« Ces révélations ont changé notre Internet à jamais. La vie privée a-t-elle seulement un avenir ? »

L’excellent journal The Guardian, très actif dans l’affaire Snowden, a récemment mis en ligne une vidéo simple et percutante sur la NSA et la problématique de la surveillance en ligne.

Nous vous en proposons sa transcription traduite ainsi que le fichier .SRT de sous-titrage en français disponible ci-dessous (merci Cartido)

Une vidéo à voir et à faire voir tant elle fait peur et démontre que nous avons changé de paradigme dans une indifférence presque générale.

—> La vidéo au format webm
—> Le fichier de sous-titres

La NSA et la surveillance… rendu facilement compréhensible pour tous

URL d’origine du document

Scott Cawley, Jemima Kiss, Paul Boyd et James Ball – 26 novembre 2013 – The Guardian
(Traduction : Goofy, Mounoux, T, Paul + anonymes)

Maintenant que nous sommes presque tous en ligne, et connectés d’une façon ou d’une autre, les espions ne ciblent plus une ou deux personnes mal intentionnées. Au lieu de cela, les gouvernements du Royaume-Uni et des États-Unis pratiquent tous deux une collecte massive d’informations sur ce que nous faisons avec nos téléphones et sur Internet.

Comment font-ils ?

Deux grandes méthodes sont utilisées pour récupérer ces informations.

La première, c’est de travailler avec les entreprises qui font fonctionner les réseaux et « d’écouter » les câbles qui sont essentiels pour faire circuler toute cette information. Ils s’installent au beau milieu de l’énorme flux de données, moissonnent tout ce qui circule puis le stockent dans d’immenses bases de données.

La deuxième technique implique d’utiliser leurs relations privilégiées avec les entreprises high-tech (Google, Facebook, Microsoft…) pour s’emparer de nos informations comme les courriers électroniques en les captant directement sur les services basés aux USA.

Que font-il avec ?

Les agences d’espionnage jettent la plupart des contenus qu’ils collectent. Ils les gardent sur leur système pendant trois jours environ et rejettent tout ce qui ne provient pas d’une de leurs cibles.

Il en va autrement pour les métadonnées. Qui a envoyé un message ? pour qui ? quand ? bien d’autres détails encore. Les services secrets conservent presque toutes les métadonnées collectées pendant environ un mois au Royaume-Uni et jusqu’à un an aux États-Unis. Cela leur permet de créer les profils de millions de gens. Qui parle à qui ? qui connaît qui ? et, si nécessaire, où sont localisés les gens ?

Ces révélations soulèvent un certain nombre de questions.

Où se situe la frontière entre notre droit à la vie privée et le devoir des autorités de nous protéger ? Les gouvernements en Amérique du Nord et au Royaume-Uni prétendent que ces programmes de surveillance aident à nous prémunir du terrorisme.

Mais que se passerait-il si vous étiez injustement accusé ? Et doit-on accepter le fait que désormais Internet est un endroit bien différent de ce qu’il a été, dirigé par des entreprises et des gouvernements qui peuvent le surveiller quand et comme ils le veulent ?

Maintenant que vous savez que vous êtes surveillé, votre comportement va-t-il changer ? Comment allez-vous parler à vos amis et jusqu’à quel point allez-vous faire confiance au monde qui vous entoure ?

Ces révélations ont changé notre Internet à jamais. La vie privée a-t-elle seulement un avenir ?

Quand Pouhiou s’arrête à Rennes, il y retrouve des connaissances et donc des occasions d’échanges et de découvertes. Le défi d’écriture est en roue libre mais continue sa trajectoire par à-coups : une fois qu’il a négocié un virage délicat, le vaillant écrivain relance la machine et hop, reprend la route.

Si vous souhaitez retrouver les grandes heures de la geste Pouhiouesque, voici le lien magique. Et n’oubliez pas de lui envoyer un petit message d’encouragement @pouhiou.

J’irai écrire chez vous épisode 4 : Rennes (10-13 novembre)

Le mois dernier j’ai participé à Rennes en Biens Communs, pour une conférence, un atelier d’écriture et une rencontre au CGLBT. Il était impensable que je n’y revienne pas.

Les porcs tiquent entre Brest et Rennes.

Dans le covoiturage intensément breton, nous avons repéré les portiques des radars. Ceux qui se sont fait brûler par des bonnets rouges. Ceux qui tiennent encore debout, avec des gendarmes en faction à leurs pieds. C’est marrant, sur la route on a beaucoup parlé de péages. Les péages d’écotaxe, bien sûr, mais aussi les péages pour l’accès à la culture. Payer un livre ou un CD semble normal, j’achète un objet culturel. Un objet auquel je peux accéder gratuitement en bibliothèque (mais je l’achète malgré tout, tiens donc !).

Or, tout notre rapport à l’appropriation des œuvres s’est construit sur ce principe de posséder un objet-support de l’œuvre. Le droit d’auteur, lui même, fut créé pour favoriser les auteurs-éditeur-imprimeurs-libraires (Beaumarchais était en plus de tout cela un industriel papetier).

Et les péages dans nos têtes

Un fichier ne se possède pas : il se transfère par la copie. Du coup, me faire payer pour accéder à un fichier (epub, mp3, avi…) c’est mettre un mur d’argent entre un roman, un album, un film… et moi. Et vu tous les chatons qui trainent sur YouTube, tous les 10 conseils pour… en embuscade sur facebook, toutes les œuvres accessibles par torrents : je vais naturellement aller là où je circule librement. C’est curieux comme peu de créateurs se souviennent qu’avant d’être payé (et pour l’être) mieux vaut être lu, entendu, vu. Que la monétisation d’une œuvre dépendra directement de son rayonnement, et que c’est donc celui-ci qu’il faut favoriser. Le péage, c’est la meilleure solution pour ne pas être payé, en fait… Comme quoi, si les créateurs étaient un peu plus vénaux, stratèges et opportunistes, ils fonceraient vers la culture libre.

J’ai écrit chez Orianne…

J’ai rencontré Orianne au centre gay, lesbien bi et trans de Rennes, lorsque je suis venu y parler culture libérée dans la culture gay. Elle a adoré papoter sur ces sujets. Et elle a fini par me dire : « si tu reviens à Rennes, passe chez moi ! » Orianne est une jeune femme discrète, classieuse, mais d’une espièglerie et d’une sagacité rares. Chez elle, les livres de psycho et les grands classiques côtoient les BD de Buffy (parce que Josh Whedon c’est le bien). Et puis chez elle, j’ai trouvé la meilleure machine de l’univers intergalactique : l’épluche-vide-tranche pommes.

C’est marrant : Orianne et moi on a pris le temps de se respecter, de se laisser geeker l’un-e l’autre… mais on finissait toujours les soirées à parler et refaire le monde.

…enfin presque.

Je sais bien que ça arrive à tout homme à un moment ou à un autre, mais ça fait bizarre : j’ai eu une panne. Mon premier jour à Rennes, je n’ai pas écrit. Ou quasiment pas : une pauvre relecture où, à force de quelques retouches, j’ai ajouté 270 mots au compteur… bien loin des 1667 quotidiens du défi. Alors je sais que je dois me faire confiance. Je sais bien que c’est l’histoire qui m’impose son rythme, et non l’inverse. Toute exigence est futile, toute résistance une perte de temps. Je n’écris pas, je laisse un roman s’écrire, se dévoiler à moi, en un strip-tease excitant et frustrant… Eh ben on a beau savoir tout ça, il reste la croyance que « je maîtrise ». #EpicFail.

L’histoire avait besoin de se nourrir. J’ai fait des recherches. Plein de détails, de jalons, de repères se sont construits. Le roman avait besoin de faire une pause pour prendre forme. Le lendemain, je fais mon quota. les jours suivants je tourne à 2000 mots. Là j’ai hâte de finir ce billet et m’y remettre.

Retrouver les ami-e-s

C’est compliqué de trouver le temps pour tout faire. Écrire les scènes du roman. Écrire ces billets de blog, ce journal de bord. Organiser les trajets et voyager. Parler, échanger avec mes accueillant-e-s. Et retrouver des gens. Mais ça se goupille. Un restau avec Yann, Antonin, Orianne et Camille (la bande du CGLBT de Rennes). Un thé avec miss @Auregann, la wikipédienne qui m’a permis de venir sur Rennes le mois dernier. La découverte de son boss, de ses amis, et de MuséoMix. Puis une soirée finale avec le scooby-gang du CGBLT immortalisée par cette photo.

Ce ne sont pas de simples lecteurices, juste un prénom sur une dédicace. Ce sont des gens avec qui j’ai parlé, bu, refait le monde. Des gens que j’aime et dont je sais qu’illes m’apprécient. Je me demande combien d’auteurs peuvent dire ça… Mais moi, perso, je kiffe !

Et recevoir d’autres dons.

L’épisode 3 de mes aventures a dû donner des idées. J’ai reçu un don par paypal, et un en liquide, de la main à la main. Recevoir un billet comme don, c’est très concret. Étrangement, à ce moment là, le moraliste en moi me dit « tu devrais être gêné ». Ce moraliste croit que ça relève de la mendicité, et la condamne. Ce serait renier l’échange véritable qui sous-tend ces gestes, renier l’envie de soutenir une démarche, une œuvre. J’apporte des histoires : que ce soit celles que j’écris ou celles que je vis et fait vivre, les dons viennent encourager ces histoires à grandir. Croire que ça relève d’une « mendicité immorale » c’est croire que produire des histoires, qu’expérimenter d’autres façons de faire/vivre/interagir n’est pas un « vrai travail ». C’est aussi croire que l’argent salit l’échange, donnant une importance grandiloquente et morale à un simple outil : le fric.

Quand je reçois des dons, je ne suis pas gêné : je suis reconnaissant. Reconnaissant que mes propositions entraînent des élans de générosité. Heureux de voir que le courant est passé, qu’on a envie que ça continue. Comme quand je reçois un mot, un commentaire. Donc : merci. Et si tu veux donner des sous, fais-le à Framasoft. Frama travaille à défendre et soutenir des initiatives aussi tarées que les miennes, parce que ce sont les fous qui changent le monde. Or il est grand temps qu’on apporte un peu plus de Libres dingueries dans nos vies et celles de la famille Michu. Bref : on a besoin de sous pour perpétuer et améliorer les projets en cours, donc n’hésite pas : http://soutenir.framasoft.org !

À dans 3 jours pour conter des soirées parisiennes,

— Pouhiou.

Avant de poursuivre vers l’ouest, le vrai, son périple scriptural et libérateur, le sémillant Pouhiou est passé par Rouen. Dans le sprint final, il a disposé facilement du régional de l’étape, un néophyte du nom de Flaubert, sponsorisé par Charpentier, Le voici maintenant moulinant du mot par milliers, un peu inquiet tout de même à l’idée de ne pas tenir la cadence. Mais qu’importe ! Retrouver un forçat de la route qui comme lui s’est donné le défi du nanowrimo lui a permis de comprendre que compter les mots n’est pas très sérieux et que beaucoup d’auteurs sont encore capables de dire : « Madame Marquet, c’est moi ».

J’irai écrire chez vous épisode 2 : Rouen (4-7 novembre)

Me voilà tout juste parti de Rouen, arrivé à Brest. Rouen, où j’ai été hébergé chez un NaNoteur : autant dire que les échanges furent riches.

J’ai écrit chez Mathias

La première chose qu’on remarque, chez Mathias, c’est son rire. Un rire franc, communicatif, un rire toujours content de se faire surprendre par la vie. J’ai connu Mathias chez Voisine (celle que je remercie à la fin de #MonOrchide). Il y couchsurfait pour pouvoir assister à un concert de Mars Volta. J’y connais rien en musique, mais je leur ai fait des pancakes avec de la pâte d’Ovomaltine. Et ça, ça facilite les échanges. Depuis, on se côtoie sur Facebook. On partage beaucoup des liens de féministes, LGBT, et autres infos qui font bondir les pensées bleu marine. Le 28 octobre, quand j’annonce que je me lance dans un NaNoWriMo, Mathias dit « cool ! on s’inscrit où ? » Et, sur un coup de tête, sans avoir la moindre foutue idée de où il va, ce mec se lance dans l’écriture d’un roman. Faut avoir une sacrée paire d’ovaires, quoi…

Quand je n’écris pas, je parle.

C’est un peu mon sport favori, et en côtoyant l’univers de Mathias, j’ai pu le pratiquer intensément. J’ai échangé avec Ben, dans une brasserie estudiantine, sur les radios associatives, les expériences prostatiques et les mises en scène. J’ai discuté avec JB (co-animateur de l’émission de musique de Mathias sur la radio Campus rouennaise sur la culture libre, le rôle prescripteur des bibliothécaires, les envies de mort et de bromure (sur lesquelles j’ai écrit deux pièces de théâtre librement diffusées sur http://pouhiou.com). Avec Anka, on a parlé de Roumanie, d’éducation, d’exigence et de chatons. On a rencontré Lutine, autre NaNoteuse rouennaise, qui se jugeait trop et n’arrivait plus à écrire. On lui a lancé le défi d’écrire une bonne grosse page de merde… Elle a échoué : ce qu’elle a écrit était bon. Et avec Mathias, on a partagé nos expériences de NaNoteurs…

C’est quoi être auteur ?

On avait tous deux déjà trois jours dans les pattes. Et Mathias commence à m’expliquer qu’il ressent déjà ses personnages lui échapper. Un en particulier, qui ne devait être que secondaire, une sorte de faire-valoir à son héroïne, mais qui prend de l’importance en lui et s’accapare le chapitre suivant. Moi, les voix de mes persos m’habitent. J’imagine des dialogues sous la douche puis je réalise où je suis et me demande si je n’ai pas vidé le ballon d’eau chaude. Plus tard, Mathias m’explique que le libre, c’est pas pour lui. Qu’il avait trop peur que l’on touche à son œuvre. Ça me semblait pas cohérent avec le côté avenant du gars, donc je le questionne…

— Mais tu as vraiment l’impression que c’est toi qui écris, que ça se fait dans l’effort ?

— Non… Je mets mon casque, de la bonne zique et je laisse le truc couler. J’ai un peu l’impression que l’histoire est par là et que j’en suis le scribe.

— Du coup, est-ce que ce que tu écris parle de toi ? Est-ce que ton histoire définit quel auteur, quelle personne que tu es ?

— Ah ben non, en fait… C’est juste une histoire que j’ai écrite, pas un morceau de moi…

Et là on touche le nœud du truc. Je comprends tous les auteurs qui sont d’un protectionnisme féroce avec leurs œuvres. Qui ont peur, qui ont des peurs, tant et si bien qu’ils arrivent à accepter la position de victime et celle de dragon-sur-son-tas-d’or. Des postures que le système, crée par et pour les industries de la culture, nous font prendre de manière insidieuse. Des poses que j’ai prises tant que j’ai eu peur, que j’ai eu des peurs. Des peurs qu’en touchant à mes histoires, mes contes, mes écrits… on touche à ma personne. Alors qu’aujourd’hui, ça n’a plus rien à voir…

Le piège du WordCount

C’est bien beau de parler, rencontrer, échanger… D’aller voir Rouen qui est une ville magnifique, emplie de colombages et de toits en tuiles… Mais c’est pas ça qui va écrire le livre III. Alors j’écris. 2300 mots le lundi pour finir le premier chapitre qui développe une ambiance paisible très étrange. 1500 mots le jour suivant, ce qui me fait culpabiliser, un peu : je suis en dessous des 1667 quotidiens indispensables. 2200 mots le mercredi : ouf, on remonte et passe au dessus de la barre des 10 000, du cinquième. Sauf que Mathias est ingénieur en maths. Et que les maths sont impitoyables. On calcule : 8 chapitres d’environ 8000 mots. Je n’écrirai pas lors du Capitole du Libre (22-23 novembre sur Toulouse) ni lors des Journées Méditerranéennes du Logiciel Libre (29-30 novembre). Du coup, 64 000 mots en 26 jours, il faut écrire 2500 mots par jour (à une vache près, les maths c’est pas une science exacte). J’en suis méga loin. #MicroDéprime. C’est là que tu réalises que compter les mots, ce doit juste être un plaisir. Pas une tâche. J’écrirai ce que je peux. Si mon roman s’achève en décembre : ce n’est pas grave. Je ferai comme tous les auteurs, comme tous les NaNoteurs : de mon mieux.

Pouhiou regonflé. Des bisous, des mercis, une caresse à Kali (leur chatounette) et hop !

Co-voiturage direction Brest ! On se retrouve dans 3 jours ?

— Pouhiou.

Crédits photos :

• Couverture du livre de Roussel par un singe qui parle (licence CC0)
• L’auteur et son double par kiki follettosa (licence CC BY-NC-SA 2.0)

« Le niveau de surveillance actuel dans nos sociétés est incompatible avec les droits de l’homme… »

C’est ce qu’affirme et expose Richard Stallman dans ce long article argumenté en proposant un certain nombre de mesures pour desserrer l’étau.

Sur la photo ci-dessous, on voit Stallman lors d’une conférence en Tunisie muni d’un étrange badge. Il l’a recouvert lui-même de papier aluminium pour ne pas être pisté lors de l’évènement !

Quel niveau de surveillance la démocratie peut-elle supporter ?

par Richard Stallman

URL d’origine du document (sur GNU.org)

Une première version de cet article a été publiée sur Wired en octobre 2013.
Licence : Creative Commons BY-ND 3.0 US
Traduction : aKa, zimadprof, Lamessen, Sylvain, Scailyna, Paul, Asta, Monsieur Tino, Marc, Thérèse, Amine Brikci-N, FF255, Achille, Slystone, Sky, Penguin et plusieurs anonymes
Révision : trad-gnu@april.org – Version de la traduction : 14 août 2014

Grâce aux révélations d’Edward Snowden, nous comprenons aujourd’hui que le niveau de surveillance dans nos sociétés est incompatible avec les droits de l’homme. Le harcèlement répété et les poursuites judiciaires que subissent les opposants, les sources et les journalistes (aux États-Unis et ailleurs) en sont la preuve. Nous devons réduire le niveau de surveillance, mais jusqu’où ? Où se situe exactement le seuil tolérable de surveillance que l’on doit faire en sorte de ne pas dépasser ? C’est le niveau au delà duquel la surveillance commence à interférer avec le fonctionnement de la démocratie : lorsque des lanceurs d’alerte comme Snowden sont susceptibles d’être attrapés.

Face à la culture du secret des gouvernements, nous, le peuple,¹ devons compter sur les lanceurs d’alerte pour apprendre ce que l’État est en train de faire. De nos jours, cependant, la surveillance intimide les lanceurs d’alerte potentiels, et cela signifie qu’elle est trop intense. Pour retrouver notre contrôle démocratique sur l’État, nous devons réduire la surveillance jusqu’à un point où les lanceurs d’alerte se sentent en sécurité.

L’utilisation de logiciels libres, comme je la préconise depuis trente ans, est la première étape dans la prise de contrôle de nos vies numériques – qui inclut la prévention de la surveillance. Nous ne pouvons faire confiance aux logiciels non libres ; la NSA utilise et même crée des failles de sécurité dans des logiciels non libres afin d’envahir nos ordinateurs et nos routeurs. Le logiciel libre nous donne le contrôle de nos propres ordinateurs, mais cela ne protège pas notre vie privée dès l’instant où nous mettons les pieds sur Internet.

Une législation bipartisane ayant pour but de « limiter les pouvoirs de surveillance sur le territoire national » est en cours d’élaboration aux États-Unis mais elle le fait en limitant l’utilisation par le gouvernement de nos dossiers virtuels. Cela ne suffira pas à protéger les lanceurs d’alerte si « capturer le lanceur d’alerte » est un motif valable pour accéder à des données permettant de l’identifier. Nous devons aller plus loin encore.

Le niveau de surveillance à ne pas dépasser dans une démocratie

Si les lanceurs d’alerte n’osent pas révéler les crimes, délits et mensonges, nous perdons le dernier lambeau de contrôle réel qui nous reste sur nos gouvernements et institutions. C’est pourquoi une surveillance qui permet à l’État de savoir qui a parlé à un journaliste va trop loin – au delà de ce que peut supporter la démocratie.

En 2011, un représentant anonyme du gouvernement américain a fait une déclaration inquiétante à des journalistes, à savoir que les États-Unis n’assigneraient pas de reporter à comparaître parce que « nous savons avec qui vous parlez ». Parfois, pour avoir ces renseignements, ils obtiennent les relevés téléphoniques de journalistes par injonction judiciaire, mais Snowden nous a montré qu’en réalité ils adressent des injonctions en permanence à Verizon et aux autres opérateurs, pour tous les relevés téléphoniques de chaque résident.

Il est nécessaire que les activités d’opposition ou dissidentes protègent leurs secrets des États qui cherchent à leur faire des coups tordus. L’ACLU² a démontré que le gouvernement des États-Unis infiltrait systématiquement les groupes dissidents pacifiques sous prétexte qu’il pouvait y avoir des terroristes parmi eux. La surveillance devient trop importante quand l’État peut trouver qui a parlé à une personne connue comme journaliste ou comme opposant.

L’information, une fois collectée, sera utilisée à de mauvaises fins

Quand les gens reconnaissent que la surveillance généralisée atteint un niveau trop élevé, la première réponse est de proposer d’encadrer l’accès aux données accumulées. Cela semble sage, mais cela ne va pas corriger le problème, ne serait-ce que modestement, même en supposant que le gouvernement respecte la loi (la NSA a trompé la cour fédérale de la FISA,³ et cette dernière a affirmé être incapable, dans les faits, de lui demander des comptes). Soupçonner un délit est un motif suffisant pour avoir accès aux données, donc une fois qu’un lanceur d’alerte est accusé d’« espionnage », trouver un « espion » fournira une excuse pour avoir accès à l’ensemble des informations.

Le personnel chargé de la surveillance d’État a l’habitude de détourner les données à des fins personnelles. Des agents de la NSA ont utilisé les systèmes de surveillance américains pour suivre à la trace leurs petit(e)s ami(e)s – passés, présents, ou espérés, selon une pratique nommée « LOVEINT ». La NSA affirme avoir détecté et puni cette pratique à plusieurs reprises ; nous ne savons pas combien d’autres cas n’ont pas été détectés. Mais ces événements ne devraient pas nous surprendre, parce que les policiers utilisent depuis longtemps leurs accès aux fichiers des permis de conduire pour pister des personnes séduisantes, une pratique connue sous les termes de « choper une plaque pour un rencard ».

Les données provenant de la surveillance seront toujours détournées de leur but, même si c’est interdit. Une fois que les données sont accumulées et que l’État a la possibilité d’y accéder, il peut en abuser de manière effroyable, comme le montrent des exemples pris en Europe et aux États-Unis.

La surveillance totale, plus des lois assez floues, ouvrent la porte à une campagne de pêche à grande échelle, quelle que soit la cible choisie. Pour mettre le journalisme et la démocratie en sécurité, nous devons limiter l’accumulation des données qui sont facilement accessibles à l’État.

Une protection solide de la vie privée doit être technique

L’Electronic Frontier Foundation et d’autres structures proposent un ensemble de principes juridiques destinés à prévenir les abus de la surveillance de masse. Ces principes prévoient, et c’est un point crucial, une protection juridique explicite pour les lanceurs d’alerte. Par conséquent, ils seraient adéquats pour protéger les libertés démocratiques s’ils étaient adoptés dans leur intégralité et qu’on les faisait respecter sans la moindre exception, à tout jamais.

Toutefois, ces protections juridiques sont précaires : comme nous l’ont montré les récents événements, ils peuvent être abrogés (comme dans la loi dite FISA Amendments Act), suspendus ou ignorés.

Pendant ce temps, les démagogues fourniront les excuses habituelles pour justifier une surveillance totale ; toute attaque terroriste, y compris une attaque faisant un nombre réduit de victimes, leur donnera cette opportunité.

Si la limitation de l’accès aux données est écartée, ce sera comme si elle n’avait jamais existé. Des dossiers remontant à des années seront du jour au lendemain exposés aux abus de l’État et de ses agents et, s’ils ont été rassemblés par des entreprises, seront également exposés aux magouilles privées de ces dernières. Si par contre nous arrêtions de ficher tout le monde, ces dossiers n’existeraient pas et il n’y aurait pas moyen de les analyser de manière rétroactive. Tout nouveau régime non libéral aurait à mettre en place de nouvelles méthodes de surveillance, et recueillerait des données à partir de ce moment-là seulement. Quant à suspendre cette loi ou ne pas l’appliquer momentanément, cela n’aurait presque aucun sens.

En premier lieu, ne soyez pas imprudent

Pour conserver une vie privée, il ne faut pas la jeter aux orties : le premier concerné par la protection de votre vie privée, c’est vous. Évitez de vous identifier sur les sites web, contactez-les avec Tor, et utilisez des navigateurs qui bloquent les stratagèmes dont ils se servent pour suivre les visiteurs à la trace. Utilisez GPG (le gardien de la vie privée) pour chiffrer le contenu de vos courriels. Payez en liquide.

Gardez vos données personnelles ; ne les stockez pas sur le serveur « si pratique » d’une entreprise. Il n’y a pas de risque, cependant, à confier la sauvegarde de vos données à un service commercial, pourvu qu’avant de les envoyer au serveur vous les chiffriez avec un logiciel libre sur votre propre ordinateur (y compris les noms de fichiers).

Par souci de votre vie privée, vous devez éviter les logiciels non libres car ils donnent à d’autres la maîtrise de votre informatique, et que par conséquent ils vous espionnent probablement. N’utilisez pas de service se substituant au logiciel : outre que cela donne à d’autres la maîtrise de votre informatique, cela vous oblige à fournir toutes les données pertinentes au serveur.

Protégez aussi la vie privée de vos amis et connaissances. Ne divulguez pas leurs informations personnelles, sauf la manière de les contacter, et ne donnez jamais à aucun site l’ensemble de votre répertoire téléphonique ou des adresses de courriel de vos correspondants. Ne dites rien sur vos amis à une société comme Facebook qu’ils ne souhaiteraient pas voir publier dans le journal. Mieux, n’utilisez pas du tout Facebook. Rejetez les systèmes de communication qui obligent les utilisateurs à donner leur vrai nom, même si vous êtes disposé à donner le vôtre, car cela pousserait d’autres personnes à abandonner leurs droits à une vie privée.

La protection individuelle est essentielle, mais les mesures de protection individuelle les plus rigoureuses sont encore insuffisantes pour protéger votre vie privée sur des systèmes, ou contre des systèmes, qui ne vous appartiennent pas. Lors de nos communications avec d’autres ou de nos déplacements à travers la ville, notre vie privée dépend des pratiques de la société. Nous pouvons éviter certains des systèmes qui surveillent nos communications et nos mouvements, mais pas tous. Il est évident que la meilleure solution est d’obliger ces systèmes à cesser de surveiller les gens qui sont pas légitimement suspects.

Nous devons intégrer à chaque système le respect de la vie privée

Si nous ne voulons pas d’une société de surveillance totale, nous devons envisager la surveillance comme une sorte de pollution de la société et limiter l’impact de chaque nouveau système numérique sur la surveillance, de la même manière que nous limitons l’impact des objets manufacturés sur l’environnement.

Par exemple, les compteurs électriques « intelligents » sont paramétrés pour envoyer régulièrement aux distributeurs d’énergie des données concernant la consommation de chaque client, ainsi qu’une comparaison avec la consommation de l’ensemble des usagers. Cette implémentation repose sur une surveillance généralisée mais ce n’est nullement nécessaire. Un fournisseur d’énergie pourrait aisément calculer la consommation moyenne d’un quartier résidentiel en divisant la consommation totale par le nombre d’abonnés, et l’envoyer sur les compteurs. Chaque client pourrait ainsi comparer sa consommation avec la consommation moyenne de ses voisins au cours de la période de son choix. Mêmes avantages, sans la surveillance !

Il nous faut intégrer le respect de la vie privée à tous nos systèmes numériques, dès leur conception.

Remède à la collecte de données : les garder dispersées

Pour rendre la surveillance possible sans porter atteinte à la vie privée, l’un des moyens est de conserver les données de manière dispersée et d’en rendre la consultation malaisée. Les caméras de sécurité d’antan n’étaient pas une menace pour la vie privée. Les enregistrements étaient conservés sur place, et cela pendant quelques semaines tout au plus. Leur consultation ne se faisait pas à grande échelle du fait de la difficulté d’y avoir accès. On les consultait uniquement sur les lieux où un délit avait été signalé. Il aurait été impossible de rassembler physiquement des millions de bandes par jour, puis de les visionner ou de les copier.

Aujourd’hui, les caméras de sécurité se sont transformées en caméras de surveillance ; elles sont reliées à Internet et leurs enregistrements peuvent être regroupés dans un centre de données [data center] et conservés ad vitam aeternam. C’est déjà dangereux, mais le pire est à venir. Avec les progrès de la reconnaissance faciale, le jour n’est peut-être pas loin où les journalistes « suspects » pourront être pistés sans interruption dans la rue afin de surveiller qui sont leurs interlocuteurs.

Les caméras et appareils photo connectés à Internet sont souvent eux-mêmes mal protégés, de sorte que n’importe qui pourrait regarder ce qu’ils voient par leur objectif. Pour rétablir le respect de la vie privée, nous devons interdire l’emploi d’appareils photo connectés dans les lieux ouverts au public, sauf lorsque ce sont les gens qui les transportent. Tout le monde doit avoir le droit de mettre en ligne des photos et des enregistrements vidéo une fois de temps en temps, mais on doit limiter l’accumulation systématique de ces données.

Remède à la surveillance du commerce sur Internet

La collecte de données provient essentiellement des activités numériques personnelles des gens. D’ordinaire, ces sont d’abord les entreprises qui recueillent ces données. Mais lorsqu’il est question de menaces pour la vie privée et la démocratie, que la surveillance soit exercée directement par l’État ou déléguée à une entreprise est indifférent, car les données rassemblées par les entreprises sont systématiquement mises à la disposition de l’État.

Depuis PRISM, la NSA a un accès direct aux bases de données de nombreuses grandes sociétés d’Internet. AT&T conserve tous les relevés téléphoniques depuis 1987 et les met à la disposition de la DEA sur demande, pour ses recherches. Aux États-Unis, l’État fédéral ne possède pas ces données au sens strict, mais en pratique c’est tout comme.

Mettre le journalisme et la démocratie en sécurité exige, par conséquent, une réduction de la collecte des données privées, par toute organisation quelle qu’elle soit et pas uniquement par l’État. Nous devons repenser entièrement les systèmes numériques, de telle manière qu’ils n’accumulent pas de données sur leurs utilisateurs. S’ils ont besoin de détenir des données numériques sur nos transactions, ils ne doivent être autorisés à les garder que pour une période dépassant de peu le strict minimum nécessaire au traitement de ces transactions.

Une des raisons du niveau actuel de surveillance sur Internet est que le financement des sites repose sur la publicité ciblée, par le biais du pistage des actions et des choix de l’utilisateur. C’est ainsi que d’une pratique simplement gênante, la publicité que nous pouvons apprendre à éviter, nous basculons, en connaissance de cause ou non, dans un système de surveillance qui nous fait du tort. Les achats sur Internet se doublent toujours d’un pistage des utilisateurs. Et nous savons tous que les « politiques relatives à la vie privée » sont davantage un prétexte pour violer celle-ci qu’un engagement à la respecter.

Nous pourrions remédier à ces deux problèmes en adoptant un système de paiement anonyme – anonyme pour l’émetteur du paiement, s’entend (permettre au bénéficiaire d’échapper à l’impôt n’est pas notre objectif). Bitcoin n’est pas anonyme, bien que des efforts soient faits pour développer des moyens de payer anonymement avec des bitcoins. Cependant, la technologie de la monnaie électronique remonte aux années 80 ; tout ce dont nous avons besoin, ce sont d’accords adaptés pour la marche des affaires et que l’État n’y fasse pas obstruction.

Le recueil de données personnelles par les sites comporte un autre danger, celui que des « casseurs de sécurité » s’introduisent, prennent les données et les utilisent à de mauvaises fins, y compris celles qui concernent les cartes de crédit. Un système de paiement anonyme éliminerait ce danger : une faille de sécurité du site ne peut pas vous nuire si le site ne sait rien de vous.

Remède à la surveillance des déplacements

Nous devons convertir la collecte numérique de péage en paiement anonyme (par l’utilisation de monnaie électronique, par exemple). Les système de reconnaissance de plaques minéralogiques reconnaissent toutes les plaques, et les données peuvent être gardées indéfiniment ; la loi doit exiger que seules les plaques qui sont sur une liste de véhicules recherchés par la justice soient identifiées et enregistrées. Une solution alternative moins sûre serait d’enregistrer tous les véhicules localement mais seulement pendant quelques jours, et de ne pas rendre les données disponibles sur Internet ; l’accès aux données doit être limité à la recherche d’une série de plaques minéralogiques faisant l’objet d’une décision de justice.

The U.S. “no-fly” list must be abolished because it is punishment without trial.

Il est acceptable d’établir une liste de personnes pour qui la fouille corporelle et celle des bagages seront particulièrement minutieuses, et l’on peut traiter les passagers anonymes des vols intérieurs comme s’ils étaient sur cette liste. Il est acceptable également d’interdire aux personnes n’ayant pas la citoyenneté américaine d’embarquer sur des vols à destination des États-Unis si elles n’ont pas la permission d’y rentrer. Cela devrait suffire à toutes les fins légitimes.

Beaucoup de systèmes de transport en commun utilisent un genre de carte intelligente ou de puce RFID pour les paiements. Ces systèmes amassent des données personnelles : si une seule fois vous faites l’erreur de payer autrement qu’en liquide, ils associent définitivement la carte avec votre nom. De plus, ils enregistrent tous les voyages associés avec chaque carte. L’un dans l’autre, cela équivaut à un système de surveillance à grande échelle. Il faut diminuer cette collecte de données.

Les services de navigation font de la surveillance : l’ordinateur de l’utilisateur renseigne le service cartographique sur la localisation de l’utilisateur et l’endroit où il veut aller ; ensuite le serveur détermine l’itinéraire et le renvoie à l’ordinateur, qui l’affiche. Il est probable qu’actuellement le serveur enregistre les données de localisation puisque rien n’est prévu pour l’en empêcher. Cette surveillance n’est pas nécessaire en soi, et une refonte complète du système pourrait l’éviter : des logiciels libres installés côté utilisateur pourraient télécharger les données cartographiques des régions concernées (si elles ne l’ont pas déjà été), calculer l’itinéraire et l’afficher, sans jamais dire à qui que ce soit l’endroit où l’utilisateur veut aller.

Les systèmes de location de vélos et autres peuvent être conçus pour que l’identité du client ne soit connue que de la station de location. Au moment de la location, celle-ci informera toutes les stations du réseau qu’un vélo donné est « sorti » ; de cette façon, quand l’utilisateur le rendra, généralement à une station différente, cette station-là saura où et quand il a été loué. Elle informera à son tour toutes les stations du fait que ce vélo a été rendu, et va calculer en même temps la facture de l’utilisateur et l’envoyer au siège social après une attente arbitraire de plusieurs minutes, en faisant un détour par plusieurs stations. Ainsi le siège social ne pourra pas savoir précisément de quelle station la facture provient. Ceci fait, la station de retour effacera toutes les données de la transaction. Si le vélo restait « sorti » trop longtemps, la station d’origine pourrait en informer le siège social et, dans ce cas, lui envoyer immédiatement l’identité du client.

Remède aux dossiers sur les communications

Les fournisseurs de services Internet et les compagnies de téléphone enregistrent une masse de données sur les contacts de leurs utilisateurs (navigation, appels téléphoniques, etc.) Dans le cas du téléphone mobile, ils enregistrent en outre la position géographique de l’utilisateur. Ces données sont conservées sur de longues périodes : plus de trente ans dans le cas d’AT&T. Bientôt, ils enregistreront même les mouvements corporels de l’utilisateur. Et il s’avère que la NSA collecte les coordonnées géographiques des téléphones mobiles, en masse.

Les communications non surveillées sont impossibles là où le système crée de tels dossiers. Leur création doit donc être illégale, ainsi que leur archivage. Il ne faut pas que les fournisseurs de services Internet et les compagnies de téléphone soient autorisés à garder cette information très longtemps, sauf décision judiciaire leur enjoignant de surveiller une personne ou un groupe en particulier.

Cette solution n’est pas entièrement satisfaisante, car cela n’empêchera pas concrètement le gouvernement de collecter toute l’information à la source – ce que fait le gouvernement américain avec certaines compagnies de téléphone, voire avec toutes. Il nous faudrait faire confiance à l’interdiction par la loi. Cependant, ce serait déjà mieux que la situation actuelle où la loi applicable (le PATRIOT Act) n’interdit pas clairement cette pratique. De plus, si un jour le gouvernement recommençait effectivement à faire cette sorte de surveillance, il n’obtiendrait pas les données sur les appels téléphoniques passés avant cette date.

Pour garder confidentielle l’identité des personnes avec qui vous échangez par courriel, une solution simple mais partielle est d’utiliser un service situé dans un pays qui ne risquera jamais de coopérer avec votre gouvernement, et qui chiffre ses communications avec les autres services de courriels. Toutefois, Ladar Levison (propriétaire du service de courriel Lavabit que la surveillance américaine a cherché à corrompre complètement) a une idée plus sophistiquée : établir un système de chiffrement par lequel votre service de courriel saurait seulement que vous avez envoyé un message à un utilisateur de mon service de courriel, et mon service de courriel saurait seulement que j’ai reçu un message d’un utilisateur de votre service de courriel, mais il serait difficile de déterminer que c’était moi le destinataire.

Mais un minimum de surveillance est nécessaire.

Pour que l’État puisse identifier les auteurs de crimes ou délits, il doit avoir la capacité d’enquêter sur un délit déterminé, commis ou en préparation, sur ordonnance du tribunal. À l’ère d’Internet, il est naturel d’étendre la possibilité d’écoute des conversations téléphoniques aux connexions Internet. On peut, certes, facilement abuser de cette possibilité pour des raisons politiques, mais elle n’en est pas moins nécessaire. Fort heureusement, elle ne permettrait pas d’identifier les lanceurs d’alerte après les faits, si (comme je le recommande) nous empêchons les systèmes numériques d’accumuler d’énormes dossiers avant les faits.

Les personnes ayant des pouvoirs particuliers accordés par l’État, comme les policiers, abandonnent leur droit à la vie privée et doivent être surveillés (en fait, les policiers américains utilisent dans leur propre jargon le terme testilying⁴ au lieu de perjury⁵ puisqu’ils le font si souvent, en particulier dans le cadre de la comparution de manifestants et de photographes). Une ville de Californie qui a imposé à la police le port permanent d’une caméra a vu l’usage de la force diminuer de près de 60 %. L’ACLU y est favorable.

Les entreprises ne sont pas des personnes et ne peuvent se prévaloir des droits de l’homme. Il est légitime d’exiger d’elles qu’elles rendent public le détail des opérations susceptibles de présenter un risque chimique, biologique, nucléaire, financier, informatique (par exemple les DRM) ou politique (par exemple le lobbyisme) pour la société, à un niveau suffisant pour assurer le bien-être public. Le danger de ces opérations (pensez à BP et à la marée noire dans le Golfe du Mexique, à la fusion du cœur des réacteurs nucléaires de Fukushima ou à la crise financière de 2008) dépasse de loin celui du terrorisme.

Cependant, le journalisme doit être protégé contre la surveillance, même s’il est réalisé dans un cadre commercial.

La technologie numérique a entraîné un accroissement énorme du niveau de surveillance de nos déplacements, de nos actions et de nos communications. Ce niveau est bien supérieur à ce que nous avons connu dans les années 90, bien supérieur à ce qu’ont connu les gens habitant derrière le rideau de fer dans les années 80, et il resterait encore bien supérieur si l’utilisation de ces masses de données par l’État était mieux encadrée par la loi.

A moins de croire que nos pays libres ont jusqu’à présent souffert d’un grave déficit de surveillance, et qu’il leur faut être sous surveillance plus que ne le furent jadis l’Union soviétique et l’Allemagne de l’Est, ils nous faut inverser cette progression. Cela requiert de mettre fin à l’accumulation en masse de données sur la population.

Un service de chat furtif : Off-the-Record (OTR)

Traduction : Feadurn, Paul, lamessen, goofy

Off-the-Record (OTR) est une couche de chiffrement qui peut être ajoutée à n’importe quel système de messagerie instantanée existant, pourvu que vous puissiez vous connecter à cette messagerie instantanée avec un client qui prend en charge l’OTR, comme Pidgin ou Adium. Avec OTR, il est possible d’avoir des conversations sécurisées, chiffrées de bout en bout, en passant par des services comme Google Talk ou Facebook sans que ni Facebook ni Google n’aient accès au contenu de ces conversations. Notez bien que c’est un système différent de l’option « off the record » de Google, qui n’est pas sécurisée. Et souvenez-vous : bien qu’une connexion HTTPS avec Google ou Facebook offre une très bonne protection à vos messages quand ils circulent, les deux services ont les clés de vos échanges et peuvent donc les communiquer aux autorités.

OTR remplit deux missions : le chiffrement des conversations de messagerie instantanée en temps réel et la vérification de l’identité des personnes avec lesquelles vous communiquez. Cette dernière est extrêmement importante mais beaucoup d’utilisateurs d’OTR la négligent. Même si OTR est bien plus facile à prendre en main que d’autres formes de chiffrement à clé publique, vous devez malgré tout en comprendre le fonctionnement et savoir à quelles attaques il peut être exposé si vous souhaitez l’utiliser en toute sécurité.

Fournisseurs de services et Jabber

OTR assure uniquement le chiffrement du contenu de vos conversations et non celui des métadonnées qui leur sont associées. Celles-ci comprennent vos interlocuteurs, quand et à quelle fréquence vous communiquez avec eux. C’est la raison pour laquelle je recommande d’utiliser un service qui n’est pas connu pour collaborer avec les services secrets. Cela ne protègera pas forcément vos métadonnées, mais vous aurez au moins une chance qu’elles restent privées.

Je vous conseille aussi d’utiliser un service XMPP (aussi appelé Jabber). Tout comme le courrier électronique, Jabber est un protocole ouvert et fédéré. Les utilisateurs d’un service Jabber comme riseup.net peuvent discuter tant avec des utilisateurs du service jabber.ccc.de qu’avec ceux du service jabber.org.

Clients OTR

Pour utiliser OTR, vous devrez télécharger un logiciel. Sous Windows, vous téléchargerez et installerez Pidgin et le plugin OTR séparément. Sous GNU/Linux, vous installerez les paquets pidgin et pidgin-otr. La documentation explique comment configurer vos comptes Pidgin avec OTR. Si vous êtes sous Mac OS X, vous pouvez télécharger et installer Adium, un client de chat libre qui intègre le support d’OTR. Là aussi, reportez vous à la documentation officielle pour configurer le chiffrement OTR avec Adium. Il existe aussi des clients Jabber et OTR disponibles pour Android (Giggerbot) et pour iOS (ChatSecure).

Votre clé

Quand vous commencez à utiliser OTR, votre client de chat génère une clé de chiffrement et la stocke dans un fichier de votre répertoire utilisateur personnel sur votre disque dur. Si votre ordinateur ou votre smartphone est perdu, volé ou rendu inutilisable par un logiciel malveillant, il est possible que l’inviolabilité de votre clé OTR soit compromise. Si c’est le cas, un attaquant aura la possibilité de prendre le contrôle de votre serveur Jabber et de lancer une attaque de l’homme du milieu (MIDTM) contre vous pendant que vous discutez avec des interlocuteurs qui avaient auparavant vérifié votre identité.

Sessions

Si vous souhaitez utiliser OTR pour discuter en privé avec vos amis, ces derniers doivent l’utiliser également. Une session chiffrée entre deux personnes nécessite deux clés de chiffrement. Par exemple, si vous-même et votre correspondant vous êtes tous deux identifiés sur le chat de Facebook en utilisant Adium ou Pidgin après avoir configuré OTR, vous pourrez discuter en privé. En revanche, si vous vous êtes logué en messagerie instantanée en utilisant Adium ou Pidgin mais que votre interlocuteur discute en utilisant directement facebook.com, vous ne pouvez pas avoir de conversation chiffrée.

Si vous souhaitez utiliser les services de Facebook ou Google pour discuter avec vos amis, je vous recommande de désactiver le chat de l’interface web pour ces services et de n’utiliser qu’Adium ou Pidgin pour vous connecter, et d’encourager vos amis à faire de même ; voici la marche à suivre pour Facebook et Google.

Quand vous lancez une session chiffrée avec OTR, votre logiciel client vous indique quelque chose comme :

Lancement d'une conversation privée avec utilisateur@jabberservice... Conversation non-vérifiée avec utilisateur@jabberservice/démarrage du client chat. 

Si vous avez déjà vérifié l’empreinte OTR de la personne à laquelle vous parlez (voir plus bas), votre session ressemblera à ceci :

Lancement d'une conversation privée avec utilisateur@jabberservice... Conversation privée avec utilisateur@jabberservice/démarrage du client chat. 

Quand vous commencez une nouvelle session OTR, votre logiciel OTR et celui de votre correspondant s’échangent une série de messages pour s’accorder sur une clé pour la nouvelle session. Cette clé temporaire n’est connue que par vos deux clients de messagerie instantanée, ne circule jamais sur Internet et sert à chiffrer et déchiffrer les messages. Une fois la session terminée, les deux logiciels clients « oublient » la clé. Si vous recommencez à chatter plus tard avec la même personne, votre client OTR génèrera une nouvelle clé de session.

De cette façon, même si une personne indiscrète enregistre toutes vos conversations chiffrées — ce que la NSA pense être légalement autorisée à faire même si vous êtes un citoyen étatsunien et qu’elle n’a pas un mandat ou une bonne raison de le faire — et que plus tard elle compromet votre clé OTR, elle ne pourra pas retrouver ni déchiffrer vos anciennes conversations.

Cette propriété est appelée sécurité itérative, et c’est une particularité d’OTR dont PGP ne dispose pas. Si votre clé PGP privée (article à venir sur les clés PGP) est compromise et que l’attaquant a eu accès à tous les messages chiffrés que vous avez reçus, il peut les retrouver et en déchiffrer l’intégralité.

Apprenez-en davantage sur la façon dont fonctionne la sécurité itérative, et la raison pour laquelle la majorité des grandes sociétés d’Internet devraient l’adopter pour leurs site web ici. La bonne nouvelle, c’est que Google utilise déjà la sécurité itérative et que Facebook va l’implémenter dès que possible.

Vérification d’empreinte OTR

Quand vous commencez une nouvelle session OTR avec quelqu’un, votre logiciel de chat reçoit une empreinte^[1] de sa clé de chiffrement et votre logiciel OTR se souvient de cette empreinte. Aussi longtemps que la personne utilise la même clé de chiffrement lorsqu’elle communique avec vous, probablement parce qu’elle utilise le même logiciel/client(?), elle aura la même empreinte. Si cette empreinte change, c’est soit parce que la personne utilise une clé OTR différente, soit que vous êtes tous deux victimes d’une attaque MITM.

Sans cette vérification de clés, vous n’avez aucun moyen de savoir si vous êtes victime d’une attaque MITM réussie et non détectée.

Même en étant sûr que la personne avec qui vous discutez est réellement votre interlocuteur, parce qu’elle connaît des choses qu’elle seule peut connaitre, et en utilisant un chiffrement OTR, un attaquant peut être en train de lire votre conversation. Peut-être avez vous en réalité une conversation chiffrée avec l’attaquant, lui-même en pleine conversation chiffrée avec votre interlocuteur, relayant les messages entre vous et ce dernier. Au lieu de l’empreinte de votre interlocuteur, votre client verra celle de l’attaquant. Tout ce que vous pouvez constater en tant qu’utilisateur est que la conversation est « non vérifiée ».

Les captures d’écran suivantes montrent les indications visuelles de Pidgin concernant la vérification de l’empreinte. Si vous avez vérifié l’empreinte OTR, votre discussion est privée : dans le cas contraire, votre conversation est chiffrée mais rien ne garantit que vous n’êtes pas en train de subir une attaque. Vous ne pouvez en avoir la certitude absolue qu’à condition de vérifier.

Si vous cliquez sur un lien non vérifié (sur Adium c’est une icône de cadenas), vous pouvez choisir « authentifier l’ami ». Le protocole OTR propose trois méthodes de vérification : le protocole du millionnaire socialiste, le secret partagé et la vérification manuelle de l’empreinte. Tous les clients OTR permettent la vérification manuelle de l’empreinte, mais pas forcément les autres types de vérification. Dans le doute, choisissez la vérification manuelle de l’empreinte.

Dans la capture d’écran ci-dessus, on voit l’empreinte OTR des deux utilisateurs de la session. Votre interlocuteur doit voir exactement les mêmes empreintes que vous. Pour être certain que chacun des interlocuteurs voit les mêmes empreintes, vous devez soit vous rencontrer en personne, soit avoir un échange téléphonique (si vous pouvez reconnaitre vos voix) soit trouver une autre solution en-hors du chat mais sécurisée pour vérifier les empreintes, comme envoyer un courriel PGP chiffré et signé.

Les empreintes OTR sont constituées d’une suite de 40 caractères hexadécimaux. Il est statistiquement impossible de générer deux clés OTR ayant la même empreinte, ce qui est appelé une collision. Il est toutefois possible de générer une clé OTR qui, sans être véritablement une collision, semble en être une lors d’une vérification superficielle. Par exemple, les premiers et derniers caractères peuvent identiques et les caractères centraux différents. Il est donc important de comparer chacun des 40 caractères un à un pour être sûr d’avoir la bonne clé OTR.

Comme, en général, vous créez une nouvelle clé OTR chaque fois que vous utilisez un nouveau terminal (par ex., si vous voulez utiliser le même compte Jabber pour discuter à partir de votre téléphone Android avec Gibberbot et à partir de votre PC Windows avec Pidgin), vous vous retrouvez souvent avec plusieurs clés et, par conséquent, plusieurs empreintes. Il est important de répéter l’étape de vérification sur chaque terminal et pour chaque contact avec qui vous discutez.

Utiliser OTR sans vérifier les empreintes est toujours préférable à ne pas utiliser OTR du tout. Comme un attaquant qui tente une attaque MITM contre une session OTR court un risque important d’être pris, cette attaque n’est utilisée qu’avec prudence.

Journaux d’activité

Voici un extrait d’un des journaux de discussion entre Bradley Manning et Adrian Lamo, transmis aux autorités par ce dernier et publié par Wired.

(1:40:51 PM) bradass87 n'a pas encore été identifié. Vous devez authentifier cet utilisateur.

(1:40:51 PM)  une conversation non vérifiée avec bradass87 a commencé.

(1:41:12 PM) bradass87: Salut

(1:44:04 PM) bradass87: Comment vas-tu?

(1:47:01 PM) bradass87: je suis analyste du renseignement à l'armée, à l'est de Bagdad et dans l'attente d'une décharge pour  « trouble de l'adaptation » au lieu de « trouble de l'identité de genre ».

(1:56:24 PM) bradass87: Je suis sûr que tu es très occupé... Tu dois avoir plein de boulot...

(1:58:31 PM) bradass87: Si tu avais un accès privilégié à des réseaux classifiés 14 heures par jour, 7 jours sur 7 et plus de 8 mois dans l'année, que ferais-tu ?

(1:58:31 PM) info@adrianlamo.com: je suis fatigué d'être fatigué

(2:17:29 PM) bradass87: ?

(6:07:29 PM) info@adrianlamo.com: Quel est ton MOS[]

Comme on peut le voir grâce à la ligne « une conversation non vérifiée avec bradass87 a commencé », les deux interlocuteurs utilisaient OTR pour chiffrer leur conversation, or cette dernière a été en définitive rendue publique sur le site web de Wired et utilisée comme pièce à conviction contre Bradley Manning. Il est possible que leur conversation ait fait l’objet d’une attaque MITM, mais c’est très improbable. Ce sont plutôt les clients OTR de Bradley Manning et Adian Lamo qui conservaient une copie de leur conversation sur leur disque dur, non chiffré.

Même s’il peut parfois être utile de garder des journaux de conversations, cela peut aussi gravement mettre en danger votre vie privée. Si Pidgin et Adium ne journalisaient pas les conversations par défaut, il est probable que ces journaux de conversations n’auraient pas fini sur la place publique.

Avec la sortie d’OTR 4.0 en septembre 2012, Pidgin a arrêté de journaliser les conversations OTR par défaut. Adium continue de le faire. Vous devez donc manuellement arrêter cette journalisation, ce qui est une faille d’Adium. Adium étant un logiciel libre avec un système ouvert de suivi de bogues, vous pouvez suivre et participer aux discussions concernant la résolution de cette faille ici et là.

(à suivre…)

C’est la rentrée !

L’occasion de mettre en avant Tux Paint, l’un des meilleurs logiciels (évidemment libre) de dessin à destination des petits, mais aussi des grands 😉

Tux Paint en appelle à l’aide

Desperate times call for Tux Paint

Jen Wike – 25 juin 2013 – OpenSource.com
(Traduction : Antoine, Shanx, Asta)

Bill Kendrick a codé Tux Paint en seulement quelques jours. Un ami lui avait demandé pourquoi il n’existait pas un programme de dessin pour enfants libre et gratuit, comme GIMP. Bill fit un grand sourire, parce que beaucoup d’adultes ont des difficultés à apprendre à utiliser GIMP, alors que les enfants en ont beaucoup moins. Il répondit : « Je peux probablement créer quelque chose. »

C’était il y a 11 ans (la première bêta a été publiée en juin 2002). Aujourd’hui, Tux Paint est largement utilisé à travers le monde, dans les maisons, à des goûters d’enfants, et plus évidemment dans les écoles en général et celles plus défavorisées en particulier.

Une nouvelle étude publiée cette année et menée par le Conseil des Relations Étrangères rapporte que les États-Unis ont perdus 10 places ces 30 dernières années dans le classement du taux d’élèves diplômés sortant des collèges et universités. « Le véritable fléau du système d’éducation étasunien, et sa plus grande faiblesse compétitive, est le profond écart entre les groupes socio-culturels. Les étudiants riches réussissent mieux, et l’influence de la situation sociale parentale est plus forte aux États-Unis que nulle part ailleurs dans le monde développé. » affirme ainsi Rebecca Strauss, directrice associée des publications CFR’S Renewing America.

Tux Paint est un programme simple avec de profondes implications car il est libre, gratuit et facile à utiliser. Récemment, un enseignant d’une école située dans une région défavorisée a utilisé le programme de crowdfunding EdBacker pour mettre sur pied un cours estival de remise à niveau en utilisant Tux Paint. Brenda Muench rappelle qu’avant Tux Paint, elle n’a jamais rencontré, au cours de ses 16 années d’enseignement à l’école élémentaire d’Iroquois West, de logiciels de dessin véritablement adaptés pour les enfants .

Les fonds publics devenant plus rares, Bill a remarqué que les systèmes scolaires sont désormais plus souples et favorables que par le passé lorsqu’il s’agit d’utiliser ce genre de logiciel. Et les éducateurs du monde entier discutent les uns avec les autres des ressources qu’ils utilisent se passant volontiers les bons tuyaux.

Entretien avec Bill Kendrick

Comment avez-vous créé Tux Paint ?

J’ai opté pour la bibliothèque Simple DirectMedia Layer (libSDL), que j’avais déjà utilisée pour la conception de mes jeux au cours des 2-3 années précédentes (avant cela, j’avais connu des difficultés avec Xlib), et basée sur une combinaison de limitations et capacités qui a bien fonctionné : une seule fenêtre (qui garde la simplicité) et la possibilité d’utiliser le plein écran (ce qui contribue à empêcher les enfants de faire autre chose et des bêtises sur le bureau).

Un autre avantage était que Tux Paint pouvait être facilement porté vers Windows, Mac OS X et d’autres plateformes, et c’est exactement ce qui est arrivé. Je n’imaginais pas que je pouvais avoir un impact pour ces plateformes, étant donné qu’il existait déjà un grand nombre de programmes pour enfants, notamment le populaire et ancien (depuis les premiers jours de Mac) Kid Pix. Ce que je n’avais pas vu tout de suite c’est que, comme Tux Paint est libre, il est devenu une alternative peu chère (comprendre : gratuite) aux applications commerciales pour toutes les plateformes, et non pas que pour GNU/Linux. Cela s’est avéré très pratique pour les écoles, dont nous connaissons tous les problèmes actuels de financement.

Pourquoi l’interface est-elle facile d’utilisation pour les enfants de la maternelle jusqu’au primaire ?

Il y a une variété de choses que j’ai appliquées pour garder une interface simple d’utilisation :

• de gros boutons qui ne disparaissent pas, même si vous ne les utilisez pas ;
• toutes les actions ont une icône, ainsi qu’un texte descriptif ;
• Tux le Pengouin fournit quelques indices, infos et états en bas de la fenêtre ;
• des effets sonores, qui ne sont pas juste amusants, mais qui fournissent un feedback ;
• un seul type de pop-up de dialogue, avec seulement deux options (ex. « Oui, imprimer mon dessin », « Non, retour »)
• pas de défilement.

La raison pour laquelle Tux Paint ne vous demande pas : « Quelle taille pour votre dessin ? » est que lorsque les enfants s’asseyent avec un morceau de papier pour dessiner, ils ne commencent pas par le couper à la bonne taille. La plupart du temps, ils se contentent de commencer, et si vous leur demandez de décider quelle taille de papier ils souhaitent avant de commencer à dessiner, ils vont se fâcher et vous dire que vous ne les laissez pas dessiner !

Des effets sonores amusants et une mascotte dessinée sont importants et motivants pour les enfants, mais est-ce que les adultes utilisent Tux Paint ?

Oui, j’ai eu certaines suggestions comme quoi on l’utiliserait davantage s’il y avait un moyen de désactiver le manchot Tux. Je comprends à quel point les logiciels pour enfants peuvent parfois être énervants, c’est pourquoi j’ai créé une option « couper le son » dès le premier jour.

Quelles belles histoires à nous raconter ?

Un hôpital pour enfants a mis en place une sorte de borne d’arcade utilisant Tux Paint avec des contrôleurs spéciaux (plutôt qu’une souris).

Des élèves de CP ont utilisé la vidéo-conférence et des screencasts pour apprendre aux enfants de maternelle d’une autre école comment utiliser Tux Paint. Ces mêmes écoles utilisent aussi Tux Paint pour créer ensemble des images à partir des histoires sur lesquelles les enfants travaillent. Ils font ensuite des vidéos en intégrant ces histoires.

J’ai mis en ligne les textes de présentation de ces histoires et d’autres travaux pour encourager d’autres éducateurs à essayer et utiliser Tux Paint : « Oui, ce truc fou, libre et gratuit est génial pour les écoles ! » Bien sûr, une décennie plus tard, ce n’est plus la même bataille que d’expliquer ce qu’est le logiciel libre et quels sont ses avantages, ce qui est excellent.

Est-ce que les éducateurs utilisent Tux Paint en dehors des arts plastiques ?

Oui, tout à fait, et c’est exactement ce que j’imaginais.

Je n’ai pas créé Tux Paint pour qu’il soit uniquement utilisé en cours de dessin. Je l’ai créé pour être un outil, comme une feuille de papier et un crayon. Certaines écoles réalisent donc des vidéos à partir de contes racontés. D’autres l’utilisent en mathématiques pour apprendre à compter.

Ironie du sort, ces jours-ci, après avoir vu des choses comme M. Crayon sauve Doodleburg sur le Leapster Explorer de mon fils (qui, en passant, tourne sous Linux !), je commence à penser que Tux Paint nécessite des fonctionnalités supplémentaires pour aider à enseigner les concepts de l’art et de la couleur.

Comment les enseignants, l’administration scolaire, les parents et les contributeurs intéressés peuvent s’investir dans Tux Paint ?

Par exemple, envoyez un message à Bill pour contribuer à Tux Paint sur Android.

Il y a une liste de diffusion pour les utilisateurs (parents, enseignants, etc.) et une page Facebook, mais il y a assez peu d’activité en général car Tux Paint est vraiment facile d’utilisation et tourne sur un large panel de plateformes.

Nous avons besoin d’aide :

• chasse aux bogues ;
• test d’assurance qualité ;
• traductions ;
• œuvres d’art ;
• idées d’amélioration ;
• documentation ;
• cursus scolaire ;
• faire passer le mot ;
• portage vers d’autres plateformes.

Crédit photo : HeyGabe (Creative Commons By-Sa)

Internet est dans un sale état. Tout cassé, fragmenté, explosé en parcelles de territoires dont des géants prédateurs se disputent âprement les lambeaux : Google, Apple, Facebook, Amazon, et tous ceux qui sont prêts à tout pour ravir leur monopole ne voient en nous que des profils rentables et dans nos usages que des consommations. La captation par ces entreprises de nos données personnelles a atteint un degré de sophistication auquel il devient difficile d’échapper.

Mais désormais une autre menace pèse sur tous les usagers du net, celle de la surveillance généralisée. Sans remonter aux années où était révélé et contesté le réseau Echelon, depuis longtemps on savait que les services secrets (et pas seulement ceux des pays de l’Ouest) mettaient des moyens technologiques puissants au service de ce qu’on appelait alors des « écoutes ». Ce qui est nouveau et dévastateur, c’est que nous savons maintenant quelle ampleur inouïe atteint cette surveillance de tous les comportements de notre vie privée. Notre vie en ligne nous permet tout : lire, écrire, compter, apprendre, acheter et vendre, travailler et se détendre, communiquer et s’informer… Mais aucune de nos pratiques numériques ne peut échapper à la surveillance. et gare à ceux qui cherchent à faire d’Internet un outil citoyen de contestation ou de dévoilement : censure politique du net en Chine et dans plusieurs autres pays déjà sous prétexte de lutte contre la pédopornographie, condamnation à des peines disproportionnées pour Manning, exil contraint pour Assange et Snowden, avec la complicité des gouvernements les systèmes de surveillance piétinent sans scrupules les droits fondamentaux inscrits dans les constitutions de pays plus ou moins démocratiques.

Faut-il se résigner à n’être que des consommateurs-suspects ? Comment le simple utilisateur d’Internet, qui ne dispose pas de compétences techniques sophistiquées pour installer des contre-mesures, peut-il préserver sa « bulle » privée, le secret de sa vie intime, sa liberté de communiquer librement sur Internet — qui n’est rien d’autre que la forme contemporaine de la liberté d’expression ?

Oui, il est difficile au citoyen du net de s’installer un réseau virtuel privé, un serveur personnel de courrier, d’utiliser TOR, de chiffrer ses messages de façon sûre, et autres dispositifs que les geeks s’enorgueillissent de maîtriser (avec, n’est-ce pas, un soupçon de condescendance pour les autres… Souvenez-vous des réactions du type : « — Hadopi ? M’en fous… je me fais un tunnel VPN et c’est réglé »).

Aujourd’hui que tout le monde a compris à quelle double surveillance nous sommes soumis, c’est tout le monde qui devrait pouvoir accéder à des outils simples qui, à défaut de protéger intégralement la confidentialité, la préservent pour l’essentiel.

Voilà pourquoi une initiative récente de la Fondation pour la liberté de la presse (Freedom of the Press Foundation) nous a paru utile à relayer. Encryption works (« le chiffrement, ça marche ») est un petit guide rédigé par Micah Lee (membre actif de l’EFF et développeur de l’excellente extension HTTPS Everywhere) qui propose une initiation à quelques techniques destinées à permettre à chacun de protéger sa vie privée.

Nous vous en traduisons aujourd’hui le préambule et publierons chaque semaine un petit chapitre. Répétons-le, il s’agit d’une première approche, et un ouvrage plus conséquent dont la traduction est en cours sera probablement disponible dans quelques mois grâce à Framalang. Mais faisons ensemble ce premier pas vers la maîtrise de notre vie en ligne.

Contributeurs : Slystone, Asta, peupleLa, lamessen, Calou, goofy, Lolo

Le chiffrement, ça marche

Comment protéger votre vie privée à l’ère de la surveillance par la NSA

par Micah Lee

Le chiffrement, ça marche. Correctement configurés, les systèmes de chiffrement forts font partie des rares choses sur lesquelles vous pouvez compter. Malheureusement, la sécurité des points d’accès est si horriblement faible que la NSA peut la contourner fréquemment.

— Edward Snowden, répondant en direct à des questions sur le site du Guardian

La NSA est la plus importante et la plus subventionnée des agences d’espionnage que le monde ait pu connaître. Elle dépense des milliards de dollars chaque année dans le but d’aspirer les données numériques de la plupart des gens de cette planète qui possèdent un accès à Internet et au réseau téléphonique. Et comme le montrent des articles récents du Guardian et du Washington Post, même les plus banales communications américaines n’échappent pas à leur filet.

Vous protéger de la NSA, ou de toute autre agence gouvernementale de renseignements, ce n’est pas simple. Et ce n’est pas un problème que l’on peut résoudre en se contentant de télécharger une application. Mais grâce au travail de cryptographes civils et de la communauté du FLOSS, il reste possible de préserver sa vie privée sur Internet. Les logiciels qui le permettent sont librement accessibles à tous. C’est particulièrement important pour des journalistes qui communiquent en ligne avec leurs sources.

(à suivre…)

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.

Le groupe de pression « FairSearch » (Microsoft, Nokia, Oracle…) prétend que Android fausse la concurrence parce qu’il est libre et gratuit et vient s’en plaindre à la Commission Européenne.

Traduite par nos soins, une réponse de la Free Software Foundation Europe s’imposait.

Les objections de la FSFE aux prétendues pratiques de « prix prédatoires » des logiciels libres

FSFE objects to claims of ‘predatory pricing’ in Free Software

(Traduction : Asta, GregR, Kiwileaks, KoS, Rinzin, Scailyna, Slystone, Tentate, aKa, audionuma, hugo, lamessen, lu, madalton + anonymes)

À :
Commission Européenne
DG Concurrence
B-1049 Bruxelles
Belgique

Juillet 2013

Selon des informations publiées dans un media spécialisé en ligne, la coalition dénommée « FairSearch » (composée de Microsoft, Nokia, Oracle et un certain nombre de fournisseurs de services en ligne) prétend dans sa dernière demande à la Commission Européenne que la distribution gratuite d’Android, un système d’exploitation libre^[1] pour mobiles développé par Google, constitue une pratique de prix prédatoires. Suggérer que la distribution gratuite de logiciels libres pénalise la concurrence est d’une part faux en soi, et constitue d’autre part un danger pour la concurrence et l’innovation.

Nous exhortons la Commission à examiner les faits comme il se doit avant d’admettre les allégations de FairSearch comme établies. Nous vous écrivons aujourd’hui afin d’expliquer comment la distribution de logiciels libres, qu’elle soit gratuite ou contre rémunération, promeut la concurrence plutôt que de la mettre à mal.

La Free Software Foundation Europe (FSFE) est une organisation associative indépendante et à but non lucratif qui se consacre à la promotion du logiciel libre. La FSFE défend l’idée que les libertés d’utiliser, de partager et d’améliorer les logiciels sont essentielles pour assurer une participation de tous à l’ère informatique. Nous travaillons en faveur d’une compréhension et d’un soutien global vis-à-vis du logiciel libre en politique, en droit et dans la société en général. Nous promouvons également le développement des technologies, telles que le système d’exploitation GNU/Linux, qui assurent ces libertés à tous les participants de la société numérique. Pour atteindre ces buts, nous avons une longue histoire d’implication active dans les processus de concurrence qui affectent le logiciel libre.

Le logiciel libre est une question de liberté, pas de prix.

Le terme « libre » dans logiciel libre évoque la notion de liberté, et non celle de prix (NdT la fameuse ambiguité sur le mot anglais free). Plus précisément, le logiciel libre offre aux utilisateurs les libertés suivantes :

• exécuter le programme, sans limitation ;
• étudier le code source du programme et comprendre comment il fonctionne ;
• partager le programme avec d’autres, que cela soit gratuitement ou moyennant finance ;
• améliorer le programme et distribuer ses améliorations.

Prises ensemble, ces quatre libertés font du modèle du logiciel libre une force puissante et disruptive pour la concurrence. Le logiciel libre a contribué de façon considérable à la rupture d’anciens monopoles construits par les fabricants de logiciels propriétaires tels que Microsoft.

Dans de nombreux domaines, les logiciels libres sont depuis longtemps les applications majeures, ou les alternatives concurrentes les plus puissantes. Cela inclut les serveurs web^[2], la navigation web (Firefox), les suites bureautiques (LibreOffice, OpenOffice), et les systèmes d’exploitation de serveurs. 93% des 500 supercalculateurs mondiaux sont basés sur des systèmes d’exploitation libres.

Le logiciel libre est la norme pour les fabricants de périphériques embarqués, comme les télévisions « intelligentes », les routeurs DSL, et les ordinateurs de bord des voitures, pour ne citer qu’eux. De nos jours, des entreprises leaders du web, comme Facebook, Amazon et Google, s’appuient fortement sur le logiciel libre pour construire leurs offres. Le logiciel libre fait aussi fonctionner pléthore de startups et de concurrents avec des architectures et des services qui constituent des alternatives aux prestataires établis.

La tendance dans le mobile et ailleurs est irrémédiablement aux logiciels libres

Selon les sources accessibles au public, le fond de la revendication de FairSearch est qu’en « distribuant Android gratuitement », Google empêche les systèmes d’exploitation concurrents d’obtenir un retour sur investissement dans leur concurrence de « la plate-forme mobile dominante de Google ».

La FSFE s’oppose fermement à cette qualification : le logiciel libre est un moyen très efficace de produire et distribuer du logiciel. La vente de licences n’est que l’un des nombreux moyens de monétiser le logiciel.

Android est une plateforme logicielle construite autour du noyau Linux et de Java, par le fork Dalvik, ce qui est possible parce que Java et le noyau sont disponibles sous licence libre. N’importe qui peut prendre Android et le transformer en quelque chose de meilleur et de plus libre, avec ou sans liens avec Google, et ce aussi longtemps que le code source sera disponible, comme il l’est actuellement. Replicant et CyanogenMod sont simplement deux exemples notables, tous deux installés sur des millions de terminaux. L’adoption d’Android par Facebook pour ses propres besoins montre à quel point la plateforme est véritablement ouverte, au point qu’un concurrent peut proposer une interface graphique (GUI) alternative qui est essentiellement destinée aux services d’un concurrent.

En ce qui concerne Java, la Commission a déjà constaté la forte valeur d’une plateforme non fragmentée et reconnaît qu’il existe de fortes motivations à la prévention de sa fragmentation^[3]. À tout le moins, Android a attiré les critiques du fait que ses conditions de licence et d’ouverture favorisent la fragmentation, contre ses propres intérêts. La fragmentation est une menace liée à la liberté de « forker ». Dans un contexte propriétaire, le contrôle étroit sur le droit d’auteur, les marques et les brevets empêche facilement la fragmentation. À l’inverse, dans un environnement libre, la fragmentation est évitée par le consensus, le l’autorité fondée sur le mérite, et parfois par l’utilisation de marques (Red Hat, Mozilla). Linux, le noyau commun aux systèmes d’exploitation Android et GNU/Linux a échappé jusqu’à présent à la fragmentation non pas parce qu’elle est impossible ou interdite ? elle ne l’est certainement pas ?, mais parce qu’elle ne rimerait à rien. Au sein d’une plateforme, assurer la plus large compatibilité et un haut degré de standardisation est une préoccupation constante de tout projet, et constitue d’une part une incitation forte pour éviter les abus de la communauté, et d’autre part une pression constante sur le ou les chefs de file du projet pour qu’ils avancent par consensus^[4].

Afin de bien illustrer la façon dont le logiciel libre favorise la concurrence, nous faisons remarquer que tous les ajouts récents à la liste des systèmes d’exploitation mobiles sont largement du logiciel libre. Bien que les appareils Android représentent actuellement aux alentours de 70% des ventes de téléphones portables et tablettes, plusieurs autres systèmes d’exploitation mobiles libres basés sur le noyau Linux émergent pour entrer en concurrence avec Android. Les exemples incluent Firefox OS (soutenu par la fondation Mozilla), Jolla (issu des cendres de Maemo, un projet de la société Nokia interrompu suite à l’alignement stratégique de celle-ci sur Microsoft), Tizen (soutenu par Samsung, Intel et plusieurs opérateurs téléphoniques tels que Vodafone et NTT Docomo), et UbuntuMobile (soutenu par Canonical).

La distribution libre du code n’a rien a voir avec les prix prédatoires

Dans sa demande, la coalition FairSearch affirme que la disponibilité gratuite d’Android rend difficile ou impossible la concurrence sur le marché des systèmes d’exploitation mobiles.

Cependant, la vente de licences n’a jamais été une stratégie importante dans le marché du mobile. À la base, le constructeur de Blackberry, RIM, vendait des appareils et des logiciels et services pour les serveurs dans le secteur des entreprises. Apple a financé son iOS propriétaire grâce à ses services et composants vendu à la fois par Apple et par des entreprises tierces réduisant considérablement les revenus générés par le magasin en ligne iTunes. Nokia a essayé de maintenir deux systèmes d’exploitations différents, tous deux finalement libres (Symbian et Maemo, ensuite renommé en Meego, et maintenant forké par Jolla et son SailFish). Seul Microsoft a réussi à garder une position de vendeur de logiciel indépendant, arguant de l’avantage tiré de l’intégration avec ses services réseaux.

Il semblerait donc que le seul motif envisageable à la plainte de la coalition FairSearch soit que l’existence d’un certain nombre de systèmes d’exploitations mobiles libres, dont Android, rende la tache plus difficile à Microsoft pour reproduire son modèle économique dans le marché mobile. En soi, la demande de FairSearch à la commission revient à favoriser un modèle économique plutôt qu’un autre. C’est exactement à l’opposé de ce qu’une autorité de concurrence devrait appliquer pour maintenir un marché concurrentiel.

La FSFE a toujours clairement affirmé qu’une licence propriétaire est un système de production de logiciel obsolète et inefficace. De notre point de vu, Google n’a ni l’intention ni les moyens de monopoliser le marché du système d’exploitation mobile, tout simplement parce qu’il n’y a pas de marché des licences de systèmes d’exploitations propriétaires.

La pratique de prix prédatoires alléguée par FairSearch est clairement inadaptée à la réalité d’un marché où il n’y a pas de prix, et d’un produit qui, étant un logiciel libre, peut être littéralement pris par n’importe qui et « forké », ce qui est une pratique que la Commission avait déjà abordée précédemment. Il n’y a pas de distribution « à perte » pour le logiciel libre, parce que le prix des copies sur le marché du système d’exploitation mobile dans ces circonstances est précisément de zéro.

Les logiciels sont faciles à copier pour un coût quasi-nul. En termes économiques, cela signifie qu’il n’y a par définition pas de rareté dans les logiciels. Une telle rareté ne peut être introduite qu’artificiellement, l’utilisation d’une licence propriétaire étant le moyen le plus courant.

Au contraire, le logiciel libre crée un bien commun, auquel chacun peut participer, mais que personne ne peut monopoliser. Les logiciels libres créent ainsi de la richesse et augmentent les possibilités de croissance pour nombre de compagnies et de modèles économiques. Par exemple, Red Hat est une entreprise dont le chiffre d’affaire annuel atteint les 1.3 milliards de dollars, uniquement par la fourniture de services autour d’une distribution GNU/Linux. Android a sans nul doute créé un avantage compétitif pour Google ; mais, contrairement à Microsoft, Google ne se focalise pas sur les logiciels et la monopolisation de plateforme, mais sur les services, proposés sur n’importe quelle plateforme utilisée par le consommateur. Au contraire, des analystes estiment que Microsoft gagne plus d’argent grâce à Android qu’il n’en gagne à partir de Windows pour les appareils mobiles. Après l’engagement d’une politique de licence d’exploitation de ses brevets agressive à l’égard des fabricants d’appareils Android.

L’avantage compétitif de Google est essentiellement éphémère : la seule voie pour rester devant la concurrence dans les logiciels libres est de concevoir de meilleurs produits ou services et de gagner la confiance des utilisateurs. Le coût à l’entrée dans cette environnement concurrentiel est extrêmement bas. En effet, cette plateforme accepte des marchés d’applications alternatifs. Les différentes fondations du logiciel libre font campagne pour « libérer les Android » (Free Your Android) et sollicite l’adoption d’un marché d’application alternatif appelé F-Droid où sont uniquement proposés des logiciels libres.

Conclusion

Dans cette demande, la coalition FairSearch semble supposer que les régulateurs européens n’ont pas pris conscience des évolutions du marché du logiciel au cours de cette dernière décennie. Au lieu de mettre en évidence une menace réelle à la concurrence dans le marché du mobile, la demande de FairSearch donne l’impression que Microsoft (une entreprise condamnée pour son comportement anti-concurrentiel dans des procès de premier plan sur trois continents) essaye de revenir en arrière. L’entreprise est en fait en train de soutenir que la Commission devrait protéger son modèle économique dépassé dans le marché du mobile par un innovateur plus efficace. Nous nous permettons, avec votre respect, de ne pas être de cet avis.

La qualité d’Android comme ressource commune le rend très précieux pour les fabricants, précisément parce que Google ne peut le contrôler qu’à travers son impulsion, pas à travers une main de fer et un enfermement propriétaire, comme c’est le cas avec les alternatives propriétaires. Ce fait même devrait être considéré comme une grande incitation à la concurrence.

Nous recommandons à la Commission européenne d’écarter ce recours sans même ouvrir formellement de procédure. Éventuellement, si une déclaration de communication des griefs devait être notifiée, elle devrait éviter toute référence à la licence du logiciel libre comme source d’entrave à la concurrence. En effet, la qualité de logiciel libre d’Android devrait être considérée comme un outil puissant pour réduire les freins à une concurrence libre et améliorée.

À la FSFE, nous continuerons à travailler avec la Commission européenne pour promouvoir le logiciel libre comme un moyen de créer et maintenir la concurrence sur les marchés. Nous nous tenons prêts à assister la Commission dans toutes les affaires qui se rapportent au logiciel libre.

Bien à vous,

Karsten Gerloff, Président
Carlo Piana, Conseil général
Free Software Foundation Europe

Crédit photo : Laihiu (Creative Commons By)