Pendant que vous cherchez la contrepèterie dans ce titre purement factuel, on vous explique : Sympa, c’est le logiciel qui nous permet de gérer Framalistes, un des services de notre modeste plan de libération du monde© !

Marc Chantreux a lancé une invitation à tous les fans de Sympa (eh oui, ils sont sympas, on va se débarrasser de ça tout de suite) pour le rejoindre dans un grand hackathon à Strasbourg le week-end du premier avril 2017.

C’est super, mais… c’est quoi ?

Bonjour Marc, est-ce que tu veux bien te présenter ?

Je m’appelle Marc Chantreux, je suis libriste (par conviction éthique et technique) depuis les années 90 et suis actuellement informaticien à l’université de Strasbourg où j’ai géré sympa pendant 5 ans.

Sympa, le logiciel libre qui nous sert à gérer Framalistes, va fêter ses 20 ans, c’est bien ça ?

C’est ça et je me suis connecté pour la première fois à Internet la même année. Ce qui m’a immédiatement plu à l’époque, ce n’était pas la quantité de documentation disponible (parce qu’on avait déjà des e-zines et autres documentations qui circulaient sur CD-Rom ou supports imprimés) mais la possibilité de poser directement des questions aux experts dans une ambiance extrêmement ouverte et respectueuse. Les deux principaux outils pour cela étaient Usenet et les listes de discussion. En France, un gros hébergeur de listes était Universalistes qui tournait déjà (qui tourne toujours) sous sympa.

Ce logiciel a été créé et maintenu par la communauté universitaire française depuis l’origine. Entre temps, sympa a été adopté dans le monde entier et s’est enrichi de fonctionnalités nécessaires au travail collaboratif pour lequel les listes étaient utilisées (documents partagés, archives, modération, délégation de droits, etc.).

Je me réjouis de voir que Framasoft ait monté une instance de sympa pour sa communauté mais perso, j’aurais utilisé « framagroupes » comme nom.

À cette occasion tu organises un fork communautaire et un hackathon. Tu peux nous expliquer ? Nan, parce que Framasky, il m’a demandé de t’interviewer mais j’y comprends que pouic. 🙂

Ces dernières années, la communauté universitaire a affecté de moins en moins de ressources jusqu’à ce que tout s’arrête complètement au courant de l’année dernière. La communauté est pourtant forte de millions d’utilisateurs et il n’existe pas d’alternative crédible si on considère sympa dans son ensemble. J’ai donc proposé à la communauté de se rassembler pour s’organiser et posé les bases d’un développement qui ne repose plus sur le seul acteur historique (RENATER). Les 20 ans de sympa tombaient un week-end, c’était une belle occasion.

RENATER a réagi très positivement à cette initiative et nous a rapidement prêté assistance, en ouvrant une partie de l’infrastructure, en parrainant la venue du leader historique du projet — David Verdin — et en nous rassurant sur leur volonté de rester investi dans le projet. J’ai eu des échanges téléphoniques et électroniques avec leur direction technique et je suis confiant dans la perspective de voir RENATER redonner de la force de frappe à sympa.

Et c’est quoi, l’objectif de ce hackathon ? Sur quel critère le jugeras-tu réussi ?

L’objectif de ce hackathon est d’initier les projets qui permettront aux utilisateurs de sympa d’avoir accès plus simplement à un grand nombre de fonctionnalités. Il nous faut au passage nous mettre d’accord sur des pratiques communes de développement mais le plus important pour moi n’est pas là.

Je suis membre de longue date de la communauté Perl et je suis toujours ému par l’énergie qui se dégage du sentiment que nous partageons tous d’appartenir à une communauté soudée, au service de millions d’utilisateurs et vivant une grande aventure technique avec des défis à relever au quotidien pour produire le meilleur logiciel possible. Si nous arrivons à faire germer cet esprit dans la communauté sympa naissante, alors je serais heureux.

Le hackathon, c’est que pour les développeurs, ou tout le monde peut contribuer ?

Sympa est comme tout logiciel libre : sa valeur réside dans son utilité et non dans son code.

Pour le rendre utile, il faut aussi le rendre accessible et visible et nous avons besoin de faire plein de choses nécessitant plein de compétences ! Dites-moi ce que vous voulez ou savez faire et j’aurais probablement des tâches à vous proposer. Celles qui me viennent sont : collecter les besoins et retours des utilisateurs, organiser ou participer à des événements, faire du graphisme et de la communication, nous aider à réaliser de la documentation, créer et animer la formation, assister les communautés d’utilisateur, faire de la traduction…

Il va y avoir du beau monde, dans ce hackathon, les copains de Yunohost, notamment. Qui d’autre ?

De nombreux acteurs associatifs en faveur de l’auto-hébergement et de l’internet neutre (par exemple Framasoft, YUNoHost, ARN qui est un FAI associatif alsacien) mais aussi des hackers du Libre User Group alsacien et du Hackstub, des membres de la communauté universitaire (Universités de Strasbourg et Oslo et RENATER qui est le FAI des universités françaises) ainsi que les sociétés Hackcendo et Linuxia.

Et ça se passe où ? Il faut s’inscrire quelque part ?

Ça se passe au portique de l’université de Strasbourg mais les inscriptions sont maintenant closes. Désolé…

Du coup, on peut participer à distance ? Ou aider d’une autre façon ?

Bien sûr : le mieux est de rejoindre le canal IRC #sympa sur freenode dès maintenant et de dire que vous êtes intéressés par la contribution. Si vous avez du mal avec l’anglais, vous pouvez aussi vous abonner à la liste sympa-fr (https://listes.renater.fr/sympa/info/sympa-fr) ou me contacter directement.

Sympa, ça peut gérer des listes de diffusion vraiment balaises ? Genre quoi ?

Genre j’ai personnellement géré des listes de 140 000 abonnés ou le goulot d’étranglement n’était pas sympa mais l’infra de messagerie. Les listes permettant de contacter l’ensemble des personnels de l’enseignement supérieur tournent avec sympa et il existe des groupes qui dépassent le million d’abonnés.

Mais si on se lance dans le concours du plus gros site, je dirais que le principal intérêt de sympa réside non pas dans sa capacité d’envoyer des millions de messages mais de réussir à les envoyer en respectant l’état de l’art dans les pratiques relatives à la lutte anti-spam (DMARC, DKIM…) et de donner la possibilité à des administrateurs d’industrialiser la création et la maintenance d’un grand nombre de listes (l’université de Strasbourg en compte près de 35 000).

Comme d’hab, nous te laissons le mot de la fin, lâche-toi.

Lors de l’apparition des premiers web fora, j’ai vu les communautés se diviser autour des outils de discussion. les « surfers » (qui aiment les fora pour leur côté immédiat, simple et « beau ») et les fans de la messagerie électronique qui apprécient le degré de liberté qui leur est donné de présenter et traiter les messages comme ils l’entendent. Les deux approches sont valables et ne devraient pas être un frein pour ce qui compte réellement : l’échange ! Avec ses outils (postage, archives en ligne, dépôt de documents) sympa est soit un gestionnaire de listes haut de gamme soit le système de forum avec la pire interface web du monde.

L’urgence de sympa, c’est donc son interface web et c’est là-dessus que nous allons mettre le paquet.

Pour en savoir plus, et surtout donner un coup de main, c’est par ici

Notre projet historique, l’annuaire de Framasoft, renaît de ses cendres… pour ouvrir encore plus grandes les portes du Libre.

Au commencement était l’annuaire…

OK : pas besoin de prendre un ton biblique non plus, mais il est vrai que c’est avec une émotion toute particulière qu’on vous présente cette refonte complète du tout premier projet, celui qui a fait naître Framasoft ; et qui, mine de rien, a défini notre identité.

Il y a 16 ans, en 2001, une prof de FRAnçais (Caroline d’Atabekian) et un prof de MAths (Alexis Kauffmann) commencent à s’échanger des listes de logiciels gratuits pour les salles d’ordinateurs de leurs établissements dont le budget informatique était grevé par les licences Windows.

Le projet plaît, et il évolue. On se rend compte que derrière certains logiciels gratuits, il existe des licences libres, des contrats garants de nos libertés et du respect de certaines valeurs. Alors on découvre le monde du Logiciel Libre, fait d’entraide (pour adapter les serveurs au succès croissant du site) et de collaboration (à côté des fiches pour les logiciels fleurissent les tutoriels d’utilisation).

Il faut attendre 2004 pour que ce premier site devienne un annuaire collaboratif de logiciels libres tel qu’on le connaît aujourd’hui. Un outil pratique, fait par et pour des « non-pros » de l’informatique, conçu comme une porte d’entrée vers ce monde numérique où les êtres humains et leurs libertés sont respectés. On y vient pour un besoin logiciel précis, on y retourne pour la chaleur de la communauté, et on se fait délicieusement contaminer par les valeurs du Libre.

#gallery-1 { margin: auto; } #gallery-1 .gallery-item { float: left; margin-top: 10px; text-align: center; width: 50%; } #gallery-1 img { border: 2px solid #cfcfcf; } #gallery-1 .gallery-caption { margin-left: 0; } /* see gallery_shortcode() in wp-includes/media.php */

« Framalibre – le reboot ? Euh… Hum… Oui-oui ! C’est pour… demain ! »

Cela fait bien cinq ans que nous savons l’annuaire vieillissant, avec des notices trop détaillées qui deviennent vite obsolètes. Cinq ans que d’atermoiements en hésitations (« Faut-il vraiment repartir de zéro ? », se demandait-on avec des yeux de Chat Potté), d’avancées en marches à reculons, nous nous rendons compte qu’il n’est plus adapté ni au Libre (qui désormais déborde largement du champ des seuls logiciels), ni à nos usages (avec des contributions passant par un wiki, un forum, puis un Spip… c’est pas lourd du tout du tout -_-).

Sauf que voilà : on a toujours une urgence qui vient de tomber (entraînée par un de nos serveurs), un nouveau Framabook ou une nouvelle Framakey sur le feu, un Internet à Dégoogliser… Et puis il est difficile d’admettre que le SPIP qui a vaillamment permis notre annuaire (et donc notre page d’accueil) depuis tant d’années n’était plus l’outil le mieux adapté et le plus accessible pour cet usage précis…

Il nous a donc fallu cinq ans (et de multiples abandons/blocages/coup de fouet/reprises du projet) pour vous proposer cette refonte, cette remise à zéro de l’annuaire. Ne vous inquiétez pas, si vous aimez l’ancien, nous en avons gardé une archive juste à cette adresse archive.framalibre.org 😉 ! Cinq ans, et le travail conjoint de nombreux membres, salariés, mais surtout partenaires : Smile, dans un premier temps, pour leurs templates de visualisation… Mais surtout Makina Corpus, entreprise toulousaine bien connue des visiteurs du Capitole du Libre, qui nous a fait un design et une intégration Drupal aux petits oignons et nous a accompagnés (avec Framatophe tenant vaillamment le cap) sur les derniers efforts que nous ne savions pas fournir nous-mêmes.

Voici Framalibre, 2e du nom…

Bon, c’est pas tout ça, mais est-ce que ça valait le coup d’attendre ? Que va-t-on trouver en guise d’annuaire Framasoft ?

Déjà on revient à quelque chose de simple. Les notices sont claires, concises, et vous mènent au plus vite vers le lien officiel de la ressource que vous consultez. Finies les notices hyper-détaillées et trop longues qui deviennent désuètes à la moindre mise à jour 😉 ! L’idée principale, c’est de trouver aisément et comme on le souhaite : on peut rechercher une notice selon sa catégorie, utiliser le système de tags, ou même se laisser porter par les suggestions, recommandations, les notices mises en avant, etc.

C’est aussi un annuaire qui facilite la collaboration. Avec un simple compte, vous pouvez voter pour les ressources que vous préférez (et donc les mettre en valeur), corriger ou mettre à jour une notice, en créer une nouvelle dans l’annuaire, ou plus simplement écrire une chronique (un tutoriel, un témoignage, ou bien votre avis sur telle ressource…). Cet annuaire, c’est vous qui le ferez, nous avons donc fait en sorte qu’il vous soit le plus ouvert possible. Et, avec Drupal, gageons que nous pourrons, ensuite, ouvrir les données engrangées via un système d’API (ceci est un souhait, pas une promesse — mais ce serait cool, hein ?)…

Enfin et surtout, Framalibre se veut un annuaire du Libre, en général, et non pas seulement du Logiciel Libre. Car nos vies numériques ne sont plus uniquement « virtuelles », et les libertés que nous défendons et nourrissons vont au-delà du logiciel.

Désormais, vous pouvez rentrer dans l’annuaire et y trouver :

• des outils informatifs, catégorie S’informer,
• des logiciels, du matériel et des jeux de données libres, dans S’équiper,
• des livres, albums, films et autres œuvres culturelles dans Se cultiver,
• et même les entreprises, collectifs, associations et autres initiatives du monde du Libre dans pour bien S’entourer.

Depuis 2004, le monde du Libre a bien grandi… Il était temps d’en agrandir une des portes d’entrée ;).

Ouvrons les portes et nos communautés !

Un annuaire, c’est un bouquet de fleurs capiteuses… Attiré·e par la douce odeur de THE information pratique que l’on vient y chercher, on s’enivre du nectar des autres notices à disposition, on se perd dans la navigation et finit par découvrir un nouveau champ de possibilités et de libertés.

Nous ne comptons plus le nombre de fois, sur le stand d’une convention libriste, où nous rencontrons un·e convaincu·e, arborant fièrement le logo de sa « distro GNUnux » favorite sur son T-Shirt, et qui s’écrie plein·e de nostalgie :

« Oooh ! Framasoft ! Je me souviens, c’est sur votre site, là, que j’ai découvert mes premiers logiciels libres ! »

C’est à nous, désormais, de préparer le terrain pour que les futures générations de libristes tombent dans la marmite de potion magique ! D’ailleurs, un énorme merci aux personnes qui ont saisi les 400 premières notices avant la mise en production <3 ! Oh et au fait : vos comptes beta.framalibre.org fonctionnent désormais sur framalibre.org 😉

C’est à nous, donc, de contribuer à cet annuaire et de le nourrir de ce qui nous intéresse et que l’on souhaite partager. Que ce soit des notices, des chroniques, des corrections ou de simples votes : ce sont toutes vos contributions qui pourront faire le succès de cette renaissance…

Une équipe de modération est déjà en place (mais aura vite besoin de nouveaux bras) et des ateliers de contribution commencent à s’organiser (dont un sur Toulouse, le 22 mars, avec le GULL Toulibre). En cette période où le Libre est en fête, faites-vous une joie de mettre en valeur des œuvres (logicielles, culturelles, matérielles, etc.) libres, parce que vous y contribuez ou en bénéficiez, ou simplement parce que vous les aimez et souhaitez les partager avec le plus grand nombre.

Nous, on va écraser une petite larmichette d’émotion sur cette page qui se tourne, et se remettre au boulot !

Pour aller plus loin :

• Aller voir Framalibre
  • Tuto premiers pas sur l’annuaire
  • Tuto se créer un compte
  • Tuto créer/modifier une notice
• Archives de l’ancien annuaire
• Historique de Framasoft sur Wikipédia
• Makina Corpus, sans qui rien n’aurait été possible

La création d’un site web depuis votre compte Framagit est beaucoup plus souple, et c’est une belle victoire pour le libre !

Qu’est‐ce que GitLab Pages ?

À l’instar des pages Github, les pages GitLab permettent à toute personne possédant un dépôt sur une instance de GitLab de créer un site Web via un générateur de site statique (Jekyll, Middleman, Hexo, Hugo, Pelican…) et de l’héberger sur l’infrastructure dudit GitLab.

La compilation du site est effectuée lors du push vers le dépôt GitLab, via le système d’intégration continue de GitLab, puis le résultat est publié à l’endroit idoine pour être accessible via le Web. Il est possible d’utiliser un nom de domaine personnel (il n’est pas obligatoire d’utiliser une adresse du style https://username.gitlab.io), ainsi qu’un certificat personnel.

Et ça sert ?

Oui !

Les pages GitHub sont très souvent utilisées par les développeurs pour fournir une page de présentation de leurs projets, même les plus gros : Ruby on Rails, Django, React…

Les pages GitLab sont donc susceptibles d’être tout autant utilisées que les pages GitHub. La demande est là.

Mais on avait pas déjà un truc comme ça ?

Tout à fait ! J’avais créé Fs Pages pour fournir un service similaire mais plus limité que les Gitlab Pages car Gitlab ne souhaitait pas les intégrer à leur édition communautaire.

Il était possible de publier un site statique via Fs Pages mais la génération du site devait se faire avant de pousser le code : point de génération automatique. De plus, il n’était pas possible d’utiliser un nom de domaine personnel. Votre site statique répondait uniquement via l’adresse https://votre_utilisateur.frama.io.

Le long chemin de la libération

Nous n’allons pas refaire l’historique complet de la libération des Gitlab Pages, surtout que celui-ci est disponible sur LinuxFr. Mais un petit résumé succinct ne fera pas de mal.

Tout a commencé par un tweet de votre serviteur demandant à Gitlab s’il était envisageable d’avoir les Gitlab Pages dans l’édition communautaire de Gitlab (pas la peine de chercher les tweets en question, j’ai fermé mon compte twitter). Gitlab a ouvert un ticket pour discuter de cela.

Gitlab a exposé au fil du temps trois arguments :

• seules les fonctionnalités utiles aux instances de moins de 100 utilisateurs peuvent aller dans l’édition communautaire (et pour eux, cela n’était pas le cas de Gitlab Pages)
• https://gitlab.com, qui utilise la version entreprise — donc avec les Gitlab Pages — est libre d’utilisation pour tout un chacun, et contrairement à Github, les dépôts privés sont gratuits
• les Gitlab Pages sont une fonctionnalité qui ajoute une réelle plus-value à l’édition entreprise : comment vendre leur produit si une des fonctionnalités majeures est déjà dans l’édition communautaire ?

Il est à noter que Gitlab nous a proposé d’utiliser la version entreprise avec un rabais, ce qui est tout à leur honneur, mais comme nous ne souhaitons utiliser que du logiciel libre, nous avons décliné (évidemment 😀)

La communauté a fait valoir que Gitlab Pages n’intéressait pas que les grandes instances, qu’utiliser https://gitlab.com ou Github revenait au même puisque cela équivaut à utiliser du logiciel propriétaire, proposa un financement participatif pour financer la libération et enfin avança que les Gitlab Pages feraient une bonne publicité à Gitlab, les développeurs utilisant de plus en plus fréquemment ce genre de solution pour héberger leurs sites ou leurs blogs. Et même si j’ai horreur de cet argument de notoriété, force m’est d’avouer qu’il a su faire mouche (ainsi que les plus de 100 « 👍 » du ticket) : la libération fut annoncée peu de temps après celui-ci !

En tout, la discussion a duré près de onze mois. Les échanges furent cordiaux et la communauté, opiniâtre, a su faire valoir ses arguments.

Bref, une bien belle victoire pour le libre qui voit là un logiciel apprécié se doter d’une nouvelle fonctionnalité très attendue !

Bon, et maintenant ?

Depuis la mise à jour de Framagit du 2 mars dernier, toute personne possédant un dépôt sur Framagit peut, via les Gitlab Pages, créer et héberger un site sur notre infrastructure, que ce soit en sous-domaine de frama.io (comme moi 😊) ou avec un domaine privé (auquel cas il faudra faire pointer un enregistrement DNS vers les IPs de frama.io : 144.76.206.44 et 2a01:4f8:200:1302::44 ou créer un enregistrement DNS de type CNAME vers frama.io.), avec ou sans certificat.

La documentation de Gitlab sur l’utilisation des Gitlab Pages (en anglais) est très complète et propose même un grand nombre de modèles sur lesquels vous baser. D’Hugo à Pelican en passant par des pages statiques développées à la main, il y en a pour tous les goûts !

Il n’y a que deux ombres au tableau :

• l’utilisation de certificats Let’s Encrypt n’est pas aisée mais un ticket est ouvert chez Gitlab pour intégrer directement Let’s Encrypt aux Gitlab Pages
• il n’y a pas de redirection automatique vers la version sécurisée (https) de votre site, quand bien même vous fourniriez un certificat ou que vous utilisiez un sous-domaine de frama.io (ce qui vous fournit automatiquement une version https de votre site grâce à notre achat d’un certificat wildcard (certificat valant pour le domaine et tous ses sous-domaines)). Un ticket est cependant ouvert chez Gitlab à ce sujet. En attendant, pour rediriger vos visiteurs vers la version https de votre site, vous pouvez néanmoins inclure ce petit bout de JavaScript dans vos pages :

  <script>
  var loc = window.location.href+'';
  if (loc.indexOf('http://')==0){
      window.location.href = loc.replace('http://','https://');
  }
  </script>

Le framablog n’étant pas un blog technique, nous ne étendrons pas plus sur les ficelles de Gitlab Pages : on va laisser ça pour notre site dédié à la documentation de nos services.

Au 20 mars, nous sommes déjà 31 (oui, bon, ok, sur 7 560 utilisateurs, ça fait peu) à avoir commencé à bidouiller sur les Gitlab Pages de Framagit (contre 53 quand nous proposions FsPages). Continuez comme ça ! 🙂

Crédits image :

• Logo Framasoft : © JosephK, CC-BY-SA
• Logo Gitlab : © Gitlab, CC-BY-NC-SA 4.0
• Arithmetic symbols : Domaine public
• Love Heart : Domaine public

À l’occasion du 28^e anniversaire du World Wide Web, son inventeur Tim Berners-Lee a publié une lettre ouverte dans laquelle il expose ses inquiétudes concernant l’évolution du Web, notamment la perte de contrôle sur les données personnelles, la désinformation en ligne et les enjeux de la propagande politique.

Aral Balkan, qui n’est plus à présenter sur ce blog, lui répond par cet article en reprenant le concept de Capitalisme de surveillance. Comment pourrions-nous arrêter de nous faire exploiter en coopérant avec des multinationales surpuissantes, alors que cela va à l’encontre de leurs intérêts ? Réponse : c’est impossible. À moins de changer de paradigme…

Article original d’Aral Balkan sur son blog :  We did not lose control, it was stolen

Traduction Framalang : Dark Knight, audionuma, bricabrac, dominix, mo, Jerochat, Luc, goofy, lyn, dodosan et des anonymes

Aral Balkan est un militant, concepteur et développeur. Il détient 1/3 de Ind.ie, une petite entreprise sociale qui travaille pour la justice sociale à l’ère du numérique.

Nous n’avons pas perdu le contrôle du Web — on nous l’a volé

12 mars 2017. Le Web que nous avons fonctionne bien pour Google et Facebook. Celles et ceux qui nous exploitent ne respectent pas nos vies privées et en sont récompensé·e·s chaque année par des chiffres d’affaires atteignant des dizaines de milliards de dollars. Comment pourraient-ils être nos alliés ?

Pour marquer le vingt-huitième anniversaire du World Wide Web, son inventeur Tim Berners-Lee a écrit une lettre ouverte distinguant trois « tendances » principales qui l’inquiètent de plus en plus depuis douze mois :

1.    Nous avons perdu le contrôle de nos données personnelles

2.    Il est trop facile de répandre la désinformation sur le Web

3.    La propagande politique en ligne doit être transparente et comprise

Il est important de noter qu’il ne s’agit pas seulement de tendances et que ce phénomène est en gestation depuis bien plus de douze mois. Ce sont des symptômes inextricablement liés à l’essence même du Web tel qu’il existe dans le contexte socio-technologique où nous vivons aujourd’hui, que nous appelons le capitalisme de surveillance.

C’est le résultat d’un cercle vicieux entre l’accumulation d’informations et celle du capital, qui nous a laissé une oligarchie de plateformes en situation de monopole qui filtrent, manipulent et exploitent nos vies quotidiennes.

Nous n’avons pas perdu le contrôle du Web — on nous l’a volé

Google et Facebook ne sont pas des alliés dans notre combat pour un futur juste : ils sont l’ennemi.

Tim dit que nous avons « perdu le contrôle de nos données personnelles ».

C’est inexact.

Nous n’avons pas perdu le contrôle : la Silicon Valley nous l’a volé.

Ceux qui nous exploitent, les Google et les Facebook du monde entier, nous le volent tous les jours.

Vous vous le faites voler par une industrie de courtier·e·s de données, la publicité l’industrie de la publicité comportementale (« adtech ») et une longue liste de startups de la Silicon Valley qui cherchent une porte de sortie vers un des acteurs les plus établis ou essaient de rivaliser avec eux pour posséder une partie de votre personnalité.

Tim touche au cœur du problème dans son billet : « Le modèle commercial actuel appliqué par beaucoup de sites Web est de vous offrir du contenu en échange de vos données personnelles. » (1)

En revanche, aucun exemple ne nous est donné. Aucun nom. Aucune responsabilité n’est attribuée.

Ceux qu’il ne veut pas nommer – Google et Facebook – sont là, silencieux et en retrait, sans être jamais mentionnés, tout juste sont-ils décrits un peu plus loin dans la lettre comme des alliés qui tentent de « combattre le problème » de la désinformation. Il est peut-être stupide de s’attendre à davantage quand on sait que Google est un des plus importants contributeurs aux standards récents du Web du W3C et qu’avec Facebook ils participent tous les deux au financement de la Web Foundation ?

Ceux qui nous exploitent ne sont pas nos alliés

Permettez-moi d’énoncer cela clairement : Google et Facebook ne sont pas des alliés dans notre combat pour un futur juste, ils sont l’ennemi.

Ces plateformes monopolistiques font de l’élevage industriel d’êtres humains et nous exploitent pour extraire jusqu’à la moindre parcelle qu’ils pourront tirer de nous.

Si, comme le déclare Tim, le principal défi pour le Web aujourd’hui est de combattre l’exploitation des personnes, et si nous savons qui sont ces exploiteurs, ne devrions-nous pas légiférer fermement pour refréner leurs abus ?

Le Web, à l’instar du capitalisme de surveillance, a remarquablement réussi.

La Web Foundation va-t-elle enfin encourager une régulation forte de la collecte, de la conservation et de l’utilisation des données personnelles par les Google, Facebook et consorts ? Va-t-elle promouvoir une forme de réglementation visant à interdire la privatisation des données du monde entier par ces derniers de façon à encourager les biens communs ? Aura-t-elle le cran, dont nous avons plus que jamais besoin, de rejeter la responsabilité à qui de droit et de demander à contrer les violations quotidiennes de nos droits humains perpétrées par les partenaires du W3C et de la Web Foundation elle-même ? Ou est-il insensé de s’attendre à de telles choses de la part d’une organisation qui est si étroitement liée à ces mêmes sociétés qu’elle ne peut paraître indépendante de quelque manière que ce soit ?

Le Web n’est pas cassé, il est perdu.

Le Web est perdu mais il n’est pas cassé. La distinction est essentielle.

Le Web, tout comme le capitalisme de surveillance lui-même, a réussi de façon spectaculaire et fonctionne parfaitement pour les entreprises. En revanche, la partie est perdue pour nous en tant qu’individus.

Google, Facebook, et les autres « licornes » multimilliardaires sont toutes des success stories du capitalisme de surveillance. Le capitalisme de surveillance est un système dont, comme le cancer, la réussite se mesure à la capacité d’évolution rapide et infinie dans un contexte de ressources finies. Et tout comme le cancer à son paroxysme, le succès du capitalisme de surveillance aujourd’hui est sur le point de détruire son hôte. D’ailleurs, là encore comme le cancer, non sans nous avoir volé d’abord notre bien-être, notre pouvoir et notre liberté. Le problème est que parmi les critères de réussite du capitalisme de surveillance ne figurent absolument pas notre équité, notre bien-être, notre capacité d’action ni notre liberté individuelle. Nous ne sommes que du bétail à exploiter, une source infinie de matières premières.

Le Web que nous avons n’est pas cassé pour Google et Facebook. Ceux qui nous exploitent sont récompensés à hauteur de dizaines de milliards de chiffre d’affaires pour s’être introduits dans nos vies. Comment pourraient-ils être nos alliés ?

Tim suggère que « nous devons travailler avec les entreprises du Web pour trouver un équilibre qui redonne aux personnes un juste niveau de contrôle de leurs données. »

Quoi de plus naïf que de nous suggérer de travailler avec les plus gros exploiteurs du Web pour leur rendre cette tâche plus difficile et donc réduire leurs bénéfices ? (2)
Quelle raison Google ou Facebook pourraient-ils avoir de réparer le Web que nous avons alors qu’il n’est pas cassé pour eux ? Aucune. Absolument aucune.

Tim écrit : « Pour construire le web, il a fallu notre participation à tous, et c’est à nous tous, désormais, de construire le web que nous voulons – pour tous. »

Je ne suis pas d’accord.

Il a fallu la Silicon Valley (subventionnée par le capital-risque et suivant le modèle commercial de l’exploitation des personnes) pour construire le Web que nous avons.

Et maintenant c’est à nous, qui n’avons aucun lien avec ces entreprises, nous qui ne sommes pas de mèche ou qui ne sommes pas sponsorisé·e·s par ces entreprises, nous qui comprenons que le Big Data est le nouveau nerf de la guerre, de faire pression pour une réglementation forte, de contrer les abus des exploiteurs et de jeter un pont entre le Web que nous avons et celui que nous voulons : du capitalisme de surveillance vers un monde de souveraineté individuelle et de biens communs.

Pour aller plus loin

• Tim Zuckerberners-Lee, un très bon article d’Olivier Ertzscheid
• Le numérique nous change au-delà de nos usages, un autre article d’Aral Balkan
• Facebook n’est pas un réseau social, c’est un scanner qui nous numérise, la réponse d’Aral Balkan à Zuckerberg.
• Excuse Me, Your Unicorn Keeps Shitting In My Back Yard, Can He Please Not?, une conférence en anglais d’Aral Balkan.
• Les Nouveaux Léviathans, la série du Framablog sous la plume de Christophe Masutti.

Notes

(1) Le problème est que même si vous payez effectivement pour des produits ou des services, il est très probable qu’ils violeront tout de même votre identité numérique, à moins qu’ils ne soient conçus par éthique pour être décentralisés et/ou amnésiques.^^

(2) Avant de vous laisser croire que je m’en prends à Tim, je précise que ce n’est pas le cas. Par deux fois je l’ai rencontré et nous avons discuté, je l’ai trouvé sincèrement honnête, passionné, humble, attentionné, quelqu’un de gentil. Je pense réellement que Tim se soucie des problèmes qu’il soulève et veut les résoudre. Je pense vraiment qu’il veut un Web qui soit un moyen d’encourager la souveraineté individuelle et les communs. Je ne crois pas, néanmoins, qu’il soit humainement possible pour lui, en tant qu’inventeur du Web, de se détacher assez du Web que nous avons afin de devenir le défenseur du Web que nous voulons. Les entreprises qui ont fait du Web ce qu’il est aujourd’hui (un poste de surveillance) sont sensiblement les mêmes qui composent le W3C et soutiennent la Web Foundation. En tant que leader des deux, les conflits d’intérêts sont trop nombreux pour être démêlés. Je ne suis pas jaloux de la position peu enviable de Tim, dans laquelle il ne peut pas délégitimer Google et Facebook sans délégitimer les organisations qu’il conduit et au sein desquelles leur présence est si importante.

En outre, je crois sincèrement que Tim pensait avoir conçu le Web en lien avec sa philosophie sans réaliser qu’une architecture client/serveur, une fois immergée dans un bain de culture capitaliste, aurait pour résultat des pôles (les serveurs) se structurant verticalement et s’unifiant — pour finalement devenir des monopoles — comme les Google et Facebook que nous connaissons aujourd’hui. A posteriori, tout est clair et il est facile de faire la critique de décisions d’architecture qui ont été prises 28 ans plus tôt en soulignant les défauts d’un système que personne n’aurait cru capable de grandir autant ni de prendre un rôle central dans nos vies. Si j’avais conçu le Web à l’époque, non seulement j’aurais été un prodige, mais j’aurais probablement pris exactement les mêmes décisions, sans doute en moins bien. Je ne possède rien qui ressemble au cerveau de Tim. Tim a suivi son intuition, et il l’a fait de façon très élégante en élaborant les choses les plus simples qui pourraient fonctionner. Cela, ainsi que le fait de l’avoir partagé avec le monde entier, et sa compatibilité avec l’architecture du capitalisme, ont été les raisons du succès du Web. S’il y a une leçon à retenir de cela, c’est que les protocoles sociaux et économiques sont au moins aussi importants que les protocoles réseau et que nous devons leur consacrer autant de réflexion et de notoriété dans nos alternatives.^^

La revue de presse de Jonas@framasoft, qui paraît quand il a le temps. Épisode N^o 3/n

Facebook juge de ce qui est fiable ou non

Le nouvel algorithme de Facebook, qui permet de mettre en avant (ou reléguer aux oubliettes) les informations sur votre mur, cherche à faire du fact-checking. C’est logique : plutôt que de donner la maîtrise à l’utilisateur de ses fils de données, pourquoi ne pas rafistoler les bulles de filtre que le réseau social a lui-même créées ?

Un article à lire chez Numérama.

Le pistage par ultrasons contribue à nous profiler et permet de repérer les utilisateurs de Tor

Les annonceurs et les spécialistes du marketing ont la possibilité d’identifier et de pister des individus en insérant des fréquences audio inaudibles dans une publicité diffusée à la télévision, sur une radio ou en ligne. Ces ultrasons pouvant être captés à proximité par les micros des ordinateurs ou des smartphones, vont alors interpréter les instructions (…) Les annonceurs s’en servent pour lier différents dispositifs au même individu et ainsi créer de meilleurs profils marketing afin de mieux diffuser des publicités ciblées dans le futur.

L’année dernière, des chercheurs ont expliqué que des attaquants pourraient pirater ces ultrasons pour pirater un dispositif (ordinateur ou smartphone). Cette fois-ci, ce sont 6 chercheurs qui ont expliqué que cette technique peut également servir à désanonymiser les utilisateurs de Tor.

Un article à lire chez Developpez.com

Les parents allemands ne veulent pas de la poupée qui espionne leurs enfants

D’après cet article signalé par l’indispensable compte Twitter de Internet of Shit

Les chercheurs expliquent que les pirates peuvent utiliser un dispositif Bluetooth inclus dans la poupée My Friend Cayla pour écouter les enfants et leur parler pendant qu’ils jouent.

La commissaire européenne à la Justice, à la Consommation et à l’Égalité des sexes, Vera Jourova, a déclaré à la BBC :  » je suis inquiète de l’impact des poupées connectées sur la vie privée et la sécurité des enfants ».

Selon les termes de la loi allemande, il est illégal de vendre ou détenir un appareil de surveillance non-autorisé. Enfreindre la loi peut coûter jusqu’à 2 ans de prison.

L’Allemagne a des lois très strictes pour s’apposer à la surveillance. Sans doute parce qu’au siècle dernier le peuple allemand a subi une surveillance abusive, sous le nazisme puis sous le régime communiste de l’Allemagne de l’est.

Euh, et en France, tout va bien ?

S’il est de notoriété publique que nos données personnelles sont enregistrées et utilisées par les G.A.F.A.M., il est en revanche moins connu que certaines de ces données sont utilisables par tout le monde. Et c’est bien là le point faible de toute campagne de prévention : on a beau dire que nos données sont utilisées, il est peu fréquent que nos paroles soient illustrées.

x0rz publie sur son blog un billet qui illustre parfaitement ce problème. En effet, il a écrit un petit script Python (moins de 400 lignes de code) qui récupère et synthétise les métadonnées Twitter, accessible par n’importe qui.

Ce billet ouvre deux perspectives :

• Concernant le harcèlement numérique : certes ces données sont publiques, mais il faut tout de même quelques capacités en programmation pour les exploiter, ce qui n’est pas à la portée de tout le monde. Imaginons qu’apparaissent de plus en plus de programmes grand public permettant d’accumuler et synthétiser ces données. Il deviendra alors plus facile pour un particulier d’identifier et de traquer une autre personne.
• Concernant les métadonnées en général : dans cet exemple, les données analysées restent très basiques (heure et localisation). Nous arrivons toutefois, par l’accumulation et le recoupement, à déduire des informations intéressantes de ces « méta-métadonnées », et à identifier nettement une personne. Imaginons que les métadonnées enregistrées soient plus précises et plus nombreuses, les informations obtenues seraient alors d’une importance et d’une précision inimaginables. Est-ce alors nécessaire de mentionner qu’à la fois les entreprises (ici Twitter) et les agences gouvernementales ont accès à ce genre de métadonnées ?

Article original écrit par x0rz, consultant en sécurité informatique, sur son blog.

Traduction Framalang : mo, mathis, goofy, valvin, Diane, Moriarty, Bromind et des anonymes

Vous serez surpris par tout ce que vos tweets peuvent révéler de vous et de vos habitudes

Une analyse de l’activité des comptes Twitter

J’utilise Twitter tous les jours. Pour moi qui suis consultant en cybersécurité, c’est de loin un des meilleurs outils pour rester informé des dernières actualités et pour partager des informations qu’on estime pertinentes pour d’autres. Avec la récente investiture de Donald Trump, les dingos de Twitter de la nouvelle administration et l’émergence de groupes de résistance sur Twitter, j’ai décidé de démontrer à quel point il est facile d’exposer des informations révélatrices à partir du compte de quelqu’un d’autre, sans même le pirater.

Métadonnées

Comme tous les réseaux sociaux, Twitter sait beaucoup de choses sur vous, grâce aux métadonnées. En effet, pour un message de 140 caractères, vous aurez un paquet de métadonnées, plus de 20 fois la taille du contenu initial que vous avez saisi ! Et vous savez quoi ? Presque toutes les métadonnées sont accessibles par l’API ouverte de Twitter.
Voici quelques exemples qui peuvent être exploités par n’importe qui (pas seulement les gouvernements) pour pister quelqu’un et en déduire son empreinte numérique :

• Fuseau horaire et langue choisie pour l’interface de twitter
• Langues détectées dans les tweets
• Sources utilisées (application pour mobile, navigateur web…)
• Géolocalisation
• Hashtags les plus utilisés, utilisateurs les plus retweetés, etc.
• Activité quotidienne/hebdomadaire

Tout le monde connaît les dangers des fuites de géolocalisation et à quel point elles nuisent à la confidentialité. Mais peu de gens se rendent compte que tweeter de façon régulière suffit à en dire beaucoup sur vos habitudes.
Prendre séparément un tweet unique peut révéler des métadonnées intéressantes. Prenez-en quelques milliers et vous allez commencer à voir se dessiner des lignes directrices. C’est là que ça devient amusant.

Méta-métadonnées

Une fois qu’on a collecté suffisamment de tweets d’un compte on peut par exemple identifier ceux qui relèvent d’une entreprise (émettant uniquement pendant les horaires de bureau) et même essayer de deviner combien d’utilisateurs interagissent avec ce compte.
Pour prouver ce que j’avance, j’ai développé un script en python qui récupère tous les derniers tweets de quelqu’un, extrait les métadonnées, et mesure l’activité en fonction de l’heure et du jour de la semaine.

Analyse du compte de @Snowden

Snowden a posté 1682 tweets depuis septembre 2015. Comme on peut le voir ci-dessous, il est facile de déterminer son rythme de sommeil (fuseau horaire de Moscou).

Analyse du compte de @realdonaldtrump

Est-ce que le compte de Donald Trump est géré par plusieurs personnes ? Cette fois en observant le nombre de sources détectées, je vous laisse deviner…

Recommandations générales

Je vous recommande fortement de lire les conseils de sécurité Twitter du Grugq. En plus de ce guide, je vous conseille d’être prudents avec les fuseaux horaires et les langues que vous utilisez, et d’être également conscients que vos tweets peuvent être analysés comme un tout : ne tweetez pas toujours à la même heure si vous ne voulez pas que les gens devinent votre fuseau horaire. Bien sûr, ces principes sont valables seulement si vous souhaitez rester anonyme, ne les appliquez pas à votre compte principal (ce serait une perte de temps) !

Code source

J’ai publié mon script sur GitHub. C’est open source donc n’hésitez pas à contribuer 😉

Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.

Quand les facteurs deviennent shérifs…

Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.

Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !

Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.

Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).

Le pouvoir de nuisance des silos de mail

par Luc Didry, aka Framasky.

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids dans les échanges mondiaux [nous, on en a trouvé : 1,6 milliard de comptes à eux trois en 2016 – NdF].

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

Petits exemples vécus :

• Micro­soft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
• Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC [une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF [une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
• Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enre­gis­tre­ment DMARC [une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expé­di­teur une adresse Yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
• Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104] [« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est telle­ment connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée.

On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possé­dant une adresse Yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.

Si ces acteurs étaient de taille modeste, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.

Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.

On n’en peut plus des applis ! Depuis longtemps déjà leur omniprésence est envahissante et nous en avons parlé ici et là. Comme le profit potentiel qu’elles représentent n’a pas diminué, leur harcèlement n’a fait qu’augmenter

Aujourd’hui un bref article attire notre attention sur les applications comme vecteurs d’attaques, dangereuses tant pour la vie privée que pour la vie professionnelle.

Avertissement : l’auteur est vice-président d’une entreprise qui vend de la sécurité pour mobile…aux entreprises, d’où la deuxième partie de son article qui cible l’emploi des applications dans le monde du travail, et où manifestement il « prêche pour sa paroisse ».

Il nous a semblé que sa visée intéressée n’enlève rien à la pertinence de ses mises en garde.

Article original paru dans TechCrunch : Attack of the apps

Traduction Framalang : dodosan, goofy, savage, xi,  Asta

Quand les applis attaquent

par Robbie Forkish

Ça paraît une bonne affaire : vos applis favorites pour mobile sont gratuites et en contrepartie vous regardez des pubs agaçantes.

Mais ce que vous donnez en échange va plus loin. En réalité, vous êtes obligé⋅e de céder un grand nombre d’informations privées. Les applications mobiles collectent une quantité énorme de données personnelles : votre emplacement, votre historique de navigation sur Internet, vos contacts, votre emploi du temps, votre identité et bien davantage. Et toutes ces données sont partagées instantanément avec des réseaux de publicité sur mobile, qui les utilisent pour déterminer la meilleure pub pour n’importe quel utilisateur, en tout lieu et à tout moment.

Donc le contrat n’est pas vraiment d’échanger des pubs contre des applis, c’est plutôt de la surveillance sur mobile contre des applis. En acceptant des applis gratuites et payées par la pub sur nos mobiles, nous avons consenti à un  modèle économique qui implique une surveillance complète et permanente des individus. C’est ce qu’Al Gore appelait très justement une économie du harcèlement.

Pourquoi nos données personnelles, notre géolocalisation et nos déplacements sont-ils tellement convoités par les entreprises commerciales ? Parce que nous, les consommateurs, avons toujours et partout notre smartphone avec nous, et qu’il transmet sans cesse des données personnelles en tout genre. Si les annonceurs publicitaires savent qui nous sommes, où nous sommes et ce que nous faisons, ils peuvent nous envoyer des publicités plus efficacement ciblées. Cela s’appelle du marketing de proximité. C’est par exemple la pub du Rite Aid (NdT chaîne de pharmacies) qui vous envoie un message téléphonique quand vous circulez dans les rayons : « Vente flash : -10 % sur les bains de bouche ! »

Ça paraît inoffensif, juste agaçant. Mais cela va bien plus loin. Nous avons maintenant accepté un système dans lequel un site majeur de commerce en ligne peut savoir par exemple, qu’une adolescente est enceinte avant que ses parents ne le sachent, simplement en croisant les données de ses achats, son activité et ses recherches. Ce site de vente en ligne peut alors la contacter par courrier traditionnel ou électronique, ou encore la cibler via son téléphone lorsqu’elle est à proximité d’un point de vente. Nous n’avons aucune chance de voir disparaître un jour cette intrusion dans notre vie privée tant que le profit économique sera juteux pour les développeurs d’applications et les agences de publicité.

Un smartphone compromis représente une menace pas seulement pour l’employé visé mais pour l’entreprise tout entière.

D’accord, cette forme de surveillance du consommateur est intrusive et terrifiante. Mais en quoi cela menace-t-il la sécurité de l’entreprise ? C’est simple. À mesure que les appareils mobiles envahissent le monde du business, les fuites de ces appareils ouvrent la porte de l’entreprise aux piratages, aux vols de données et à des attaques paralysantes.

Si par exemple une entreprise laisse ses employés synchroniser leurs agendas et comptes mail professionnels avec leurs appareils mobiles personnels, cela ouvre la porte à toutes sortes de risques. D’un coup, les téléphones des employés contiennent les informations de contact de tout le monde dans l’organisation ou ont la possibilité d’y accéder. À fortiori, n’importe quelle autre application mobile qui demandera l’accès aux contacts et agendas des employés aura accès aux noms et titres des employés de la compagnie, aussi bien qu’aux numéros de toutes les conférences téléphoniques privées. Cette information peut facilement être utilisée pour une attaque par hameçonnage par une application malveillante ou un pirate.

Pire, de nombreuses applications monétisent leurs bases d’utilisateurs en partageant les données avec des réseaux publicitaires qui repartagent et mutualisent les données avec d’autres réseaux, aussi est-il impossible de savoir exactement où vont les données et si elles sont manipulées de manière sécurisée par n’importe laquelle des nombreux utilisateurs y ayant accès. Tous ces partages signifient qu’un pirate malveillant n’a même pas besoin d’avoir accès au téléphone d’un employé pour attaquer une entreprise. Il lui suffit de pirater un réseau publicitaire qui possède les informations de millions d’utilisateurs et de partir de là.

Les informations volées peuvent aussi être utilisées pour pirater une entreprise au moyen d’une attaque de point d’eau. Supposons par exemple que des membres du comité de direction déjeunent régulièrement dans le même restaurant. Un attaquant qui a accès à leurs données de localisation pourrait facilement l’apprendre. L’attaquant suppose, à raison, que certains membres vont sur le site du restaurant pour réserver une table et regarder le menu avant le repas. En introduisant du code malveillant sur ce site mal défendu, l’attaquant peut compromettre l’ordinateur de bureau ou le téléphone d’un ou plusieurs membres du comité de direction, et de là, s’introduire dans le réseau de l’entreprise.

Un smartphone compromis représente une menace non seulement pour l’employé ciblé mais pour l’entreprise dans son entier. Des informations sur les activités des employés, à la fois pendant leur temps de travail et en dehors, combinées à des courriels, des informations sensibles ou des documents liés à l’entreprise, peuvent avoir des effets dévastateurs sur une organisation si elles tombent entre de mauvaises mains.
Que doivent donc faire les entreprises pour lutter contre cette menace ?

La première étape est d’en apprendre plus sur votre environnement mobile. Votre organisation doit savoir quelles applications les employés utilisent, ce que font ces applications et si elles sont conformes à la politique de sécurité de l’entreprise. Par exemple, existe-t-il une application de partage de documents particulièrement risquée que vous ne voulez pas que vos employés utilisent ? Est-elle déjà utilisée ? Si vous ne savez pas quelles applications vos employés utilisent pour travailler, vous naviguez à l’aveugle et vous prenez de gros risques.

Il est essentiel que votre entreprise inclue la protection contre les menaces sur mobile dans sa stratégie de sécurité générale.

Deuxièmement, vous allez avoir besoin d’une politique sur l’utilisation des appareils mobiles. La plupart des organisations ont déjà mis en place une politique pour les autres plateformes, y compris pour la gestion des pare-feux et le partage de données avec des partenaires de l’entreprise. Par exemple, si vos employés utilisent la version gratuite d’applications approuvées par l’entreprise mais avec publicité, imposez aux employés d’utiliser la version payante afin de minimiser, sinon éliminer, l’envoi aux employés de données non approuvées sous forme de publicités, même si cela n’éliminera pas la collecte incessante de données personnelles et privées.

Ensuite, votre organisation doit informer les employés sur les risques liés aux applications utilisées. Il est dans votre intérêt de donner du pouvoir aux utilisateurs en les équipant d’outils et en les entraînant afin qu’ils puissent prendre de meilleures décisions quant aux applications téléchargées. Par exemple, incitez vos employés à se poser des questions sur les applications qui demandent des permissions. Il existe beaucoup d’applications qui veulent accéder aux données de localisation, aux contacts ou à la caméra. Les employés ne doivent pas dire automatiquement oui. La plupart des applications fonctionneront très bien si la requête est rejetée, et demanderont à nouveau aux utilisateurs si la permission est vraiment nécessaire. Si une application ne dit pas pourquoi elle a besoin de cet accès, c’est mauvais signe.

Enfin, toutes ces questions peuvent être traitées avec une bonne solution de sécurité pour appareils mobiles. Toute entreprise sans solution de protection des appareils mobiles est par définition inconsciente des informations qui lui échappent et ignore d’où viennent les fuites. Elle est donc incapable de répondre aux risques présents dans son environnement. Il est donc essentiel que votre entreprise inclue la protection des appareils mobiles dans sa stratégie de sécurité afin de protéger la vie privée des employés et les données de l’entreprise de la menace toujours plus grande que représentent la surveillance des téléphones et la collecte de données.