisation de l’annuaire).
    N’oubliez pas de déjouer le CAPTCHA pour montrer que vous n’êtes pas un robot (oui, c’est tellement facile qu’on pourrait avoir des doutes, mais non… y’a pas de piège !)
  3. Ouvrez votre boite email pour cliquer sur le lien d’activation dans les 24h suivant vote demande (si vous ne le trouvez pas dans la boite de réception, vérifiez le dossier des indésirables 😉 !)
  4. Remplissez le formulaire de présentation et cliquez sur « Enregistrer »

À noter : seuls les champs de votre mot de passe sont obligatoires, le reste, c’est juste si vous souhaitez agrémenter votre profil ^^ !

Pour donner des étoiles !

 

choix du nombre d'étoiles pour une notice

Sur chacune des notices, vous pouvez attribuer de 1 à 5 étoiles à la ressource concernée.
Ces étoiles concernent la ressource (le logiciel, le livre, le site web) et non la qualité de la notice.
Ce système de notation permet, à terme, de faire remonter les ressources les plus pertinentes et utilisées dans les différent modules, et de donner un aperçu des avis populaires aux personnes qui viendraient découvrir une nouvelle ressource.

Pour créer votre registre !

Votre registre contiendra toutes vos notices favorites, c’est à dire les notices dont vous avez cliqué l’icône cœur.

ajout d'une notice dans son registre

 

C’est l’occasion, pour vous, de retrouver facilement un lien direct vers les notices (et donc les ressources) qui vous intéressent le plus. Que ce soit parce que vous suivez la création et les modifications de cette notice, ou parce que vous utilisez/appréciez la ressource concernée, vous la retrouverez alors dans la page Mon Registre.

Cette page vous permet de trier aisément l’ensemble de vos notices favorites, que ce soit par Type, catégorie ou auteur. Bien entendu vous avez la possibilité de retirer la notice de vos favoris (et donc de votre registre).

Avec une future API, il devrait être possible d’afficher tout ou partie de son registre vers un autre site web 😉

exemple de registre

 

En attendant, vous pouvez d’ores et déjà rendre votre registre public :

  • Rendez-vous dans Moncompte / Modifier
  • Cochez « Rendre mon registre public »
  • Cliquez sur « Enregistrer » tout en bas.
  • Notez que l’adresse publique de votre register sera framalibre.org/monpseudo/favoris

Pour rédiger une chronique !

Une chronique est un texte personnel lié à une notice (et donc à la ressource qu’elle présente).

Chacun·e est libre de rédiger les chroniques qu’il ou elle souhaite, mais les usages et intérêts immédiats que nous y voyons sont :

  • Un tutoriel lié à la ressource (utilisation logicielle, matériel, etc.)
  • Un avis professionnel ou amateur sur la ressource (test, critique culturelle, impressions)
  • Des impressions ou réflexions quant à la ressource
  • Toute autre libre expression, dans le respect de nos conditions générales d’utilisations (et donc de la Loi)

vue d'une notice avec un compte connecté

 

Pour rédiger une chronique, c’est simple :

1. connectez-vous à votre compte Framalibre
2. allez sur la notice de la ressource concernée
3. cliquez sur "Rédiger une chronique sur cette notice"

Pour créer / modifier une notice !

C’est le but principal : contribuer et donner des apports à l’annuaire. Mais ça mérite son propre article, non ? Rendez-vous la semaine prochaine sur le blog… ou directement dans les liens ci-dessous !

Pour aller plus loin :




Framalibre : découvrez l’annuaire du Libre !

Nous vous avons récemment présenté la refonte de notre projet historique, l’annuaire de Framasoft. Comme tous nos outils, celui-ci n’aura de sens que si vous vous en emparez.

Voici le premier d’une série de trois tutoriels pour vous aider à découvrir, utiliser et participer à ce grand projet collaboratif. Cette semaine, on regarde simplement comment cela se présente !

Plusieurs façons de naviguer dans l’annuaire

Suivant l’information que l’on recherche, plusieurs options s’offrent à nous dès la page d’accueil :

page d'accueil de Framalibre

 

Rechercher une ressource

La barre de recherche est là si vous voulez rechercher directement une ressource (un logiciel, un livre, une asso, etc.) par son nom ou par son tag (les étiquettes, ou mots-clés, que l’on met sur les notices).

Le menu du haut permet d’aller chercher la ressource désirée selon la catégorie où elle se trouve. On distingue 4 catégories principales :

  1. S’informer : On y trouvera des liens vers des sites pour protéger sa vie privée ou d’autres campagnes d’informations, mais aussi un glossaire, ou des notices sur les différentes licences libres existantes.
  2. S’équiper : Ici, c’est le lieu pour découvrir des objets libres, de nombreux logiciels, mais aussi des jeux de données sous licencde libre.
  3. Se cultiver : Livres, Images, Musique, Films… Toute œuvre culturelle placée sous licence libre par son, sa ou ses auteur·ice·s peut s’inclure dans cette catégorie.
  4. S’entourer : Le libre, ce sont avant tout des personnes, qui souvent se regroupent auprès d’un projet. Que ce soit en collectif, association, entreprise, etc. ces initiatives ont leur place dans cette catégorie.

Se laisser surprendre

Dès la page d’accueil, des recommandations vous permettent de découvrir des ressources libres au hasard de votre venue. Que ce soient les dernières notices entrées dans l’annuaire ou nos références, ou les suggestions au pied des notices que vous visiterez, c’est un premier appel à la navigation dans l’annuaire.

Notez que chacun de ces carrés vous permet d’aller lire directement la notice, de conserver la notice dans votre registre, ou même d’aller directement sur le site officiel de la ressource.

Les liens pratiques sont à droite !

La colonne de droite ne s’affiche que sur la page d’accueil, et sert à accéder rapidement à des liens pratiques. Au delà de ses informations de compte (voir plus bas), on y trouve des boutons pour :

Découvrons une notice

 

une notice dans Framalibre

Lorsqu’on clique sur la notice d’une ressource, plusieurs informations pratiques sont à notre disposition dans la colonne principale…

  1. En haut, le chemin de la catégorie (menu, sous menus) où l’on peut retrouver la notice
  2. les onglets « Voir », « Modifier » et « Révisions » pour les diverses évolutions de la notice dans le temps
  3. Une illustration au dessus des informations pratiques
  4. le texte de présentation de la notice et les tags (mots-clés) qui l’accompagnent
  5. les liens pratique (a minima le site officiel de la ressource, éventuellement la page Wikipédia, etc.)

Et autour, on peut retrouver :

  • Des informations liées à la catégorie (colonne de droite
  • Des suggestions de notices similaires (sous les infos principales)

NOTE : en cliquant sur l’utilisateur qui a créé la notice, vous vous rendez sur la page de son profil public. Vous pouvez ainsi le contacter via un formulaire si vous souhaite lui proposer des modifications que vous souhaitez pas effectuer vous-même.

Pour aller plus loin :




Un hackathon pour Sympa

Pendant que vous cherchez la contrepèterie dans ce titre purement factuel, on vous explique : Sympa, c’est le logiciel qui nous permet de gérer Framalistes, un des services de notre modeste plan de libération du monde© !

Marc Chantreux a lancé une invitation à tous les fans de Sympa (eh oui, ils sont sympas, on va se débarrasser de ça tout de suite) pour le rejoindre dans un grand hackathon à Strasbourg le week-end du premier avril 2017.

C’est super, mais… c’est quoi ?

 

 

 

 

 

Bonjour Marc, est-ce que tu veux bien te présenter ?

Je m’appelle Marc Chantreux, je suis libriste (par conviction éthique et technique) depuis les années 90 et suis actuellement informaticien à l’université de Strasbourg où j’ai géré sympa pendant 5 ans.

Sympa, le logiciel libre qui nous sert à gérer Framalistes, va fêter ses 20 ans, c’est bien ça ?

C’est ça et je me suis connecté pour la première fois à Internet la même année. Ce qui m’a immédiatement plu à l’époque, ce n’était pas la quantité de documentation disponible (parce qu’on avait déjà des e-zines et autres documentations qui circulaient sur CD-Rom ou supports imprimés) mais la possibilité de poser directement des questions aux experts dans une ambiance extrêmement ouverte et respectueuse. Les deux principaux outils pour cela étaient Usenet et les listes de discussion. En France, un gros hébergeur de listes était Universalistes qui tournait déjà (qui tourne toujours) sous sympa.

Ce logiciel a été créé et maintenu par la communauté universitaire française depuis l’origine. Entre temps, sympa a été adopté dans le monde entier et s’est enrichi de fonctionnalités nécessaires au travail collaboratif pour lequel les listes étaient utilisées (documents partagés, archives, modération, délégation de droits, etc.).

Je me réjouis de voir que Framasoft ait monté une instance de sympa pour sa communauté mais perso, j’aurais utilisé « framagroupes » comme nom.

À cette occasion tu organises un fork communautaire et un hackathon. Tu peux nous expliquer ? Nan, parce que Framasky, il m’a demandé de t’interviewer mais j’y comprends que pouic. 🙂

Ces dernières années, la communauté universitaire a affecté de moins en moins de ressources jusqu’à ce que tout s’arrête complètement au courant de l’année dernière. La communauté est pourtant forte de millions d’utilisateurs et il n’existe pas d’alternative crédible si on considère sympa dans son ensemble. J’ai donc proposé à la communauté de se rassembler pour s’organiser et posé les bases d’un développement qui ne repose plus sur le seul acteur historique (RENATER). Les 20 ans de sympa tombaient un week-end, c’était une belle occasion.

RENATER a réagi très positivement à cette initiative et nous a rapidement prêté assistance, en ouvrant une partie de l’infrastructure, en parrainant la venue du leader historique du projet — David Verdin — et en nous rassurant sur leur volonté de rester investi dans le projet. J’ai eu des échanges téléphoniques et électroniques avec leur direction technique et je suis confiant dans la perspective de voir RENATER redonner de la force de frappe à sympa.

Et c’est quoi, l’objectif de ce hackathon ? Sur quel critère le jugeras-tu réussi ?

L’objectif de ce hackathon est d’initier les projets qui permettront aux utilisateurs de sympa d’avoir accès plus simplement à un grand nombre de fonctionnalités. Il nous faut au passage nous mettre d’accord sur des pratiques communes de développement mais le plus important pour moi n’est pas là.

Je suis membre de longue date de la communauté Perl et je suis toujours ému par l’énergie qui se dégage du sentiment que nous partageons tous d’appartenir à une communauté soudée, au service de millions d’utilisateurs et vivant une grande aventure technique avec des défis à relever au quotidien pour produire le meilleur logiciel possible. Si nous arrivons à faire germer cet esprit dans la communauté sympa naissante, alors je serais heureux.

Le hackathon, c’est que pour les développeurs, ou tout le monde peut contribuer ?

Sympa est comme tout logiciel libre : sa valeur réside dans son utilité et non dans son code.

Pour le rendre utile, il faut aussi le rendre accessible et visible et nous avons besoin de faire plein de choses nécessitant plein de compétences ! Dites-moi ce que vous voulez ou savez faire et j’aurais probablement des tâches à vous proposer. Celles qui me viennent sont : collecter les besoins et retours des utilisateurs, organiser ou participer à des événements, faire du graphisme et de la communication, nous aider à réaliser de la documentation, créer et animer la formation, assister les communautés d’utilisateur, faire de la traduction…

Il va y avoir du beau monde, dans ce hackathon, les copains de Yunohost, notamment. Qui d’autre ?

De nombreux acteurs associatifs en faveur de l’auto-hébergement et de l’internet neutre (par exemple Framasoft, YUNoHost, ARN qui est un FAI associatif alsacien) mais aussi des hackers du Libre User Group alsacien et du Hackstub, des membres de la communauté universitaire (Universités de Strasbourg et Oslo et RENATER qui est le FAI des universités françaises) ainsi que les sociétés Hackcendo et Linuxia.

Et ça se passe où ? Il faut s’inscrire quelque part ?

Ça se passe au portique de l’université de Strasbourg mais les inscriptions sont maintenant closes. Désolé…

Du coup, on peut participer à distance ? Ou aider d’une autre façon ?

Bien sûr : le mieux est de rejoindre le canal IRC #sympa sur freenode dès maintenant et de dire que vous êtes intéressés par la contribution. Si vous avez du mal avec l’anglais, vous pouvez aussi vous abonner à la liste sympa-fr (https://listes.renater.fr/sympa/info/sympa-fr) ou me contacter directement.

Sympa, ça peut gérer des listes de diffusion vraiment balaises ? Genre quoi ?

Genre j’ai personnellement géré des listes de 140 000 abonnés ou le goulot d’étranglement n’était pas sympa mais l’infra de messagerie. Les listes permettant de contacter l’ensemble des personnels de l’enseignement supérieur tournent avec sympa et il existe des groupes qui dépassent le million d’abonnés.

Mais si on se lance dans le concours du plus gros site, je dirais que le principal intérêt de sympa réside non pas dans sa capacité d’envoyer des millions de messages mais de réussir à les envoyer en respectant l’état de l’art dans les pratiques relatives à la lutte anti-spam (DMARC, DKIM…) et de donner la possibilité à des administrateurs d’industrialiser la création et la maintenance d’un grand nombre de listes (l’université de Strasbourg en compte près de 35 000).

Comme d’hab, nous te laissons le mot de la fin, lâche-toi.

Lors de l’apparition des premiers web fora, j’ai vu les communautés se diviser autour des outils de discussion. les « surfers » (qui aiment les fora pour leur côté immédiat, simple et « beau ») et les fans de la messagerie électronique qui apprécient le degré de liberté qui leur est donné de présenter et traiter les messages comme ils l’entendent. Les deux approches sont valables et ne devraient pas être un frein pour ce qui compte réellement : l’échange ! Avec ses outils (postage, archives en ligne, dépôt de documents) sympa est soit un gestionnaire de listes haut de gamme soit le système de forum avec la pire interface web du monde.

L’urgence de sympa, c’est donc son interface web et c’est là-dessus que nous allons mettre le paquet.

Pour en savoir plus, et surtout donner un coup de main, c’est par ici




Framalibre : l’annuaire du libre renaît entre vos mains

Notre projet historique, l’annuaire de Framasoft, renaît de ses cendres… pour ouvrir encore plus grandes les portes du Libre.

Au commencement était l’annuaire…

OK : pas besoin de prendre un ton biblique non plus, mais il est vrai que c’est avec une émotion toute particulière qu’on vous présente cette refonte complète du tout premier projet, celui qui a fait naître Framasoft ; et qui, mine de rien, a défini notre identité.

Il y a 16 ans, en 2001, une prof de FRAnçais (Caroline d’Atabekian) et un prof de MAths (Alexis Kauffmann) commencent à s’échanger des listes de logiciels gratuits pour les salles d’ordinateurs de leurs établissements dont le budget informatique était grevé par les licences Windows.

Le projet plaît, et il évolue. On se rend compte que derrière certains logiciels gratuits, il existe des licences libres, des contrats garants de nos libertés et du respect de certaines valeurs. Alors on découvre le monde du Logiciel Libre, fait d’entraide (pour adapter les serveurs au succès croissant du site) et de collaboration (à côté des fiches pour les logiciels fleurissent les tutoriels d’utilisation).

Il faut attendre 2004 pour que ce premier site devienne un annuaire collaboratif de logiciels libres tel qu’on le connaît aujourd’hui. Un outil pratique, fait par et pour des « non-pros » de l’informatique, conçu comme une porte d’entrée vers ce monde numérique où les êtres humains et leurs libertés sont respectés. On y vient pour un besoin logiciel précis, on y retourne pour la chaleur de la communauté, et on se fait délicieusement contaminer par les valeurs du Libre.

#gallery-1 { margin: auto; } #gallery-1 .gallery-item { float: left; margin-top: 10px; text-align: center; width: 50%; } #gallery-1 img { border: 2px solid #cfcfcf; } #gallery-1 .gallery-caption { margin-left: 0; } /* see gallery_shortcode() in wp-includes/media.php */

« Framalibre – le reboot ? Euh… Hum… Oui-oui ! C’est pour… demain ! »

Cela fait bien cinq ans que nous savons l’annuaire vieillissant, avec des notices trop détaillées qui deviennent vite obsolètes. Cinq ans que d’atermoiements en hésitations (« Faut-il vraiment repartir de zéro ? », se demandait-on avec des yeux de Chat Potté), d’avancées en marches à reculons, nous nous rendons compte qu’il n’est plus adapté ni au Libre (qui désormais déborde largement du champ des seuls logiciels), ni à nos usages (avec des contributions passant par un wiki, un forum, puis un Spip… c’est pas lourd du tout du tout -_-).

Sauf que voilà : on a toujours une urgence qui vient de tomber (entraînée par un de nos serveurs), un nouveau Framabook ou une nouvelle Framakey sur le feu, un Internet à Dégoogliser… Et puis il est difficile d’admettre que le SPIP qui a vaillamment permis notre annuaire (et donc notre page d’accueil) depuis tant d’années n’était plus l’outil le mieux adapté et le plus accessible pour cet usage précis…

Il nous a donc fallu cinq ans (et de multiples abandons/blocages/coup de fouet/reprises du projet) pour vous proposer cette refonte, cette remise à zéro de l’annuaire. Ne vous inquiétez pas, si vous aimez l’ancien, nous en avons gardé une archive juste à cette adresse archive.framalibre.org 😉 ! Cinq ans, et le travail conjoint de nombreux membres, salariés, mais surtout partenaires : Smile, dans un premier temps, pour leurs templates de visualisation… Mais surtout Makina Corpus, entreprise toulousaine bien connue des visiteurs du Capitole du Libre, qui nous a fait un design et une intégration Drupal aux petits oignons et nous a accompagnés (avec Framatophe tenant vaillamment le cap) sur les derniers efforts que nous ne savions pas fournir nous-mêmes.

Grâce à ce mécénat de compétences, voici un projet mené à terme !

Voici Framalibre, 2e du nom…

Bon, c’est pas tout ça, mais est-ce que ça valait le coup d’attendre ? Que va-t-on trouver en guise d’annuaire Framasoft ?

Déjà on revient à quelque chose de simple. Les notices sont claires, concises, et vous mènent au plus vite vers le lien officiel de la ressource que vous consultez. Finies les notices hyper-détaillées et trop longues qui deviennent désuètes à la moindre mise à jour 😉 ! L’idée principale, c’est de trouver aisément et comme on le souhaite : on peut rechercher une notice selon sa catégorie, utiliser le système de tags, ou même se laisser porter par les suggestions, recommandations, les notices mises en avant, etc.

C’est aussi un annuaire qui facilite la collaboration. Avec un simple compte, vous pouvez voter pour les ressources que vous préférez (et donc les mettre en valeur), corriger ou mettre à jour une notice, en créer une nouvelle dans l’annuaire, ou plus simplement écrire une chronique (un tutoriel, un témoignage, ou bien votre avis sur telle ressource…). Cet annuaire, c’est vous qui le ferez, nous avons donc fait en sorte qu’il vous soit le plus ouvert possible. Et, avec Drupal, gageons que nous pourrons, ensuite, ouvrir les données engrangées via un système d’API (ceci est un souhait, pas une promesse — mais ce serait cool, hein ?)…

Enfin et surtout, Framalibre se veut un annuaire du Libre, en général, et non pas seulement du Logiciel Libre. Car nos vies numériques ne sont plus uniquement « virtuelles », et les libertés que nous défendons et nourrissons vont au-delà du logiciel.

Et voilà le visage du nouvel annuaire !

Désormais, vous pouvez rentrer dans l’annuaire et y trouver :

  • des outils informatifs, catégorie S’informer,
  • des logiciels, du matériel et des jeux de données libres, dans S’équiper,
  • des livres, albums, films et autres œuvres culturelles dans Se cultiver,
  • et même les entreprises, collectifs, associations et autres initiatives du monde du Libre dans pour bien S’entourer.

Depuis 2004, le monde du Libre a bien grandi… Il était temps d’en agrandir une des portes d’entrée ;).

Ouvrons les portes et nos communautés !

Un annuaire, c’est un bouquet de fleurs capiteuses… Attiré·e par la douce odeur de THE information pratique que l’on vient y chercher, on s’enivre du nectar des autres notices à disposition, on se perd dans la navigation et finit par découvrir un nouveau champ de possibilités et de libertés.

Nous ne comptons plus le nombre de fois, sur le stand d’une convention libriste, où nous rencontrons un·e convaincu·e, arborant fièrement le logo de sa « distro GNUnux » favorite sur son T-Shirt, et qui s’écrie plein·e de nostalgie :

« Oooh ! Framasoft ! Je me souviens, c’est sur votre site, là, que j’ai découvert mes premiers logiciels libres ! »

Nous, à l’écoute de telles exclamations (allégorie.)

C’est à nous, désormais, de préparer le terrain pour que les futures générations de libristes tombent dans la marmite de potion magique ! D’ailleurs, un énorme merci aux personnes qui ont saisi les 400 premières notices avant la mise en production <3 ! Oh et au fait : vos comptes beta.framalibre.org fonctionnent désormais sur framalibre.org 😉

C’est à nous, donc, de contribuer à cet annuaire et de le nourrir de ce qui nous intéresse et que l’on souhaite partager. Que ce soit des notices, des chroniques, des corrections ou de simples votes : ce sont toutes vos contributions qui pourront faire le succès de cette renaissance…

Une équipe de modération est déjà en place (mais aura vite besoin de nouveaux bras) et des ateliers de contribution commencent à s’organiser (dont un sur Toulouse, le 22 mars, avec le GULL Toulibre). En cette période où le Libre est en fête, faites-vous une joie de mettre en valeur des œuvres (logicielles, culturelles, matérielles, etc.) libres, parce que vous y contribuez ou en bénéficiez, ou simplement parce que vous les aimez et souhaitez les partager avec le plus grand nombre.

Nous, on va écraser une petite larmichette d’émotion sur cette page qui se tourne, et se remettre au boulot !

Allez, une nouvelle marmite pour tonton Richard !

Pour aller plus loin :




Demain, les développeurs… ?

En quelques années à peine s’est élevée dans une grande partie de la population la conscience diffuse des menaces que font peser la surveillance et le pistage sur la vie privée.

Mais une fois identifiée avec toujours plus de précision la nature de ces menaces, nous sommes bien en peine le plus souvent pour y échapper. Nous avons tendance surtout à chercher qui accuser… Certes les coupables sont clairement identifiables : les GAFAM et leur hégémonie bien sûr, mais aussi les gouvernements qui abdiquent leur pouvoir politique et se gardent bien de réguler ce qui satisfait leur pulsion sécuritaire. Trop souvent aussi, nous avons tendance à culpabiliser les Dupuis-Morizeau en les accusant d’imprudence et de manque d’hygiène numérique. C’est sur les utilisateurs finaux que l’on fait porter la responsabilité : « problème entre la chaise et le clavier », « si au moins ils utilisaient des mots de passe compliqués ! », « ils ont qu’à chiffrer leur mails », etc. et d’enchaîner sur les 12 mesures qu’ils doivent prendre pour assurer leur sécurité, etc.

L’originalité du billet qui suit consiste à impliquer une autre cible : les développeurs. Par leurs compétences et leur position privilégiée dans le grand bain numérique, ils sont à même selon l’auteur de changer le cours de choses et doivent y œuvrer.
Les pistes qu’expose Mo Bitar, lui-même développeur (il travaille sur StandardNotes, une application open source de notes qui met l’accent sur la longévité et la vie privée) paraîtront peut-être un peu vagues et idéalistes. Il n’en pointe pas moins une question intéressante : la communauté des codeurs est-elle consciente de ses responsabilités ?

Qu’en pensent les spécialistes de la cybersécurité, les adminsys, la communauté du développement ? — les commentaires sont ouverts, comme d’habitude.

Article original : The Privacy Revolution that never came
Traduction Framalang : tripou, david, goofy, audionuma, MO, lyn., Luc et un anonyme.

La révolution de la vie privée n’a jamais eu lieu

Voici pourquoi les développeurs de logiciels détiennent la clef d’un nouveau monde

par Mo Bitar


Actuellement, c’est la guerre sur les réseaux, et ça tire de tous les côtés. Vous remportez une bataille, ils en gagnent d’autres. Qui l’emporte ? Ceux qui se donnent le plus de mal, forcément. Dans cette campagne guerrière qui oppose des méga-structures surdimensionnées et des technophiles, nous sommes nettement moins armés.

Des informations. C’est ce que tout le monde a toujours voulu. Pour un gouvernement, c’est un fluide vital. Autrefois, les informations étaient relativement faciles à contrôler et à vérifier. Aujourd’hui, les informations sont totalement incontrôlables.

Les informations circulent à la vitesse de la lumière, la vitesse la plus rapide de l’univers. Comment pourrait-on arrêter une chose pareille ? Impossible. Nos problèmes commencent quand une structure trop avide pense qu’elle peut le faire.

Telle est la partie d’échecs pour la confidentialité que nous jouons tous aujourd’hui. Depuis le contrôle de l’accès à nos profils jusqu’au chiffrement de nos données en passant par un VPN (réseau privé virtuel) pour les rediriger, nous ne sommes que des joueurs de deuxième zone sur le grand échiquier des informations. Quel est l’enjeu ? Notre avenir. Le contrôle de la vie privée c’est le pouvoir, et les actions que nous menons aujourd’hui déterminent l’équilibre des pouvoirs pour les générations et sociétés à venir. Quand ce pouvoir est entre les mains de ceux qui ont le monopole de la police et des forces armées, les massacres de masse en sont le résultat inévitable.

Alors, où se trouve la révolution sur la confidentialité de nos informations que nous attendons tous ? Ce jour d’apothéose où nous déciderons tous de vraiment prendre au sérieux la question de la confidentialité ? Nous disons : « Je garde un œil dessus, mais pour le moment je ne vais pas non plus me déranger outre mesure pour la confidentialité. Quand il le faudra vraiment, je m’y mettrai ». Ce jour, soit n’arrivera  jamais, soit sous une forme qui emportera notre pays avec lui. Je parle des États-Unis, mais ceci est valable pour tout pays qui a été construit sur des principes solides et de bonnes intentions. Bâtir un nouveau pays n’est pas facile : des vies sont perdues et du sang est inutilement versé dans le processus. Gardons plutôt notre pays et agissons pour l’améliorer.

Les gouvernements peuvent être envahissants, mais ni eux ni les gens ne sont mauvais par nature : c’est l’échelle qui est problématique. Plus une chose grandit, moins on distingue les actions et les individus qui la composent, jusqu’à ce qu’elle devienne d’elle-même une entité autonome, capable de définir sa propre direction par la seule force de son envergure.

Alors, où est notre révolution ?
Du côté des développeurs de logiciels.

Les développeurs de logiciels et ceux qui sont profondément immergés dans la technologie numérique sont les seuls actuellement aptes à déjouer les manœuvres des sur-puissants, des sans-limites. Il est devenu trop difficile, ou n’a jamais vraiment été assez facile pour le consommateur moyen de suivre l’évolution des meilleurs moyens de garder le contrôle sur ses informations et sa vie privée. La partie a été facile pour le Joueur 1 à tel point que le recueil des données s’est effectué à l’échelle de milliards d’enregistrements par jour. Ensuite sont arrivés les technophiles, des adversaires à la hauteur, qui sont entrés dans la danse et sont devenus de véritables entraves pour le Joueur 1. Des technologies telles que Tor, les VPN, le protocole Torrent et les crypto-monnaies rendent la tâche extrêmement difficile pour les sur-puissants, les sans-limites. Mais comme dans tous les bons jeux, chaque joueur riposte plus violemment à chaque tour. Et notre équipe perd douloureusement.

Même moi qui suis développeur de logiciels, je dois admettre qu’il n’est pas facile de suivre la cadence des dernières technologies sur la confidentialité. Et si ce n’est pas facile pour nous, ce ne sera jamais facile pour l’utilisateur lambda des technologies informatiques. Alors, quand la révolution des données aura-t-elle lieu ? Jamais, à ce rythme.

Tandis que nous jouissons du luxe procuré par la société moderne, sans cesse lubrifiée par des technologies qui nous libèrent de toutes les corvées et satisfont tous les besoins, nous ne devons pas oublier d’où nous venons. Les révolutions de l’histoire n’ont pas eu lieu en 140 caractères ; elles se sont passées dans le sang, de la sueur et des larmes, et un désir cannibale pour un nouveau monde. Notre guerre est moins tangible, n’existant que dans les impulsions électriques qui voyagent par câble. « Où se trouve l’urgence si je ne peux pas la voir ? » s’exclame aujourd’hui l’être humain imprudent, qui fonctionne avec un système d’exploitation biologique dépassé, incapable de pleinement comprendre le monde numérique.

Mais pour beaucoup d’entre nous, nos vies  numériques sont plus réelles que nos vies biologiques. Dans ce cas, quel est l’enjeu ? La manière dont nous parcourons le monde dans nos vies numériques. Imaginez que vous viviez dans un monde où, dès que vous sortez de chez vous pour aller faire des courses, des hommes en costume noir, avec des lunettes de soleil et une oreillette, surveillent votre comportement, notent chacun de vos mouvements et autres détails, la couleur de vos chaussures ce jour-là, votre humeur, le temps que vous passez dans le magasin, ce que vous avez acheté, à quelle vitesse vous êtes rentré·e chez vous, avec qui vous vous déplaciez ou parliez au téléphone – toutes ces métadonnées. Comment vous sentiriez-vous si ces informations étaient recueillies sur votre vie, dans la vraie vie ? Menacé·e, certainement. Biologiquement menacé·e.

Nos vies sont numériques. Bienvenue à l’évolution. Parcourons un peu notre nouveau monde. Il n’est pas encore familier, et ne le sera probablement jamais. Comment devrions-nous entamer nos nouvelles vies dans notre nouveau pays, notre nouveau monde ? Dans un monde où règnent contrôle secret et surveillance de nos mouvements comme de nos métadonnées ? Ou comme dans une nouvelle vieille Amérique, un lieu où être libre, un lieu  où  on peut voyager sur des milliers de kilomètres : la terre promise.

Construisons notre nouveau monde sur de bonnes bases. Il existe actuellement des applications iPad qui apprennent aux enfants à coder – pensez-vous que cela restera sans conséquences ? Ce qui est aujourd’hui à la pointe de la technologie, compréhensible seulement par quelques rares initiés, sera connu et assimilé demain par des enfants avant leurs dix ans. Nous prétendons que la confidentialité ne sera jamais généralisée parce qu’elle est trop difficile à cerner. C’est vrai. Mais où commence-t-elle ?

Elle commence lorsque ceux qui ont le pouvoir de changer les choses se lèvent et remplissent leur rôle. Heureusement pour nous, cela n’implique pas de se lancer dans une bataille sanglante. Mais cela implique de sortir de notre zone de confort pour faire ce qui est juste, afin de protéger le monde pour nous-mêmes et les générations futures. Nous devons accomplir aujourd’hui ce qui est difficile pour le rendre facile aux autres demain.

Jeune nerd à qui on vient de demander de sauver le monde, dessin de Simon « Dr Gee » Giraudot, Licence Creative Commons BY SA

Développeur ou développeuse, technophile… vous êtes le personnage principal de ce jeu et tout dépend de vos décisions et actions présentes. Il est trop fastidieux de gérer un petit serveur personnel ? Les générations futures ne seront jamais propriétaires de leurs données. Il est trop gênant d’utiliser une application de messagerie instantanée chiffrée, parce qu’elle est légèrement moins belle ? Les générations futures ne connaîtront jamais la confidentialité de leurs données. Vous trouvez qu’il est trop pénible d’installer une application open source sur votre propre serveur ? Alors les générations à venir ne profiteront jamais de la maîtrise libre de leurs données.

C’est à nous de nous lever et de faire ce qui est difficile pour le bien commun. Ce ne sera pas toujours aussi dur. C’est dur parce que c’est nouveau. Mais lorsque vous et vos ami⋅e⋅s, vos collègues et des dizaines de millions de développeurs et développeuses auront tous ensemble fait ce qui est difficile, cela restera difficile pendant combien de temps, à votre avis ? Pas bien longtemps. Car comme c’est le cas avec les économies de marché, ces dizaines de millions de développeurs et développeuses deviendront un marché, aux besoins desquels il faudra répondre et à qui on vendra des produits. Ainsi pourra s’étendre et s’intensifier dans les consciences le combat pour la confidentialité.

Pas besoin d’attendre 10 ans pour que ça se produise. Pas besoin d’avoir dix millions de développeurs. C’est de vous qu’on a besoin.

 

  • Vous pouvez faire un premier pas en utilisant et soutenant les services  qui assurent la confidentialité et la propriété des données par défaut. Vous pouvez aussi en faire profiter tout le monde : rendez-vous sur Framalibre, et ajoutez les outils libres et respectueux que vous connaissez, avec une brève notice informative.



Des métadonnées Twitter…

S’il est de notoriété publique que nos données personnelles sont enregistrées et utilisées par les G.A.F.A.M., il est en revanche moins connu que certaines de ces données sont utilisables par tout le monde. Et c’est bien là le point faible de toute campagne de prévention : on a beau dire que nos données sont utilisées, il est peu fréquent que nos paroles soient illustrées.

x0rz publie sur son blog un billet qui illustre parfaitement ce problème. En effet, il a écrit un petit script Python (moins de 400 lignes de code) qui récupère et synthétise les métadonnées Twitter, accessible par n’importe qui.

Ce billet ouvre deux perspectives :

  • Concernant le harcèlement numérique : certes ces données sont publiques, mais il faut tout de même quelques capacités en programmation pour les exploiter, ce qui n’est pas à la portée de tout le monde. Imaginons qu’apparaissent de plus en plus de programmes grand public permettant d’accumuler et synthétiser ces données. Il deviendra alors plus facile pour un particulier d’identifier et de traquer une autre personne.
  • Concernant les métadonnées en général : dans cet exemple, les données analysées restent très basiques (heure et localisation). Nous arrivons toutefois, par l’accumulation et le recoupement, à déduire des informations intéressantes de ces « méta-métadonnées », et à identifier nettement une personne. Imaginons que les métadonnées enregistrées soient plus précises et plus nombreuses, les informations obtenues seraient alors d’une importance et d’une précision inimaginables. Est-ce alors nécessaire de mentionner qu’à la fois les entreprises (ici Twitter) et les agences gouvernementales ont accès à ce genre de métadonnées ?

Article original écrit par x0rz, consultant en sécurité informatique, sur son blog.

Traduction Framalang : mo, mathis, goofy, valvin, Diane, Moriarty, Bromind et des anonymes

Vous serez surpris par tout ce que vos tweets peuvent révéler de vous et de vos habitudes

Une analyse de l’activité des comptes Twitter

J’utilise Twitter tous les jours. Pour moi qui suis consultant en cybersécurité, c’est de loin un des meilleurs outils pour rester informé des dernières actualités et pour partager des informations qu’on estime pertinentes pour d’autres. Avec la récente investiture de Donald Trump, les dingos de Twitter de la nouvelle administration et l’émergence de groupes de résistance sur Twitter, j’ai décidé de démontrer à quel point il est facile d’exposer des informations révélatrices à partir du compte de quelqu’un d’autre, sans même le pirater.

Métadonnées

Comme tous les réseaux sociaux, Twitter sait beaucoup de choses sur vous, grâce aux métadonnées. En effet, pour un message de 140 caractères, vous aurez un paquet de métadonnées, plus de 20 fois la taille du contenu initial que vous avez saisi ! Et vous savez quoi ? Presque toutes les métadonnées sont accessibles par l’API ouverte de Twitter.
Voici quelques exemples qui peuvent être exploités par n’importe qui (pas seulement les gouvernements) pour pister quelqu’un et en déduire son empreinte numérique :

  • Fuseau horaire et langue choisie pour l’interface de twitter
  • Langues détectées dans les tweets
  • Sources utilisées (application pour mobile, navigateur web…)
  • Géolocalisation
  • Hashtags les plus utilisés, utilisateurs les plus retweetés, etc.
  • Activité quotidienne/hebdomadaire

Un exemple d’analyse de tweet (2010, l’API a beaucoup changé depuis).

Tout le monde connaît les dangers des fuites de géolocalisation et à quel point elles nuisent à la confidentialité. Mais peu de gens se rendent compte que tweeter de façon régulière suffit à en dire beaucoup sur vos habitudes.
Prendre séparément un tweet unique peut révéler des métadonnées intéressantes. Prenez-en quelques milliers et vous allez commencer à voir se dessiner des lignes directrices. C’est là que ça devient amusant.

Méta-métadonnées

Une fois qu’on a collecté suffisamment de tweets d’un compte on peut par exemple identifier ceux qui relèvent d’une entreprise (émettant uniquement pendant les horaires de bureau) et même essayer de deviner combien d’utilisateurs interagissent avec ce compte.
Pour prouver ce que j’avance, j’ai développé un script en python qui récupère tous les derniers tweets de quelqu’un, extrait les métadonnées, et mesure l’activité en fonction de l’heure et du jour de la semaine.

Analyse du compte de @Snowden

Snowden a posté 1682 tweets depuis septembre 2015. Comme on peut le voir ci-dessous, il est facile de déterminer son rythme de sommeil (fuseau horaire de Moscou).

Activité du compte Twitter de Snowden

Analyse du compte de @realdonaldtrump

Est-ce que le compte de Donald Trump est géré par plusieurs personnes ? Cette fois en observant le nombre de sources détectées, je vous laisse deviner…

Sources des tweets du compte de Donald Trump

Recommandations générales

Je vous recommande fortement de lire les conseils de sécurité Twitter du Grugq. En plus de ce guide, je vous conseille d’être prudents avec les fuseaux horaires et les langues que vous utilisez, et d’être également conscients que vos tweets peuvent être analysés comme un tout : ne tweetez pas toujours à la même heure si vous ne voulez pas que les gens devinent votre fuseau horaire. Bien sûr, ces principes sont valables seulement si vous souhaitez rester anonyme, ne les appliquez pas à votre compte principal (ce serait une perte de temps) !

Code source

J’ai publié mon script sur GitHub. C’est open source donc n’hésitez pas à contribuer 😉