Le chant des sirènes de la bonne conscience est hypnotique, et rares sont ceux qui n’ont jamais cédé à la tentation de signer des pétitions en ligne… Surtout quand il s’agit de ces « bonnes causes » qui font appel à nos réactions citoyennes et humanistes, à nos convictions les mieux ancrées ou bien sûr à notre indignation, notre compassion… Bref, dès qu’il nous semble possible d’avoir une action sur le monde avec un simple clic, nous signons des pétitions. Il ne nous semble pas trop grave de fournir notre adresse mail pour vérifier la validité de notre « signature ». Mais c’est alors que des plateformes comme Change.org font de notre profil leur profit…

Voilà ce que dénonce, chiffres à l’appui, la journaliste de l’Espresso Stefania Maurizi. Active entre autres dans la publication en Italie des documents de Wikileaks et de Snowden, elle met ici en lumière ce qui est d’habitude laissé en coulisses : comment Change.org monétise nos données les plus sensibles.

Dans le cadre de notre campagne Dégooglisons, nous sommes sensibles à ce dévoilement, c’est un argument de plus pour vous proposer prochainement un Framapétitions, un outil de création de pétitions libre et open source, respectueux de vos données personnelles…

 

Voilà comment Change.org vend nos adresses électroniques

par Stefania Maurizi

Article original paru dans L’Espresso : Così Change.org vende le nostre email

Traduction Framalang : Marie-Odile, Vincent, goofy, Lyn.

L’Espresso a obtenu les tarifs de l’entreprise (de 1,50 euro à 85 centimes) et a contacté certains clients. Entre les réponses embarrassées et les reconnaissances du bout des lèvres, nous avons étudié l’activité de l’« Amazon des pétitions en ligne ». Elle manipule des données extrêmement sensibles telles que les opinions politiques et fait l’objet en Allemagne d’une enquête sur le respect de la vie privée.

On l’a appelée le « Google de la politique moderne ». Change.org, la plateforme populaire pour lancer des pétitions sur les questions politiques et sociales, est un géant qui compte cent cinquante millions d’utilisateurs à travers le monde et ce nombre augmente d’un million chaque semaine : un événement comme le Brexit a déclenché à lui seul 400 pétitions. En Italie, où elle a débarqué il y a quatre ans, Change.org a atteint cinq millions d’utilisateurs. Depuis la pétition lancée par Ilaria Cucchi pour demander l’approbation d’une loi sur la torture, qui a jusqu’à présent recueilli plus de 232 000 signatures, jusqu’à celle sur le référendum constitutionnel, que celui qui n’a jamais apposé une signature sur Change.org dans l’espoir de faire pression sur telle ou telle institution pour changer les choses lève la main. Au 21^e siècle, la participation démocratique va inévitablement vers les plateformes en ligne. Et en effet on ne manque pas d’exemples dans lesquels ces pétitions ont vraiment déclenché des changements.

Il suffit de quelques clics : tout le monde peut lancer une pétition et tout le monde peut la signer. Mais il y a un problème :  combien de personnes se rendent-elles compte que les données personnelles qu’elles confient à la plateforme en signant les soi-disant « pétitions sponsorisées » — celles qui sont lancées par les utilisateurs qui paient pour les promouvoir (https://www.change.org/advertise) — seront en fait vendues et utilisées pour les profiler ? La question est cruciale, car ce sont des données très sensibles, vu qu’elles concernent des opinions politiques et sociales.

L’Espresso est en mesure de révéler les tarifs que Change.org applique à ceux qui lancent des pétitions sponsorisées : des ONG aux partis politiques qui payent pour obtenir les adresses électroniques des signataires. Les prix vont de un 1,5 € par adresse électronique, si le client en achète moins de dix mille, jusqu’à 85 centimes pour un nombre supérieur à cinq cent mille. Notre journal a aussi demandé à certaines des ONG clientes de Change.org s’il est vrai qu’elles acquièrent les adresses électroniques des signataires. Certaines ont répondu de façon trop évasive pour ne pas susciter d’interrogations. D’autres, comme Oxfam, ont été honnêtes et l’ont confirmé.

Pour Change.org, voici combien vaut votre adresse électronique

 

Beaucoup croient que Change.org est une association sans but lucratif, animée d’idéaux progressistes. En réalité, c’est une véritable entreprise, Change.org Inc, créée dans le Delaware, un paradis fiscal américain, dont le quartier général est à San Francisco, au cœur de cette Silicon Valley où les données ont remplacé le pétrole. Et c’est vrai qu’elle permet à n’importe qui de lancer gratuitement des pétitions et remplit une fonction sociale : permettre jusqu’au dernier sans domicile fixe de s’exprimer. Mais elle réalise des profits avec les pétitions sponsorisées, là où le client paie pour réussir à contacter ceux qui seront probablement les plus enclins à signer et à donner de l’argent dans les campagnes de récolte de fonds. Comment fait Change.org pour le savoir ? Chaque fois que nous souscrivons à un appel, elle accumule des informations sur nous et nous profile. Et comme l’a expliqué clairement la revue américaine Wired : « si vous avez signé une pétition sur les droits des animaux, l’entreprise sait que vous avez une probabilité 2,29 fois supérieure d’en signer une sur la justice. Et si vous avez signé une pétition sur la justice, vous avez une probabilité 6,3 fois supérieure d’en signer une sur la justice économique, 4,4 d’en signer une sur les droits des immigrés et 4 fois d’en signer une autre encore sur l’éducation. »

Celui qui souscrit à une pétition devrait d’abord lire soigneusement les règles relatives à la vie privée, mais combien le font et combien comprennent réellement que, lorsqu’ils signent une pétition sponsorisée, il suffit qu’ils laissent cochée la mention « Tenez-moi informé de cette pétition » pour que leur adresse électronique soit vendue par Change.org à ses clients qui ont payé pour cela ? Ce n’est pas seulement les tarifs obtenus par L’Espresso qui nous confirment la vente des adresses électroniques, c’est aussi Oxfam, une des rares ONG qui a répondu de façon complètement transparente à nos questions : « c’est seulement au moment où les signataires indiquent qu’ils soutiennent Oxfam qu’il nous est demandé de payer Change.org pour leurs adresses », nous explique l’organisation.

Nous avons demandé ce que signifiait exactement « les signataires ont indiqué vouloir soutenir Oxfam », l’ONG nous a répondu en montrant la case cochée par le signataire, par laquelle il demande à rester informé de la pétition. Interpellée par L’Espresso, l’entreprise Change.org n’a pas démenti les tarifs. De plus elle a confirmé qu’ « ils varient selon le client en fonction du volume de ses achats » ; comme l’a expliqué John Coventry, responsable des Relations publiques de Change.org, une fois que le signataire a choisi de cocher la case, ou l’a laissée cochée, son adresse électronique est transmise à l’organisation qui a lancé la pétition sponsorisée. Coventry est convaincu que la plupart des personnes qui choisissent cette option se rendent compte qu’elles recevront des messages de l’organisation. En d’autres termes, les signataires donnent leur consentement.

 

 

Depuis longtemps, Thilo Weichert, ex-commissaire pour la protection des données du Land allemand de Schleswig-Holstein, accuse l’entreprise de violation de la loi allemande en matière de confidentialité. Weichert explique à l’Espresso que la transparence de Change.org laisse beaucoup à désirer : « ils ne fournissent aucune information fiable sur la façon dont ils traitent les données ». Et quand nous lui faisons observer que ceux qui ont signé ces pétitions ont accepté la politique de confidentialité et ont donc donné leur consentement en toute conscience, Thilo répond que la question du consentement ne résout pas le problème, parce que si une pratique viole la loi allemande sur la protection des données, l’entreprise ne peut pas arguer du consentement des utilisateurs. En d’autres termes, il n’existe pas de consentement éclairé qui rende légal le fait d’enfreindre la loi.

Suite aux accusations de Thilo Weichert, la Commission pour la protection des données de Berlin a ouvert sur Change.org une enquête qui est toujours en cours, comme nous l’a confirmé la porte-parole de la Commission, Anja-Maria Gardain. Et en avril, l’organisation « Digitalcourage », qui en Allemagne organise le « Big Brother Award » a justement décerné ce prix négatif à Change.org. « Elle vise à devenir ce qu’est Amazon pour les livres, elle veut être la plus grande plateforme pour toutes les campagnes politiques » nous dit Tangens Rena de Digitalcourage. Elle explique comment l’entreprise s’est montrée réfractaire aux remarques de spécialistes comme Weichert : par exemple en novembre dernier, celui-ci a fait observer à Change.org que le Safe Harbour auquel se réfère l’entreprise pour sa politique de confidentialité n’est plus en vigueur, puisqu’il a été déclaré invalide par la Cour européenne de justice suite aux révélations d’Edward Snowden. Selon Tangens, « une entreprise comme Change.org aurait dû être en mesure de procéder à une modification pour ce genre de choses. »

L’experte de DigitalCourage ajoute qu’il existe en Allemagne des plateformes autres que Change.org, du type Campact.de : « elles ne sont pas parfaites » précise-t-elle, « et nous les avons également critiquées, mais au moins elles se sont montrées ouvertes au dialogue et à la possibilité d’opérer des modifications ». Bien sûr, pour les concurrents de Change.org, il n’est pas facile de rivaliser avec un géant d’une telle envergure et le défi est presque impossible à relever pour ceux qui choisissent de ne pas vendre les données des utilisateurs. Comment peuvent-ils rester sur le marché s’ils ne monétisent pas la seule denrée dont ils disposent : les données ?

Pour Rena Tagens l’ambition de l’entreprise Change.org, qui est de devenir l’Amazon de la pétition politique et sociale, l’a incitée à s’éloigner de ses tendances progressistes initiales et à accepter des clients et des utilisateurs dont les initiatives sont douteuses. On trouve aussi sur la plateforme des pétitions qui demandent d’autoriser le port d’armes à la Convention républicaine du 18 juillet, aux USA. Et certains l’accusent de faire de l’astroturfing, une pratique qui consiste à lancer une initiative politique en dissimulant qui est derrière, de façon à faire croire qu’elle vient de la base. Avec l’Espresso, Weichert et Tangens soulignent tous les deux que « le problème est que les données qui sont récoltées sont vraiment des données sensibles et que Change.org est située aux Etats-Unis », si bien que les données sont soumises à la surveillance des agences gouvernementales américaines, de la NSA à la CIA, comme l’ont confirmé les fichiers révélés par Snowden.

Mais Rena Tangens et Thilo Weichert, bien que tous deux critiques envers les pratiques de Change.org, soulignent qu’il est important de ne pas jeter le bébé avec l’eau du bain, car ils ne visent pas à détruire l’existence de ces plateformes : « Je crois qu’il est important qu’elles existent pour la participation démocratique, dit Thilo Weichert, mais elles doivent protéger les données ».

---

Mise à jour du 22 juillet : la traduction de cet article a entraîné une réaction officielle de Change.org France sur leur page Facebook, suite auquel nous leur avons bien évidemment proposé de venir s’exprimer en commentaire sur le blog. Ils ont (sympathiquement) accepté. Nous vous encourageons donc à prendre connaissance de leur réponse, ainsi que les commentaires qui le suivent, afin de poursuivre le débat.

Le chiffrement, s’il n’est pas encore dans tous nos usages — et loin s’en faut, chez la plupart des utilisateurs, est nettement devenu un argument marketing et une priorité pour les entreprises qui distribuent logiciels et services. En effet, le grand public est beaucoup plus sensible désormais à l’argument de la sécurité de la vie privée. Donc les services qui permettent la communication en ligne rivalisent d’annonces pour promettre et garantir une sécurité toujours plus grande et que l’on puisse activer d’un simple clic.

Que faut-il croire, à qui et quoi pouvons-nous confier nos communications ?

L’article de Hannes Hauswedell que nous avons traduit nous aide à faire un tri salutaire entre les solutions logicielles du marché, pointe les faux-semblants et les failles, puis nous conduit tranquillement à envisager des solutions fédérées et pair à pair reposant sur des logiciels libres. Des réseaux de confiance en somme, ce qui est proche de l’esprit de l’initiative C.H.A.T.O.N.S portée par Framasoft et qui suscite déjà un intérêt grandissant.

Comme d’habitude les commentaires sont ouverts et libres si vous souhaitez par exemple ajouter vos découvertes à ce recensement critique forcément incomplet.

 

Préserver sa vie privée, au-delà du chiffrement

par Hannes Hauswedell

d’après l’article publié sur son blog : Why Privacy is more than Crypto

Traduction Framalang : egilli, Lumi, goofy, roptat, lyn, tchevalier, touriste, Edgar Lori, Penguin

Au cours de l’année dernière on a pu croire que les poules avaient des dents quand les grandes entreprises hégémoniques comme Apple, Google et Facebook ont toutes mis en œuvre le chiffrement à un degré ou un autre. Pour Facebook avec WhatsApp et Google avec Allo, le chiffrement de la messagerie a même été implémenté par rien moins que le célèbre Moxie Marlinspike, un hacker anarchiste qui a la bénédiction d’Edward Snowden !
Donc tout est pour le mieux sur le front de la défense de la vie privée !… Euh, vraiment ?

Sommaire

1. Le chiffrement
2. Logiciels libres et intégrité des appareils
3. Décentralisation, contrôle par les distributeurs et métadonnées
4. En deux mots (pour les moins courageux)

J’ai déjà développé mon point de vue sur la sécurité de la messagerie mobile et j’en ai parlé dans un podcast (en allemand). Mais j’ai pensé qu’il fallait que j’y revienne, car il existe une certaine confusion sur ce que signifient sécurité et confidentialité (en général, mais particulièrement dans le contexte de la messagerie), et parce que les récentes annonces dans ce domaine ne donnent selon moi qu’un sentiment illusoire de sécurité.

Je vais parler de WhatsApp et de Facebook Messenger (tous deux propriétés de Facebook), de Skype (possédé par Microsoft), de Telegram, de Signal (Open Whisper systems), Threema (Threema GmbH), Allo (possédé par Google) et de quelques clients XMPP, je dirai aussi un mot de ToX et Briar. Je n’aborderai pas les diverses fonctionnalités mêmes si elles sont liées à la confidentialité, comme les notifications évidemment mal conçues du type « le message a été lu ». Je n’aborderai pas non plus les questions d’anonymat qui sont connexes, mais selon moi moins importantes lorsqu’il s’agit d’applis de substitution aux SMS, puisque vous connaissez vos contacts de toutes façons.

Le chiffrement

Quand on parle de confidentialité ou de sécurité des communications dans les messageries, il s’agit souvent de chiffrement ou, plus précisément, du chiffrement des données qui se déplacent, de la protection de vos messages pendant qu’ils voyagent vers vos contacts.

Il existe trois moyens classiques pour faire cela :

1. pas de chiffrement : tout le monde sur votre réseau WIFI local ou un administrateur système quelconque du réseau internet peut lire vos données
2. le chiffrement en transit : la connexion au et à partir du fournisseur de service, par exemple les serveurs WhatsApp, et entre les fournisseurs de services est sécurisée, mais le fournisseur de service peut lire le message
3. le chiffrement de bout en bout : le message est lisible uniquement par ceux à qui la conversation est adressée, mais le moment de la communication et les participants sont connus du fournisseur de service

Il y a aussi une propriété appelée « confidentialité persistante » (perfect forward secrecy en anglais) qui assure que les communications passées ne peuvent être déchiffrées, même si la clef à long terme est révélée ou volée.

À l’époque, la plupart des applications, même WhatsApp, appartenaient à la première catégorie. Mais aujourd’hui presque toutes les applications sont au moins dans la deuxième. La probabilité d’un espionnage insoupçonné en est réduite (c’est toujours possible pour les courriels par exemple), mais ce n’est évidemment pas suffisant, puisque le fournisseur de service peut être malveillant ou forcé de coopérer avec des gouvernements malveillants ou des agences d’espionnage sans contrôle démocratique.

C’est pour cela que vous voulez que votre messagerie fasse du chiffrement de bout en bout. Actuellement, les messageries suivantes le font (classées par taille supposée) : WhatsApp, Signal, Threema, les clients XMPP avec GPG/OTR/Omemo (ChatSecure, Conversations, Kontalk).

Les messageries qui disposent d’un mode spécifique (« chat secret » ou « mode incognito ») sont Telegram et Google Allo. Il est vraiment dommage qu’il ne soit pas activé par défaut, donc je ne vous les recommande pas. Si vous devez utiliser l’un de ces programmes, assurez-vous toujours d’avoir sélectionné le mode privé. Il est à noter que les experts considèrent que le chiffrement de bout en bout de Telegram est moins robuste, même s’ils s’accordent à dire que les attaques concrètes pour récupérer le texte d’un message ne sont pas envisageables.

D’autres programmes populaires, comme la messagerie de Facebook ou Skype n’utilisent pas de chiffrement de bout en bout, et devraient être évités. Il a été prouvé que Skype analyse vos messages, je ne m’attarderai donc pas sur ces deux-là.

Logiciels libres et intégrité des appareils

Donc maintenant, les données sont en sécurité tant qu’elles voyagent de vous à votre ami. Mais qu’en est-il avant et après leur envoi ? Ne pouvez-vous pas aussi tenter d’espionner le téléphone de l’expéditeur ou du destinataire avant qu’elles ne soient envoyées et après leur réception ? Oui c’est possible et en Allemagne le gouvernement a déjà activement utilisé la « Quellen-Telekommunikationsüberwachung » (surveillance des communications à la source) précisément pour passer outre le chiffrement.

Revenons à la distinction entre (2) et (3). La différence principale entre le chiffrement en transit et de bout en bout est que vous n’avez plus besoin de faire confiance au fournisseur de service… FAUX : Dans presque tous les cas, la personne qui fait tourner le serveur est la même que celle qui fournit le programme. Donc forcément, vous devez croire que le logiciel fait bien ce qu’il dit faire. Ou plutôt, il doit y avoir des moyens sociaux et techniques qui vous donnent suffisamment de certitude que le logiciel est digne de confiance. Sinon, la valeur ajoutée du chiffrement de bout en bout est bien maigre.

La liberté des logiciels

C’est maintenant que le logiciel libre entre en jeu. Si le code source est publié, il y aura un grand nombre de hackers et de volontaires pour vérifier que le programme chiffre vraiment le contenu. Bien que ce contrôle public ne puisse vous donner une sécurité parfaite, ce processus est largement reconnu comme étant le meilleur pour assurer qu’un programme est globalement sûr et que les problèmes de sécurité sont découverts (et aussi corrigés). Le logiciel libre permet aussi de créer des versions non officielles ou rivales de l’application de messagerie, qui seront compatibles. S’il y a certaines choses que vous n’aimez pas ou auxquelles vous ne faites pas confiance dans l’application officielle, vous pourrez alors toujours en choisir une autre et continuer de chatter avec vos amis.

Certaines compagnies comme Threema qui ne fournissent pas leurs sources assurent évidemment qu’elles ne sont pas nécessaires pour avoir confiance. Elles affirment que leur code a été audité par une autre compagnie (qu’ils ont généralement payée pour cela), mais si vous ne faites pas confiance à la première, pourquoi faire confiance à une autre engagée par celle-ci ? Plus important, comment savoir que la version vérifiée par le tiers est bien la même version que celle installée sur votre téléphone ? (Vous recevez des mises à jours régulières ou non ?)

Cela vaut aussi pour les gouvernements et les entités publiques qui font ce genre d’audits. En fonction de votre modèle de menace ou de vos suppositions sur la société, vous pourriez être enclins à faire confiance aux institutions publiques plus qu’aux institutions privées (ou inversement), mais si vous regardez vers l’Allemagne par exemple, avec le TÜV il n’y a en fait qu’une seule organisation vérificatrice, que ce soit sur la valeur de confiance des applications de messagerie ou concernant la quantité de pollution émise par les voitures. Et nous savons bien à quoi cela a mené !

La confiance

Quand vous décidez si vous faites confiance à un tiers, vous devez donc prendre en compte :

• la bienveillance : le tiers ne veut pas compromettre votre vie privée et/ou il est lui-même concerné
• la compétence : le tiers est techniquement capable de protéger votre vie privée et d’identifier et de corriger les problèmes
• l’intégrité : le tiers ne peut pas être acheté, corrompu ou infiltré par des services secrets ou d’autres tiers malveillants

Après les révélations de Snowden, il est évident que le public est le seul tiers qui peut remplir collectivement ces prérequis ; donc la mise à disposition publique du code source est cruciale. Cela écarte d’emblée WhatsApp, Google Allo et Threema.

« Attendez une minute… mais n’existe-t-il aucun autre moyen de vérifier que les données qui transitent sont bien chiffrées ? » Ah, bien sûr qu’il en existe, comme Threema le fera remarquer, ou d’autres personnes pour WhatsApp. Mais l’aspect important, c’est que le fournisseur de service contrôle l’application sur votre appareil, et peut intercepter les messages avant le chiffrement ou après le déchiffrement, ou simplement « voler » vos clés de chiffrement. « Je ne crois pas que X fasse une chose pareille. » Gardez bien à l’esprit que, même si vous faites confiance à Facebook ou Google (et vous ne devriez pas), pouvez-vous vraiment leur faire confiance pour ne pas obéir à des décisions de justice ? Si oui, alors pourquoi vouliez-vous du chiffrement de bout en bout ? « Quelqu’un s’en apercevrait, non ? » Difficile à dire ; s’ils le faisaient tout le temps, vous pourriez être capable de vous en apercevoir en analysant l’application. Mais peut-être qu’ils font simplement ceci :

si (listeDeSuspects.contient(utilisateurID))
 envoyerClefSecreteAuServeur() ;

Alors seules quelques personnes sont affectées, et le comportement ne se manifeste jamais dans des « conditions de laboratoire ». Ou bien la génération de votre clé est trafiquée, de sorte qu’elle soit moins aléatoire, ou qu’elle adopte une forme plus facile à pirater. Il existe plusieurs approches, et la plupart peuvent facilement être déployées dans une mise à jour ultérieure, ou cachée parmi d’autres fonctionnalités. Notez bien également qu’il est assez facile de se retrouver dans la liste de suspects, car le règlement actuel de la NSA assure de pouvoir y ajouter plus de 25 000 personnes pour chaque suspect « originel ».

À la lumière de ces informations, on comprend qu’il est très regrettable que Open Whisper Systems et Moxie Marlinspike (le célèbre auteur de Signal, mentionné précédemment) fassent publiquement les louanges de Facebook et de Google, augmentant ainsi la confiance en leurs applications [bien qu’il ne soit pas mauvais en soi qu’ils aient aidé à mettre en place le chiffrement, bien sûr]. Je suis assez confiant pour dire qu’ils ne peuvent pas exclure un des scénarios précédents, car ils n’ont pas vu le code source complet des applications, et ne savent pas non plus ce que vont contenir les mises à jour à l’avenir – et nous ne voudrions de toutes façons pas dépendre d’eux pour nous en assurer !

La messagerie Signal

« OK, j’ai compris. Je vais utiliser des logiciels libres et open source. Comme le Signal d’origine ». C’est là que ça se complique. Bien que le code source du logiciel client Signal soit libre/ouvert, il dépend d’autres composants non libres/fermés/propriétaires pour fonctionner. Ces composants ne sont pas essentiels au fonctionnement, mais ils (a) fournissent des métadonnées à Google (plus de détails sur les métadonnées plus loin) et (b) compromettent l’intégrité de votre appareil.

Le dernier point signifie que si même une petite partie de votre application n’est pas digne de confiance, alors le reste ne l’est pas non plus. C’est encore plus critique pour les composants qui ont des privilèges système, puisqu’ils peuvent faire tout et n’importe quoi sur votre téléphone. Et il est particulièrement impossible de faire confiance à ces composants non libres qui communiquent régulièrement des données à d’autres ordinateurs, comme ces services Google. Certes, il est vrai que ces composants sont déjà inclus dans la plupart des téléphones Android dans le monde, et il est aussi vrai qu’il y a très peu d’appareils qui fonctionnent vraiment sans aucun composant non libre, donc de mon point de vue, ce n’est pas problématique en soi de les utiliser quand ils sont disponibles. Mais rendre leur utilisation obligatoire implique d’exclure les personnes qui ont besoin d’un niveau de sécurité supérieur (même s’ils sont disponibles !) ; ou qui utilisent des versions alternatives plus sécurisées d’Android, comme CopperheadOS ; ou simplement qui ont un téléphone sans ces services Google (très courant dans les pays en voie de développement). Au final, Signal créé un « effet réseau » qui dissuade d’améliorer la confiance globale d’un appareil mobile, parce qu’il punit les utilisateurs qui le font. Cela discrédite beaucoup de promesses faites par ses auteurs.

Et voici le pire : Open Whisper Systems, non seulement, ne supporte pas les systèmes complètements libres, mais a également menacé de prendre des mesures légales afin d’empêcher les développeurs indépendants de proposer une version modifiée de l’application client Signal qui fonctionnerait sans les composants propriétaires de Google et pourrait toujours interagir avec les autres utilisateurs de Signal ([1] [2] [3]). À cause de cela, des projets indépendants comme LibreSignal sont actuellement bloqués. En contradiction avec leur licence libre, ils s’opposent à tout client du réseau qu’ils ne distribuent pas. De ce point de vue, l’application Signal est moins utilisable et moins fiable que par exemple Telegram qui encourage les clients indépendants à utiliser leurs serveurs et qui propose des versions entièrement libres.

Juste pour que je ne donne pas de mauvaise impression : je ne crois pas qu’il y ait une sorte de conspiration entre Google et Moxie Marlinspike, et je les remercie de mettre au clair leur position de manière amicale (au moins dans leur dernière déclaration), mais je pense que la protection agressive de leur marque et leur insistance à contrôler tous les logiciels clients de leur réseau met à mal la lutte globale pour des communications fiables.

Décentralisation, contrôle par les distributeurs et métadonnées

Un aspect important d’un réseau de communication est sa topologie, c’est-à-dire la façon dont le réseau est structuré. Comme le montre l’image ci-dessous, il y a plusieurs approches, toutes (plus ou moins) largement répandues. La section précédente concernait ce qui se passe sur votre téléphone, alors que celle-ci traite de ce qui se passe sur les serveurs, et du rôle qu’ils jouent. Il est important de noter que, même dans des réseaux centralisés, certaines communications ont lieu en pair-à-pair (c’est-à-dire sans passer par le centre) ; mais ce qui fait la différence, c’est qu’il nécessitent des serveurs centraux pour fonctionner.

Réseaux centralisés

Les réseaux centralisés sont les plus courants : toutes les applications mentionnées plus haut (WhatsApp, Telegram, Signal, Threema, Allo) reposent sur des réseaux centralisés. Bien que beaucoup de services Internet ont été décentralisés dans le passé, comme l’e-mail ou le World Wide Web, beaucoup de services centralisés ont vu le jour ces dernières années. On peut dire, par exemple, que Facebook est un service centralisé construit sur la structure WWW, à l’origine décentralisée.

Les réseaux centralisés font souvent partie d’une marque ou d’un produit plus global, présenté comme une seule solution (au problème des SMS, dans notre cas). Pour les entreprises qui vendent ou qui offrent ces solutions, cela présente l’avantage d’avoir un contrôle total sur le système, et de pouvoir le changer assez rapidement, pour offrir (ou imposer) de nouvelles fonctionnalités à tous les utilisateurs.

Même si l’on suppose que le service fournit un chiffrement de bout en bout, et même s’il existe une application cliente en logiciel libre, il reste toujours les problèmes suivants :

métadonnées : le contenu de vos messages est chiffré, mais l’information qui/quand/où est toujours accessible pour votre fournisseur de service
déni de service : le fournisseur de service ou votre gouvernement peuvent bloquer votre accès au service

Il y a également ce problème plus général : un service centralisé, géré par un fournisseur privé, peut décider quelles fonctionnalités ajouter, indépendamment du fait que ses utilisateurs les considèrent vraiment comme des fonctionnalités ou des « anti-fonctionnalités », par exemple en indiquant aux autres utilisateurs si vous êtes « en ligne » ou non. Certaines de ces fonctionnalités peuvent être supprimées de l’application sur votre téléphone si c’est du logiciel libre, mais d’autres sont liées à la structure centralisée. J’écrirai peut-être un jour un autre article sur ce sujet.

Métadonnées

Comme expliqué précédemment, les métadonnées sont toutes les données qui ne sont pas le message. On pourrait croire que ce ne sont pas des données importantes, mais de récentes études montrent l’inverse. Voici des exemples de ce qu’incluent les métadonnées : quand vous êtes en ligne, si votre téléphone a un accès internet, la date et l’heure d’envoi des messages et avec qui vous communiquez, une estimation grossière de la taille du message, votre adresse IP qui peut révéler assez précisément où vous vous trouvez (au travail, à la maison, hors de la ville, et cætera), éventuellement aussi des informations liées à la sécurité de votre appareil (le système d’exploitation, le modèle…). Ces informations sont une grande menace contre votre vie privée et les services secrets américains les utilisent réellement pour justifier des meurtres ciblés (voir ci-dessus).

La quantité de métadonnées qu’un service centralisé peut voir dépend de leur implémentation précise. Par exemple, les discussions de groupe avec Signal et probablement Threema sont implémentées dans le client, donc en théorie le serveur n’est pas au courant. Cependant, le serveur a l’horodatage de vos communications et peut probablement les corréler. De nouveau, il est important de noter que si le fournisseur de service n’enregistre pas ces informations par défaut (certaines informations doivent être préservées, d’autres peuvent être supprimées immédiatement), il peut être forcé à enregistrer plus de données par des agences de renseignement. Signal (comme nous l’avons vu) ne fonctionne qu’avec des composants non-libres de Google ou Apple qui ont alors toujours une part de vos métadonnées, en particulier votre adresse IP (et donc votre position géographique) et la date à laquelle vous avez reçu des messages.

Pour plus d’informations sur les métadonnées, regardez ici ou là.

Déni de service

Un autre inconvénient majeur des services centralisés est qu’ils peuvent décider de ne pas vous servir du tout s’ils le veulent ou qu’ils y sont contraints par la loi. Comme nombre de services demandent votre numéro lors de l’enregistrement et sont opérés depuis les États-Unis, ils peuvent vous refuser le service si vous êtes cubain par exemple. C’est particulièrement important puisqu’on parle de chiffrement qui est grandement régulé aux États-Unis.

L’Allemagne vient d’introduire une nouvelle loi antiterroriste dont une partie oblige à décliner son identité lors de l’achat d’une carte SIM, même prépayée. Bien que l’hypothèse soit peu probable, cela permettrait d’établir une liste noire de personnes et de faire pression sur les entreprises pour les exclure du service.

Plutôt que de travailler en coopération avec les entreprises, un gouvernement mal intentionné peut bien sûr aussi cibler le service directement. Les services opérés depuis quelques serveurs centraux sont bien plus vulnérables à des blocages nationaux. C’est ce qui s’est passé pour Signal et Telegram en Chine.

Réseaux déconnectés

Lorsque le code source du serveur est libre, vous pouvez monter votre propre service si vous n’avez pas confiance dans le fournisseur. Ça ressemble à un gros avantage, et Moxie Marlinspike le défend ainsi :

Avant vous pouviez changer d’hébergeur, ou même décider d’utiliser votre propre serveur, maintenant les utilisateurs changent simplement de réseau complet. […] Si un fournisseur centralisé avec une infrastructure ouverte modifiait affreusement ses conditions, ceux qui ne seraient pas d’accord ont le logiciel qu’il faut pour utiliser leur propre alternative à la place.

Et bien sûr, c’est toujours mieux que de ne pas avoir le choix, mais la valeur intrinsèque d’un réseau « social » vient des gens qui l’utilisent et ce n’est pas évident de changer si vous perdez le lien avec vos amis. C’est pour cela que les alternatives à Facebook ont tant de mal. Mme si elles étaient meilleures sur tous les aspects, elles n’ont pas vos amis.

Certes, c’est plus simple pour les applications mobiles qui identifient les gens via leur numéro, parce qu’au moins vous pouvez trouver vos amis rapidement sur un nouveau réseau, mais pour toutes les personnes non techniciennes, c’est très perturbant d’avoir 5 applications différentes juste pour rester en contact avec la plupart de ses amis, donc changer de réseau ne devrait qu’être un dernier recours.

Notez qu’OpenWhisperSystems se réclame de cette catégorie, mais en fait ils ne publient que des parties du code du serveur de Signal, de sorte que vous ne soyez pas capables de monter un serveur avec les mêmes fonctionnalités (plus précisément la partie téléphonie manque).

La fédération

La fédération est un concept qui résout le problème mentionné plus haut en permettant en plus aux fournisseurs de service de communiquer entre eux. Donc vous pouvez changer de fournisseur, et peut-être même d’application, tout en continuant à communiquer avec les personnes enregistrées sur votre ancien serveur. L’e-mail est un exemple typique d’un système fédéré : peu importe que vous soyez tom@gmail.com ou jeanne@yahoo.com ou même linda@serveur-dans-ma-cave.com, tout le monde peut parler avec tout le monde. Imaginez combien cela serait ridicule, si vous ne pouviez communiquer qu’avec les personnes qui utilisent le même fournisseur que vous ?

L’inconvénient, pour un développeur et/ou une entreprise, c’est de devoir définir publiquement les protocoles de communication, et comme le processus de standardisation peut être compliqué et très long, vous avez moins de flexibilité pour modifier le système. Je reconnais qu’il devient plus difficile de rendre les bonnes fonctionnalités rapidement disponibles pour la plupart des gens, mais comme je l’ai dit plus haut, je pense que, d’un point de vue de la vie privée et de la sécurité, c’est vraiment une fonctionnalité, car plus de gens sont impliqués et plus cela diminue la possibilité pour le fournisseur d’imposer des fonctionnalités non souhaitées aux utilisateurs ; mais surtout car cela fait disparaître « l’effet d’enfermement ». Cerise sur le gâteau, ce type de réseau produit rapidement plusieurs implémentations du logiciel, à la fois pour l’application utilisateur et pour le logiciel serveur. Cela rend le système plus robuste face aux attaques et garantit que les failles ou les bugs présents dans un logiciel n’affectent pas le système dans son ensemble.

Et, bien sûr, comme évoqué précédemment, les métadonnées sont réparties entre plusieurs fournisseurs (ce qui rend plus difficile de tracer tous les utilisateurs à la fois), et vous pouvez choisir lequel aura les vôtres, voire mettre en place votre propre serveur. De plus, il devient très difficile de bloquer tous les fournisseurs, et vous pouvez en changer si l’un d’entre eux vous rejette (voir « Déni de service » ci-dessus).

Une remarque au passage : il faut bien préciser que la fédération n’impose pas que des métadonnées soient vues par votre fournisseur d’accès et celui de votre pair. Dans le cas de la messagerie électronique, cela représente beaucoup, mais ce n’est pas une nécessité pour la fédération par elle-même, c’est-à-dire qu’une structure fédérée bien conçue peut éviter de partager les métadonnées dans les échanges entre fournisseurs d’accès, si l’on excepte le fait qu’il existe un compte utilisateur avec un certain identifiant sur le serveur.

Alors est-ce qu’il existe un système identique pour la messagerie instantanée et les SMS ? Oui, ça existe, et ça s’appelle XMPP. Alors qu’initialement ce protocole n’incluait pas de chiffrement fort, maintenant on y trouve un chiffrement du même niveau de sécurité que pour Signal. Il existe aussi de très bonnes applications pour mobile sous Android (« Conversations ») et sous iOS (« ChatSecure »), et pour d’autres plateformes dans le monde également.

Inconvénients ? Comme pour la messagerie électronique, il faut d’abord vous enregistrer pour créer un compte quelque part et il n’existe aucune association automatique avec les numéros de téléphone, vous devez donc convaincre vos amis d’utiliser ce chouette nouveau programme, mais aussi trouver quels fournisseur d’accès et nom d’utilisateur ils ont choisis. L’absence de lien avec le numéro de téléphone peut être considérée par certains comme une fonctionnalité intéressante, mais pour remplacer les SMS ça ne fait pas l’affaire.

La solution : Kontalk, un client de messagerie qui repose sur XMPP et qui automatise les contacts via votre carnet d’adresses. Malheureusement, cette application n’est pas encore aussi avancée que d’autres mentionnées plus haut. Par exemple, il lui manque la gestion des groupes de discussion et la compatibilité avec iOS. Mais Kontalk est une preuve tangible qu’il est possible d’avoir avec XMPP les mêmes fonctionnalités que l’on trouve avec WhatsApp ou Telegram. Selon moi, donc, ce n’est qu’une question de temps avant que ces solutions fédérées ne soient au même niveau et d’une ergonomie équivalente. Certains partagent ce point de vue, d’autres non.

Réseaux pair à pair

Les réseaux pair à pair éliminent complètement le serveur et par conséquent toute concentration centralisée de métadonnées. Ce type de réseaux est sans égal en termes de liberté et il est pratiquement impossible à bloquer par une autorité. ToX est un exemple d’application pair à pair, ou encore Ricochet (pas pour mobile cependant), et il existe aussi Briar qui est encore en cours de développement, mais ajoute l’anonymat, de sorte que même votre pair ne connaît pas votre adresse IP. Malheureusement il existe des problèmes de principe liés aux appareils mobiles qui rendent difficile de maintenir les nombreuses connexions que demandent ces réseaux. De plus il semble impossible pour le moment d’associer un numéro de téléphone à un utilisateur, si bien qu’il est impossible d’avoir recours à la détection automatique des contacts.

Je ne crois pas actuellement qu’il soit possible que ce genre d’applications prenne des parts de marché à WhatsApp, mais elles peuvent être utiles dans certains cas, en particulier si vous êtes la cible de la surveillance et/ou membre d’un groupe qui décide collectivement de passer à ces applications pour communiquer, une organisation politique par exemple.

 

En deux mots

• La confidentialité de nos données privées est l’objet d’un intérêt accru et les utilisateurs cherchent activement à se protéger mieux.
• On peut considérer que c’est un bon signe quand les distributeurs principaux de logiciels comprennent qu’ils doivent réagir à cette situation en ajoutant du chiffrement à leurs logiciels ; et qui sait, il est possible que ça complique un peu la tâche de la NSA.
• Toutefois, il n’y a aucune raison de leur faire plus confiance qu’auparavant, puisqu’il n’existe aucun moyen à notre disposition pour savoir ce que font véritablement les applications, et parce qu’il leur reste beaucoup de façons de nous espionner.
• Si en ce moment vous utilisez WhatsApp, Skype, Threema ou Allo et que vous souhaitez avoir une expérience comparable, vous pouvez envisager de passer à Telegram ou Signal. Ils valent mieux que les précédents (pour diverses raisons), mais ils sont loin d’être parfaits, comme je l’ai montré. Nous avons besoin à moyen et long terme d’une fédération.
• Même s’ils nous paraissent des gens sympas et des hackers surdoués, nous ne pouvons faire confiance à OpenWhisperSystemspour nous délivrer de la surveillance, car ils sont aveugles à certains problèmes et pas très ouverts à la coopération avec la communauté.
• Des trucs assez sympas se préparent du côté du XMPP, surveillez Conversations, chatSecure et Kontalk. Si vous le pouvez, soutenez-les avec du code, des dons et des messages amicaux.
• Si vous souhaitez une approche sans aucune métadonnée et/ou anonymat, essayez Tor ou ToX, ou attendez Briar.

 

Si vous vous intéressez au libre pour l’école primaire, vous connaissez forcément AbulÉdu. Si ce n’est pas le cas, vous pouvez vous rafraîchir la mémoire avec les précédents articles parus ici même : le premier et le deuxième.
Deux grosses annonces sont tombées ces derniers jours dans l’écosystème AbulÉdu ; une mauvaise et une bonne qui, nous l’espérons, deviendra excellente. Pour nous expliquer tout cela, rencontrons les membres de l’association AbulEdu-fr

Commençons tout de suite par la mauvaise nouvelle, la société RyXeo, qui édite la solution libre AbulÉdu, est en liquidation judiciaire après 13 ans d’existence. Pour quelles raisons ?

Les grandes catastrophes sont souvent provoquées par une multitude de petits problèmes, c’est ce qui est arrivé à RyXéo :

• un projet sans doute trop grand pour une petite équipe de 8 personnes sans ressource financière autre que ses clients et quelques petites subventions alors que le budget annuel devrait tourner dans les 500 000 €, on s’en est tiré avec à peu près la moitié,
• des partenaires qui ne portent pas les valeurs du libre et avec lesquels nous avons perdu beaucoup de temps à essayer de faire comprendre que c’est pourtant la seule chose importante pour l’école,
• des clients (mairies) qui n’utilisent pas ce pourquoi ils paient et ont tendance à chercher où gratter quelques centaines d’euros par an pour réduire leurs dépenses (réduction liée à la baisse des dotations de l’état)
• des politiques publiques chaotiques : parfois on annonce que le libre est une bonne chose (1er ministre) et ensuite on signe un partenariat avec Microsoft (Éducation nationale), les utilisateurs sont perdus et les responsables des commandes publiques ne savent plus ce qu’il faut faire ;
• il en va de même sur les annonces des dotations budgétaires : exemple le 2 juin le président annonce que finalement la dotation aux mairies sera réévaluée … conséquence les mairies ne savent pas si elles peuvent investir ou non, et l’école passe souvent dans les derniers choix d’investissements… et l’informatique scolaire encore bien après,
• une « trop grande » éthique de la part de nos relais à l’intérieur de l’institution qui sont toujours un peu embêtés lorsqu’ils parlent d’AbulÉdu et ont l’impression d’être le « commercial de RyXéo » alors que leurs collègues ne se privent pas de faire de la pub pour les GAFAM à tour de bras. La fin de Ryxeo va leur donner beaucoup d’oxygène, ils ne risqueront plus d’être coincés entre leur devoir de réserve de fonctionnaire et l’existence d’une société commerciale qui vend AbulÉdu,
• quasi zéro budget communication pour Ryxeo, seul le bouche à oreille nous a permis de nous développer,
• une trop grande gentillesse et « compréhension » pour toutes ces « petites mairies à petit budget » à qui nous avons consenti des heures de hotline sans les facturer alors qu’il fallait bien payer les salaires correspondant à ce service,
• l’impossibilité de licencier un membre de l’équipe, chacun étant indispensable et surtout le coût lié à un licenciement économique n’était pas possible (ce genre de calcul est un peu complexe à comprendre mais grosso-modo quand on licencie un salarié pour raison économique, il coûte d’un coup environ 4 mois de salaire… ce qui représente une dépense instantanée souvent impossible à assumer sur la trésorerie disponible),
• le lancement des tablettes, produit super prometteur mais pour lequel nous avions besoin d’un investissement … qui n’est jamais venu.

Bref, tout ceci mis bout à bout nous a conduit à la catastrophe qu’on connaît. Ajoutez une baisse d’implication commerciale du patron de la boite qui s’est recentré sur la technique depuis plusieurs mois et vous avez malheureusement un cocktail détonant.

 

Une des difficultés n’est-elle pas également de s’adresser aux écoles primaires et donc aux mairies ? Les sociétés qui proposent des solutions aux collèges et lycées ont plus de facilité.

Je ne pense hélas pas que nous verrons beaucoup de collèges équipés avec des solutions basées sur le logiciel libre. Effectivement certains collèges sont équipés avec des serveurs basés sur des solutions libres mais la plupart des postes individuels sont sous windows. Et le récent accord n’est pas prêt de changer la donne.

 

Treize ans, cela reste une superbe aventure. Une anecdote, un souvenir particulier à nous faire partager ?

Des tonnes. La plus intéressante c’est l’anecdote qui porte le nom de… RyXéo tout simplement : c’est qu’on a prouvé que c’était possible de vivre correctement d’un rêve, d’une utopie, qu’on peut facturer pour du logiciel libre, qu’on peut le faire, qu’il ne faut pas être résigné à acheter des produits en conserve et à les consommer comme des programmes télévisés. Qu’on peut se prendre en main et qu’on peut prendre en main l’avenir numérique des outils d’éducation de nos enfants… C’est possible, on l’a fait, on le prouvait jour après jour. Une boite de 8 personnes qui tient plus de 10 ans c’est pas une coïncidence, c’est pas un hasard, c’est pas un « accident », c’est que ça marche pour de vrai.

 

RyXeo étant en liquidation, c’est la fin d’AbulÉdu ?

Le projet AbulÉdu n’est pas mort, c’est un projet issu du monde associatif et porté par une communauté. RyXéo en était certes le moteur, puisqu’il a permis de salarier développeurs et graphistes et de faire avancer ce projet tout en le rendant attractif, mais il continuera sa route avec deux autres moteurs identifiés, les associations AbulÉdu-fr et Abul et peut-être d’autres. C’est une des forces du logiciel libre, il nous permet cette continuité et de rebondir.

 

Quel va être justement le rôle de l’association AbulÉdu-fr ?

Pour être complet, il y a deux associations qui unissent leurs forces pour la continuité du projet AbulÉdu : l’association AbulÉdu-Fr mais aussi l’Abul qui compte parmi les pionniers dans la promotion du logiciel libre en France. Dans cette nouvelle gouvernance qu’il va falloir inventer, AbulÉdu-fr peut s’appuyer sur son savoir faire autour des usages et des relations avec les utilisateurs, l’Abul quant à elle pourra se concentrer sur l’infrastructure technique.

 

Sans être exhaustif, pouvez-vous nous présenter quelques grands projets mis en place par AbulÉdu-fr ?

Le premier qui me vient à l’esprit est Babytwit tant son succès a été rapide et grandissant. Il s’agit d’un site de micro-blogging libre et éthique dédié principalement à la communauté éducative. Une alternative à Twitter dont la publicité est absente et où les données personnelles des utilisateurs ne sont pas monnayées. Je pourrais également citer QiRo, site de questions-réponses où tout le monde peut poser une question ou apporter une réponse. Comment ne pas également parler de data.abuledu.org, banque de ressources brutes sous licences libres (dont Framasoft héberge d’ailleurs un miroir) ?

À ce propos, j’aimerais souligner la partie plus « invisible » de l’activité des membres de l’association : « data » rassemble 30 000 ressources qui ont toutes été proposées, décrites, indexées et modérées par la communauté. Certains membres de l’association accompagnent régulièrement des classes dans la mise en œuvre de projets numériques, d’autres sont très présents sur Babytwit et y animent des activités ou répondent aux messages des élèves.

Comme il ne s’agit pas d’être exhaustif, je ne parlerai pas de la rédaction de tutoriels ou de documentations, des comptes-rendus d’expérimentation, de la prescription de nouveaux services…

 

Vous lancez donc, et c’est la bonne nouvelle, une campagne de financement participatif. Avec quels objectifs ?

L’enjeu primordial est de rendre accessibles un ensemble de ressources pédagogiques et d’outils numériques en dehors de toutes pressions commerciales, au nom de la neutralité, de l’éthique et de l’idée que l’on se fait de l’éducation. Pour y contribuer nous pensons essentiel de passer d’un modèle économique d’éditeur de logiciels à un modèle associatif où chaque nouveau développement ne sera financé qu’une seule fois pour être ensuite disponible pour tous. Cela implique de trouver d’autres moyens de développement de nos ressources, mais aussi d’adapter les ressources actuelles à ce nouveau fonctionnement. C’est pourquoi nous visons deux paliers (l’un à 25000€ et l’autre à 50000€) dont vous trouverez les détails ici sur la page de la campagne.

Il faut sauver AbulÉdu et nous avons besoin de votre aide financière pour cela.

 

Cette année (oui, dans l’éducation nationale on parle en année scolaire) on a beaucoup entendu parler de l’éducation nationale pour ses liens très étroits avec des logiciels privateurs. Le ministère a-t-il connaissance du projet AbulÉdu et de sa pertinence pour ses écoles ?

Oui, le projet AbulÉdu est connu au ministère. Le serveur AbulÉdu par exemple est référencé dans le guide pratique de mise en place du filtrage des sites Internet sur le site EducNet.

De plus, suite à l’accord passé entre Microsoft et le ministère au mois de novembre dernier nous avons écrit au ministère pour exprimer notre sentiment vis à vis de ce partenariat et également rappeler l’existence du projet AbulÉdu. Au mois de janvier nous avons été reçus par un représentant de la Direction du Numérique Éducatif. Nous avons pu présenter le projet AbulÉdu dans son ensemble, notre interlocuteur était très attentif. Enfin, nous avons constitué un dossier de demande de subvention au mois de mars. La balle est maintenant dans le camp du ministère, nous saurons prochainement si un projet tel qu’AbulÉdu a sa place dans les écoles françaises.

 

À votre avis, quels sont les principaux freins de la percée du logiciel libre dans l’éducation ?

À mon avis, le souci principal est lié au « point de vue » ou plutôt au paradigme : le logiciel libre porte des valeurs là où le logiciel propriétaire s’appréhende d’un point de vue économique. Le logiciel libre ouvre son code source pour que chacun puisse se l’approprier, le modifier selon ses besoins et bien sûr le redistribuer là où le logiciel propriétaire verrouille tout, empêche toute diffusion autrement que par ses réseaux et tant pis s’il ne correspond pas tout à fait à tes besoins : soit tu changes de besoin, soit tu achètes la prochaine version.

Le logiciel libre refuse l’exploitation et la revente des données des utilisateurs, là où le logiciel propriétaire en fait un commerce démesuré.

Malheureusement, de nos jours, on préfère parler de données économiques brutes que de valeurs éthiques.

 

Comme vous le savez, à Framasoft, on essaie de sensibiliser à l’emprise croissante des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) dans tous les aspects de notre vie. Quand on parle GAFAM et éducation, on pense naturellement à Microsoft ou Apple. Mais Google perce de plus en plus avec des solutions comme Classrooms ou OpenOnline. Pour l’instant, Google Education vise plutôt le marché universitaire, mais n’a pas caché son ambition de couvrir l’ensemble des cycles. Les solutions Google commencent-elles à apparaître sur vos radars ?

Actuellement, le 1er degré (élèves de maternelle jusqu’au CM2) n’est pas concerné par Google Classrooms ou OpenOnline. Je devrais dire, n’est pas encore concerné. En effet, un appel à projet visant l’équipement des collégiens et des écoliers en EIM (équipement mobile individuel) a été lancé par le ministère, on en est maintenant à la 3^e phase. Il y a fort à parier que de nombreux équipements seront basés sur Android offrant ainsi à Google une porte d’entrée dans les écoles.

 

Merci à l’équipe d’AbulÉdu pour cet entretien.

Soutenir AbulÉdu sur sa page de financement participatif.

Une communauté, comment ça marche ?
Et surtout comment faire pour que ça marche bien, que ça s’épanouisse et que ça dure ?

Nous sommes bien placés pour le savoir à Framasoft, la vie quotidienne d’une communauté se fait le plus souvent en mode bazar — peut-être devrais-je dire à la gauloise — jusqu’à ce qu’une bonne volonté à l’esprit plus cartésien prenne en charge une mise en ordre efficace, avec processus, deadline et animation d’une équipe (nous appelons ça des « comités »). Heureusement notre projet pluriannuel et planétaire dégooglisons internet nous fixe les grandes lignes d’une action qui reste empirique au jour le jour. Heureusement aussi que nous pouvons compter sur vous pour nous propulser, car c’est ainsi que nous avançons.
Bref, nous avons beaucoup à apprendre du nouveau Framabook que nous vous présentons aujourd’hui, car il s’agit d’un ouvrage fondé sur l’expérience et des cas concrets, et dont la démarche est celle d’un guide pas à pas pour une gestion optimale d’une communauté autour d’un projet libre. Vous allez le découvrir dans ce précieux manuel, les trois compères qui l’ont conçu n’ont rien oublié, car tous les détails qu’ils abordent peuvent s’avérer décisifs pour une communauté.
Avant d’ouvrir le Framabook qui vous attend, faisons connaissance avec Patrick et les deux Stéphane qui nous viennent d’INRIA, nous en saurons plus sur leurs motivations et l’esprit dans lequel ils ont travaillé.

Vous publiez aujourd’hui un guide très complet et riche en recommandations sur la façon d’animer une communauté. Selon votre expérience, on innove plus facilement à partir d’organisations communautaires qu’à partir de structures verticales et officielles ?

Les communautés de pratique qui se construisent autour de projets ouverts font partie des structures humaines les plus fécondes en innovations que l’on connaisse. Je dirais que l’on innove plus facilement avec des structures de type communautaire, pair à pair, encore faut-il qu’elles soient dynamiques.

Une des clés de succès est de bien choisir son modèle de gouvernance. Le modèle de gouvernance en « approche descendante » (top down) est souvent un frein à l’émergence de nouveautés, c’est même un puissant stérilisateur d’innovation. Cependant, les organisations qui ont choisi ce modèle sont alors davantage utilisatrices et/ou consommatrices d’innovation… Il est important de collaborer aussi avec ces structures. Une fois que les projets ont pris de l’élan, elles peuvent avoir du sens car elles permettent d’institutionnaliser les innovations produites.

Je crois que ces deux modes d’organisation sont complémentaires, à la condition cependant de laisser les inventions germer puis se transformer en innovations selon leur mouvement naturel qui est bottom-up.

Et dans l’institut de haut niveau où vous travaillez, on est plutôt bottom-up ou top-down ?

Le modèle Inria est selon nous à la fois une structure top down et une structure bottom up. L’écosystème bottom up est constitué des chercheurs et ingénieurs de recherche alors que le top down est représenté par les équipes de valorisation. L’organisation bottom up (accompagnée d’actions encourageant la prise d’initiatives) facilite l’émergence de projets très divers et dont l’usage dans la société est insoupçonné (quel impact ?)… en somme la structure bottom up produit de l’innovation et la structure top down pioche dedans. Tel est le cas pour Inria, pas forcément pour les projets FLOSS…

Vous publiez un guide dont le sous-titre est « Animer une communauté autour d’un projet ouvert », c’est parce que vous trouvez que les communautés libristes ne sont pas bien « animées » ?
Pas du tout ! Il nous semblait d’une part que ce sujet n’était pas encore largement traité et d’autre part que la diffusion et la mise en commun de nos expériences pouvaient être utiles. Stéphane Ribas apporte, en tant qu’expert en management de communautés, une assistance à l’ensemble des équipes de recherche et aux projets de développement logiciel au sens large chez Inria. Comme la demande est bien trop large pour être traitée par un seul spécialiste, ce guide a été écrit pour tenter d’amplifier la diffusion des quelques principes de base de la gestion de communauté.

On sent une volonté d’éducation populaire à la lecture de ce guide, qui dépasse le seul cadre du développement logiciel…

Éduc pop… oui. On est animés par une motivation intrinsèque incroyable : transmettre le savoir et le savoir-faire, se rendre utiles. Disons qu’on se rend bien compte de l’utilité de ce que l’on fait et c’est extrêmement motivant.

Ce guide est le fruit d’un travail collaboratif de longue haleine, qu’il a fallu coordonner et mener à terme, pas trop compliqué ?

Stéphane Ribas — Eh bien mes deux collègues ont dû supporter mon hyperactivité pendant presque 6 ans… Les périodes de disponibilité et les phases de l’écriture n’étaient pas toujours les mêmes, du coup la plupart des solutions sont venues d’un effort de coordination : calage de journées de travail dédiées au guide, Skype, etc. Il faut dire que la rédaction de ce guide est venue se superposer à des vies déjà bien remplies…

Patrick Guillaud — Notre proximité et le partage quotidien de nos interrogations, préoccupations et parfois de nos succès nous ont permis de finalement partager une vision commune et cohérente à partir de trois prismes ou angles de vue un peu décalés.

Est-ce que le choix de Framabook comme éditeur découle de l’aspect collaboratif de ce guide ou y a-t-il d’autres raisons qui vous ont poussés à placer cet ouvrage dans les communs ?
Patrick G. — Je crois que l’une des raisons qui nous poussent à agir est justement le fait que nous sommes de fervents supporters de la philosophie du libre, car nous sommes convaincus de son efficacité. Il ne faut pas oublier non plus que nous avons la chance de travailler dans un institut public de recherche, ce qui nous place dans des conditions idéales pour mettre cette philosophie en action, même si l’on voit de plus en plus d’entreprises privées y venir également. Cependant, après des années à travailler dans ce domaine, je crois que nos convictions vont bien au-delà, et nous sommes sûrement davantage aujourd’hui des supporters du mouvement appelé openness … D’ailleurs les conseils prodigués dans le guide Logiciels et Objets Libres s’appliquent aussi à d’autres domaines. On a mis un peu beaucoup d’openness dans ce guide (désolé pour l’anglicisme).

Il ne faut pas empêcher la transmission du savoir et du savoir-faire. À l’époque de la recherche de phénomènes autour de l’électricité, certains « scientifiques » présentaient des expériences au public comme des phénomènes magiques. C’était une mise en scène sans grande explication sur la logique de fonctionnement, l’explication était réservée à une toute petite partie de l’élite. Une deuxième école de pensée existait déjà, elle avait pour objectif de transmettre ce savoir au plus grand nombre, de pratiquer une sorte de médiation scientifique, de vulgarisation de la science. C’est bien sûr dans cette démarche que s’inscrit notre travail.

Le choix de la triple licence : LAL 1.3, GNU FDL 1.3 et CC By-SA 3.0, c’est par gourmandise ou par militantisme ?

Patrick Guillaud — Gourmandise ou militantisme ? Si je revendique le premier terme sans complexe, j’associerais volontiers celui d’activisme au second. En effet, l’un des principes qui fondent nos activités est celui d’action dont je dirais même qu’il précède notre discours militant et nous permet de le construire. On aurait pu aussi remplacer gourmandise par recherche du plaisir et militantisme par conviction.

Plus sérieusement, comment et pourquoi avez-vous choisi ces licences ?
En fait, nous avons suivi les conseils de Framasoft, mais en même temps nous convaincre était facile : nous avons plusieurs éditeurs dans le monde de la recherche qui ont mis en place des licences qui ne favorisent pas si facilement le partage et la diffusion, ou ne laissent pas de place à la reconnaissance de l’auteur… Nous avons donc très naturellement accepté la proposition de Christophe.

Vous donnez dans cet ouvrage des interviews et des cas concrets qui sont intéressants et qui complètent utilement les recommandations théoriques. Mais chez Inria, qui est une très vaste structure collaborative, comment se passe « l’animation » de la communauté ?

Patrick G. — Au sein d’Inria l’animation des communautés (je le mets au pluriel parce qu’elles sont nombreuses) se faisait au gré des vents et des courants et dépendait entièrement du contexte : lorsque l’équipe comptait un leader, charismatique et bon manager, elle était parfaite, mais parfois c’était plus compliqué. Dans ce genre de cas, un brin de méthode — on appelle ça « les bonnes pratiques » — ne peut pas faire de mal. Et c’est la fonction principale de Stéphane Ribas que d’améliorer les choses en la matière. Cela ne permet certainement pas de tout régler partout, mais cela permet de limiter la casse dans certains contextes difficiles, et surtout, à travers des activités de diffusion et « d’évangélisation », cela peut aider significativement les communautés un peu livrées à elles-mêmes de monter en compétence sur ce sujet et donc de gagner en efficience.

Stéphane R. — Il faut aussi ajouter le rôle très important de Stéphane Ubéda et de son rôle au sein d’Inria en 2011, qui ont grandement facilité la mise en place d’un service autour de la gestion de communauté, de manière plus formelle que cela ne se pratiquait auparavant au sein de l’institut. Patrick était responsable de l’animation de plusieurs projets clés dans les domaines de la science et de la société et il a beaucoup travaillé sur l’attractivité de l’institut auprès des étudiants et jeunes diplômés. En somme il a fait le community manager pour plusieurs projets structurants.

Il existe une différence sensible entre les deux exemples de cas concrets, très structurés et se déroulant dans le milieu de la recherche universitaire et/ou industrielle, et les deux projets exposés en interviews, Mozilla et Debian, pour lesquels un certain degré d’empirisme est de mise, avec un mode d’organisation non-directif qui laisse davantage de place à l’autonomie. Est-ce que vous ne voyez pas là une différence entre les projets du monde du Libre associatif et ceux du monde universitaire ?
Stéphane R. (rire) — En fait je ne suis pas sûr que la vision extérieure que l’on peut avoir d’Inria corresponde tout à fait à ce qui se passe à l’intérieur de l’institut. Les infrastructures sont entièrement au service de ses équipes de recherche, 200 environ, réparties dans et autour des huit centres implantés au niveau national. Les actions menées depuis le top management de l’institut ont plus pour but de coordonner que de contrôler. Du coup ce sont en réalité les chercheurs qui dirigent leur barque et les velléités de comportement exagérément top down sont assez efficacement filtrées. Il est permis de supposer que c’est l’un des facteurs qui font que l’institut conserve un niveau de pointe en recherche.

Vous parlez des bonnes pratiques et vous faites état de réussites (AspireRFID, Poppy Project) mais ne peut-on aussi tirer des leçons utiles des échecs ? Pour prendre à l’envers la démarche de votre ouvrage, qu’est-ce qui est défaillant lorsqu’une communauté ne fonctionne pas ?
Pour tout dire nous avons commis un article (publié chez OSS 2011) intitulé Comment tuer une communauté avec un diaporama…

Vous ne craignez pas de décourager un peu ceux qui voudraient débuter dans la gestion-animation de communauté ? Parce que, dites donc, c’est copieux tout ce processus idéal… et ça prend du temps ! Ce n’est pas possible pour une communauté de bénévoles, si ?

Oui, cette question de savoir quoi mettre et où s’arrêter a été souvent débattue. Pour l’anecdote, au départ l’idée était de produire un petit document d’une vingtaine de pages maximum, vite écrit (mouahahaha), facile à diffuser et à lire, ne donnant que quelques principes-clés. Aujourd’hui on en rit mais au milieu du gué, euh…

On a voulu faire simple mais à la fois complet. On pense que vous pouvez créer une communauté de 10 membres comme une communauté de 800 membres et plus… Le guide s’adresse à ces deux possibles configurations. On peut le lire de différentes manières : on peut s’arrêter au premier chapitre qui donne les grandes lignes de la méthode. On peut aussi, si on le souhaite, rentrer dans les détails grâce à une lecture plus approfondie du reste des chapitres. Mais on peut aussi lire ce guide en picorant certains passages, certains chapitres. Il faut prendre ce guide comme une sorte de « bible » qui vous suivra tout au long de votre vie de Community Manager.

Votre ouvrage s’adresse à des communautés institutionnelles assez structurées pour avoir une personne ou une équipe dédiée à l’animation, mais que conseilleriez-vous à des petites associations ?
Notre idée, souvent débattue également, c’est que, compte tenu du fléchage et des redites d’un chapitre sur l’autre qui permettent une lecture fractionnée ou partielle, le guide devrait être compatible avec de tout petits groupes.

D’ailleurs nous avons appliqué certaines parties pratiques du guide à un projet regroupant 5 à 7 personnes (un logiciel de preuves mathématiques) pour qu’il grossisse ! Nous avons suggéré au chef de ce projet de faire une journée de conférence à Paris où il a invité ses coopétiteurs dans le domaine, et l’avons incité à organiser une journée d’échange avec eux.

Au départ le porteur du projet n’en menait pas large mais il a trouvé l’idée intéressante. Finalement cette journée s’est avérée un joli succès : pleine d’échanges, de prises de contacts, bref, tout ce petit monde s’est retrouvé en mode coopération/compétition et le soir tout le monde était à la fois enchanté et ami. Suite à cette conférence, la communauté à plus que doublé, elle regroupe à présent vingt personnes à travers une liste de diffusion dynamique, où les collaborations sont quotidiennes. Cela peut prêter à sourire, mais ce qui nous importe c’est que le chef de projet soit heureux d’avoir créé une dynamique sur un sujet très, très pointu. Bien sûr, on en peut comparer un tel projet avec un projet grand public.

Je conseille d’utiliser ce guide comme un patchwork… à vous de picorer… picorer, picorer ! C’est vraiment un guide pour débutant, gourmand et grand spécialiste. Il est fait pour un large public et l’élaboration de mini-projets, de projets de taille moyenne, et de grands projets !

 Si vous aviez eu plus de temps/espace de publication, quel autre aspect auriez-vous abordé ? Ce sera pour une prochaine publication ?

Personnellement, je reviendrais sur la méthode pour choisir une licence, il manque des éléments tel que prendre en compte les objectifs du projet, ce que l’on veut partager et les valeurs que l’on veut transmettre. Je compléterais donc bien cette partie même si nous expliquons dans les deux cas concrets comment nous avons choisi les licences : selon les objectifs, le partage, les valeurs.

Nous sommes en 2016, et il y a encore beaucoup de mythes autour de ce sujet ! Je pense que les licences FLOSS décrivent suffisamment de règles pour ne pas ajouter des couches supplémentaires. Beaucoup trop de personnes se focalisent aussi sur le modèle économique au lieu de mettre en œuvre une gouvernance appropriée (avec le partage et les valeurs qui correspondent). On peut changer plus facilement de modèle économique que de modèle de gouvernance ou de licence. D’ailleurs je déconseille de tomber amoureux de son modèle économique ! Je compléterais bien le guide avec un chapitre sur le modèle économique appelé « consortium ».

Quelles sont les utilisations et/ou transformations que vous espérez pour ce guide ? Qui, selon vous, pourrait s’en emparer voire l’adapter ou le modifier ?

J’aimerais aussi travailler sur les communautés d’apprentissage telles qu’on les retrouve dans le monde éducatif. Il y aurait de quoi écrire un autre guide, qui ne serait pas redondant avec celui-ci : les techniques pour motiver et faire collaborer un monde de professeurs entre eux ne sont pas si simples et ne correspondent pas toujours aux motivations des communautés de pratique.

Enfin et surtout, on aimerait que les gens réagissent sur un wiki à propos du guide et nous donnent leur avis, ajoutent leurs conseils, leurs expériences… Et pourquoi pas faire une version 2 annotée avec les avis du public ?

Nous lançons aussi un appel à contribution pour nous aider à traduire le livre en espagnol, en anglais, en italien…

Nous vous laissons « 3 mots de la fin »…

— À plusieurs on est meilleurs !
— Community over code !
— Doing business on Open Source is not selling a code that we did not pay but earn his life around a code that is not sold.

On les connaît bien, les copains d’Emmabuntüs, on les a déjà cuisinés plusieurs fois, mais on aime bien les titiller, parce qu’ils ont de l’humour.
On leur a demandé ce qu’il y avait de neuf du côté de chez eux.

Bon alors vous faites une action pour les pauvres, et vous leur donnez une version pauvre d’Ubuntu ? Vous trouvez qu’ils peuvent se contenter d’une version simplifiée ?

David : Nous ne faisons pas vraiment cela pour les « pauvres », mais pour ceux qui pensent que l’informatique doit être accessible à tous, sans condition de revenus.

Et surtout, nous pensons que donner une seconde chance à un ordinateur est un choix, celui de réduire la quantité de déchets, et que pour faciliter ce choix, le prix est un des critères, c’est pour cela que souvent les ordinateurs proposés le sont à un prix attractif.

Emmabuntüs est une version simplifiée de Ubuntu dans le sens « accessible » ce qui veut dire que des débutants peuvent s’en servir, mais vous pouvez aussi très bien développer un logiciel avec, ou mettre au point un serveur de SMS pour faire du recensement de population. Le système reste une Ubuntu (bientôt une Debian), et en conserve donc toutes les possibilités.

Emmabuntüs n’est donc pas une distribution « de pauvres », mais une distribution « pour tous » 🙂 utilisée à la fois par des personnes dans le besoin et des startups très rentables. C’est ce qui fait sa force : http://emmabuntus.sourceforge.net/mediawiki/index.php/L_age_de_faire_Mars_2014

Papy du 18 : « des débutants peuvent s’en servir », ça m’intéresse… mais concrètement, comment ça se passe si je veux essayer Emmabuntüs ? Il faut que j’aille chez Emmaüs à Bourges avec mon ordinateur et on me l’installe ? Ou bien il faut que je me débrouille tout seul même si je n’y connais rien, n’ayant pas touché à un ordinateur depuis Windows 95 ? (j’ai arrêté leurs trucs d’Internet à l’époque parce que les stridences du modem me donnaient des acouphènes)

David : Eh bien le plus simple est de trouver une « install party » près de chez toi (terme barbare désignant un regroupement de gentils geeks prêts à aider les gens à installer une distribution sur leur ordinateur). Tu y trouveras toute l’aide pour installer Emmabuntüs sur ton ordinateur et apprendre à l’utiliser. Tu peux aussi demander au « GULL » local (groupe d’utilisateur de Logiciels Libres), qui t’assistera, je crois qu’il y en a un à Bourges. Si tu connais des gens utilisant Linux, ils pourront aussi certainement t’aider car la procédure d’installation est très similaire à celle des autres distributions.

Patrick : Une autre solution consiste à acheter un ordinateur sous Emmabuntüs à petit prix dans les structures qui utilisent notre distribution : http://reemploi.emmabuntus.org. De plus cela participe à relocaliser l’économie, et à la réduction des déchets informatiques par leur réemploi.

Mamie de Paris : Emmabuntüs c’est le mot-valise entre Emmaüs et Ubuntu. La naissance de cette distribution est-elle une commande d’Emmaüs ? Êtes-vous considérés comme « compagnons » ?

David : Emmabuntüs est en fait le fruit du travail d’un bénévole à la communauté Emmaüs de Neuilly-plaisance, Patrick, qui à l’époque reconditionnait des ordinateurs. Afin de faciliter son travail et celui des compagnons travaillant avec lui, il a commencé à créer des scripts avec le logiciel « AutoIt » sous Windows et permettant d’automatiser certaines tâches. Petit à petit Linux et les logiciels libres se sont imposés comme le choix le plus évident par leur grande adaptabilité, la possibilité de les modifier et diffuser librement. Une Ubuntu a donc été modifiée pour donner naissance à Emmabuntüs.

Fred de Paris : En gros, c’est toujours compliqué avec le noyau dur d’Emmaüs ? Je me souviens que votre discours n’était pas super bien accueilli…

David : En fait petit à petit des gens au sein d’Emmaüs commencent à considérer notre travail, qui facilite quand même bien le leur, et donc nous nous faisons notre place au sein de la communauté.

Patrick : Nous avons de plus en plus de communautés Emmaüs qui utilisent notre distribution, et aussi des associations indépendantes du mouvement Emmaüs, et voici une liste des structures recensées qui utilisent Emmabuntüs : http://reemploi.emmabuntus.org.

Mamie de Paris : N’avez-vous pas l’impression de surcharger la distribution en y mettant plusieurs logiciels qui font exactement la même chose ? Plusieurs suites bureautiques, plusieurs lecteurs vidéos….

David : (sourire) La distribution est de plus en plus utilisée dans des structures reculées qui n’ont pas facilement accès à internet, et qui ont à intervenir dans des domaines très variés tels que des écoles, des centres sociaux, mais aussi des EPN et des centres de formation. Elle est même utilisée par certains indépendants et bien sûr par de nombreuses familles. Nous avons donc inclus le plus possibles d’outils en respectant la contrainte des 4Go (taille de la partition FAT pour démarrer sur la clé USB), afin que nos utilisateurs disposent d’une boite à outils qu’ils peuvent ensuite adapter à leur usage.

Libriste mordicus : Vous utilisez une distribution libre fournie avec des logiciels libres installables sans Internet. Pourquoi avez-vous fait le choix d’y ajouter des logiciels privateurs comme Skype ou Ghostery ?

David : Le but de Emmabuntüs est de fournir une distribution pour le reconditionnement et la réduction de la fracture numérique, des logiciels comme Skype sont très utilisés et permettront aux utilisateurs, souvent novices en informatique, de retrouver leurs outils familiers, ils pourront petit à petit basculer vers les logiciels libres en découvrant ceux fournis avec la distribution. En fait c’est un peu comme faire la promotion du libre sur Facebook : il faut aller chercher les utilisateurs là où ils sont [et pan, dans ta frama-face, à force de les chercher…], et souvent par méconnaissance du libre ce sont des réseaux et logiciels propriétaires qui sont utilisés.

Patrick : Concernant le logiciel privateur Ghostery, quand nous l’avons utilisé sur Emmabuntüs 2 nous ne savions pas que celui-ci n’était pas libre, et quand nous l’avons su nous l’avons remplacé par son équivalent libre nommé Disconnect en juin 2014.

Fred de Paris : Mais alors c’est pas 100% libre ?

David : Pas tout à fait, mais d’une part l’installation de la partie non libre est optionnelle, mais surtout nous faisons la promotion du libre par les documents et logiciels libres livrés avec la distribution en essayant de tendre vers le 100% libre.

Mamie de Paris : Quels sont vos rapports avec les communautés libristes ? Avec quels GULLs interagissez-vous ?

David : Nous avons évidemment beaucoup de contacts avec les libristes, à la fois membres des projets et blogueurs qui relaient nos articles, voire même souvent écrivent sur nos actions. Nous avons beaucoup échangé avec Ubuntu-fr par notre présence aux premiers samedis et aux Ubuntu Parties.

Patrick : Nous travaillons avec quelques GULL, comme Montpel’libre, les JerryClan France, Côte d’Ivoire, Togo, Cameroun, etc, et surtout de nombreuses associations qui veulent s’inscrire dans une démarche de réemploi des ordinateurs comme PC de l’Espoir, THOT Cis, TriRA, pas uniquement sur la partie distribution GNU/Linux, car notre but premier est l’action humanitaire par le réemploi, et la distribution que nous développons n’est qu’un vecteur pour atteindre ce but.

 

Mamie de Paris : Quels sont vos rapports avec les développeurs des logiciels que vous installez ? Respectez-vous les licences et les versions ?

David : Nous en respectons les licences, après, concernant les versions, nous essayons d’inclure les nouveautés quand elles ne posent pas de problème aux utilisateurs car il sera pour beaucoup d’entre eux difficile de s’adapter.
Nous avons des contacts avec les développeurs des logiciels quand ils nous aident ou que nous leurs transmettons les retours de nos utilisateurs, ou bien encore quand nous demandons à inclure certains travaux dans Emmabuntüs, il nous arrive aussi de communiquer avec eux lorsque nous écrivons dans notre blog pour être sûrs d’avoir les bonnes informations concernant leurs actions.

Mamie de Paris : Reversez-vous vos améliorations à la communauté Ubuntu-Fr (ou une autre) comme la licence l’y encourage ?

David : Heuuu, nous pêchons un peu sur ce sujet, en effet nous n’en avons pas le temps. Nous espérons cependant que la promotion faite d’Ubuntu à partir de Emmabuntüs et les contacts que nous avons avec la communauté Ubuntu-fr contribuent à rendre Ubuntu toujours meilleure. 🙂

Patrick : Nous ne participons pas à l’amélioration des communautés du logiciel libre, simplement car nous ne développons pas de code indépendant de notre distribution, qui puisse être intégré dans d’autres distributions. Notre travail pour Emmabuntüs se borne au choix des logiciels utilisés, leur personnalisation, et à des scripts qui permettent l’installation de la distribution et les choix par exemple installer ou pas les logiciels non libres lors de la post-installation.

Notre apport au monde du logiciel libre est de sensibiliser les utilisateurs néophytes à GNU/Linux sur la pertinence d’utiliser des logiciels libres pour prolonger la durée de vie de leur ordinateur, de former des reconditionneurs à la mise en œuvre de distribution GNU/linux pour le réemploi d’ordinateurs. Nous pensons que notre travail est de plus en plus utile et apprécié au regard des associations humanitaires qui utilisent notre distribution (éventuellement complétée des données de culture libre) dans le cadre de leurs beaux projets comme par exemple Ailleurs Solidaires et YovoTogo.

 

Fred de Paris : Vous êtes potes avec des gens bizarres qui mettent des ordis dans des bidons. Pourquoi ils font ça ? Votre lien est-il toujours aussi fort ?

David : Hahahaha ouiiiiiiiiiii et plus que jamais, en fait quand nous avons rencontré les gens de Jerry DIT, ils ont rapidement adopté Emmabuntüs sur les Jerry, qui sont des ordis reconditionnés dans des bidons. Cette initiative s’est propagée bien au delà de l’Europe, surtout en Afrique où les « Jerry Clans » sont très vite apparus comme les ancêtres des labs que nous connaissons aujourd’hui. Jerry c’est le partage, l’opposition du faire ensemble si cher au logiciel libre à la culture du Do It Yourself malheureusement récupéré par les entreprises. Jerry, main dans la main avec Emmabuntüs, a donné naissance à des cyber Cafés (Jerry Cyber en Côte d’Ivoire), mais aussi à pas mal de salles d’informatique et d’ateliers au Bénin, Togo, Côte d’Ivoire, Gabon…

Le lien reste très fort oui, et nous espérons vraiment qu’il le restera. Même si les deux projets restent indépendants, nous nous soutenons mutuellement parce que nous sommes faits pour avancer ensemble. Un des membres de notre collectif est justement en train de créer Jerry Clan Cameroun avec sa fiancée, mais je ne balancerai pas. 😀

 

Fred de Paris : Et alors, elle a évolué comment, la distribution ? Vous dites qu’elle va être basée sur Debian ? Qu’est-ce qui vous a fait changer ?

David : Debian nous permettra une plus grande souplesse, et surtout une plus grande stabilité dans la base utilisée pour construire la distribution. Les versions testing sont maintenues très longtemps, sont stables et éprouvées. Nous garderons les dépôts Ubuntu pour les logiciels qui nécessitent une version récente. Debian est aussi de base plus légère et les versions 32 bits sont toujours maintenues. Cela nous permet de continuer à assurer aux reconditionneurs la continuité de Emmabuntüs en 32 bits pour les vieux ordis.

Patrick : Effectivement nous venons de sortir la version Beta de l’Emmabuntüs DE (Debian Edition) en février 2016, grâce à l’aide précieuse de membres d’autres communautés comme : Arpinux et Thuban de la distribution HandyLinux, Mamahadou et Moussa de l’Ayiyikôh Incubator, François de Multisystem, Nicolas de Montpel’libre et les blogueurs Frédéric Bezies et Rodolphe. Nous comptons sortir la version 1.00 pour fin mai début juin de cette année.

Fred de Paris : Vous mettriez pas Tonton Roger comme moteur de recherche par défaut ? Ça vous rapporterait pas un rond, je vous préviens. Ce serait pour l’élégance du geste…

David : Tu parles de Framabee ? [nan, je parle de Tonton Roger, on lui a donné un nom rigolo, faut que ça serve] Je pense que nous le pouvons oui, il est vraiment très agréable à utiliser.

Patrick : Nous sommes toujours partant pour intégrer des applications innovantes et libres des amis du monde Libre, par contre nous avons une nouvelle contrainte liée à notre diffusion internationale (la France ne représentant plus que 25 % de nos téléchargements) qui nous oblige pour les moteurs de recherche d’être en plusieurs langues. Après avoir abandonné G…. au profit de StartPage nous l’avons remplacé par Qwant car des utilisateurs anglophones nous ont informé qu’ils n’arrivent pas à basculer facilement la langue par défaut du moteur. Par contre nous garderons toujours sur notre fond d’écran cette phrase en français que nous devons à nos amis de Framasoft : « Un jour, le monde sera libre ! », et sans qui Emmabuntüs n’aurait jamais existé.

Merci beaucoup de nous avoir aidé dans cette belle aventure, et grâce à vous nous venons de fêter les 5 ans de notre collectif. Nous allons poursuivre celle-ci grâce au soutien de nos amis de Montpel’libre, YovoTogo, Ailleurs Solidaires, PC de l’Espoir, THOT Cis, TriRA, les JerryClan France, Côte d’Ivoire, Togo,  Ayiyikôh FabLab, BloLab, Je suis Jerry et bien sûr le DouaLab  😉

 

Lorsque l’on veut créer sa première page web, on se heurte très vite à la problématique de l’apprentissage du code. Si l’on n’est pas développeur, on cherchera donc à avoir une solution permettant de créer sa première page via des menus et des clics au sein d’une interface graphique. Les plus anciens d’entre nous se rappelleront feu Frontpage, la solution propriétaire de Microsoft incluse dans Office dans les années 2000. Les libristes eux se rappelleront Nvu… Ces solutions visuelles sont souvent maladroites et limitées, mais voici le logiciel en ligne Silex, qui vous permettra de vous initier au web design mais aussi d’aller jusqu’au code CSS quand vous aurez progressé, grâce à l’éditeur avec visualisation instantanée.

À savoir : Silex est issu du monde associatif, Silex Labs est une association à but non lucratif, qui organise régulièrement des ateliers sur des langages et des logiciels libres, luttant contre la fracture numérique. L’association maintient le logiciel libre Silex pour permettre à ses membres d’initier des novices au web design, afin qu’ils puissent réaliser des sites internet sans savoir coder et aussi pour qu’ils s’initient aux langages du Web (HTML5, CSS3, Javascript). Des vidéos et des tutoriels sont disponibles gratuitement sur le blog de l’association et sur la chaîne YouTube de l’association.

À l’occasion de leur campagne de financement participatif, nous avons interviewé le président de l’association, Alex, pour en savoir un peu plus sur Silex Labs l’association, sur Silex le logiciel et ses évolutions à venir.

Q : Bonjour Alex, peux-tu nous présenter l’association Silex Labs?

Silex Labs est née en 2009 en banlieue parisienne, nous étions un groupe informel d’indépendants, professionnels du web. Nous avions créé Silex ensemble pour nos activités de designer, développeurs et chefs de projet. L’outil s’est avéré tellement efficace que nous avons décidé d’en faire quelque chose d’utile pour d’autres professionnels, mais aussi pour la communauté. Nous avons commencé par organiser des ateliers pour former les gens à Silex et au fur et à mesure une communauté de professionnels s’est formée, ça nous a donné envie d’organiser davantage d’ateliers pour initier le plus grand nombre aux logiciels et langages libres.

Q : Le tour du Web en 50 ateliers, c’est quoi tout ça ?

C’est un programme de 50 ateliers organisés dans toute l’île de France que nous avons mis en place en 2015, pour permettre à tous de comprendre ce que sont les métiers et les technologies du web, les communautés qui font un web libre, et découvrir les nombreuses opportunités professionnelles qui existent dans ce domaine. Nous souhaitons donner des perspectives professionnelles à des personnes qui pensent que c’est un secteur inaccessible. Le réseau et la collaboration sont au centre du programme, autant que le bien commun et la vie privée.

Q : Et sinon Silex, c’est quoi? En quoi ça consiste?

Silex c’est un logiciel libre, gratuit et accessible en ligne pour permettre au plus grand nombre de réaliser des sites internet en fonction des niveaux de chacun. Les débutants pourront réaliser leur site sans faire une ligne de code mais ceux qui connaissent déjà un peu de HTML de CSS ou de JS pourront aussi utiliser leurs connaissances pour améliorer le design ou l’interactivité de leur site.

Tu n’as qu’à aller sur silex.me et tu peux insérer, modifier, déplacer des textes, des images et des vidéos, tu crées des liens et BIM : tu as ton site !

C’est un bon outil pour faire un site vitrine, c’est-à-dire un site visuellement attractif, qui n’a pas un contenu énorme et changeant tous les jours. Tout est fait pour aider les gens à s’initier au web design mais ça peut aussi être un bon choix pour un pro qui veut un moyen efficace de créer puis de maintenir des sites pour des clients.

Bon c’est aussi un logiciel qui respecte ta vie privée, tes données et une communauté internationale qui grandit.

Q : C’est tout en logiciel libre?

Oui, la licence est GPL, les contributions sont les bienvenues et la gouvernance se fait en discutant sur Github et Gitlab

Toutes les contributions sont les bienvenues même si tu n’as jamais codé tu peux contribuer à ton niveau par exemple en faisant un rapport de bug, ou en proposant des templates quand tu auras utilisé un peu plus Silex !

Q : Donc la famille Dupuis-Morizeau va pouvoir créer son site web en ligne? Et le mettre où elle veut?

Eh oui mon bon Monsieur, on ne fait pas payer, on n’utilise pas vos données à votre insu, et en plus on vous laisse aller où vous voulez avec, vous restez propriétaire de vos données ! Un site fait avec Silex c’est une simple page HTML et quelques fichiers CSS et Javascript. Il suffit de le coller sur un hébergement et c’est en ligne. On peut aussi s’auto-héberger, utiliser un hébergement à la netlify (simple glissé / déposé de vos fichiers sur leur site pour mettre en ligne) ou encore faire appel à des gens sympas et militants comme les Indiehosters pour vous garantir un service rapide et toujours disponible.

Q : On approche des 8 ans des toutes premières lignes de code du logiciel. Comment le logiciel a-t-il évolué au cours du temps?

Beaucoup de choses ont changé depuis la première version qui était un logiciel qu’il fallait installer et qui était plus complexe à prendre en main et avec un code source beaucoup plus lourd et surtout basé sur des vieilles technos. Nous avons décidé pour cette nouvelle version d’utiliser des technos innovantes pour gagner en performance et surtout de simplifier au maximum l’interface pour permettre au plus grand nombre de réaliser son site internet et de laisser beaucoup de liberté aux utilisateurs pour décider d’utiliser les éditeurs de code ou non.

Q : Pourquoi lancer une campagne de Crowdfunding, à quoi va servir l’argent?

Un sondage récent a montré que les utilisateurs attendent un éditeur de version mobile (responsive), pour offrir une expérience personnalisée aux visiteurs sur téléphone ou tablette.

Ils attendent aussi et surtout plus de docs, plus de « templates » – des sites prêts à l’emploi pour ne pas démarrer d’une page vide. Il y en a déjà mais pas suffisamment.

L’éditeur de version mobile (responsive) est déjà en route et même si un peu d’argent nous permettrait d’accélérer le mouvement, c’est une certitude on y va ! Par contre les templates / sites prêts à l’emploi, il va nous falloir un budget pour nous payer les services de designers. Et la doc aussi, un budget nous permettra de mobiliser quelqu’un dessus à plein temps pour mettre en place les bases que la communauté maintiendra ensuite.

Une partie de la somme récoltée sera dédiée à la réalisation d’ateliers dans des banlieues parisiennes défavorisées pour accompagner des jeunes déscolarisés et des chômeurs à réaliser leurs sites internet CV avec Silex.

Q : Le mot de la fin?

Venez nous rencontrer aux apéros de l’asso chaque mois à Paris, dans un bar pour discuter ou dans une salle pour contribuer.

Merci à Alexandre d’avoir bien voulu se prêter au jeu de l’interview et souhaitons à leur campagne de financement participatif de réussir.

Pour aller plus loin :

• Faire son site web avec Silex.me
• Le site de l’association SilexLabs
• Participer au financement collaboratif

Voilà un service de discussion qui se destinait, au départ, aux « dév », aux gens qui codent. Mais quand nous avons vu ses incroyables possibilités, on s’est dit que ce serait  dommage que la famille Dupuis-Morizeau passe à côté… Prêts à chatter comme vous ne l’avez jamais fait ?

Pour vous expliquer notre nouveau service Framateam, on s’est dit qu’une histoire et des images seraient bien plus efficaces qu’une longue liste à puces. Mais adressons-nous d’abord un court instant aux spécialistes de la programmation, aux plus barbu-e-s d’entre nous.

Pour les geek-e-s qui veulent aller à l’essentiel

Connaissez-vous Slack ? C’est encore un service propriétaire qui, à l’instar de Github, prend de plus en plus de place dans le paysage des développeurs. Mattermost en est une alternative libre et — bonus — qui est livrée avec Gitlab depuis quelques versions. Voici ses fonctionnalités :

• service de discussion en temps réel basé sur le logiciel libre Mattermost
• fonctionnement optimal sur les mobiles (il existe des applications Android/iPhone/WindowsPhone, mais Mattermost fonctionne très bien sans)
• création d’équipes, qui contiendront des « canaux »
• création de canaux soit publics (tous les membres de l’équipe) soit privés (le créateur du canal invite les membres de son choix)
• possibilité de partager l’administration d’une équipe ou d’un canal
• conservation de l’historique des canaux
• mise en forme du texte à l’aide de la syntaxe Markdown
• possibilité de chercher dans des discussions
• possibilité de notifier les membres par email (notifier l’utilisateur « Camille » par @camille ; notifier tous les membres du canal en utilisant @channel)
• possibilité d’ajouter des fichiers (images ou autres)
• utilisateurs avancés : liaison possible avec framagit.org (notification à l’ouverture d’une issue, d’un commentaire, etc.)
• utilisateurs avancés : importations depuis Slack

Notre Mattermost est accessible sur https://framateam.org.

Voilà. Bisous.

Pour les autres, laissez-nous vous raconter une histoire…

L’asso LICORNES veut quitter son groupe Facebook

Vous ne connaissez pas la Ligue des Infatigables Comparses Optimistes Reniant le Nihilisme et Éclatants de Sollicitude…? Si, en réalité, cette association n’existe pas… elle devrait !

Sandrine, la présidente, en a marre d’utiliser Facebook pour discuter avec les membres, sans compter le Skype ouvert en permanence à côté pour chatter en privé avec le Conseil d’Administration ou le bureau de l’asso.

Créer sa team

Elle décide donc de se créer un compte Framateam. Ça, c’est facile : le truc classique, en trois étapes :

1. Créer sa team (chouette : c’est elle qui décide si la team entre dans l’annuaire public ou non !)
2. Se créer un compte (elle, elle utilise son compte Gitlab chez Framagit, parce que c’est une pro du Perl)
3. Inviter les membres de l’asso avec leur email (elle teste avec l’email de Gérard, elle invitera les autres quand ce sera prêt)

Très vite, elle se rend compte que Framateam marche sous forme de canaux de discussion : il y a déjà le Centre Ville, pour la vie de l’asso, et le Hors Sujet, pour les galéjades. Ça tombe bien, chez les LICORNES, ça galèje souvent.

Elle décide de créer en plus un canal pour son équipe de graphistes tout terrain, qui font des affiches à paillettes et des sites web mirifiques.

Premiers échanges

Et voilà que pendant qu’elle mitonnait ses canaux de discussion dans son coin, Gérard est déjà arrivé sur leur Framateam et y poste le lien vers une image de licorne musclée qu’il a trouvée… Magie de Mattermost : l’image s’affiche automatiquement !

Sandrine répond — forcément — avec un chaton-licorne (mieux connu sous le nom de « Dieu des Zinternetz »).

Création de canaux

Faut dire que pendant ce temps, Sandrine a eu le temps de créer plusieurs canaux de conversations.

• Des publics (ouverts à tout membre de la team) :
  • Le Centre Ville et le Hors Sujet, qu’elle a décidé de garder
  • Le canal pour les Graphistes tout terrain est prêt.
  • Il en fallait un pour les Événements de l’asso (les soirées Paillettes et autres rencontres Arc-En-Ciel : c’est de l’orga !)
  • Pour la Trésorerie (laissons-les parler sous de leur côté, se dit-elle…)

 

• Mais aussi des groupes privés (où il faut sélectionner les membres de la team qui y participeront) :
  • Un pour le Conseil d’Administration
  • Un pour le Bureau
  • Un pour préparer l’anniversaire de Gérard dans son dos 😉

Mise en forme des messages

D’ailleurs, pendant que Gérard s’amuse à inviter les autres membres du groupe sur Framateam (en leur envoyant un simple lien d’invitation à l’équipe !), elle décide de préparer le message pour organiser la surprise-party de l’anniversaire de son comparse :

Alors comment a-t-elle fait pour mettre en page un aussi joli message ? Sandrine avait tout simplement cliqué sur « aide » en bas à droite et a lu, dans la documentation (traduite avec brio par le groupe Framalang), qu’il suffisait d’écrire son message en Markdown (LA syntaxe facile à retenir et utiliser). D’ailleurs elle a fait une coquille sur son message, elle clique donc sur le [...] à droite de son message pour le modifier :

Fil de discussion et recherche

De retour sur la discussion principale, Sandrine se rend compte que sa question à Gérard (« Mais où sont passés nos flyers ? ») s’est un petit peu perdue dans les échanges.

Néanmoins Gégé a eu la bonne idée de répondre directement à sa demande en utilisant la flèche à droite de son message.

Car oui : le logiciel Mattermost qui fait tourner Framateam permet de conserver tous les messages et de faire des recherches dans les discussions.

Quelques jours plus tard, Sandrine fait une simple recherche du mot « flyer », ce qui lui permet de retrouver son message ainsi la réponse de Gérard. Elle le relance donc :

Notifications

Sandrine connaît son Gégé-accros-aux-emails : elle a donc mis une arobase devant son pseudo :

Gérard n’était pas devant son écran, il a reçu un joli email de Framateam pour lui signaler qu’il a été mentionné dans une conversation.

La morale de cette histoire…?

C’est que les flyers étaient bien dans le coffre de la voiture de Gérard.

…

C’est surtout que les LICORNES se sont un peu plus libérées de Facebook, et peuvent désormais organiser leurs distributions de paillettes sans craindre de nourrir de leurs data l’ogre bleu de Zuckerberg.

Et même si vous croyez que les LICORNES n’existent pas (à vous de les créer comme on l’a fait pour le Framablog ^^), Framateam existe bel et bien.

À vous d’y créer votre (ou vos) équipe(s) sur Framateam.org !

 

Comme beaucoup d’internautes, vous êtes ces dernières années de plus en plus préoccupé par la confidentialité de vos données et de vos communications.

Vous avez renforcé et renouvelé vos mots de passe, installé des extensions qui filtrent ou bloquent les contenus indésirables, vous luttez contre le pistage des GAFAM au cours de votre navigation, vous êtes en voie de dégooglisation, mais vous n’avez peut-être pas osé aborder une étape plus délicate et technique comme celle qui consiste à chiffrer vos échanges et vos disques durs, pas osé non plus utiliser le réseau Tor. C’est bien compréhensible, vous reculez un peu devant ce qui vous semble plus complexe et vous ne savez pas exactement de quoi il retourne… On entend dire des choses tellement inquiétantes aussi !

Eh bien nous vous proposons aujourd’hui d’apprendre un peu mieux ce qu’est réellement ce réseau Tor, pour démystifier ce qui peut s’avérer d’un usage quotidien pour beaucoup d’entre nous.

Vous en doutez ? Pourtant emprunter les trajectoires zigzagantes de Tor est non seulement parfaitement légal mais aussi tout à fait utile et à la portée d’un vaste public.

Mais pour commencer, qu’est-ce que c’est au juste que Tor ? Comment ça marche, est-ce que c’est dangereux ? Comment peut-on l’essayer sans trop de difficultés ?

Pour répondre à ces questions, autant s’adresser directement à ceux sont sur le terrain et connaissent la question. Nous avons la chance d’avoir Nos oignons une jeune association francophone qui s’active pour multiplier les nœuds de sortie dont… STOOOOP ! Écoutons-les plutôt.

Merci à ned, syl, Chre, Cor, gagz, nicoo, Lunar, aeris et à tous ceux de l’association qui ont collectivement et gentiment répondu aux questions un peu… comment dire — enfin des questions de Goofy, quoi.

Tor c’est pour aller sur le Darknet, là où se trouvent les trafiquants de drogue et les terroristes, pourquoi vous voudriez que les internautes ordinaires y accèdent aussi ?

Utiliser Tor permet de retrouver un peu d’intimité quand on utilise Internet. Tout comme mettre une lettre dans une enveloppe, des rideaux à nos fenêtres ou son téléphone sur liste rouge, cela permet de retrouver le pouvoir de décider avec qui partager notre quotidien.
Des personnes qui veulent se livrer à des activités illégales vont bien entendu chercher à se cacher. Mais cela ne peut pas justifier d’espionner tout le monde. Tor est là pour nous aider à disposer de nos droits fondamentaux : libertés d’opinion, d’expression, d’association, de communication. Ces droits humains s’appliquent à tou·te·s, sans discrimination.

Ce qu’il faut comprendre, c’est que même si Tor était interdit, des activités illégales continueraient d’exister sur Internet sous d’autres formes et en utilisant d’autres outils. Il y a déjà sur Internet des activités illégales n’utilisant pas Tor.

Moi je veux bien essayer Tor, mais je ne veux pas d’ennuis avec la police, hein. Qu’est-ce que vous faites quand les services de police vous demandent de fournir des renseignements sur des utilisateurs considérés comme suspects ?
On leur dit la simple vérité : nous n’avons pas ces renseignements, d’une part parce que nous ne gardons pas trace de ce que les usagers font avec Tor, d’autre part parce que le réseau est conçu pour qu’il nous soit impossible de remonter à la source des communications.

C’est le moment de schématiser le fonctionnement de Tor.

Regardez d’abord comme la transmission des informations numériques est perméable à toutes sortes de gens ou institutions lorsqu’on n’utilise ni Tor ni https (le protocole sécurisé) :

Maintenant, avec ces deux outils mis en place, observez que les diverses oreilles indiscrètes n’ont plus d’accès aux données que vous transmettez. Les trois relais Tor qui assurent ainsi votre anonymat sont d’ailleurs eux-mêmes « aveugles » à vos données. Chacun d’eux ne reçoit et transmet que des données chiffrées dont il ignore l’émetteur d’origine.

Il paraît que la NSA a glissé ses propres nœuds Tor dans le réseau, alors il est compromis ou bien je peux avoir confiance ?
Même si c’est toujours intéressant intellectuellement d’y réfléchir, on a rarement affaire à une organisation aussi puissante que la NSA. La plupart du temps, on cherche à se protéger de publicitaires qui veulent nous bourrer le crâne, de patrons qui veulent nous empêcher de bosser tranquilles, de conjoints inquisiteurs, d’un filtre trop agressif dans une gare… Moins souvent, on veut protéger des communications confidentielles avec des médecins, des avocat·e·s, des journalistes… On est donc rarement une cible directe de la NSA. Et c’est tant mieux parce que si elle se débrouille pour pirater notre ordinateur, il sera facile de nous espionner, que nous utilisions Tor ou non.
Néanmoins, si la NSA faisait tourner des nœuds, ce ne serait pas nécessairement un problème. Le réseau Tor est conçu pour résister à la présence de nœuds sous surveillance tant qu’ils ne sont pas nombreux ou qu’ils sont surveillés par des adversaires différents. Des bénévoles font activement la chasse pour trouver des nœuds qui interfèrent avec les données échangées, ou des nœuds trop semblables qui apparaissent.

Il faut savoir qu’un adversaire comme la NSA, qui dispose de la capacité de surveiller directement les réseaux de communication, n’a nul besoin de faire tourner des relais Tor pour tenter de désanonymiser ses utilisateur·ice·s. En effet, plutôt que de s’embêter à faire tourner des relais, il suffit d’observer d’où vient et où va le trafic qui transite par les relais.
Tout serait donc perdu ? De ce qu’on en sait, bien au contraire : les documents internes que nous a transmis Edward Snowden nous ont permis de mieux comprendre l’étendue des possibilités de la NSA. La présentation interne intitulée « Tor Stinks » (Tor, ça pue), datée de 2012, explique qu’il est possible de retrouver le chemin d’une fraction des connexions traversant Tor, mais il est impossible de « désanonymiser » toutes les connexions tout le temps et il est très difficile de le faire avec une cible précise en tête.

À notre connaissance, Tor reste efficace contre la surveillance de masse, et rend bien plus compliquées les attaques ciblées.

Je me rends compte que tester Tor est à ma portée ! Un navigateur est disponible pour cela, c’est Torbrowser. Il me suffit d’aller sur le site https://www.torproject.org/projects/torbrowser.html.en et de choisir la bonne version :

une fois qu’elle est téléchargée et installée, je choisis mon type d’usage :

et me voilà prêt à naviguer en circulant de façon anonyme sur le Web.

Bon, Tor c’est bien, mais quelles précautions faut-il que je prenne en plus selon vous, car Tor n’est pas une garantie contre tous les risques, hein ?
En effet ! Tor permet vraiment deux choses : empêcher le fournisseur d’accès Internet de surveiller les sites qu’on visite ; et empêcher que les sites apprennent où l’on se trouve malgré nous. Tor Browser contient des myriades de petites fonctionnalités pour empêcher que deux sites différents puissent apprendre qu’une même personne les visite tous les deux. Mais utiliser Tor Browser ne protégera pas forcément la connexion jusqu’au site visité, pour cela il faut veiller à ce que la connexion se fasse en HTTPS.

Tor n’est pas une poudre magique à « sécuriser » : la plupart des logiciels ont des défauts, Tor Browser est par exemple mis à jour toutes les six semaines afin de pouvoir colmater des brèches de sécurité le plus vite possible. Les connexions entre le réseau Tor et le site Internet auquel on accède peuvent être surveillées. Tor ou pas Tor, l’heure d’une connexion peut parfois permettre d’identifier une personne lorsqu’il y a peu de suspects.
Pour établir une analogie un peu bancale : mettre sa ceinture en voiture n’empêche pas les accidents, mais est-ce une bonne raison pour ne pas la mettre ?

Utiliser Tor ne protégera pas les échanges à partir d’un site : ça ne change rien à la sécurité des messages échangés via Twitter ou un webmail. Se « garantir contre tous les risques », c’est forcément un processus, pas un produit. Par exemple, des images contenant le numéro de série de l’appareil qui a servi à prendre les photos dans les métadonnées peuvent permettre d’identifier la source d’une journaliste, que les images aient été transférées en utilisant Tor ou pas.

Ah ben je découvre qu’il existe une liste impressionnante de projets connexes à Tor ? Pourquoi a-t-on besoin de tout cet écosystème ? Quels sont les principaux types de projets associés et quels sont ceux auxquels vous (Nos oignons) participez ?
Il y a effectivement plein de projets liés à Tor, en plus de Tor (le logiciel qui sert à faire tourner le réseau) : le navigateur Tor, HTTPS Everywhere, les logiciels de messagerie instantanée Tor Messenger et Ricochet, Pond (une alternative aux emails)…
C’est principalement pour pouvoir mieux protéger les usagers de Tor : par exemple, Tor Browser est une version de Mozilla Firefox équipée de contre-mesures pour éviter qu’on puisse vous pister de connexion en connexion.  Pond est un logiciel expérimental qui vise à fournir un service similaire aux emails, mais qui masque l’existence même d’une communication entre deux usagers donnés…
Il existe également Tails qui est un système d’exploitation live (i.e. qui peut fonctionner sur une clé USB sans installation sur un ordinateur) dont tous les logiciels intégrés passent par Tor. Utiliser un système spécialement conçu pour limiter les traces et les fuites comme Tails constitue une aide précieuse pour s’épargner des erreurs.
Notre équipe d’administration système contribue aussi à l’amélioration du projet Debian (la distribution GNU/Linux que nous utilisons principalement), entre autres sur la sécurité des services que nous utilisons, et une importante quantité de documentation, accessible à tou·te·s, couvre la configuration de nos services, leur sécurisation et les procédures que nous employons. Des membres de Nos oignons ont également créé graphnion pour afficher des graphes de relais.

Mais… c’est quoi les « services cachés » de Tor, encore un truc de fraudeurs pour échapper à la TVA sur les services ?
Pas vraiment… on parle de plus en plus de  services « .onion » ces temps-ci car de plus en plus de services sont accessibles publiquement ainsi.
Le fonctionnement habituel de Tor, c’est de permettre de se connecter à des sites Internet existants. Quand on utilise les services .onion, la connexion se fait vers un serveur qui utilise lui aussi Tor. Par exemple, cela permet pour une personne qui tient un blog politique d’être plus difficile à identifier par celles et ceux qui voudraient lui chercher des noises. Un autre intérêt est de s’assurer que les usagers du service « onion » n’y accèdent pas accidentellement sans Tor ; c’est en particulier utilisé par les systèmes de prise de contact avec les journalistes (comme « SecureDrop »), pour s’assurer que les sources ne s’exposent pas accidentellement. Depuis peu, on voit aussi de plus en plus de sites proposer un accès en .onion en plus de leur accès Internet habituel. Le plus utilisé est probablement Facebook. L’usage du .onion permet de garantir que la connexion se fait au bon serveur, et de bénéficier de la totalité de la bande passante du réseau Tor, sans être contraint par le nombre limité de nœuds de sortie.

Votre association gère aussi des « signalements d’abus ». De quoi s’agit-il ?
Parfois, des gens nous contactent pour nous informer d’un problème en provenance de nos serveurs : une tentative d’utiliser « toto123 » comme mot de passe sur un service Web, l’envoi de spam, ou encore des services qui trouvent que recevoir autant de connexions en provenance d’une même adresse Internet partagée par plusieurs personnes, c’est suspect. On leur explique alors que nous gérons des relais Tor et que nous ne sommes donc pas la source du problème. Cela dit, notre expérience est que seule une petite quantité de personnes utilisent Tor pour être pénibles : le nombre de signalements que nous recevons est bien faible en comparaison de la quantité de données que les relais de Nos oignons font transiter chaque mois.

En lisant votre documentation, on voit que vous cherchez à avoir davantage de « relais » ou des « nœuds de sortie », c’est la même chose ou non ?
Pas tout à fait : les relais (ou nœuds) sont les ordinateurs faisant partie du réseau Tor ; les nœuds de sortie sont ceux qui permettent de joindre des sites Internet existants. Pour ces sites, il est facile de penser que le nœud de sortie est à l’origine de la connexion. En cas d’usage malintentionné de Tor, c’est donc souvent l’opérateur du nœud de sortie qui est consulté. Ça représente plus de travail que de faire tourner un relais « simple ».

Est-ce que tous les opérateurs acceptent qu’on mette son ordinateur au service du réseau Tor ?
Pour les nœuds de sortie, beaucoup d’opérateurs ou d’hébergeurs ont des clauses qui leur permettent de couper l’accès sans préavis, à cause des plaintes qui pourraient leur arriver. Cela n’empêche pas d’utiliser Tor ou de faire tourner des points d’entrée prévus qui permettent de contourner les dispositifs de censure (appelés « bridges »).
D’autre part, faire tourner un nœud de sortie chez soi n’est pas très utile, à cause de la bande passante limitée et de la gestion des risques liés aux abus. Il est plus utile d’aider Nos oignons à financer de nouveaux nœuds de sortie. 🙂

Le projet Tor se bat contre tous ceux qui voudraient faire disparaître l’anonymat, partout dans le monde. Mais en France, quelle est la situation, avec les lois sécuritaires qui s’empilent ? Tor est-il menacé ? Faut-il dès maintenant envisager un repli vers autre chose ?
L’anonymat est essentiel pour l’exercice des libertés fondamentales, particulièrement la liberté d’opinion. Tor n’est pour l’instant pas directement menacé en France. On sait toutefois que certains policiers souhaiteraient empêcher son usage, et que plus généralement, l’élite politique comprend mal les enjeux autour du chiffrement, comme on peut le voir autour de l’affaire FBI contre Apple couverte par les médias aux mois de mars-avril 2016.

Quoi qu’il en soit, Tor est conçu pour être un outil de contournement de la censure. Tor fonctionne même dans des pays particulièrement répressifs comme la Chine ou l’Iran qui disposent pourtant d’une capacité de filtrage et d’une politique répressive bien supérieures à ce qui existe en France actuellement. Réprimer l’utilisation de Tor risque d’être aussi efficace que de réprimer le partage d’œuvres en pair-à-pair : c’est un logiciel libre, facile à installer et à diffuser. En revanche il est clair que contribuer au projet, sous forme de code ou de relais pourrait être rendu plus difficile ou dangereux.

Il est donc important que les dizaines d’organisations et la centaine de particuliers qui font tourner des relais en France s’allient aux millions de personnes (dont une centaine de milliers en France !) qui utilisent régulièrement Tor. Restons vigilant·e·s et défendons nos libertés.

Tor a été conçu en partant du principe qu’il existera toujours des endroits où il sera possible de faire tourner des relais, où il sera possible de travailler à améliorer les logiciels et en faire la promotion.

Plusieurs projets envisagent un modèle beaucoup plus distribué et encore plus difficile à arrêter, mais c’est tout de suite plus compliqué comme problème à résoudre : ça pose la question de la compatibilité avec l’existant, et pour l’instant, rien n’est prêt pour le grand public. Il aura fallu dix ans à Tor pour être accessible à tout le monde. C’est important de soutenir ces projets le temps qu’ils mûrissent. Si Tor est remplacé un jour par un système plus fiable, ce sera tant mieux !

Je vois que vous utilisez une ribambelle de logiciels libres (Debian, Postfix, Mailman, Schleuder, SpamAssassin, BIND, Apache, Ikiwiki, Git, Keyringer, et encore de nombreux autres…) : le projet Tor serait-il possible sans des logiciels libres ?
Au-delà du fait qu’on ne peut pas faire confiance à un logiciel dont il est impossible de vérifier le fonctionnement, Tor doit rester accessible à toutes et tous. Personne de devrait avoir à payer pour pouvoir échapper au sentiment d’être surveillé·e. Mais partant de là, les ressources du projet sont plutôt limités. L’intérêt des logiciels libres est aussi de permettre de construire des solutions sur-mesure en assemblant plusieurs logiciels qui existent déjà. Ou alors de pouvoir demander de l’aide à d’autres personnes qui partagent les objectifs du projet Tor tout en travaillant sur d’autres projets. C’est important de pouvoir faire confiance à une communauté. Le projet Tails, par exemple, explique bien cette question de la chaîne de confiance en œuvre dans le logiciel libre.

De quoi avez-vous le plus besoin ? De compétences techniques, d’argent, de matériel, d’hébergement… ?

Nos oignons a bien sûr besoin d’argent pour payer l’hébergement de ses relais actuels et en ouvrir de nouveaux. Les dons réguliers sont précieux car ils nous permettent de mieux voir venir. Pour ce qui est des activités bénévoles, il y a beaucoup plus à faire côté communication et administratif que technique. On essaye d’accueillir toutes les bonnes volontés au mieux !

Actuellement, nous sommes particulièrement à la recherche de nouveaux hébergeurs, prêts à accepter un nœud de sortie Tor avec une bande passante conséquente. C’est nécessaire pour contribuer à la diversité du réseau : répartir les relais Tor chez le plus possible d’hébergeurs participe à la sécurité du réseau.

Message reçu ! Que nos lecteurs les plus aguerris rejoignent Nos oignons !

 

Quelques liens pour aller plus loin :

• L’article Tor de Wikipédia
• Un bon article sur Tor
• Une longue interview de Lunar aux RMLL
• Plusieurs façons de participer à Nos oignons
• Déployer un nœud Tor
• Pour répondre à pas mal d’autres questions