Ce que peut faire votre Fournisseur d’Accès à l’Internet

Nous sommes ravis et honorés d’accueillir Stéphane Bortzmeyer qui allie une compétence de haut niveau sur des questions assez techniques et une intéressante capacité à rendre assez claires des choses complexes. Nous le remercions de nous expliquer dans cet article quelles pratiques douteuses tentent certains fournisseurs d’accès à l’Internet, quelles menaces cela représente pour la confidentialité comme pour la neutralité du Net, et pourquoi la parade du chiffrement fait l’objet d’attaques répétées de leur part.

L’actualité de M. Bortzmeyer est son ouvrage à paraître intitulé Cyberstructure, L’Internet : un espace politique. Vous pouvez en  lire un extrait et le commander en souscription jusqu’au 10 décembre, où vous pourrez rencontrer l’auteur à la librairie À Livr’ouvert.


Introduction

Photo par Ophelia Noor, CC BY-SA 2.0,

Pour vous connecter à l’Internet, vous avez besoin d’un FAI (Fournisseur d’Accès à l’Internet), une entreprise ou une association dont le métier est de relier des individus ou des organisations aux autres FAI. En effet, l’Internet est une coalition de réseaux, chaque FAI a le sien, et ce qui constitue l’Internet global, c’est la connexion de tous ces FAI entre eux. À part devenir soi-même FAI, la seule façon de se connecter à l’Internet est donc de passer par un de ces FAI. La question de la confiance est donc cruciale : qu’est-ce que mon FAI fait sans me le dire ?

Outre son travail visible (vous permettre de regarder Wikipédia, et des vidéos avec des chats mignons), le FAI peut se livrer à des pratiques plus contestables, que cet article va essayer d’expliquer. L’article est prévu pour un vaste public et va donc simplifier une réalité parfois assez compliquée.

Notons déjà tout de suite que je ne prétends pas que tous les FAI mettent en œuvre les mauvaises pratiques décrites ici. Il y a heureusement des FAI honnêtes. Mais toutes ces pratiques sont réellement utilisées aujourd’hui, au moins par certains FAI.

La langue française a un seul verbe, « pouvoir », pour désigner à la fois une possibilité technique (« ma voiture peut atteindre 140 km/h ») et un droit (« sur une route ordinaire, je peux aller jusqu’à 80 km/h »). Cette confusion des deux possibilités est très fréquente dans les discussions au sujet de l’Internet. Ici, je parlerais surtout des possibilités techniques. Les règles juridiques et morales encadrant les pratiques décrites ici varient selon les pays et sont parfois complexes (et je ne suis ni juriste ni moraliste) donc elles seront peu citées dans cet article.

Au sujet du numérique

Pour résumer les possibilités du FAI (Fournisseur d’Accès à l’Internet), il faut se rappeler de quelques propriétés essentielles du monde numérique :

  • Modifier des données numériques ne laisse aucune trace. Contrairement à un message physique, dont l’altération, même faite avec soin, laisse toujours une trace, les messages envoyés sur l’Internet peuvent être changés sans que ce changement ne se voit.
  • Copier des données numériques, par exemple à des fins de surveillance des communications, ne change pas ces données, et est indécelable. Elle est très lointaine, l’époque où (en tout cas dans les films policiers), on détectait une écoute à un « clic » entendu dans la communication ! Les promesses du genre « nous n’enregistrons pas vos données » sont donc impossibles à vérifier.
  • Modifier les données ou bien les copier est très bon marché, avec les matériels et logiciels modernes. Le FAI qui voudrait le faire n’a même pas besoin de compétences pointues : les fournisseurs de matériel et de logiciel pour FAI ont travaillé pour lui et leur catalogue est rempli de solutions permettant modification et écoute des données, solutions qui ne sont jamais accompagnées d’avertissements légaux ou éthiques.

copie d’écran page symantec
Une publicité pour un logiciel d’interception des communications, même chiffrées. Aucun avertissement légal ou éthique dans la page.

Modifier le trafic réseau

Commençons avec la possibilité technique de modification des données numériques. On a vu qu’elle était non seulement faisable, mais en outre facile. Citons quelques exemples où l’internaute ne recevait pas les données qui avaient été réellement envoyées, mais une version modifiée :

  • de 2011 à 2013 (et peut-être davantage), en France, le FAI SFR modifiait les images envoyées via son réseau, pour en diminuer la taille. Une image perdait donc ainsi en qualité. Si la motivation (diminuer le débit) était compréhensible, le fait que les utilisateurs n’étaient pas informés indique bien que SFR était conscient du caractère répréhensible de cette pratique.
  • en 2018 (et peut-être avant), Orange Tunisie modifiait les pages Web pour y insérer des publicités. La modification avait un intérêt financier évident pour le FAI, et aucun intérêt pour l’utilisateur. On lit parfois que la publicité sur les pages Web est une conséquence inévitable de la gratuité de l’accès à cette page mais, ici, bien qu’il soit client payant, l’utilisateur voit des publicités qui ne rapportent qu’au FAI. Comme d’habitude, l’utilisateur n’avait pas été notifié, et le responsable du compte Twitter d’Orange, sans aller jusqu’à nier la modification (qui est interdite par la loi tunisienne), la présentait comme un simple problème technique.
  • en 2015 (et peut-être avant), Verizon Afrique du Sud modifiait les échanges effectués entre le téléphone et un site Web pour ajouter aux demandes du téléphone des informations comme l’IMEI (un identificateur unique du téléphone) ou bien le numéro de téléphone de l’utilisateur. Cela donnait aux gérants des sites Web des informations que l’utilisateur n’aurait pas donné volontairement. On peut supposer que le FAI se faisait payer par ces gérants de sites en échange de ce service.

Il s’agit uniquement des cas connus, c’est-à-dire de ceux où des experts ont décortiqué ce qui se passait et l’ont documenté. Il y a certainement de nombreux autres cas qui passent inaperçus. Ce n’est pas par hasard si la majorité de ces manipulations se déroulent dans les pays du Sud, où il y a moins d’experts disponibles pour l’analyse, et où l’absence de démocratie politique n’encourage pas les citoyens à  regarder de près ce qui se passe. Il n’est pas étonnant que ces modifications du trafic qui passe dans le réseau soient la règle en Chine. Ces changements du trafic en cours de route sont plus fréquents sur les réseaux de mobiles (téléphone mobile) car c’est depuis longtemps un monde plus fermé et davantage contrôlé, où les FAI ont pris de mauvaises habitudes.

Quelles sont les motivations des FAI pour ces modifications ? Elles sont variées, souvent commerciales (insertion de publicités) mais peuvent être également légales (obligation de censure passant techniquement par une modification des données).

Mais ces modifications sont une violation directe du principe de neutralité de l’intermédiaire (le FAI). La « neutralité de l’Internet » est parfois présentée à tort comme une affaire financière (répartition des bénéfices entre différents acteurs de l’Internet) alors qu’elle est avant tout une protection des utilisateurs : imaginez si la Poste modifiait le contenu de vos lettres avant de les distribuer !

Les FAI qui osent faire cela le savent très bien et, dans tous les cas cités, aucune information des utilisateurs n’avait été faite. Évidemment, « nous changerons vos données au passage, pour améliorer nos bénéfices » est plus difficile à vendre aux clients que « super génial haut débit, vos vidéos et vos jeux plus rapides ! » Parfois, même une fois les interférences avec le trafic analysées et publiées, elles sont niées, mais la plupart du temps, le FAI arrête ces pratiques temporairement, sans explications ni excuses.

Surveiller le trafic réseau

De même que le numérique permet de modifier les données en cours de route, il rend possible leur écoute, à des fins de surveillance, politique ou commerciale. Récolter des quantités massives de données, et les analyser, est désormais relativement simple. Ne croyez pas que vos données à vous sont perdues dans la masse : extraire l’aiguille de la botte de foin est justement ce que les ordinateurs savent faire le mieux.

Grâce au courage du lanceur d’alerte Edward Snowden, la surveillance exercée par les États, en exploitant ces possibilités du numérique, est bien connue. Mais il n’y a pas que les États. Les grands intermédiaires que beaucoup de gens utilisent comme médiateurs de leurs communications (tels que Google ou Facebook) surveillent également massivement leurs utilisateurs, en profitant de leur position d’intermédiaire. Le FAI est également un intermédiaire, mais d’un type différent. Il a davantage de mal à analyser l’information reçue, car elle n’est pas structurée pour lui. Mais par contre, il voit passer tout le trafic réseau, alors que même le plus gros des GAFA (Google, Apple, Facebook, Amazon) n’en voit qu’une partie.

L’existence de cette surveillance par les FAI ne fait aucun doute, mais est beaucoup plus difficile à prouver que la modification des données. Comme pour la modification des données, c’est parfois une obligation légale, où l’État demande aux FAI leur assistance dans la surveillance. Et c’est parfois une décision d’un FAI.

Les données ainsi récoltées sont parfois agrégées (regroupées en catégories assez vastes pour que l’utilisateur individuel puisse espérer qu’on ne trouve pas trace de ses activités), par exemple quand elles sont utilisées à des fins statistiques. Elles sont dans ce cas moins dangereuses que des données individuelles. Mais attention : le diable est dans les détails. Il faut être sûr que l’agrégation a bien noyé les détails individuels. Quand un intermédiaire de communication proclame bien fort que les données sont « anonymisées », méfiez-vous. Le terme est utilisé à tort et à travers, et désigne souvent des simples remplacements d’un identificateur personnel par un autre, tout aussi personnel.

La solution du chiffrement

Ces pratiques de modification ou de surveillance des données sont parfois légales et parfois pas. Même quand elles sont illégales, on a vu qu’elles étaient néanmoins pratiquées, et jamais réprimées par la justice. Il est donc nécessaire de ne pas compter uniquement sur les protections juridiques mais également de déployer des protections techniques contre la modification et l’écoute. Deux catégories importantes de protections existent : minimiser les données envoyées, et les chiffrer. La minimisation consiste à envoyer moins de données, et elle fait partie des protections imposées par le RGPD (Règlement [européen] Général sur la Protection des Données). Combinée au chiffrement, elle protège contre la surveillance. Le chiffrement, lui, est la seule protection contre la modification des données.

Mais c’est quoi, le chiffrement ? Le terme désigne un ensemble de techniques, issues de la mathématique, et qui permet d’empêcher la lecture ou la modification d’un message. Plus exactement, la lecture est toujours possible, mais elle ne permet plus de comprendre le message, transformé en une série de caractères incompréhensibles si on ne connait pas la clé de déchiffrement. Et la modification reste possible mais elle est détectable : au déchiffrement, on voit que les données ont été modifiées. On ne pourra pas les lire mais, au moins, on ne recevra pas des données qui ne sont pas les données authentiques.

Dans le contexte du Web, la technique de chiffrement la plus fréquente se nomme HTTPS (HyperText Transfer Protocol Secure). C’est celle qui est utilisée quand une adresse Web commence par  https:// , ou quand vous voyez un cadenas vert dans votre navigateur, à gauche de l’adresse. HTTPS sert à assurer que les pages Web que vous recevez sont exactement celles envoyées par le serveur Web, et il sert également à empêcher des indiscrets de lire au passage vos demandes et les réponses. Ainsi, dans le cas de la manipulation faite par Orange Tunisie citée plus haut, HTTPS aurait empêché cet ajout de publicités.

Pour toutes ces raisons, HTTPS est aujourd’hui massivement déployé. Vous le voyez de plus en plus souvent par exemple sur ce blog que vous êtes en train de lire.

copie d’écran, page du framablog avec le https et le cadenas vert
Tous les sites Web sérieux ont aujourd’hui HTTPS

Le chiffrement n’est pas utilisé que par HTTPS. Si vous utilisez un VPN (Virtual Private Network, « réseau privé virtuel »), celui-ci chiffre en général les données, et la motivation des utilisateurs de VPN est en effet en général d’échapper à la surveillance et à la modification des données par les FAI. C’est particulièrement important pour les accès publics (hôtels, aéroports, Wifi du TGV) où les manipulations et filtrages sont quasi-systématiques.

Comme toute technique de sécurité, le chiffrement n’est pas parfait, et il a ses limites. Notamment, la communication expose des métadonnées (qui communique, quand, même si on n’a pas le contenu de la communication) et ces métadonnées peuvent être aussi révélatrices que la communication elle-même. Le système « Tor », qui peut être vu comme un type de VPN particulièrement perfectionné, réduit considérablement ces métadonnées.

Le chiffrement est donc une technique indispensable aujourd’hui. Mais il ne plait pas à tout le monde. Lors du FIC (Forum International de la Cybersécurité) en 2015, le représentant d’un gros FAI français déplorait en public qu’en raison du chiffrement, le FAI ne pouvait plus voir ce que faisaient ses clients. Et ce raisonnement est apparu dans un document d’une organisation de normalisation, l’IETF (Internet Engineering Task Force). Ce document, nommé « RFC 8404 »1 décrit toutes les pratiques des FAI qui peuvent être rendues difficiles ou impossibles par le chiffrement. Avant le déploiement massif du chiffrement, beaucoup de FAI avaient pris l’habitude de regarder trop en détail le trafic qui circulait sur leur réseau. C’était parfois pour des motivations honorables, par exemple pour mieux comprendre ce qui passait sur le réseau afin de l’améliorer. Mais, aujourd’hui, compte-tenu de ce qu’on sait sur l’ampleur massive de la surveillance, il est urgent de changer ses pratiques, au lieu de simplement regretter que ce qui était largement admis autrefois soit maintenant rejeté.

Cette liste de pratiques de certains FAI est une information intéressante mais il est dommage que ce document de l’IETF les présente comme si elles étaient toutes légitimes, alors que beaucoup sont scandaleuses et ne devraient pas être tolérées. Si le chiffrement les empêche, tant mieux !

Conclusion

Le déploiement massif du chiffrement est en partie le résultat des pratiques déplorables de certains FAI. Il est donc anormal que ceux-ci se plaignent des difficultés que leur pose le chiffrement. Ils sont les premiers responsables de la méfiance des utilisateurs !

La guerre contre les pratiques douteuses, déjà au XIe siècle… – Image retrouvée sur ce site.

J’ai surtout parlé ici des risques que le FAI écoute les messages, ou les modifie. Mais la place cruciale du FAI dans la communication fait qu’il existe d’autres risques, comme celui de censure de certaines activités ou certains services, ou de coupure d’accès. À l’heure où la connexion à l’Internet est indispensable pour tant d’activités, une telle coupure serait très dommageable.

Quelles sont les solutions, alors ? Se passer de FAI n’est pas réaliste. Certes, des bricoleurs peuvent connecter quelques maisons proches en utilisant des techniques fondées sur les ondes radio, mais cela ne s’étend pas à tout l’Internet. Par contre, il ne faut pas croire qu’un FAI est forcément une grosse entreprise commerciale. Ce peut être une collectivité locale, une association, un regroupement de citoyens. Dans certains pays, des règles très strictes imposées par l’État limitent cette activité de FAI, afin de permettre le maintien du contrôle des citoyens. Heureusement, ce n’est pas (encore ?) le cas en France. Par exemple, la FFDN (Fédération des Fournisseurs d’Accès Internet Associatifs) regroupe de nombreux FAI associatifs en France. Ceux-ci se sont engagés à ne pas recourir aux pratiques décrites plus haut, et notamment à respecter le principe de neutralité.

Bien sûr, monter son propre FAI ne se fait pas en cinq minutes dans son garage. Mais c’est possible en regroupant un collectif de bonnes volontés.

Et, si on n’a pas la possibilité de participer à l’aventure de la création d’un FAI, et pas de FAI associatif proche, quelles sont les possibilités ? Peut-on choisir un bon FAI commercial, en tout cas un qui ne viole pas trop les droits des utilisateurs ? Il est difficile de répondre à cette question. En effet, aucun FAI commercial ne donne des informations détaillées sur ce qui est possible et ne l’est pas. Les manœuvres comme la modification des images dans les réseaux de mobiles sont toujours faites en douce, sans information des clients. Même si M. Toutlemonde était prêt à passer son week-end à comparer les offres de FAI, il ne trouverait pas l’information essentielle « est-ce que ce FAI s’engage à rester strictement neutre ? » En outre, contrairement à ce qui existe dans certains secteurs économiques, comme l’agro-alimentaire, il n’existe pas de terminologie standardisée sur les offres des FAI, ce qui rend toute comparaison difficile.

Dans ces conditions, il est difficile de compter sur le marché pour réguler les pratiques des FAI. Une régulation par l’État n’est pas forcément non plus souhaitable (on a vu que c’est parfois l’État qui oblige les FAI à surveiller les communications, ainsi qu’à modifier les données transmises). À l’heure actuelle, la régulation la plus efficace reste la dénonciation publique des mauvaises pratiques : les FAI reculent souvent, lorsque des modifications des données des utilisateurs sont analysées et citées en public. Cela nécessite du temps et des efforts de la part de ceux et celles qui font cette analyse, et il faut donc saluer leur rôle.




Les données que récolte Google – Ch.3

Voici déjà la traduction du troisième chapitre de Google Data Collection, l’étude élaborée par l’équipe du professeur Douglas C. Schmidt, spécialiste des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt. Si vous les avez manqués, retrouvez les chapitres précédents déjà publiés.

Il s’agit aujourd’hui de mesurer ce que les plateformes les plus populaires recueillent de nos smartphones

Traduction Framalang : Côme, goofy, Khrys, Mika, Piup. Remerciements particuliers à badumtss qui a contribué à la traduction de l’infographie.

La collecte des données par les plateformes Android et Chrome

11. Android et Chrome sont les plateformes clés de Google qui facilitent la collecte massive de données des utilisateurs en raison de leur grande portée et fréquence d’utilisation. En janvier 2018, Android détenait 53 % du marché américain des systèmes d’exploitation mobiles (iOS d’Apple en détenait 45 %)2 et, en mai 2017, il y avait plus de 2 milliards d’appareils Android actifs par mois dans le monde.3

12. Le navigateur Chrome de Google représentait plus de 60 % de l’utilisation mondiale de navigateurs Internet avec plus d’un milliard d’utilisateurs actifs par mois, comme l’indiquait le rapport Q4 10K de 20174. Les deux plateformes facilitent l’usage de contenus de Google et de tiers (p.ex. applications et sites tiers) et fournissent donc à Google un accès à un large éventail d’informations personnelles, d’activité web, et de localisation.

A. Collecte d’informations personnelles et de données d’activité

13. Pour télécharger et utiliser des applications depuis le Google Play Store sur un appareil Android, un utilisateur doit posséder (ou créer) un compte Google, qui devient une passerelle clé par laquelle Google collecte ses informations personnelles, ce qui comporte son nom d’utilisateur, son adresse de messagerie et son numéro de téléphone. Si un utilisateur s’inscrit à des services comme Google Pay5, Android collecte également les données de la carte bancaire, le code postal et la date de naissance de l’utilisateur. Toutes ces données font alors partie des informations personnelles de l’utilisateur associées à son compte Google.

14. Alors que Chrome n’oblige pas le partage d’informations personnelles supplémentaires recueillies auprès des utilisateurs, il a la possibilité de récupérer de telles informations. Par exemple, Chrome collecte toute une gamme d’informations personnelles avec la fonctionnalité de remplissage automatique des formulaires, qui incluent typiquement le nom d’utilisateur, l’adresse, le numéro de téléphone, l’identifiant de connexion et les mots de passe.6 Chrome stocke les informations saisies dans les formulaires sur le disque dur de l’utilisateur. Cependant, si l’utilisateur se connecte à Chrome avec un compte Google et active la fonctionnalité de synchronisation, ces informations sont envoyées et stockées sur les serveurs de Google. Chrome pourrait également apprendre la ou les langues que parle la personne avec sa fonctionnalité de traduction, activée par défaut.7

15. En plus des données personnelles, Chrome et Android envoient tous deux à Google des informations concernant les activités de navigation et l’emploi d’applications mobiles, respectivement. Chaque visite de page internet est automatiquement traquée et collectée par Google si l’utilisateur a un compte Chrome. Chrome collecte également son historique de navigation, ses mots de passe, les permissions particulières selon les sites web, les cookies, l’historique de téléchargement et les données relatives aux extensions.8

16. Android envoie des mises à jour régulières aux serveurs de Google, ce qui comprend le type d’appareil, le nom de l’opérateur, les rapports de bug et des informations sur les applications installées9. Il avertit également Google chaque fois qu’une application est ouverte sur le téléphone (ex. Google sait quand un utilisateur d’Android ouvre son application Uber).

B. Collecte des données de localisation de l’utilisateur

17. Android et Chrome collectent méticuleusement la localisation et les mouvements de l’utilisateur en utilisant une variété de sources, représentées sur la figure 3. Par exemple, un accès à la « localisation approximative » peut être réalisé en utilisant les coordonnées GPS sur un téléphone Android ou avec l’adresse IP sur un ordinateur. La précision de la localisation peut être améliorée (« localisation précise ») avec l’usage des identifiants des antennes cellulaires environnantes ou en scannant les BSSID (’’Basic Service Set IDentifiers’’), identifiants assignés de manière unique aux puces radio des points d’accès Wi-Fi présents aux alentours10. Les téléphones Android peuvent aussi utiliser les informations des balises Bluetooth enregistrées dans l’API Proximity Beacon de Google11. Ces balises non seulement fournissent les coordonnées de géolocalisation de l’utilisateur, mais pourraient aussi indiquer à quel étage exact il se trouve dans un immeuble.12

schéma représentatt les différents moyens (wifi, bluetooth) de localiser les données d’un utilisateur de smartphone
Figure 3 : Android et Chrome utilisent diverses manières de localiser l’utilisateur d’un téléphone.

 

18. Il est difficile pour un utilisateur de téléphone Android de refuser le traçage de sa localisation. Par exemple, sur un appareil Android, même si un utilisateur désactive le Wi-Fi, la localisation est toujours suivie par son signal Wi-Fi. Pour éviter un tel traçage, le scan Wi-Fi doit être explicitement désactivé par une autre action de l’utilisateur, comme montré sur la figure 4.

2 copies d’écran de paramètres d’android pour montrer que le wifi est toujours sacnné même s’il est désactivé
Figure 4 : Android collecte des données même si le Wi-Fi est éteint par l’utilisateur

 

19. L’omniprésence de points d’accès Wi-Fi a rendu le traçage de localisation assez fréquent. Par exemple, durant une courte promenade de 15 minutes autour d’une résidence, un appareil Android a envoyé neuf requêtes de localisation à Google. Les requêtes contenaient au total environ 100 BSSID de points d’accès Wi-Fi publics et privés.

20. Google peut vérifier avec un haut degré de confiance si un utilisateur est immobile, s’il marche, court, fait du vélo, ou voyage en train ou en car. Il y parvient grâce au traçage à intervalles de temps réguliers de la localisation d’un utilisateur Android, combiné avec les données des capteurs embarqués (comme l’accéléromètre) sur les téléphones mobiles. La figure 5 montre un exemple de telles données communiquées aux serveurs de Google pendant que l’utilisateur marchait.

code renvoyé aux serveurs : la localisation d’un utilisateur
Figure 5 : capture d’écran d’un envoi de localisation d’utilisateur à Google.

 

C. Une évaluation de la collecte passive de données par Google via Android et Chrome

21. Les données actives que les plateformes Android ou Chrome collectent et envoient à Google à la suite des activités des utilisateurs sur ces plateformes peuvent être évaluées à l’aide des outils MyActivity et Takeout. Les données passives recueillies par ces plateformes, qui vont au-delà des données de localisation et qui restent relativement méconnues des utilisateurs, présentent cependant un intérêt potentiellement plus grand. Afin d’évaluer plus en détail le type et la fréquence de cette collecte, une expérience a été menée pour surveiller les données relatives au trafic envoyées à Google par les téléphones mobiles (Android et iPhone) en utilisant la méthode décrite dans la section IX.D de l’annexe. À titre de comparaison, cette expérience comprenait également l’analyse des données envoyées à Apple via un appareil iPhone.

22. Pour des raisons de simplicité, les téléphones sont restés stationnaires, sans aucune interaction avec l’utilisateur. Sur le téléphone Android, une seule session de navigateur Chrome restait active en arrière-plan, tandis que sur l’iPhone, le navigateur Safari était utilisé. Cette configuration a permis une analyse systématique de la collecte de fond que Google effectue uniquement via Android et Chrome, ainsi que de la collecte qui se produit en l’absence de ceux-ci (c’est-à-dire à partir d’un appareil iPhone), sans aucune demande de collecte supplémentaire générée par d’autres produits et applications (par exemple YouTube, Gmail ou utilisation d’applications).

23. La figure 6 présente un résumé des résultats obtenus dans le cadre de cette expérience. L’axe des abscisses indique le nombre de fois où les téléphones ont communiqué avec les serveurs Google (ou Apple), tandis que l’axe des ordonnées indique le type de téléphone (Android ou iPhone) et le type de domaine de serveur (Google ou Apple) avec lequel les paquets de données ont été échangés par les téléphones. La légende en couleur décrit la catégorisation générale du type de demandes de données identifiées par l’adresse de domaine du serveur. Une liste complète des adresses de domaine appartenant à chaque catégorie figure dans le tableau 5 de la section IX.D de l’annexe.

24. Au cours d’une période de 24 heures, l’appareil Android a communiqué environ 900 échantillons de données à une série de terminaux de serveur Google. Parmi ceux-ci, environ 35 % (soit environ 14 par heure) étaient liés à la localisation. Les domaines publicitaires de Google n’ont reçu que 3 % du trafic, ce qui est principalement dû au fait que le navigateur mobile n’a pas été utilisé activement pendant la période de collecte. Le reste (62 %) des communications avec les domaines de serveurs Google se répartissaient grosso modo entre les demandes adressées au magasin d’applications Google Play, les téléchargements par Android de données relatives aux périphériques (tels que les rapports de crash et les autorisations de périphériques), et d’autres données — principalement de la catégorie des appels et actualisations de fond des services Google.

infographie exposant les proportions de trafic envoyé par les appareils divers vers les serveurs de Google
Figure 6 : Données sur le trafic envoyées par les appareils Andoid et les iPhones en veille.

 

25. La figure 6 montre que l’appareil iPhone communiquait avec les domaines Google à une fréquence inférieure de plus d’un ordre de grandeur (50 fois) à celle de l’appareil Android, et que Google n’a recueilli aucun donnée de localisation utilisateur pendant la période d’expérience de 24 heures via iPhone. Ce résultat souligne le fait que les plateformes Android et Chrome jouent un rôle important dans la collecte de données de Google.

26. De plus, les communications de l’appareil iPhone avec les serveurs d’Apple étaient 10 fois moins fréquentes que les communications de l’appareil Android avec Google. Les données de localisation ne représentaient qu’une très faible fraction (1 %) des données nettes envoyées aux serveurs Apple à partir de l’iPhone, Apple recevant en moyenne une fois par jour des communications liées à la localisation.

27. En termes d’amplitude, les téléphones Android communiquaient 4,4 Mo de données par jour (130 Mo par mois) avec les serveurs Google, soit 6 fois plus que ce que les serveurs Google communiquaient à travers l’appareil iPhone.

28. Pour rappel, cette expérience a été réalisée à l’aide d’un téléphone stationnaire, sans interaction avec l’utilisateur. Lorsqu’un utilisateur commence à bouger et à interagir avec son téléphone, la fréquence des communications avec les serveurs de Google augmente considérablement. La section V du présent rapport résume les résultats d’une telle expérience.

 




Ce que récolte Google : revue de détail

Le temps n’est plus où il était nécessaire d’alerter sur la prédation opérée par Google et ses nombreux services sur nos données personnelles. Il est fréquent aujourd’hui d’entendre dire sur un ton fataliste : « de toute façon, ils espionnent tout »

Si beaucoup encore proclament à l’occasion « je n’ai rien à cacher » c’est moins par conviction réelle que parce que chacun en a fait l’expérience : « on ne peut rien cacher » dans le monde numérique. Depuis quelques années, les mises en garde, listes de précautions à prendre et solutions alternatives ont été largement exposées, et Framasoft parmi d’autres y a contribué.

Il manquait toutefois un travail de fond pour explorer et comprendre, une véritable étude menée suivant la démarche universitaire et qui, au-delà du jugement global approximatif, établisse les faits avec précision.

C’est à quoi s’est attelée l’équipe du professeur Douglas C. Schmidt, spécialiste depuis longtemps des systèmes logiciels, chercheur et enseignant à l’Université Vanderbilt, qui livre au public une étude d’une cinquantaine de pages intitulée Google Data Collection. Cette étude, qui nous semble pouvoir servir de référence, a retenu l’attention du groupe Framalang qui vous en livre ci-dessous l’executive summary, c’est-à-dire une sorte de résumé initial, qui en donne un aperçu programmatique.

Si vous trouvez un intérêt à cette traduction et souhaitez que Framalang vous propose la suite nous ferons de notre mieux…

Traduction Framalang : Alain, fab, FranBAG, Goofy, jums, Khrys, Mika, Piup, serici

La collecte de données de Google

Un premier aperçu

1.
Google est la plus grosse agence de publicité numérique du monde 13. Elle fournit aussi le leader des navigateurs web 14, la première plateforme mobile 15 ainsi que le moteur de recherche le plus utilisé au monde 16. La plateforme vidéo de Google, ses services de mail et de cartographie comptent 1 milliard d’utilisateurs mensuels actifs chacun 17. Google utilise l’immense popularité de ses produits pour collecter des données détaillées sur le comportement des utilisateurs en ligne comme dans la vie réelle, données qu’il utilisera ensuite pour cibler ses utilisateurs avec de la publicité payante. Les revenus de Google augmentent significativement en fonction de la finesse des technologies de ciblage des données.

2.
Google collecte les données utilisateurs de diverses manières. Les plus évidentes sont « actives », celles dans lesquelles l’utilisateur donne
directement et consciemment des informations à Google, par exemple en s’inscrivant à des applications très populaires telles que YouTube, Gmail, ou le moteur de recherche. Les voies dites « passives » utilisées par Google pour collecter des données sont plus discrètes, quand une application devient pendant son utilisation l’instrument de la collecte des données, sans que l’utilisateur en soit conscient. On trouve ces méthodes de collecte dans les plateformes (Android, Chrome), les applications (le moteur de recherche, YouTube, Maps), des outils de publication (Google Analytics, AdSense) et de publicité (AdMob, AdWords). L’étendue et l’ampleur de la collecte passive de données de Google ont été en grande partie négligées par les études antérieures sur le sujet 18.

3.
Pour comprendre les données que Google collecte, cette étude s’appuie sur quatre sources clefs :
a. Les outils Google « Mon activité » (My Activity) 19 et « Téléchargez vos données » (Takeout) 20, qui décrivent aux utilisateurs l’information collectée lors de l’usage des outils Google.
b. Les données interceptées lors de l’envoi aux serveurs de Google pendant l’utilisation des produits Google ou d’autres sociétés associées.
c. Les règles concernant la vie privée (des produits Google spécifiquement ou en général).
d. Des recherches tierces qui ont analysé les collectes de données opérées par Google.

Histoire naturelle, générale et particulière, des mollusques, animaux sans vertèbres et à sang blanc. T.2. Paris,L’Imprimerie de F. Dufart,An X-XIII [1802-1805]. biodiversitylibrary.org/page/35755415

4.
Au travers de la combinaison des sources ci-dessus, cette étude montre une vue globale et exhaustive de l’approche de Google concernant la collecte des données et aborde en profondeur certains types d’informations collectées auprès des utilisateurs et utilisatrices.
Cette étude met en avant les éléments clés suivants :

a. Dans une journée d’utilisation typique, Google en apprend énormément sur les intérêts personnels de ses utilisateurs. Dans ce scénario d’une journée « classique », où un utilisateur réel avec un compte Google et un téléphone Android (avec une nouvelle carte SIM) suit sa routine quotidienne, Google collecte des données tout au long des différentes activités, comme la localisation, les trajets empruntés, les articles achetés et la musique écoutée. De manière assez surprenante, Google collecte ou infère plus de deux tiers des informations via des techniques passives. Au bout du compte, Google a identifié les intérêts des utilisateurs avec une précision remarquable.

b. Android joue un rôle majeur dans la collecte des données pour Google, avec plus de 2 milliards d’utilisateurs actifs mensuels dans le monde 21. Alors que le système d’exploitation Android est utilisé par des fabricants d’équipement d’origine (FEO) partout dans le monde, il est étroitement connecté à l’écosystème Google via le service Google Play. Android aide Google à récolter des informations personnelles sur les utilisateurs (nom, numéro de téléphone, date de naissance, code postal et dans beaucoup de cas le numéro de carte bancaire), les activités réalisées sur le téléphone (applications utilisées, sites web consultés) et les coordonnées de géolocalisation. En coulisses, Android envoie fréquemment la localisation de l’utilisateur ainsi que des informations sur l’appareil lui-même, comme sur l’utilisation des applications, les rapports de bugs, la configuration de l’appareil, les sauvegardes et différents identifiants relatifs à l’appareil.

c. Le navigateur Chrome aide Google à collecter des données utilisateurs depuis à la fois le téléphone et l’ordinateur de bureau, grâce à quelque 2 milliards d’installations dans le monde 22. Le navigateur Chrome collecte des informations personnelles (comme lorsqu’un utilisateur remplit un formulaire en ligne) et les envoie à Google via le processus de synchronisation. Il liste aussi les pages visitées et envoie les données de géolocalisation à Google.

d. Android comme Chrome envoient des données à Google même en l’absence de toute interaction de l’utilisateur. Nos expériences montrent qu’un téléphone Android dormant et stationnaire (avec Chrome actif en arrière-plan) a communiqué des informations de localisation à Google 340 fois pendant une période de 24 heures, soit en moyenne 14 communications de données par heure. En fait, les informations de localisation représentent 35 % de l’échantillon complet de données envoyés à Google. À l’opposé, une expérience similaire a montré que sur un appareil iOS d’Apple avec Safari (où ni Android ni Chrome n’étaient utilisés), Google ne pouvait pas collecter de données notables (localisation ou autres) en absence d’interaction de l’utilisateur avec l’appareil.

e. Une fois qu’un utilisateur ou une utilisatrice commence à interagir avec un téléphone Android (par exemple, se déplace, visite des pages web, utilise des applications), les communications passives vers les domaines de serveurs Google augmentent considérablement, même dans les cas où l’on n’a pas utilisé d’applications Google majeures (c.-à-d. ni recherche Google, ni YouTube, pas de Gmail ni Google Maps). Cette augmentation s’explique en grande partie par l’activité sur les données de l’éditeur et de l’annonceur de Google (Google Analytics, DoubleClick, AdWords) 23. Ces données représentaient 46 % de l’ensemble des requêtes aux serveurs Google depuis le téléphone Android. Google a collecté la localisation à un taux 1,4 fois supérieur par rapport à l’expérience du téléphone fixe sans interaction avec l’utilisateur. En termes d’amplitude, les serveurs de Google ont communiqué 11,6 Mo de données par jour (ou 0,35 Go / mois) avec l’appareil Android. Cette expérience suggère que même si un utilisateur n’interagit avec aucune application phare de Google, Google est toujours en mesure de recueillir beaucoup d’informations par l’entremise de ses produits d’annonce et d’éditeur.

f. Si un utilisateur d’appareil sous iOS décide de renoncer à l’usage de tout produit Google (c’est-à-dire sans Android, ni Chrome, ni applications Google) et visite exclusivement des pages web non-Google, le nombre de fois où les données sont communiquées aux serveurs de Google demeure encore étonnamment élevé. Cette communication est menée exclusivement par des services de l’annonceur/éditeur. Le nombre d’appels de ces services Google à partir d’un appareil iOS est similaire à ceux passés par un appareil Android. Dans notre expérience, la quantité totale de données communiquées aux serveurs Google à partir d’un appareil iOS est environ la moitié de ce qui est envoyé à partir d’un appareil Android.

g. Les identificateurs publicitaires (qui sont censés être « anonymisés » et collectent des données sur l’activité des applications et les visites des pages web tierces) peuvent être associés à l’identité d’un utilisateur ou utilisatrice de Google. Cela se produit par le transfert des informations d’identification depuis l’appareil Android vers les serveurs de Google. De même, le cookie ID DoubleClick (qui piste les activités des utilisateurs et utilisatrices sur les pages web d’un tiers) constitue un autre identificateur censé être anonymisé que Google peut associer à celui d’un compte personnel Google, si l’utilisateur accède à une application Google avec le navigateur déjà utilisé pour aller sur la page web externe. En définitive, nos conclusions sont que Google a la possibilité de connecter les données anonymes collectées par des moyens passifs avec les données personnelles de l’utilisateur.




Intimité numérique : le Truc a fait mouche

Paris, Lyon, Toulouse, Bordeaux… et quelques autres métropoles régionales sont animées par des associations libristes actives et efficaces : réunions régulières, actions de terrain, conférences et rencontres… Mais dans les villes moyennes ça bouge aussi.

À l’ouest par exemple, entre Nantes, Quimper ou Brest, beaucoup de projets et d’initiatives sont déjà en place et parfois depuis longtemps. Mais ce sont les habitants de Lannion qui ont récemment pu bénéficier d’un premier Café Vie Privée, un événement qui a connu un beau succès (oui, l’évènement était accueilli au Truc café, ça ne s’invente pas…). Bravo aux organisateurs et organisatrices !

Parmi les interventions :

… et puis il y avait aussi la conférence de Clochix, dont il avait préparé le détail sur son blog Gribouillis dans les marges et que nous reprenons ici avec son accord.

Comme il est modeste, il nous signalait ne rien mentionner d’original, et en effet on retrouvera ici des indications et recommandations dont sont familiers les conférenciers libristes. Cependant, il nous a semblé qu’il abordait une question cruciale classique (comment protéger sa vie privée numérique) selon une démarche plus originale : il commence en effet par tracer les contours de notre intimité numérique avant de définir le « modèle de menace » auquel chacun⋅e s’expose potentiellement. La liste de ses exemples est assez riche… C’est seulement alors que peuvent venir les mesures ou plutôt contre-mesures dont nous pouvons disposer, et pas seulement à titre individuel, en ayant pleine conscience de leurs limites.


Hygiène et écologisme numérique

Avatar de Monsieur Clochix
Avatar de Clochix

Remarque liminaire : je préfère parler plutôt d’intimité que de vie privée. On a parfois l’impression que la vie privée ne concerne que les personnes publiques ou les gens qui ont des choses à cacher. En parlant d’intimité, j’espère que davantage de gens se sentent concerné·e·s.

En réfléchissant à ce que j’allais conseiller pour protéger son intimité, je me suis rendu compte que j’abordais le problème à l’envers. Parler de techniques et d’outils pour protéger son intimité n’est que la dernière étape du processus, avant d’en arriver là, il faut d’abord réfléchir à ce que l’on veut protéger et de qui ou quoi on veut le protéger.

Qu’est-ce que l’intimité numérique et pourquoi la protéger ?

L’intime est ce qui nous définit en tant qu’individus et motive une grande partie de nos actes.

L’intimité, c’est un endroit où l’on est seul avec soi-même (ou avec un nombre très restreint de personnes en qui on a confiance), et qui nous permet, à l’abri de tout regard, de tout jugement externe, de se construire, d’exister, de prendre des décisions, etc.

L’intimité, ce sont aussi nos rêves, et les carnets où parfois on les note. Ce sont nos projets fous que l’on élabore dans notre tête longtemps avant d’oser en parler à quiconque. Et qui ne pourraient pas naître à la lumière.

L’intimité n’a rien à voir avec des actions illicites.

L’intimité, ce sont aussi des choses sans conséquence mais dont on a un peu honte. Se curer le nez, roter, ce sont des choses que l’on s’autorise lorsqu’on est seul chez soi, mais qu’on peut avoir honte de voir exposer sur la place publique. Imaginez l’inconfort d’être dans une cellule de prison où vous devez faire vos besoins au vu et au su de vos co-détenu·e·s. Être privé⋅e d’intimité déshumanise, affecte l’image que l’on a de soi.

Dernier exemple de lieu intime : l’isoloir. Il est depuis longtemps acquis que le secret du vote est important dans une démocratie. Il est vital d’avoir la possibilité que certaines choses restent secrètes.

L’intimité numérique, ce sont toutes les traces de notre intimité sur des outils numériques. C’est naturellement notre correspondance, les informations qui révèlent directement nos pensées intimes. Mais c’est aussi tout ce qui, de manière plus large, permet indirectement, par des recoupements, d’accéder à notre intimité. Nos recherches en ligne, nos achats, nos rendez-vous médicaux, nos errances dans la rue (« tiens, il fait souvent un détour pour passer dans la rue où habite X, cherche-t-il à lae croiser ? »). Nos téléphones qui suivent chacune de nos activités permettent de savoir si nous fréquentons un lieu de culte, un local syndical ou un bar, et à quelle fréquence…

L’intimité est un besoin vital pour les humains, en être privé nous prive d’une partie de notre humanité. En être privé, être toujours sous la menace du regard et du jugement d’autrui, c’est perdre la capacité de penser par soi-même, d’exister, de se comporter en tant qu’individu indépendant, autonome. Priver les citoyen·ne·s d’intimité est une des caractéristiques des régimes totalitaires qui cherchent à nier les individualités pour ne gérer que des robots déshumanisés.

Protéger son intimité est donc essentiel. Mais il faut aussi veiller à ce que la société garantisse à chacun et chacune le droit à l’intimité.

Ok, mais de qui ou de quoi faut-il la protéger ?

Les menaces sur notre droit à l’intimité sont très nombreuses, selon les contextes. Attention, il ne faut pas croire que sont uniquement le fait de gens qui cherchent explicitement à nous nuire. En fait, l’essentiel des risques n’est pas lié à la malveillance, mais à la simple utilisation de nos données pour influencer notre vie. Petite liste non exhaustive :

  • votre employeur actuel : pour avoir certaines conversations avec des collègues, mieux vaut éviter d’utiliser les outils internes de l’entreprise ;
  • vos futurs employeurs : celleux-ci pourraient apprécier de différentes manières de découvrir sur notre fil Facebook que l’on participe à toutes les journées de grève et applaudit aux actions des syndicats 😉
  • vos proches : compagnon ou compagne qui pourrait être blessé·e de découvrir que l’on discute encore avec ses « ex ». Ados ne souhaitant pas que leurs parents écoutent leurs conversations avec leurs potes ou connaissent les sites qu’ils consultent (« pourquoi as-tu fait des recherches sur la contraception ??? ») ;
  • le harcèlement : le phénomène est de plus en plus courant, dans les cours de récréation comme parmi les adultes. Si pour une raison quelconque vous devenez la cible de harcèlement, toutes les informations disponibles en ligne sur vous pourront être utilisées contre vous. Votre adresse, pour vous menacer. Vos proches, pour s’en prendre à elleux… Personne n’est à l’abri, et ça peut être très violent ;
  • des escrocs : les informations que l’on peut trouver en ligne sur nous peuvent permettre à des escrocs d’usurper notre identité, pour nous faire payer leurs amendes, pour souscrire des services à notre place, pour escroquer nos proches en se faisant passer pour nous, etc ;
  • du marketing : plus quelqu’un nous connait, plus iel sera en mesure d’influencer nos actes, voire nos opinions, par exemple pour nous pousser à acheter une marchandise dont on n’avait pas forcément besoin, ou à voter pour un·e candidat·e dont on n’avait pas forcément besoin ;
  • des décisions nous concernant prises en se fondant sur ce que l’on sait ou croit savoir de nous (« gouvernance algorithmique »). Si vous avez été malade et avez évoqué cette maladie sur Internet, une banque pourra des années plus tard vous refuser un prêt, une assurance pourra vous faire payer des primes supérieures… Imaginez qu’un site collecte l’ensemble de nos rendez-vous médicaux, imaginez le nombre de décisions qui pourraient être prises à notre insu à partir de ces informations par un employeur (« elle vient de tomber enceinte, ne lui proposons pas de CDI »), un banquier (« il consulte un psy donc n’est pas stable, refusons-lui ce prêt »)…
  • de l’état : avoir un aéroport ou une usine chimique qui veut s’installer dans notre jardin, ça peut arriver à tout le monde. Tout le monde peut avoir un jour ou l’autre besoin de devenir ZADiste et de s’organiser contre le pouvoir en place, pas besoin d’habiter en Chine pour cela ;

Chacun de ces exemples appelle une réponse particulière et certaines réponses sont parfois contradictoires. Par exemple, GMail offre un bon niveau de protection des correspondances contre les attaques de gens de notre entourage, employeur, conjoint·e, etc. En revanche, il sera obligé de répondre aux demandes de la justice. Héberger ses courriels chez des potes peut-être une bonne idée si on participe à une ZAD. Par contre selon leurs compétences en informatique, la sécurité sera peut-être moindre. Et en cas d’embrouille avec elleux, iels pourraient accéder à nos informations.

Donner de fausses informations en ligne peut relativement nous protéger des tentatives d’influencer nos actes. Mais peut aussi nous nuire le jour où des décisions nous concernant seront prises en se basant sur ces informations.

Et pour protéger son intimité, il faut adopter quelques règles d’hygiène. Mais pour cela il faut d’abord définir son « modèle de menace », c’est à dire ce qui selon vous menace le plus votre intimité, afin de choisir des solutions qui répondent à vos besoins.

Hygiène pour vous… et pour les autres

L’hygiène n’est pas qu’une pratique égoïste. On ne se lave pas les mains juste pour éviter de tomber malade, mais aussi pour éviter de contaminer les autres. Il en va de même pour l’hygiène numérique. Même si vous ne vous sentez pas concerné·e, peut-être aurez-vous envie d’adopter certaines règles d’hygiène par respect ou affection pour vos proches qui se sentent concerné. Par exemple, si vous permettez à une application ou un site Web d’accéder à votre carnet d’adresse, vous divulguez sans leur consentement des données personnelles sur vos proches. Si un·e ami⋅e m’a référencé dans son répertoire téléphonique en tant que Clochix et un·e autre en tant que Papa-de-XXXX, un site accédant à ces deux répertoires pourra faire le lien entre mes différentes identités et anéantir les efforts que je fais pour me protéger.
Si vous mettez en ligne des photos de vos proches, vous perdez le contrôle sur ces photos et ne savez pas quels usages pourront en être faits demain.

Avoir de l’hygiène, c’est donc aussi protéger ses proches, ses collègues…

De l’hygiène individuelle à l’écologisme

Parmi les risques évoqués plus haut, certains nous concernent directement. D’autres affectent plus globalement la société dans son ensemble, par exemple lorsque nos informations sont utilisées à grande échelle pour influencer nos votes. Il est possible que les élections d’Obama et de Trump, entre autres, aient été influencées par des outils se basant sur la masse d’informations que nous laissons en ligne.

La surveillance de masse, qu’elle soit réelle ou supposée, nous pousse à l’auto-censure. Est-ce que si je cherche « Daesh » sur Internet, je ne vais pas devenir suspect ? Est-ce qu’une opinion exprimée aujourd’hui sur Twitter dans un certain contexte ne pourra pas être exhumée demain, dans un autre contexte, et me nuire ? Tout cela pousse à l’auto-censure et sclérose peu à peu le débat démocratique.
Un autre risque est ce que l’on appelle les bulles de filtres, même si leur existence fait débat. Une bulle de filtres, c’est lorsque tous les sites que nous consultons détectent les informations qui nous plaisent et ne nous affichent plus que celles-ci. Cela nous donne du monde une vision biaisée.

Ces enjeux dépassent donc largement nos situations individuelles.

Lorsqu’on parle d’hygiène, on pense d’abord à des mesures de protection individuelles, comme se laver les mains ou bloquer les cookies. Mais il ne faut pas oublier que l’hygiène est aussi un enjeu collectif : « l’hygiène est un enjeu de santé publique, l’accès à un environnement propre et sain étant une condition première du développement durable. » (Wikipédia). L’hygiène numérique ne peut donc se limiter à des actions reposant sur les individus, ça n’est pas seulement de notre responsabilité. Il faut aussi penser ces questions et prendre des mesures au niveau de la collectivité. Et, de manière plus globale, il faudrait réfléchir à la notion d’écologisme numérique. L’espace numérique fait partie intégrante de l’environnement dans lequel évolue l’espèce humaine, et comme tel doit être protégé.

Ok et à présent, qu’est-ce qu’on fait ?

Il n’y a pas d’outils magiques. Utiliser des outils sans avoir un minimum de compréhension du contexte technique, c’est se tirer pratiquement à coup sûr une balle dans le pied. Un faux sentiment de sécurité incite à l’imprudence. C’est comme croire qu’une fois la porte fermée on peut se promener à poil chez soi, parce qu’on ignore l’existence des fenêtres.

La meilleure des protections, c’est l’éducation. C’est acquérir une compréhension du fonctionnement des outils numériques. Connaître les techniques qui permettent de porter atteinte à notre intimité. Les techniques qui, à partir de nos informations intimes, permettent de nous influencer ou de décider de nos vies. Donc : éduquons-nous !

Il ne faut pas se le cacher, se protéger demande une vigilance de tous les instants, souvent épuisante. Il faut donc être convaincu·e de l’importance d’adopter une certaine discipline.

La seule information qui ne pourra pas être utilisée, c’est celle qui n’existe pas (et encore…). Il faut donc selon moi essayer de réduire au maximum son empreinte, les traces que l’on laisse. Le numérique permet de compiler une foule d’informations insignifiantes pour en extraire du sens. Avoir accès à un de vos tickets de caisse ne dit pas forcément grand-chose de vous. Avoir accès à tous vos tickets de caisse permet de connaître votre situation familiale (« tiens, iel achète des gâteaux pour enfants une semaine sur deux ») ou financière, vos convictions (« iel a arrêté d’acheter de la viande de porc et de l’alcool, signe de radicalisation… »). C’est donc une gymnastique quotidienne pour essayer de réduire au maximum ce que l’on dévoile : bloquer systématiquement tous les cookies sauf pour les sites sur lesquels c’est indispensable (et c’est là qu’on en vient à la nécessaire compréhension du fonctionnement), refuser si possible les cartes de fidélité, désactiver le Wifi et le Bluetooth sur son téléphone lorsqu’on ne les utilise pas… C’est une gymnastique contraignante.

Essayez aussi de compartimenter : si vous tenez un carnet Web sur un sujet polémique, essayez d’éviter qu’on puisse faire le lien avec notre état civil (sur le long terme, c’est très très difficile à tenir). A minima, avoir plusieurs profils / plusieurs adresses mail, etc, et ne pas les lier entre elles permet de réduire les risques. Quelqu’un qui vous ciblera pourra faire le lien, mais les programmes de collecte automatique de données ne chercheront pas forcément à recouper.

Compartimentez aussi vos outils : par exemple, utilisez deux navigateurs différents (ou un navigateur avec deux profils) : dans l’un, bloquez tout ce qui permet de vous pister et accédez aux sites qui n’ont pas besoin de savoir qui vous êtes. Utilisez l’autre, moins protégé, uniquement pour les sites nécessitant une connexion (webmail, réseaux sociaux, etc.).

Méfiez-vous comme de la peste des photos et des vidéos. De vous, de vos proches, de quiconque. Demain, en cherchant votre nom, il sera possible de vous identifier sur cette photo prise voilà 20 ans où vous montriez vos fesses. Avez-vous vraiment envie que vos enfants vous voient ainsi ? Demain, en cherchant le nom de votre enfant, ses camarades de classe pourront retrouver une vidéo de ellui à deux ans sur le pot. Hier vous trouviez cette photo adorable, aujourd’hui elle va lui valoir des torrents de moqueries.

Contre la malveillance, il faut naturellement utiliser des pratiques et outils qui relèvent davantage de la sécurité informatique : par exemple des mots de passe complexes, différents pour chaque service.

Pour aller plus loin, je vous encourage à vous renseigner sur le chiffrement : de vos communications, de vos données. Attention, le chiffrement est un sujet relativement complexe, ça n’est à utiliser qu’en ayant une idée précise de ce que vous faites.

Et, naturellement, portez en toutes circonstances un chandail à capuche noir et une cagoule, histoire de rester discret.

Et pour terminer, parce que nous ne sommes que des nains sur l’épaule de géants, une citation que je vous laisse méditer :

Benjamin Bayart
Benjamin Bayart, photo volée au site de l’April

« la solution est forcément dans une articulation entre politique (parce que c’est un problème de société) et technique (parce que les outils actuels le permettent). Et il faut bien les deux volets, un seul, ça ne sert à rien. »

(Benjamin Bayart).




Changer le monde, un octet à la fois

Cette année, comme les précédentes, Framasoft fait appel à votre générosité afin de poursuivre ses actions.

Depuis 14 ans : promouvoir le logiciel libre et la culture libre

L’association Framasoft a 14 ans. Durant nos 10 premières années d’existence, nous avons créé l’annuaire francophone de référence des logiciels libres, ouvert une maison d’édition ne publiant que des ouvrages sous licences libres, répondu à d’innombrables questions autour du libre, participé à plusieurs centaines d’événements en France ou à l’étranger, promu le logiciel libre sur DVD puis clé USB, accompagné la compréhension de la culture libre, ou plutôt des cultures libres, au travers de ce blog, traduit plus de 1 000 articles ainsi que plusieurs ouvrages, des conférences, et bien d’autres choses encore !

Depuis 4 ans, décentraliser Internet

En 2014, l’association prenait un virage en tentant de sensibiliser non seulement à la question du libre, mais aussi à celle de la problématique de la centralisation d’Internet. En déconstruisant les types de dominations exercées par les GAFAM (dominations technique, économique, mais aussi politique et culturelle), nous avons pendant plusieurs années donné à voir en quoi l’hyperpuissance de ces acteurs mettait en place une forme de féodalité.

Et comme montrer du doigt n’a jamais mené très loin, il a bien fallu initier un chemin en prouvant que le logiciel libre était une réponse crédible pour s’émanciper des chaînes de Google, Facebook & co. En 3 ans, nous avons donc agencé plus de 30 services alternatifs, libres, éthiques, décentralisables et solidaires. Aujourd’hui, ces services accueillent 400 000 personnes chaque mois. Sans vous espionner. Sans revendre vos données. Sans publicité. Sans business plan de croissance perpétuelle.

Parfois, Framasoft se met au vert. Parce qu’il y a un monde par-delà les ordinateurs…

 

 

Mais Framasoft, c’est une bande de potes, pas la #startupnation. Et nous ne souhaitions pas devenir le « Google du libre ». Nous avons donc en 2016 impulsé le collectif CHATONS, afin d’assurer la résilience de notre démarche, mais aussi afin de « laisser de l’espace » aux expérimentations, aux bricolages, à l’inventivité, à l’enthousiasme, aux avis divergents du nôtre. Aujourd’hui, une soixantaine de chatons vivent leurs vies, à leurs rythmes, en totale indépendance.

Il y a un an : penser au-delà du code libre

Il y a un an, nous poursuivions notre virage en faisant 3 constats :

  1. L’open source se porte fort bien. Mais le logiciel libre (c-à-d. opensource + valeurs éthiques) lui, souffre d’un manque de contributions exogènes.
  2. Dégoogliser ne suffit pas ! Le logiciel libre n’est pas une fin en soi, mais un moyen (nécessaire, mais pas suffisant) de transformation de la société.
  3. Il existe un ensemble de structures et de personnes partageant nos valeurs, susceptibles d’avoir besoin d’outils pour faire advenir le type de monde dont nous rêvons. C’est avec elles qu’il nous faut travailler en priorité.

Est-ce une victoire pour les valeurs du Libre que d’équiper un appareil tel que le drone militaire MQ-8C Fire Scout ?
Nous ne le pensons pas.
Cliché
Domaine public – Wikimedia

 

Face à ces constats, notre feuille de route Contributopia vise à proposer des solutions. Sur 3 ans (on aime bien les plans triennaux), Framasoft porte l’ambition de participer à infléchir la situation.

D’une part en mettant la lumière sur la faiblesse des contributions, et en tentant d’y apporter différentes réponses. Par exemple en abaissant la barrière à la contribution. Ou, autre exemple, en généralisant les pratiques d’ouvertures à des communautés non-dev.

D’autre part, en mettant en place des projets qui ne soient pas uniquement des alternatives à des services de GAFAM (aux moyens disproportionnés), mais bien des projets engagés, militants, qui seront des outils au service de celles et ceux qui veulent changer le monde. Nous sommes en effet convaincu·es qu’un monde où le logiciel libre serait omniprésent, mais où le réchauffement climatique, la casse sociale, l’effondrement, la précarité continueraient à nous entraîner dans leur spirale mortifère n’aurait aucun sens pour nous. Nous aimons le logiciel libre, mais nous aimons encore plus les êtres humains. Et nous voulons agir dans un monde où notre lutte pour le libre et les communs est en cohérence avec nos aspirations pour un monde plus juste et durable.

Aujourd’hui : publier Peertube et nouer des alliances

Aujourd’hui, l’association Framasoft n’est pas peu fière d’annoncer la publication de la version 1.0 de PeerTube, notre alternative libre et fédérée à YouTube. Si vous souhaitez en savoir plus sur PeerTube, ça tombe bien : nous venons de publier un article complet à ce sujet !

Ce n’est pas la première fois que Framasoft se retrouve en position d’éditeur de logiciel libre, mais c’est la première fois que nous publions un logiciel d’une telle ambition (et d’une telle complexité). Pour cela, nous avons fait le pari l’an passé d’embaucher à temps plein son développeur, afin d’accompagner PeerTube de sa version alpha (octobre 2017) à sa version bêta (mars 2018), puis à sa version 1.0 (octobre 2018).

Le crowdfunding effectué cet été comportait un palier qui nous engageait à poursuivre le contrat de Chocobozzz, le développeur de PeerTube, afin de vous assurer que le développement ne s’arrêterait pas à une version 1.0 forcément perfectible. Ce palier n’a malheureusement pas été atteint, ce qui projetait un flou sur l’avenir de PeerTube à la fin du contrat de Chocobozzz.

Garder sa singularité tout en étant relié aux autres, c’est ça la force de la fédération PeerTube.
Notre article complet sur PeerTube

 

Nous avons cependant une excellente nouvelle à vous annoncer ! Bien que le palier du crowdfunding n’ait pas été atteint, l’association Framasoft a fait le choix d’embaucher définitivement Chocobozzz (en CDI) afin de pérenniser PeerTube et de lui donner le temps et les moyens de construire une communauté solide et autonome. Cela représente un investissement non négligeable pour notre association, mais nous croyons fermement non seulement dans le logiciel PeerTube, mais aussi et surtout dans les valeurs qu’il porte (liberté, décentralisation, fédération, émancipation, indépendance). Sans parler des compétences de Chocobozzz lui-même qui apporte son savoir-faire à l’équipe technique dans d’autres domaines.

Nous espérons que vos dons viendront confirmer que vous approuvez notre choix.

D’ici la fin de l’année, annoncer de nouveaux projets… et une campagne de don

Comme vous l’aurez noté (ou pas encore !), nous avons complètement modifié notre page d’accueil « framasoft.org ». D’une page portail plutôt institutionnelle, décrivant assez exhaustivement « Qu’est-ce que Framasoft ? », nous l’avons recentrée sur « Que fait Framasoft ? » mettant en lumière quelques éléments clefs. En effet, l’association porte plus d’une cinquantaine de projets en parallèle et présenter d’emblée la Framagalaxie nous semblait moins pertinent que de « donner à voir » des actions choisies, tout en laissant la possibilité de tirer le fil pour découvrir l’intégralité de nos actions.

Nous y rappelons brièvement que Framasoft n’est pas une multinationale, mais une micro-association de 35 membres et 8 salarié⋅es (bientôt 9 : il reste quelques jours pour candidater !). Que nous sommes à l’origine de la campagne « Dégooglisons Internet » (plus de 30 services en ligne)… Mais pas seulement ! Certain⋅es découvriront peut-être l’existence de notre maison d’édition Framabook, ou de notre projet historique Framalibre. Nous y mettons en avant LE projet phare de cette année 2018 : PeerTube. D’autres projets à court terme sont annoncés sur cette page (en mode teasing), s’intégrant dans notre feuille de route Contributopia.

Framasoft n’est pas une multinationale, mais une micro-association

Enfin, nous vous invitons à faire un don pour soutenir ces actions. Car c’est aussi l’occasion de rappeler que l’association ne vit quasiment que de vos dons ! Ce choix fort, volontaire et assumé, nous insuffle notre plus grande force : notre indépendance. Que cela soit dans le choix des projets, dans le calendrier de nos actions, dans la sélection de nos partenaires, dans nos prises de paroles et avis publics, nous sommes indépendant⋅es, libres, et non-soumis⋅es à certaines conventions que nous imposerait le système de subventions ou de copinage avec les ministères ou toute autre institution.

Ce sont des milliers de donatrices et donateurs qui valident nos actions par leur soutien financier. Ce qu’on a fait vous a plu ? Vous pensez que nous allons dans le bon sens ? Alors, si vous en avez l’envie et les moyens, nous vous invitons à faire un don. C’est par ce geste que nous serons en mesure de verser les salaires des salarié⋅es de l’association, de payer les serveurs qui hébergent vos services préférés ou de continuer à intervenir dans des lieux ou devant des publics qui ont peu de moyens financiers (nous intervenons plus volontiers en MJC que devant l’Assemblée Nationale, et c’est un choix assumé). Rappelons que nos comptes sont publics et validés par un commissaire aux comptes indépendant.

En 2019, proposer des outils pour la société de contribution

Fin 2018, nous vous parlerons du projet phare que nous souhaitons développer pendant l’année 2019, dont le nom de code est Mobilizon. Au départ pensé comme une simple alternative à Meetup.com (ou aux événements Facebook, si vous préférez), nous avons aujourd’hui la volonté d’emmener ce logiciel bien plus loin afin d’en faire un véritable outil de mobilisation destiné à celles et ceux qui voudraient se bouger pour changer le monde, et s’organiser à 2 ou à 100 000, sans passer par des systèmes certes efficaces, mais aussi lourds, centralisés, et peu respectueux de la vie privée (oui, on parle de Facebook, là).

Évidemment, ce logiciel sera libre, mais aussi fédéré (comme Mastodon ou PeerTube), afin d’éviter de faire d’une structure (Framasoft ou autre), un point d’accès central, et donc de faiblesse potentielle du système. Nous vous donnerons plus de nouvelles dans quelques semaines, restez à l’écoute !

Éviter de faire d’une structure (Framasoft ou autre), un point d’accès central

D’autres projets sont prévus pour 2019 :

  • la sortie du (apparemment très attendu) Framapétitions ;
  • la publication progressive du MOOC CHATONS (cours en ligne gratuit et ouvert à toutes et tous), en partenariat avec la Ligue de l’Enseignement et bien d’autres. Ce MOOC, nous l’espérons, permettra à celles et ceux qui le souhaitent, de comprendre les problématiques de la concentration des acteurs sur Internet, et donc les enjeux de la décentralisation. Mais il donnera aussi de précieuses informations en termes d’organisation (création d’une association, modèle économique, gestion des usager⋅es, gestion communautaire, …) ainsi qu’en termes techniques (quelle infrastructure technique ? Comment la sécuriser ? Comment gérer les sauvegardes, etc.) ;
  • évidemment, bien d’autres projets en ligne (on ne va pas tout vous révéler maintenant, mais notre feuille de route donne déjà de bons indices)

Bref, on ne va pas chômer !

Dans les années à venir : se dédier à toujours plus d’éducation populaire, et des alliances

Nous avions coutume de présenter Framasoft comme « un réseau à géométrie variable ». Il est certain en tout cas que l’association est en perpétuelle mutation. Nous aimons le statut associatif (la loi de 1901 nous paraît l’une des plus belles au monde, rien que ça !), et nous avons fait le choix de rester en mode « association de potes » et de refuser — en tout cas jusqu’à nouvel ordre — une transformation en entreprise/SCOP/SCIC ou autre. Mais même si nous avons choisi de ne pas être des super-héro⋅ïnes et de garder l’association à une taille raisonnable (moins de 10 salarié⋅es), cela ne signifie pas pour autant que nous ne pouvons pas faire plus !

La seconde année de Contributopia
Illustration de David Revoy – Licence : CC-By 4.0

 

 

Pour cela, de la même façon que nous proposons de mettre nos outils « au service de celles et ceux qui veulent changer le monde », nous sommes en train de créer des ponts avec de nombreuses structures qui n’ont pas de rapport direct avec le libre, mais avec lesquelles nous partageons un certain nombre de valeurs et d’objectifs.

Ainsi, même si leurs objets de militantisme ou leurs moyens d’actions ne sont pas les mêmes, nous aspirons à mettre les projets, ressources et compétences de Framasoft au service d’associations œuvrant dans des milieux aussi divers que ceux de : l’éducation à l’environnement, l’économie sociale et solidaire et écologique, la transition citoyenne, les discriminations et oppressions, la précarité, le journalisme citoyen, la défense des libertés fondamentales, etc. Bref, mettre nos compétences au service de celles et ceux qui luttent pour un monde plus juste et plus durable, afin qu’ils et elles puissent le faire avec des outils cohérents avec leurs valeurs et modulables selon leurs besoins.

Seul on va plus vite, ensemble on va plus loin. Nous pensons que le temps est venu de faire ensemble.

Framasoft est une association d’éducation populaire (qui a soufflé « d’éducation politique » ?), et nous n’envisageons plus de promouvoir ou de faire du libre « dans le vide ». Il y a quelques années, nous évoquions l’impossibilité chronique et structurelle d’échanger de façon équilibrée avec les institutions publiques nationales. Cependant, en nous rapprochant de réseaux d’éducation populaire existants (certains ont plus de cent ans), nos positions libristes et commonistes ont été fort bien accueillies. À tel point qu’aujourd’hui nous avons de nombreux projets en cours avec ces réseaux, qui démultiplieront l’impact de nos actions, et qui permettront — nous l’espérons — que le milieu du logiciel libre ne reste pas réservé à une élite de personnes maîtrisant le code et sachant s’y retrouver dans la jungle des licences.

Seul on va plus vite, ensemble on va plus loin. Nous pensons que le temps est venu de faire ensemble.

Nous avons besoin de vous !

Un des paris que nous faisons pour cette campagne est « d’informer sans sur-solliciter ». Et l’équilibre n’est pas forcément simple à trouver. Nous sommes en effet bien conscient⋅es qu’en ce moment, toutes les associations tendent la main et sollicitent votre générosité.

Nous ne souhaitons pas mettre en place de « dark patterns » que nous dénonçons par ailleurs. Nous pouvions jouer la carte de l’humour (si vous êtes détendu⋅es, vous êtes plus en capacité de faire des dons), celle de la gamification (si on met une jauge avec un objectif de dons, vous êtes plus enclin⋅es à participer), celle du chantage affectif (« Donnez, sinon… »), etc.

Le pari que nous prenons, que vous connaissiez Framasoft ou non, c’est qu’en prenant le temps de vous expliquer qui nous sommes, ce que nous avons fait, ce que nous sommes en train de faire, et là où nous voulons vous emmener, nous parlerons à votre entendement et non à vos pulsions. Vous pourrez ainsi choisir de façon éclairée si nos actions méritent d’être soutenues.

« Si tu veux construire un bateau, ne rassemble pas tes hommes et femmes pour leur donner des ordres, pour expliquer chaque détail, pour leur dire où trouver chaque chose. Si tu veux construire un bateau, fais naître dans le cœur de tes hommes et femmes le désir de la mer. » — Antoine de Saint-Exupéry

Nous espérons, à la lecture de cet article, vous avoir donné le désir de co-construire avec nous le Framasoft de demain, et que vous embarquerez avec nous.

 

Faire un don pour soutenir les actions de Framasoft

 

 




Framapic est de retour !

Et on vous explique un peu ce qui s’est passé.

Cela ne vous a peut-être pas échappé, Framapic, notre service de partage d’images, est subitement devenu indisponible le vendredi 17 août. Nous l’avons relancé lundi 24 septembre.

Nous ne l’avons pas coupé de gaieté de cœur, mais c’était soit la coupure du service Framapic, soit la coupure de l’IP du serveur, ce qui aurait entraîné l’arrêt de l’ensemble des services hébergés sur ce dernier.

Responsabilité du fournisseur de service

Nous avons déjà été contactés par diverses institutions ou organisations pour des problèmes de photos de drogue, d’armes ou de pédopornographie déposées sur Framapic.

Et oui, parmi ces institutions figurent des autorités judiciaires.

Il est de notre responsabilité d’hébergeur de réagir promptement aux demandes de suppression (lorsqu’elles sont fondées) ou aux requêtes judiciaires. Le problème est lorsque le demandeur contacte directement notre hébergeur, Hetzner. En effet, lorsque Hetzner nous transmet le signalement, celui-ci s’accompagne d’un délai d’une heure pour réagir avant la coupure de l’adresse IP du serveur.

Escalade

Au mois d’août, alors que jusqu’ici nous n’avions que peu de signalements, nous avons fait face à une vague de plusieurs signalements par semaine. Si nous avons toujours promptement réagi, Hetzner s’est lassé de ces signalements à répétition… et nous a laissé 24 heures pour migrer framapic.org hors de son réseau, avec toujours une menace de coupure.

Il fut donc décidé de mettre Framapic hors-ligne, de déplacer le nom de domaine vers un serveur situé chez un autre hébergeur et de ne fournir qu’une copie statique de la page de l’incident de notre site de statut : notre adminSys avait fini sa journée et commençait ses vacances… (il est quand même revenu sur le pont en urgence).

Toute requête demandant une image renvoyait (normalement) une capture d’écran du message de notre page d’incident.

Délai

Les vacances de l’adminSys se terminent, mais la rentrée ne commence pas par la remise en service de Framapic. Nous avons essayé de convaincre Hetzner de bien vouloir nous laisser remettre Framapic sur leurs serveurs, mais ce fut en pure perte.

Nous avons donc décidé de déplacer Framapic chez un autre hébergeur, avec un compte qui lui sera dédié afin de ne pas mettre en péril d’autres services si le cas se représentait.

Le rattrapage du travail en attente accumulé pendant les vacances a retardé la location du nouveau serveur… et ensuite il fallut attendre plus ou moins 24 heures que celui-ci soit mis à notre disposition (ce qui fut une surprise, habitués que nous sommes au quart d’heure maximum d’attente pour la même opération chez Hetzner).

Remise en service et limitations

Enfin, Framapic est de retour ! Mais pour éviter de nouveaux soucis, nous sommes obligés de mettre en place quelques limitations.

Ainsi, les nœuds de sortie du réseau Tor sont bannis. Il nous est douloureux d’en arriver là, convaincus que nous sommes de l’utilité de Tor pour des usages légitimes, mais comme un nombre conséquent de signalements concernaient des images envoyées via Tor, cette limitation s’est imposée.

Toute IP ayant envoyé une image ayant fait l’objet d’un signalement légitime sera définitivement bannie du service. Nous le faisions déjà quasi-systématiquement mais il nous arrivait d’oublier de le faire : certains signalements arrivaient pendant le weekend ou tard le soir, la priorité était la suppression des images signalées. Nous n’oublierons plus le bannissement.

Nous nous réservons le droit, si cela devenait nécessaire, de mettre en place d’autres types de blocage (geoIP ou autre joyeusetés), même si cela ne nous enthousiasme pas.

De l’intérêt des CHATONS

Framasoft a impulsé le collectif https://chatons.org justement pour éviter que les services proposés par notre association ne deviennent des “points centraux” du réseaux.

Ainsi, pendant la coupure de Framapic, vous pouviez toujours trouver d’autres chatons proposant un service équivalent (la recherche sur le site chatons.org retourne 14 membres proposant un tel service). Même si cette carte n’est pas forcément très à jour (hum), on peut rapidement trouver quelques services alternatifs, par exemple :

CHATONS est un collectif encore en construction, mais on voit ici tout l’intérêt de la décentralisation.

Ne dépendez pas de services tiers

Avant la coupure de Framapic, celui-ci faisait peiner le serveur sous le poids des nombreuses visites. Nous avions alors regardé d’où provenaient les requêtes en loguant les en-têtes Referer (et seulement cela, pour préserver votre vie privée, mais il fallait qu’on sache d’où venait le problème).

Quelle ne fut pas notre surprise lorsque nous nous sommes rendu compte que certains sites utilisaient Framapic pour stocker… les assets de leur site. Autrement dit, les images affichées sur le site web ne proviennent pas de leur hébergement (c’est à dire la machine hébergeant les pages web), mais sont récupérées depuis Framapic.org. Et il ne s’agissait pas que de blogs personnels, hein ! Des sites institutionnels en .gouv.fr utilisaient cette même mauvaise pratique ! (tous créés par la même entreprise qui n’a pas répondu à notre mail de contact leur demandant de ne pas le faire… mais qui a fini par cesser. Forcément, avec plus d’un mois d’images toutes cassées 😁)

Pourquoi cela est-il une très mauvaise pratique ?

  1. si le site tiers est indisponible, comme ce fut le cas de Framapic, le site ne ressemble plus à rien (ce fut assez drôle de voir les sites institutionnels évoqués plus haut remplis de la capture d’écran de l’incident 😁) ;
  2. si vos visiteurs bloquent les sites tiers avec une extension type uMatrix, le site ne ressemble plus à rien ;
  3. dans le cas de Framapic, cela induit une forte charge sur notre serveur : en effet, les images sont déchiffrées (bien que nous ayons un système de cache, celui-ci n’est pas extensible à l’infini) et chaque visite implique des requêtes en base de données ;
  4. sérieusement, mettre ses images sur le serveur du site ne le ralentira pas (à moins que vous n’hébergiez énormément d’images très lourdes).

Framapic a été pensé comme un moyen simple de partager des images (photos de vacances, captures d’écran…), ce n’est pas un CDN.

 

La morale de la fable

Nous espérons que ce petit article aura permis à certain⋅e⋅s d’apprendre au passage quelques petites choses sur les coulisses d’un service d’hébergement d’images et notre pratique à Framasoft :

  • nous respectons la loi si un signalement est justifié ;
  • dépendre d’un hébergeur revient à se soumettre à ses conditions — et à dépendre de sa disponibilité — d’où l’intérêt d’en choisir un avec soin (vive les CHATONS !), ou mieux, lorsque c’est possible, de s’auto-héberger ;
  • notre Framapic n’est pas destiné à héberger des images qui s’affichent sur un site web.



Et si on tenait compte des utilisateur·ices dans les projets libres ?

Eh oui, chez Framasoft, on n’a pas peur d’utiliser des titres (légèrement) provocateurs — certain·e⋅s diraient même pièges à clic — quand on a envie de vous parler de sujets que l’on juge vraiment importants.

Et aujourd’hui c’est… l’UX Design dans les projets libres !

« UX-kwa ? Un logiciel libre, c’est créer du code qui fonctionne sans bugs, lui mettre une licence libre et c’est bon, non ? »
Alors, oui, mais pas que. Du coup on va faire le point avec vous sur ce qu’est l’UX Design et pourquoi c’est important (surtout pour le libre).

Et pour ça, on va vous raconter une première expérimentation réalisée lors du Framacamp !

Framacamp : la colonie de vacances de Framasoft ?

Il y a deux évènements annuels très très importants pour Framasoft :

  • l’Assemblée Générale de l’association (AG), où on va faire les bilans moraux et financiers, ainsi que définir les actions et les campagnes à venir,
  • et le Framacamp !

Le Framacamp, c’est l’occasion pour les salarié·es et les membres de l’asso de se réunir de manière conviviale pour se rencontrer, tisser des liens, boire des coups, délirer et surtout débattre, faire avancer les projets et expérimenter.

Au cours du Framacamp, Maïtané a proposé un atelier « Méthodes UX » pour présenter 4 méthodes utilisées par les UX designers et les faire tester aux développeur·ses sur place.

Alors déjà, c’est quoi l’UX Design ? UX Design, ça veut dire User Experience Design en anglais, ce qui revient à Design de l’Expérience Utilisateur·ice en français. C’est une discipline qui a pour objectif de prendre en compte les besoins, les attentes et les usages des utilisateur·ices visé·es pour proposer un service ou outil qui leur convient le plus possible et leur proposer une expérience positive. C’est donc très loin de « juste » réaliser des maquettes graphiques !

Pourquoi parler d’UX avec des devs ? Parce que tout le monde est convaincu chez Framasoft que le logiciel libre c’est bien, mais s’il est utilisé par un maximum de personnes c’est quand même mieux. Et il n’y a pas moyen de demander aux utilisateur·ices d’utiliser des logiciels qui ne sont pas correctement conçus, ou qui ne prennent pas en compte leurs besoins.

C’est un peu ça. L’UX, c’est créer des logiciels :

  • utiles (car ils apportent de la valeur aux utilisateur·ices) ;
  • utilisables (car ils peuvent être utilisés sans provoquer (trop) de frustration) ;
  • et utilisés (car du coup les utilisateur·ices ont envie de… les utiliser !).

 

Du coup, pour comprendre ce qui se passe dans la tête des utilisateur·ices, les UX designers ont tout un panel de méthodes et de techniques. Au cours de cet atelier « Méthodes UX », nous en avons testé quatre :

  • Le test des 5 secondes
  • L’AttrakDiff
  • Les courbes d’évaluation UX
  • Les tests utilisateur·ices.

Il existe évidemment un très grand nombre de méthodes, selon les étapes du projet, les objectifs visés, le nombre de participant·es (présent·es ou à distance), etc. Si vous souhaitez en découvrir d’autres, nous vous conseillons l’excellent ouvrage Méthodes de Design UX : 30 méthodes fondamentales pour concevoir et évaluer les systèmes interactifs, de Carine Lallemand et Guillaume Gronier.

 

Les méthodes de cet atelier ont notamment été choisies en s’inspirant de l’atelier qu’ils ont donné ensemble à ParisWeb 2015.
Il s’agit de méthodes plutôt simples à comprendre et complémentaires pour prendre le pouls de son projet du point de vue de l’expérience utilisateur.

Note anti-troll : les participant·es étaient quasi exclusivement des membres de Framasoft, donc pas vraiment représentatif·ves du public réel des outils testés, nous en sommes bien conscient·es. En temps normal, on aurait dû composer un panel réaliste de participant·es mais on n’avait pas d’autres cobayes sous la main !

Le test des 5 secondes

Pour tester quoi ?

La première impression qu’ont les utilisateur·ices en voyant une interface.

Comment on fait ?

On montre un écran d’une interface (logiciel, application mobile, site web, …) pendant 5 secondes, puis on pose quatre questions, qui permettent de connaître les a prioris des utilisateur·ices lorsqu’ils découvrent l’interface, et ce qu’ils en retiennent. Pratique si vous voulez savoir si votre interface est compréhensible au premier abord.

Cas pratique

Maïtané nous a fait essayer cette méthode sur une maquette d’interface de création de pads collaboratifs.

Maquette de l’interface de création de pads collaboratifs du Mouvement Colibris — Chez Framasoft, on propose le même service via https://framapad.org

 

Nous avons donc eu 5 secondes de visualisation de la page avant de pouvoir répondre aux questions.

Et là… révélation ! Sur la troisième question (définir les objectifs du système), on s’est aperçu qu’une des fonctionnalités n’était pas claire pour tout le monde.

Et donc, en à peu près 3 minutes de test, sur un groupe d’à peine 10 personnes, nous avions déjà relevé un problème d’ergonomie suscitant de l’incompréhension chez plusieurs d’entre nous, malgré l’interface très simplifiée. Pas mal pour un début !

Et si vous avez plusieurs prototypes, cette méthode peut permettre de soumettre chacun à un groupe différent pour comparer les résultats :

Les trois visuels ont été réalisés par Kristof Dreano, graphiste des Colibris, et sont disponibles sous licence Creative Commons BY SA.

L’AttrakDiff

Pour tester quoi ?

Pour analyser quantitativement l’expérience utilisateur, suivant ses qualités pragmatiques (j’ai l’impression que le produit me permet de réaliser ma tâche facilement) et hédoniques (j’ai envie de l’utiliser, ça me fait plaisir de l’utiliser)

Comment on fait ?

L’AttrakDiff est un questionnaire standardisé, il y a donc « juste » à récupérer la grille de questions, la grille d’analyse  et hop ça fait des Chocapics !

 

 

 

Un exemple de rendu final :

Source : UXmind.eu

Cas pratique

Pour l’atelier lors du Framacamp, on a pris le cas de Framadate avec une grille de questions plus réduite que celle normalement utilisée. Après un rapide dépouillement des résultats, on découvre sans trop de surprise que Framadate est un outil très « orienté tâche », c’est à dire fonctionnel et pragmatique mais qu’il lui manque un aspect attractif et procurant une expérience plus positive. Une tendance courante du libre ?

Les courbes d’évaluation de l’expérience utilisateur·ice

Pour tester quoi ?

Les courbes vont représenter, au cours du temps, les ressentis des utilisateur·ices sur différents points (que se soit l’expérience utilisateur·ice générale, son attractivité, sa facilité d’usage, …), ce qui permet d’avoir une vision sur la durée des différentes améliorations et détériorations !

Comment on fait ?

On demande à l’utilisateur·ice de tracer une courbe, en mettant en abscisse sa relation envers le produit (de « très positive » à « très négative ») et en ordonnée le temps. Dans l’idéal, elle place à certains endroits les événements marquants de son expérience, pour que l’on sache à quoi est dû un changement de direction de la courbe.

Cas pratique

Vous pouvez le faire chez vous, là, tout de suite ! Un papier, un crayon, et vous pouvez noter l’évolution dans le temps de votre rapport à Twitter par exemple ! Ce qui est assez marrant à voir, c’est la dégringolade de l’adhésion à Twitter lorsque Mastodon est apparu, mais vu le public testé ce n’était pas très étonnant. 😉

Le meilleur pour la fin : les tests utilisateur·ices !

Pour tester quoi ?

Ben, ce que tu veux, en fait !

Comment on fait ?

On demande à l’utilisateur·ice de réaliser une « mission » qui est cohérente avec sa potentielle utilisation du logiciel. L’idéal c’est de le-la laisser assez libre, pour observer de quelle façon iel va remplir sa mission (on peut être surpris !). Ensuite, on lui demande de bien vocaliser ce qu’iel fait, pour qu’on puisse suivre son schéma de pensée.
Du côté des développeurs·euses, il est très important de ne pas intervenir au cours du test. Même si ça vous démange « mais le bouton est juste là ! »  et qu’on a très très envie de le montrer à l’utilisateur·ice. Le mieux à faire c’est de prendre des notes sur papier et de débriefer à la fin du test, une fois la mission remplie (ou son échec constaté).

Cas pratique

C’est le moment de laisser les développeurs en parler 😉

Et les développeurs, ils en ont pensé quoi ?

Interviewés : Luc, Thomas, Florian, Benjamin, Marien.

Salut à tous ! Pour commencer, vous pourriez vous présenter rapidement ainsi que vos projets ?

Florian : Salut ! Ici Florian aka mrflos, développeur web du mouvement Colibris, une association d’éducation populaire qui inspire, relie et soutient des personnes qui se mobilisent pour la construction d’une société plus écologique et plus humaine. Afin d’outiller nos membres avec des logiciels et services libres en adéquation avec nos valeurs, nous avons rejoint le collectif des CHATONS et nous proposons la plateforme https://colibris-outilslibres.org à toutes et tous.

Je suis par ailleurs co-auteur et principal mainteneur de https://yeswiki.net , un wiki ouvert et simple, avec des possibilités de base de données avec des restitutions variées (trombinoscope, cartes, agenda…)

Thomas : Salut ! Je suis Thomas alias tcit, développeur web au sein de Framasoft, une association promouvant les logiciels libres et plus largement l’univers libre. Nous avons dernièrement lancé une campagne Contributopia qui vise notamment à concevoir autrement des outils numériques. En dehors d’être responsable d’une bonne partie des outils Framasoft, dont certains ont été créés ou largement améliorés, j’ai aussi été mainteneur des logiciels wallabag (un service de lecture différée) et Nextcloud (une alternative à Dropbox et Google Drive).

Benjamin : Hello ! Ici Benjamin (ou encore bnjbvr), ingénieur logiciel chez Mozilla sur la machine virtuelle JavaScript / WebAssembly qui tourne dans le célèbre Firefox. Sur mon temps libre, je suis un peu membre de Framasoft où j’essaie d’organiser des ateliers de contribution au logiciel libre ouverts à tou.te.s, au sens large, en essayant d’attirer des personnes qui n’y connaissent pas grand chose. Je développe également Kresus, une application web de gestion de finances personnelles libre et auto-hébergeable, pour pouvoir comprendre comment notre argent est dépensé, comme une alternative aux apps Bankin ou Linxo.

Marien : Salut, pour ma part je suis Marien (alias, hum… Marien), ingénieur dans une boite qui s’appelle Sogilis et où je fais beaucoup de choses, mais notamment du développement d’applications web sur mesure. Je suis aussi membre de Framasoft : j’y maintiens Framaboard et je passe un peu de temps à consigner tout ce qu’il se passe au sein de l’asso dans notre wiki. Je réfléchis aussi à comment décloisonner les développeurs du Libre des sujets techniques (cet atelier tombait donc à pic !). Enfin, je développe Lessy, un logiciel de gestion de temps et j’ai été le développeur principal de FreshRSS, un agrégateur d’actualités, qui est depuis passé dans les mains d’une communauté active.

Luc : もしもし! (oui, Luc se met au Japonais, il a sûrement écrit un truc très chouette mais on n’a rien pané — NDLR)

Moi c’est Luc, alias (frama)sky, adminSys de Framasoft, et développeur aussi. J’ai notamment écrit Lstu, Lutim, Lufi et Dolomon, qui sont utilisés chez Framasoft sous les noms Framalink, Framapic, Framadrop et Framaclic.

 

L’UX, ça te parlait avant l’atelier ? C’était quoi pour toi ?

Florian : Comme je ne suis pas un très bon développeur, je compense en essayant de piocher dans les gros sites, des idées d’interfaces efficaces. Je me suis vite rendu compte que cela allait au delà de l’interface, et que c’était la convivialité de l’outil et l’expérience dans sa globalité qui faisait qu’on l’adoptait.

Pour moi, l’expérience utilisateur est primordiale, car si le but est d’amener nos utilisateurs à contribuer, il faut leur faciliter la tâche, et la moindre expérience négative peut facilement démotiver. D’ailleurs assez souvent les utilisateurs ne reprochent pas le manque de fonctionnalités d’un logiciel libre par rapport à son concurrent non libre, mais le fait qu’il soit plus difficile à utiliser (ou moins ergonomique).

Thomas : De même, la prise en compte de l’aspect convivial lors de mes développements se résumait à piocher des bonnes idées ici et là, suivre quelques pistes d’amélioration pour que certains aspects soient plus accessibles et des actions plus faciles à réaliser. J’avais largement conscience des manques que j’avais sur ces points.

Benjamin : J’ai eu l’occasion de discuter avec des designers, notamment parce que l’équipe de Kresus désirait avoir un nouveau logo. Alors que je pensais qu’il allait s’agir simplement de choix esthétiques, nous nous sommes retrouvés à parler d’aspects de bien plus haut niveau, comme les émotions que l’on voulait transmettre, ou les principes que devait respecter l’application. Même si ça relève du design, ces aspects se transposent également très bien à l’UX, et cette discussion a été le point de départ d’une réflexion plus globale pour re-prioriser certaines fonctionnalités et certains manques de Kresus. Par ailleurs, certains retours de personnes expérimentées en UX design nous avaient bien résumés l’intérêt de l’UX : un élément d’interface ou une action peu claire ou compliquée, c’est une incompréhension ; et une incompréhension, c’est une question au mieux (donc du support à effectuer), un blocage au pire (donc un.e utilisateur.ice perdu.e). Ce discours m’a marqué et incité à me plonger encore plus dans le sujet.

Marien : J’ai la chance de travailler dans une boîte qui employait déjà une UX/UI designer lorsque je suis arrivé. Aujourd’hui j’ai deux autres supers collègues ergonomes et/ou UX designers avec qui je peux travailler et échanger (je recommande d’ailleurs leurs « ergogames » lors desquels j’ai appris et pu mettre des mots sur plein de concepts), j’étais donc déjà plutôt bien rodé avant cet atelier et persuadé des bienfaits de l’UX. Pour moi, toute l’importance de cette discipline est de remettre l’utilisateur·ice au centre des préoccupations du logiciel : on cherche avant tout à comprendre ses problèmes et ses besoins. Ça peut paraître idiot dit comme ça, mais bien souvent j’ai affaire à des utilisateurs qui expriment leurs problèmes à travers des solutions qu’ils ont eux-mêmes imaginés. Le problème c’est qu’ils ont toujours une connaissance limitée de ce qui peut se faire (et moi aussi !) La complexité consiste à faire abstraction de ces solutions pour essayer d’en imaginer une qui sera potentiellement mieux adaptée aux besoins exprimés bien souvent indirectement. C’est là tout le talent de l’UX designer. 🙂

Une autre chose que j’apprécie – et c’est assez contradictoire avec mon statut de développeur – c’est que ça nous fait redescendre de notre piédestal. Dans les projets de logiciels libres, le développeur est toujours celui qui imagine, décide et code ; ça ne fait pas de mal de se remettre en question parfois ! Et puis nous avons déjà suffisamment de responsabilités comme ça (« Code is Law » comme dirait l’autre), pas la peine de nous en rajouter.

Luc : Oui… et non. Oui, parce que je savais que ça existe, non parce que je n’avais pas le temps de me pencher dessus.

 

Est-ce que tu avais déjà appliqué ou envisagé d’appliquer des méthodes UX sur tes projets ? Est-ce que par exemple tu avais déjà fait des tests utilisateur·ices auparavant ?

Florian : Au sein des contributeurs YesWiki, certains avaient déjà fait des tests utilisateurs, mais moi-même, je n’avais pas eu l’occasion de tester. J’avais entendu parler d’une méthode rigolote, qui consiste à tester un site en étant complètement saoul pour voir si la navigation était facile ! Une version plus « sobriété heureuse » consisterait à juste plisser les yeux et voir si vous arrivez à naviguer sur votre site, ou sinon http://www.drunkuserexperience.com/?url=https%3A%2F%2Fframasoft.org .

Thomas : Il y a quelques mois je ne désirais rien de plus que des mockups tout faits que j’aurais juste à intégrer. Aujourd’hui j’ai compris qu’il est préférable d’avoir un processus d’accompagnement, de travail itératif en collaboration et en discutant avec quelqu’un ayant les compétences.

Les seuls tests utilisateurs que j’aie effectués dans le cadre de mon travail se résumaient à envoyer un aperçu quasiment achevé à des membres de l’association n’ayant pas ou peu de compétences techniques, mais je n’étais pas derrière eux pour obtenir d’autres retours que ceux qu’ils peuvent me faire eux-mêmes. En dehors de cela, zéro, nada.

Benjamin : Non, jamais, je partais donc d’une expérience totalement vierge.

Marien : Oui, mais c’est assez récent au final ! J’avais fait appel il y a un an à Marie-Cécile Paccard pour m’aider sur Lessy. L’expérience a été tout aussi déstabilisante qu’enrichissante : alors que je pensais qu’on parlerait de l’UX de l’application, on a parlé de beaucoup de choses en amont, notamment à quels problèmes je cherchais répondre et à qui je m’adressais. Au final, elle a appliqué les méthodes UX à l’idée du projet elle-même ! Pour ce qui est des tests utilisateurs, j’ai participé à une session mais en tant qu’utilisateur, je connaissais donc déjà le format mais pas l’angoisse de se faire « juger » son travail ! J’avais toutefois eu le sentiment que c’était un format lourd à mettre en place et j’ai été agréablement surpris de la manière dont ça s’est passé au Framacamp.

Luc : À chaque phase de tests des nouveaux services Framasoft, on avait des retours de la part des membres de l’asso, mais ça s’arrêtait là.

 

Qu’est-ce que tu as pensé des méthodes vues ? Une méthode favorite ?

Florian : Le panel des méthodes vues était très large et c’est difficile de donner une favorite, car elles sont complémentaires ! Comme elles sont toutes assez courtes, je recommanderais plutôt de les faire toutes pour avoir une idée globale. S’il fallait choisir, la méthode du test en 5 secondes est vraiment rapide à faire, l’expliquer et la faire ne prend pas plus de 5 minutes, douche comprise ! Après, les tests utilisateurs sont ceux qui amènent sans doute le plus de pistes concrètes d’évolution pour son projet car on voit de façon flagrante là où l’utilisateur a des difficultés.

Benjamin : Si l’on se concentre uniquement sur l’aspect UX, la méthode des 5 secondes me semble plus amusante qu’utile, parce qu’elle ne reflète pas le fait que les gens cherchent toujours un peu avant d’abandonner. Elle permet cependant de dégager un avis esthétique et une émotion de manière très pertinente, ce qui provoquera l’envie d’utiliser par la suite. Clairement, le test d’utilisation, effectué sur Kresus, a été le plus utile et le plus fructueux pour moi : malgré la frustration qui parfois s’installait, puisque j’avais envie de dire « mais non, c’est pas comme ça qu’il faut faire », ou encore de dire « tu as remarqué qu’il manquait telle fonctionnalité, tu es au moins la 100ème personne à me le dire », j’ai trouvé très intéressant le fait de tout garder pour moi, et de juste écouter les utilisateur.ice.s pour comprendre quels étaient leurs points bloquants et leurs interrogations.

Marien : Très clairement j’ai préféré les tests utilisateurs. Je rejoins pas mal Benjamin là-dessus, j’ai le sentiment que c’est ce qui a été le plus utile. Mais c’est aussi l’aspect humain que je trouve intéressant : cette posture tout d’abord d’écoute et d’observation silencieuse (ça empêche de tenter de se justifier !), puis l’échange qui suit après. Ça permet aussi aux différents protagonistes de se rencontrer et de mieux se comprendre. Toutefois, pour un logiciel Libre ça peut être compliqué à mettre en place par sa nature décentralisée. L’AttrakDiff est peut-être alors plus adapté tout en se rapprochant de ce que peut apporter les tests utilisateurs d’un point de vue retours UX. J’imagine assez bien utiliser la méthode des 5 secondes « à l’arrache » lors de différents évènements. Concernant les courbes d’évaluation, je ne connaissais pas du tout et j’ai trouvé le concept super intéressant même si j’imagine un peu moins quoi faire des résultats.

Thomas : Je rejoins les deux commentaires précédents pour dire que j’ai probablement considéré le test utilisateur comme le plus productif du point de vue d’un développeur. Cela permet de découvrir des utilisations complètement à l’opposé de ce que l’on peut imaginer, et ainsi sortir de sa bulle de filtre concernant la vision que l’on a de son projet. J’aime aussi également bien le test des 5 secondes, mais je l’ai trouvé particulièrement efficace surtout lorsqu’on imagine un utilisateur arriver sur un site web sans à priori dessus, pas forcément quelqu’un de très motivé voir obligé d’utiliser une application.

Luc : Tout comme les autres, le test utilisateur est sans doute le plus intéressant pour les développeurs. On a ainsi un retour rapide mais surtout concret sur les points de friction.

 

C’est quoi le ressenti pendant et après les tests utilisateur·ices, quand on observe un·e utilisateur·ice manipuler et faire des retours sur son projet adoré ?

Florian : Mon cas est particulier, car on testait des visuels fait par Kristof, le graphiste des Colibris, pour le test des 5 secondes, donc j’ai moins pris pour moi les retours. Par contre j’ai été testeur pour Luc et son projet dolomon.org, et c’était bien drôle, je l’ai vu rougir quand je n’ai pas cliqué sur le lien « comment ça marche » et directement m’empêtrer dans les fonctionnalités compliquées, mais je crois que je me suis comporté comme un utilisateur lambda ! 😉

Benjamin (en continu depuis la question précédente) : C’est extrêmement utile comme exercice, parce que chaque élément remarqué devient utilement concret et peut se transformer en un « ticket » ou un élément partiel de ticket, tout du moins. C’était aussi marrant de voir, lors du débriefing, chacun exposer les *problèmes* auxquels iels étaient confrontés, et d’y aller de sa *solution* pour les résoudre, sans connaître l’ensemble des contraintes du projet. 🙂

En tant que mainteneur d’un projet, cela m’a permis de rester humble auprès du travail restant à accomplir, et ne m’a pas atteint émotionnellement ou attristé, parce que je considère que tout est toujours améliorable, et la finalité commune (de cellui qui teste ou cellui qui observe) est d’améliorer le logiciel dans son ensemble, pour le rendre plus utilisable, donc plus utilisé. 🙂

En dehors de la sphère propre au logiciel Kresus, je me sens plus légitime et j’ai aussi beaucoup plus confiance en ma capacité à mener et assister à des tests utilisateurs, ce qui me sera utile lors de nos célèbres Contrib’Ateliers .

Marien : Le plus compliqué était sans doute de rester silencieux ! D’ailleurs j’ai posé une ou deux questions au début pour essayer de comprendre le ressenti de l’utilisatrice (mais j’ai vite arrêté parce que je sentais que ça pouvait influer sur son utilisation). Il y a une forme de frustration qui se développe au fur et à mesure que la personne observée cherche mais ne trouve pas (pour les deux tests effectués j’ai eu envie de dire « Tu n’as pas besoin de rechercher l’icône de flux RSS sur le site, l’outil le détecte pour toi ! ») Une chose amusante en revanche, c’était de se sentir par moment tout aussi perdu que la personne qui testait (« Bah tiens, pourquoi ça réagit comme ça ? », « Oh un bug… ah non c’est vrai, c’est le comportement « attendu » »). Au final on n’est pas seulement observateur de l’utilisateur·ice, mais aussi de sa propre application ! En sortie de cette expérience, j’ai été rassuré sur la facilité de mise en place, ça m’a vraiment réconcilié avec cette méthode UX. Hâte de réitérer l’expérience !

Luc : C’est dur pour moi de me taire… et de voir que les utilisateurs ne prennent pas le temps de lire les explications qu’on s’est fait c… suer à écrire !

 

Suite à l’atelier, est-ce que tu penses que tu vas essayer de mettre en place de l’UX ? Si on te trouve un·e UX Designer, tu l’accueilles les bras ouverts ?

Florian : Oui, bien sûr, c’est un retour précieux, et une science à part entière ! Vu le peu de moyens humains derrière un projet libre, on se retrouve souvent à être en même temps le graphiste, l’UX designer, le développeur et le chargé de comm. de ce projet libre, et souvent quand on touche à trop de choses simultanément, on ne fait pas tout bien. J’ai très envie d’approfondir le sujet, si possible accompagné, mais j’attends aussi de voir comment en tant que développeur, implémenter les améliorations d’UX, car les choses les plus simples ne sont pas toujours les plus faciles à coder ! Donc vive la complémentarité mais en ayant la curiosité de s’intéresser à ce que l’UX Designer apporte et réciproquement, histoire de s’enrichir entre designer et développeur et d’être réaliste sur ce que l’on peut faire ensemble !

Benjamin : Absolument ! Au titre de mon projet Kresus, je vais sûrement réitérer l’expérience, et nous serions ravis d’accueillir un.e UX designer pour nous aider à assurer un suivi de l’amélioration de l’UX dans le projet. Nous allons d’ailleurs revoir nos méthodes de contribution pour simplifier la découverte et la participation à ce projet. Par ailleurs, je vais très probablement réutiliser les méthodes vues ici lors des Contrib’Ateliers, pour pouvoir tester et faire tester d’autres projets qui ont bien besoin d’aide, en espérant que cela mène à des actions concrètes et un suivi de la part des auteur.ice.s.

Marien : Je ne vois pas trop comment répondre négativement à cette question après les réponses que j’ai données jusqu’ici. ^^

Oui, évidemment que j’en accueillerais un ou une ! Mais j’aimerais aussi réfléchir à comment faciliter une telle collaboration. Aujourd’hui les outils que nous avons à notre disposition ne sont pas adaptés (je ne vise absolument pas GitHub ou plus généralement les forges logicielles, ce serait mal me connaître). Et si, justement, on appliquait les méthodes UX pour réfléchir à un tel outil ? 😀

Thomas : De même, c’est évident qu’il faut que nous impliquions davantage des gens comme des UX designers prêts à participer dans nos projets libres. Et pour accueillir des gens qui ne sont pas développeurs, ce n’est pas uniquement une question de réfléchir à un processus pour l’entrée de nouveaux contributeurs, c’est peut-être penser dès le début à faire en sorte que les décideurs et responsables de projets ne soient pas uniquement des développeurs, que ces derniers ne soient pas toujours au centre du projet. C’est loin d’être facile dans le milieu du logiciel libre, mais je veux y croire. 🙂

Luc : Non, je souhaite continuer à faire des logiciels inaccessibles. Tout le monde sait bien que les logiciels tournent bien mieux sans utilisateurs pour déclencher des bugs ou poser des questions. 😛

 

Et la tradition Framasoft : un dernier mot pour la fin ?

Florian : Merci Framasoft de décloisonner le libre et d’ouvrir vers de nouveaux horizons avec des outils qui ont du sens et des valeurs et qui pourraient grâce à des apports dans des domaines comme l’UX, de plus en plus répondre aux besoins des usagers ! J’en profite aussi pour inviter des animateurs de réseaux, les techniciens, les citoyens engagés, et toutes les personnes de bonne volonté de venir participer au projet Contributopia, qui pourrait être un beau levier de changement sociétal et de convergence !

Benjamin : Merci Framasoft pour ce Framacamp, et merci beaucoup Maïtané pour nous avoir présenté et ouvert les yeux sur l’UX, dans la joie et la bonne humeur, sans m’avoir fait ressentir ce tristement classique blocage entre les développeur.euse.s et les designers. J’invite tout le monde à s’intéresser également à ces méthodes, ne serait-ce que pour en comprendre les enjeux, qui dépassent largement la simple facilité d’utilisation et l’aspect esthétique des choses. :3

Marien : Au final, comme dans tout projet, l’important c’est de se parler et de s’écouter. Ce Framacamp a été une formidable occasion de faire cela dans une ambiance détendue. Je suis vraiment ravi de pouvoir apporter ma patte au projet Contributopia qui se propose justement d’encourager et défendre tout ça. Je suis persuadé que nous sommes sur la bonne route (mais qu’est-ce qu’elle est longue !). Et merci aussi à Maïtané de nous avoir proposé cet atelier qui m’a permis (enfin) de mettre en pratique des choses qui traînaient dans ma tête depuis des mois.

Thomas : Merci aux membres de Framasoft et à tous les contributeurs pour leur bonne volonté toujours impressionnante. Merci à ceux qui animent des ateliers qui permettent de faire des énormes pas en avant à chaque fois. J’ai hâte de voir ce qu’on va tous faire ensemble !

Luc : Merci à tous ceux qui vont mettre en place des ateliers UX lors des prochains contrib’ateliers. 😁

À leur tour, les auteur·ices de cet article remercient chaleureusement Florian, Thomas, Benjamin, Marien et Luc pour le temps qu’ils ont bien voulu nous accorder pour répondre à nos questions. Merci également à Carine Lallemand pour nous avoir autorisé·es à utiliser les images d’illustration de l’AttrakDiff et des courbes d’évaluation UX.

Que vous soyez UX Designer (professionnel ou amateur) ou simple utilisateur·rice qui veut contribuer au logiciel libre et au libre, n’hésitez pas à venir à notre rencontre, soit sur Framacolibri ou lors d’un des Contrib’ateliers.  ;-).

 

 

Pour aller plus loin

  • Lallemand, Carine. Paris Web 2015. Atelier Évaluer l’UX : des méthodes simples mais efficaces !

Paris Web 2015 Atelier « Evaluer l’UX : des méthodes simples mais efficaces ! » from Carine Lallemand

 




Bye bye Twitter, hello Masto !

C’est dans l’air du temps et c’est tant mieux. Comme à chaque fois que Twitter (ou Facebook) se signale par ses errements manifestes (et comment pourrait-il en être autrement ?), s’ensuit une vague de migrations.

Voici par exemple Laura Kalbag. Cette designeuse britannique qui est la moitié de indie.ie avec Aral Balkan et qui a publié le guide Accessibility for everyone a récemment pris ses distances avec Twitter pour expérimenter Mastodon au point de piloter sa propre instance…

Elle explique ses raisons et sa démarche au long de deux articles successifs sur son blog que Framalang s’est fait un plaisir de traduire tous les deux pour vous : What is wrong with Twitter et What is Mastodon and Why should I use it.

Bonne lecture… et à bientôt peut-être sur Mastodon, le réseau social qui vous redonne le contrôle ? Si vous êtes déjà convaincu⋅e, faites lire ce double article à vos ami⋅e⋅s qui hésitent encore.

Traduction Framalang : audionuma, Juliette, jums, goofy, Elodie, sonj, draenog, Nexofs, sonj + 4 anonymes

Quel est le problème avec Twitter ?

 par Laura Kalbag

Il y a quelques semaines j’ai publié une brève note pour signaler que j’ai désormais ma propre instance Mastodon. Mais commençons par le commencement : pourquoi ?

J’ai l’intention d’utiliser Mastodon comme alternative à Twitter. Bien que Mastodon ne soit pas l’équivalent de Twitter, nombre de ses fonctionnalités sont semblables. Et je cherche une solution alternative à Twitter parce que Twitter n’est pas bon pour moi.

Parfois, il m’arrive de croire qu’en disant : « Twitter n’est pas bon pour moi » je n’ai pas besoin d’expliquer davantage, mais ce n’est pas une opinion tellement répandue. Cela vaut la peine d’être expliqué un peu plus en détail :

Le capitalisme de surveillance

En bref, le problème avec Twitter c’est le capitalisme de surveillance. Au cas où ce terme vous serait étranger, le capitalisme de surveillance est le modèle économique dominant en matière de technologie grand public. La technologie nous traque, observe nos actions : c’est l’aspect surveillance. Cette information est alors utilisée afin de mieux nous vendre des biens et services, souvent par le biais de la publicité « pertinente », c’est l’aspect capitalisme. Pour dire les choses clairement, Aral Balkan appelle cela le people farming que l’on peut traduire par « élevage humain».

Nous sommes la plupart du temps conscient⋅e⋅s du fait que les publicités que nous voyons sur les réseaux sociaux comme Facebook et Twitter financent leurs services. En revanche, nous sommes moins conscient⋅e⋅s du fait que des algorithmes affectent les articles ou billets que nous voyons dans les fils d’information de nos réseaux sociaux, et nous ne savons pas quelle information nourrit ces algorithmes ; ni comment ces algorithmes et leurs interfaces sont conçus pour manipuler notre interaction avec le service. Nous sommes largement inconscient⋅e⋅s de la manière dont la plupart des technologies utilisent le traçage et leurs propres algorithmes pour nous rendre dépendant⋅e⋅s et pour manipuler notre comportement d’une manière qui leur est financièrement bénéfique.

Si tout cela semble tiré par les cheveux, jetez un coup d’œil à la version blog de ma conférence intitulée : « Digital Assistants, Facebook Quizzes, et Fake News ! Vous n’allez pas croire ce qui va se passer ensuite. »

Qu’est-ce qui ne va pas avec Twitter, au juste ?

Le modèle économique de capitalisme de surveillance de Twitter a un impact sur chaque décision prise par Twitter. Twitter récompense les comportements abusifs à travers les algorithmes utilisés pour son historique car la controverse entraîne « l’engagement ». Twitter construit des cultes de la célébrité (qu’il s’agisse des individus ou des mèmes) parce que davantage de personnes s’inscriront sur une plateforme pour suivre l’actualité et éviter la peur de passer à côté.

À travers ses algorithmes Twitter décide de ce que vous voyez

Tout comme l’a fait Facebook auparavant, la décision de Twitter d’utiliser des algorithmes pour vous dicter ce que vous voyez dans votre fil au lieu de vous montrer les messages dans leur ordre chronologique signifie que vous ne pouvez pas faire confiance au flux pour vous afficher les messages des personnes que vous suivez (le contournement consiste à utiliser les « Listes », mais pour cette raison, je soupçonne Twitter de vouloir se débarrasser des listes à un moment ou à un autre…)

Vous ignorez si vos messages sont vus ou si vous voyez ceux de vos amis, puisque vous n’avez aucune idée de ce que fait l’algorithme. il semble que cet algorithme favorise les comptes et les tweets populaires et/ou viraux, ce qui fait de la viralité l’aspiration ultime des vedettes expérimenté⋅e⋅s des réseaux sociaux, au-delà du nombre spectaculaire d’abonné⋅e⋅s. (je ne porte pas de jugement… je décide moi aussi de suivre ou non une personne en fonction de son nombre d’abonné⋅e⋅s, pas vous ?)

En réalité, Twitter encourage les agressions

Twitter permet aux agressions et au harcèlement de continuer parce que l’engagement des utilisateurs prospère grâce à la polémique. Des trolls haineux qui chassent en meute ? C’est ça, l’engagement ! Des femmes et des personnes de groupes marginalisés sont harcelées sur Twitter ? Mais tous ces trolls sont si engageants ! Qu’est-ce que ça peut faire qu’une femme quitte Twitter si la polémique a pour résultat qu’un plus grand nombre de personnes vont tweeter, ou même s’inscrire pour avoir leur mot à dire sur la question ? Pourquoi Twitter, Inc. devrait-il se soucier des gens alors que les chiffres sont tout ce qui compte pour les investisseurs, et que ce sont eux qui gardent la mainmise sur les projecteurs ? Tout ce que les entreprises de réseaux sociaux ont à faire, c’est de maintenir un équilibre délicat pour ne pas mettre trop de gens en colère et à ne pas les aliéner au point de les faire quitter la plateforme en masse. Et étant donné qu’un si grand nombre de ces gens sont tellement engagés dans Twitter (est-ce nécessaire de mentionner que « engagement » n’est probablement qu’un euphémisme pour « addiction »), ils ont du mal à en sortir. C’est mon cas. Pas vous ?

Si Twitter se conformait rigoureusement à une politique stricte contre le harcèlement et les agressions, il y aurait moins de tweets. Si Twitter nous donnait des outils efficaces pour modérer nos propres fils, réponses et messages, il est probable que cela impacterait ce que l’algorithme choisit de nous montrer, et impacterait le modèle économique de Twitter qui monétise ce que l’algorithme met en priorité dans le flux des messages.

Twitter ne gère pas efficacement les cas d’agression

Il n’est pas facile de modérer les agressions. Décider de ce qui constitue une agression et de la façon de la traiter de manière appropriée est un problème pour toutes les plateformes de publication et tous les réseaux sociaux. Ce sont aussi des problèmes systémiques auxquels sont confrontées les communautés locales et le système judiciaire. Problèmes qui sont généralement traités (encore souvent de manière inadéquate) par ces communautés et systèmes judiciaires. Mais nous devons être conscients que la technologie amplifie les problèmes, en facilitant le ciblage d’un individu et la possibilité d’une attaque de manière anonyme. Et comme nous utilisons les plateformes de grandes entreprises, nous déléguons au contrôle de l’entreprise la responsabilité des décisions sur la manière de gérer les agressions.

Les personnels de ces entreprises technologiques ne devraient pas être ceux qui décident de ce qui relève de la liberté d’expression et de la censure sur ce qui est devenu notre infrastructure sociale mondiale. Les personnes qui ont des intérêts financiers dans le chiffre d’affaires ne devraient pas être en mesure de prendre des décisions concernant nos droits et ce qui constitue la liberté d’expression.

Nuances

Bien sûr, il y a aussi des situations diverses et certains choix de conception d’algorithmes de flux pour gérer le harcèlement et des agressions ne sont pas principalement destinés à servir le capitalisme de surveillance. Il se peut qu’il y ait des personnes qui travaillent dans l’entreprise et qui ont des intentions bienveillantes. (J’en ai rencontré quelques-unes, je n’en doute pas !)

Mais comme le modèle d’affaires de Twitter est concentré sur l’extraction de l’information des gens, les décisions de conception qui servent le modèle économique auront toujours la priorité. Les cas de comportements bienveillants sont des exceptions et ne prouvent pas que le modèle entier repose sur le principe de « l’attention bienveillante malgré tout ». De tels gestes de bonté sont malheureusement accomplis, ou plutôt consentis, pour améliorer les relations publiques.

Mon usage de Twitter

Quand je me demande sincèrement pourquoi j’utilise encore Twitter, je trouve de bonnes raisons et aussi des prétextes. Toutes mes bonnes raisons sont probablement des prétextes, tout dépend du degré de complaisance envers moi-même dont je suis capable tel ou tel jour. Je suis comme prise dans un tourbillon entre mes convictions et mon amour-propre.

Twitter me donne les nouvelles

C’est sur Twitter que je vais d’abord pour m’informer des actualités internationales et locales. Il est difficile de trouver un organe de presse qui couvre l’actualité et les questions qui me tiennent à cœur sans publier également du putaclic, des listes attrape-cons et des bêtises calculées avec du SEO. Malheureusement, c’est en grande partie parce que la publicité sur le Web (qui repose avant tout sur la surveillance) est le modèle économique de la publication de nouvelles. Je me tiens donc au courant des actualités en suivant quelques organes d’information et beaucoup de journalistes individuels.

Il existe une stratégie de contournement : suivre des comptes et des listes Twitter sur Feedbin, à côté des autres flux RSS auxquels je suis abonnée. Tous les tweets sont à disposition, mais l’algorithme ou les applications ne tentent pas de manipuler votre comportement.

Il s’agit d’une solution de contournement temporaire, car Twitter peut trouver un moyen d’interdire ce type d’utilisation. (Peut-être que d’ici là, nous pourrons passer au RSS comme principal moyen de publication ?) Et de toute évidence, cela ne servira pas à grand-chose et ne résoudra pas le problème de la dépendance des médias d’information au capitalisme de surveillance comme modèle économique.

Les abonnés

Beaucoup de personnes dans l’industrie Web ont accumulé un grand nombre d’abonnés sur Twitter, et il est difficile à abandonner (mon nombre d’abonnés est relativement modeste mais assez grand pour flatter mon ego lors d’une mauvaise journée). La façon positive de voir les choses, c’est que vous vous sentez responsable envers les gens qui vous suivent de les tenir au courant des nouvelles de l’industrie, et que vous avez une plateforme et une influence pour promouvoir les enjeux qui vous tiennent à cœur.

La façon plus cynique de voir les choses est la suivante : quelqu’un remarquerait-il vraiment si j’arrêtais de tweeter ? Je suis une goutte d’eau dans l’océan. Est-ce qu’un décompte de mes abonnés est juste devenu une autre façon de flatter mon ego et de prouver ma propre valeur parce que je suis accro à la dopamine d’une notification qui me signale que quelqu’un pense que je vaux un petit clic sur le bouton « suivre » ? Peut-être que me suivre n’est pas l’expérience heureuse que j’imagine avec autosatisfaction. Il n’y a pas d’autre solution que de s’améliorer et de devenir moins obsédé⋅e par soi-même. En tant que personne issue de la génération millénium dans une société dominée par le capitalisme, je me souhaite bonne chance.

Le cercle des ami⋅e⋅s

Malgré ce modèle suivre/être suivi de Twitter, j’ai des amis sur Twitter. J’ai déjà parlé d’amitié en ligne. Je me suis aussi fait des ami⋅e⋅s sur Twitter et je l’utilise pour rester en contact avec des gens que je connais personnellement. Je veux savoir comment vont mes amis, ce qu’ils font, à quoi ils s’intéressent. Je veux aussi pouvoir bavarder et échanger des inepties avec des inconnu⋅e⋅s, partager mon expérience jusqu’à ce que nous devenions ami⋅e⋅s.

Une solution : Mastodon. Un réseau social loin d’être parfait mais bien intentionné.

 

Qu’est-ce que Mastodon et pourquoi l’utiliser ?

Mastodon a démarré comme une plateforme de microblogging similaire à Twitter, mais a évolué avec davantage de fonctionnalités qui montrent une orientation éthique, progressiste et inclusive. À la place de tweets, vos billets sur Mastodon sont appelés des pouets (NdT : en anglais c’est amusant aussi, des “toots”).

l’éléphant de Mastodon soutenu en l’air par de petits oiseauxPourquoi utiliser Mastodon et pas un autre réseau social nouveau ?

Maintenant que vous savez pourquoi je quitte Twitter, vous avez probablement une vague idée de ce que je recherche dans un réseau social. Mastodon est unique pour plusieurs raisons :

Mastodon est fédéré

« Mastodon n’est pas seulement un site web, c’est une fédération – pensez à Star Trek. Les milliers de communautés indépendantes qui font tourner Mastodon forment un réseau cohérent, où, bien que chaque planète soit différente, il suffit d’être sur l’une pour communiquer avec toutes les autres. »

La fédération signifie qu’il y a beaucoup de communautés différentes faisant tourner le logiciel Mastodon, mais chaque individu de chaque communauté peut parler à un autre utilisateur de Mastodon. Chaque domaine où Mastodon tourne est appelé une « instance ».

Fédération vs centralisation

Dans mon billet à propos de Twitter, je mentionnais « comme nous utilisons les plateformes de grandes entreprises, nous déléguons la responsabilité des décisions sur la manière de gérer les agressions au contrôle de l’entreprise. » Cette manière dont le pouvoir est tenu par un individu ou un petit groupe est une forme de centralisation.

La centralisation se manifeste à travers le Web de diverses façons, mais pour les plateformes comme Twitter, la centralisation veut dire que la plateforme tourne sur un serveur appartenant à une entreprise et contrôlé par elle. Donc pour utiliser Twitter, vous devez aller sur Twitter.com, ou utiliser un service ou une application qui communique directement avec Twitter.com. Ceci signifie que Twitter a un contrôle absolu sur son logiciel, la manière dont les gens s’en servent, ainsi que le profil et les données de comportement de ces personnes. Aral explique ceci en disant que ces plateformes ne sont pas comme des parcs, mais comme des centres commerciaux. Vous pouvez entrer gratuitement, rencontrer vos ami⋅e⋅s là-bas, avoir des conversations et acheter des trucs, mais vous êtes assujetti⋅e⋅s à leurs règles. Ils peuvent observer ce que vous faites avec des caméras de surveillance, vous entourer de publicités, et vous mettre dehors s’ils n’aiment pas ce que vous faites ou dites.

L’inverse de la centralisation, c’est la décentralisation. Une alternative décentralisée à la publication sur Twitter consiste à poster de petites mises à jour de votre statut sur votre blog, comme je le fais avec mes Notes. De cette manière je suis propriétaire de mes propres contenus et je les contrôle (dans les limites de mon hébergeur web). Si tout le monde postait son statut sur son blog, et allait lire les blogs des autres, ce serait un réseau décentralisé.

logo de Indie.ie
Logo d’Indie.ie

Mais poster des statuts sur son blog passe à côté de l’intérêt… social des réseaux sociaux. Nous n’utilisons pas seulement les réseaux sociaux pour crier dans le vide, mais nous les utilisons pour partager des expériences avec les autres. Aral et moi travaillons sur des manières de le faire avec nos sites personnels, mais nous n’y sommes pas encore. Et c’est là que la fédération rentre en jeu.

J’ai ma propre instance Mastodon, mastodon.laurakalbag.com où je suis seule (avec Oskar).

Oskar, le chien de Laura
Oskar nous dit : « wooOOof ! Abonnez-vous à mon compte Mastodon @gigapup@mastodon.laurakalbag.com »

On peut appeler ça une « mono-instance ». Elle est hébergée sur mon propre domaine, donc j’en suis propriétaire et contrôle tout ce que je poste dessus, mais parce que j’ai Mastodon installé, je peux voir ce que les autres gens postent sur leurs instances Mastodon, et leur répondre avec des mentions,  des boosts (équivalents d’un retweet) de leurs pouets, bien qu’ils soient sur des instances différentes. C’est comme avoir mon propre Twitter qui puisse discuter avec les autres Twittos, mais où c’est moi qui décide des règles.

Mastodon est éthique

Vous pouvez trouver cette formule à propos de la conception de Mastodon sur la page Rejoindre Mastodon :

« Mastodon est un logiciel gratuit, libre, que chacun peut installer sur un serveur. »

Mastodon est libre et gratuit, c’est pour cela que nous pouvons avoir nos propres instances avec nos propres règles. Cela veut aussi dire que si Eugen Rochko, qui fait Mastodon, va dans une direction que les gens n’aiment pas, nous (suivant nos compétences) pouvons le forker et réaliser notre propre version.

« En utilisant un ensemble de protocoles standards, les serveurs Mastodon peuvent échanger de l’information entre eux, permettant aux utilisateurs d’interagir sans heurts… Grâce aux protocoles standards, le réseau n’est pas limité aux serveurs Mastodon. Si un meilleur logiciel apparaît, il peut continuer avec le même graphe social. »

Mastodon utilise des protocoles standards, ce qui signifie que vous pouvez vous fédérer avec Mastodon même si vous n’utilisez pas Mastodon vous-même. Ceci signifie que vous n’êtes pas enfermé⋅e dans Mastodon, vu qu’il est interopérable, mais aussi qu’une autre technologie peut marcher avec vos pouets à l’avenir.

« Il n’y a pas de publicité, monétisation, ni capital-risque. Vos donations soutiennent directement le développement à plein temps du projet. »

Voilà qui est important. Mastodon est financé par des donations, pas par de la publicité ou autre astuce néfaste de monétiser vos informations, et pas non plus par des investisseurs de capital-risque. Cela signifie qu’il n’y a pas de conseil d’administration qui décidera qu’ils doivent commencer à faire des choses pour vous monétiser afin d’obtenir un retour sur leur investissement, ou pour “croître”. Cela signifie que nous dépendons de la bonne volonté et de la générosité d’Eugen. Mais, comme je l’ai mentionné plus haut, puisque Mastodon est libre et ouvert, si Eugen devient un monstre (cela semble improbable), nous pouvons forker Mastodon et faire une version différente qui fonctionne pour nous, à notre goût.

Mastodon est inclusif

Un des plus gros problèmes de Twitter est la modération (ou plutôt l’absence de modération) du harcèlement et des agressions. Dans un article intitulé Cage the Mastodon (NdT : mettre en cage le mastodonte) Eugen explique comment Mastodon est conçu pour empêcher le harcèlement autant que possible, et vous donner des outils pour vous assurer que votre fil et vos réponses ne contiennent que ce que vous souhaitez voir.

« Mastodon est équipé d’outils anti-harcèlement efficaces pour vous aider à vous protéger. Grâce à l’étendue et à l’indépendance du réseau, il y a davantage de modérateurs auxquels vous pouvez vous adresser pour obtenir une aide individuelle, et des instances avec des codes de conduite stricts. »

Bien sûr, Mastodon est loin d’être parfait – cette critique constructive de Nolan Lawson aborde certaines des plus grandes questions et plusieurs approches possibles – mais Mastodon accorde la priorité aux outils anti-agressions et les gens qui travaillent sur Mastodon accordent la priorité aux décisions de conception qui favorisent la sécurité. Par exemple, vous ne pouvez pas simplement rechercher un mot-clé sur Mastodon. Cela signifie que les gens qui cherchent à déclencher une bagarre ou une attaque en meute ne peuvent pas se contenter de chercher des munitions dans les pouets d’autres personnes. Si vous voulez que les mots-clés de vos pouets puissent être recherchés, vous pouvez utiliser des #hashtags, qui peuvent être recherchés.

Une autre de mes fonctionnalités favorites de Mastodon, c’est que par défaut, vous pouvez apporter un texte de description alternatif pour les images, sans que l’option soit cachée dans un menu « Accessibilité ». Par défaut, une zone de saisie vous est montrée au bas de l’image avec la mention « Décrire pour les malvoyants »

un pouet de mastodon avec une image sur laquelle figurent la mention "décrire pour les malvoyants"C’est une façon astucieuse pour Mastodon de dire aux gens qu’ils doivent rendre leurs images accessibles à leurs amis.

Comment utiliser Mastodon

Je ne suis pas une experte et j’en suis à mes premiers pas sur Mastodon. Alors voici une liste des meilleurs guides d’utilisation réalisés par des personnes qui connaissent bien mieux que moi comment fonctionne Mastodon :

En français :

En anglais :

  • Un guide de Mastodon des plus exhaustifs par @joyeusenoelle – guide écrit de manière simple et suivant le format de la FAQ. Utile si vous voulez trouver une réponse à une question en particulier.
  • Guide du pouet : Introduction à Mastodon par Ginny McQueen – Couvre toutes les bases d’introduction à Mastodon dans le but de vous protéger.
  • Qu’est-ce que c’est que Mastodon et pourquoi est-ce mieux que Twitter par Nolan Lawson – Une introduction détaillée à Mastodon et à son histoire.
    • Le Mastodon apprivoisé par Eugen Rochko – Un aperçu des caractéristiques pour gérer les abus et le harcèlement, qui explique également les décisions prises dans les coulisses de Mastodon en termes de design.
    Comment fonctionne Mastodon ? Par Kev Quirk—Introduit des comparaisons entre Mastodon et Twitter à travers des exemples qui permettent d’améliorer la compréhension.
    La confidentialité des posts de Mastodon – Un pouet qui explique qui peut voir ce que vous pouettez sur Mastodon selon les différents paramétrages choisis.
    La liste ultime – Un guide pratique des apps et des clients web à utiliser avec Mastodon au-delà de son interface par défaut. D’autres points sont également référencés, tels les outils d’affichage croisé notamment.

Rejoignez une petite instance, ou créez la vôtre

Si vous êtes intéressé⋅e par Mastodon, vous pouvez choisir l’instance que vous souhaiteriez rejoindre, ou vous pouvez créer la vôtre. Je suis partisane de l’instance unique pour soi-même, mais si vous souhaitez juste tester, ou si vous avez eu de mauvaise expérience de harcèlement sur les réseaux sociaux ailleurs, je vous recommande de choisir une petite instance avec le code de bonne conduite qui vous convient.

Beaucoup de gens (moi incluse) commencent par se créer un compte sur mastodon.social, mais je vous le déconseille. C’est la plus grande instance anglophone mise en place par les développeurs de Mastodon, avec notamment Eugen Rochko (@gargron). Ils ont des règles anti-nazis et semblent être plutôt bienveillants. Toutefois, beaucoup de gens utilisent mastodon.social. La dernière fois que j’ai regardé, ils étaient 230 000. Cela veut dire beaucoup de pression sur les modérateurs, et sur le serveur, et ça contrevient grandement au concept de fédération si tout le monde rejoint la même instance. Rappelez-vous, vous pouvez facilement communiquer avec des personnes de n’importe quelle autre instance de Mastodon. Si des personnes insistent pour que vous veniez sur leur instance alors que ce n’est ni pour le code de conduite ni pour la modération, à votre place je m’interrogerais sur leurs motivations.

Soyez conscient⋅e que l’administrateur d’une instance peut lire vos messages privés. L’administrateur de l’instance de l’utilisateur avec qui vous communiquez peut aussi lire vos échanges. Cela vient du fait que les messages privés ne sont pas chiffrés de bout en bout. Même si je ne pense pas que ce soit catastrophique pour Mastodon (c’est tout aussi vrai pour vos messages sur Twitter, Facebook, Slack, etc.), [çà nous rappelle que l’on doit vraiment faire confiance à notre administrateur d’instance/un rappel sur la nécessité de pouvoir se fier à l’administrateur de votre instance]. Aussi, si vous souhaitez envoyer des messages de manière vraiment sécurisée, je conseille de toujours utiliser une application de messagerie chiffrée, comme Wire.

Pourquoi Ind.ie ne propose pas d’instance ?

Quelques personnes nous ont encouragés, Aral et moi, à lancer notre propre instance. Nous ne le ferons pas, parce que :

Avant tout : la décentralisation est notre objectif. Nous ne voulons pas la responsabilité de détenir et contrôler vos contenus, même si vous nous faites confiance (vous ne devriez pas !).
De plus, nous serions de piètres modérateurs. Les modérateurs et modératrices devraient être formé⋅e⋅s et avoir une expérience significative. Ils sont la principale défense contre le harcèlement et les agressions. Les modérateurs se doivent d’être des arbitres impartiaux en cas de désaccord, et faire respecter leur Code de Conduite. C’est une activité à temps plein, et je crois que ça ne peut être efficace que sur de petites instances.

Ma mono-instance

J’ai d’abord rejoint Mastodon.social fin 2016. Alors que j’étais assez active sur les comptes @Better et @Indie, mon propre compte était très calme. Mastodon.social était déjà plutôt grand, et je voulais avoir ma propre instance, et ne pas m’investir trop pour un compte qui pourrait finalement cesser d’exister.

Mais je ne voulais pas héberger et maintenir une instance Mastodon toute seule. C’est un logiciel vaste et complexe, et je ne suis pas développeuse backend de grande envergure ni adminsys. De plus, je n’ai tout simplement pas le temps d’acquérir les compétences requises, ni même de mettre à jour les nouvelles versions et faire les mises à jour de sécurité.

Alors quand Masto.host, un hébergeur pour « un hébergement de Mastodon entièrement géré » m’a été recommandé, j’ai su que c’était ce dont j’avais besoin pour franchir le pas pour l’hébergement de ma propre instance.

Pourquoi mettre en place une mono-instance ?

Tout ce que je publie est sous mon contrôle sur mon serveur. Je peux garantir que mon instance Mastodon ne va pas se mettre à tracer mon profil, ou à afficher de la pub, ou à inviter des Nazis dans mon instance, car c’est moi qui pilote mon instance. J’ai accès à tout mon contenu tout le temps, et seuls mon hébergeur ou mon fournisseur d’accès à Internet peuvent bloquer mon accès (comme pour tout site auto-hébergé). Et toutes les règles de blocage et de filtrage sont sous mon contrôle – Vous pouvez filtrer les personnes que vous voulez sur l’instance d’autres personnes, mais vous n’avez pas votre mot à dire sur qui/ce qu’ils bloquent pour toute cette instance.

Vous pouvez aussi créer des emojis personnalisés pour votre propre instance Mastodon que chaque autre instance pourra voir et/ou partager.

Pourquoi ne PAS mettre en place une mono-instance ?

Dans un billet précédent sur les niveaux de décentralisation qui se trouvent au-delà de mes moyens, j’ai examiné les facteurs qui nous permettent, ou non, de posséder et contrôler nos propres contenus. Il en va de même pour les réseaux sociaux, surtout en termes de sécurité. Parfois nous ne voulons pas, ou nous ne pouvons pas, modérer notre propre réseau social.

Je suis une personne privilégiée parce que je peux faire face au faible taux de harcèlement que je reçois. Ce n’est pas un indicateur de ma force mentale, c’est seulement que le pire que je reçois sont des pauvres types qui me draguent par MP (messages privés), et certains individus qui insultent notre travail à Ind.ie de manière non-constructive et/ou blessante. Ce n’est pas infini, c’est gérable avec les outils de blocage et de sourdine usuels. (Je suis également fan du blocage préventif, mais ce sera un billet pour un autre jour). Je n’ai pas (pas encore ?!) été victime d’une attaque en meute, de harcèlement ciblé, ou d’agression plus explicite.

Parce que beaucoup de gens sont victimes de ce type de harcèlement et d’abus, et ils ne peuvent pas s’attendre à maintenir leur propre instance. Parce que pour être en mesure de bloquer, mettre en sourdine et modérer efficacement les personnes et les choses malfaisantes, il faut voir ces personnes et ces choses malfaisantes.

De la même manière qu’à mon avis le gouvernement devrait fournir des filets de sécurité pour les personnes vulnérables et marginalisées de la société, le web devrait fournir également des filets de sécurité pour les personnes vulnérables et marginalisées du web. Je vois des petites instances comme ces filets de sécurité. Idéalement, je vous conseillerais de connaître votre administrateur d’instance en personne. Les instances devraient être comme des familles (entretenant de saines relations) ou des petits clubs du monde hors-ligne. Dans ces situations, vous pouvez avoir quelqu’un qui représente le groupe en tant que leader lorsque c’est nécessaire, mais que ce soit une hiérarchie horizontale sinon.

Connaître de bonnes personnes qui vous protègent est un sacré privilège, alors peut-être qu’une recommandation par du bouche-à-oreille pour une petite instance d’une personne que vous connaissez pourrait suffire. Je ne me suis pas retrouvée dans cette situation, alors prenez ma suggestion avec des pincettes, je veux seulement souligner les potentielles répercussions négatives lorsque vous décidez qui peut contrôler votre vie sociale en ligne. (Prenez en compte les exemples de ceux qui ont été confrontés aux répercussions de Twitter ou Facebook pour décider jusqu’où une agression raciste est acceptable ou  quel est leur véritable nom.)

Comment mettre en place une mono-instance

Si, comme moi, vous n’êtes pas un bon adminsys, ou si vous n’avez simplement pas le temps de maintenir votre propre instance Mastodon, je vous recommande masto.host. Hugo Gameiro vous fera l’installation et l’hébergement d’une petite instance Mastodon pour 5 €/mois. La procédure est la suivante :

  • Acheter un nom de domaine (si vous n’en avez pas déjà un à utiliser)
  • S’inscrire sur masto.host et donnez à Hugo votre nom de domaine. J’ai mis le mien en place à mastodon.laurakalbag.com ce qui est plutôt long, mais il apparaît clairement que c’est mon instance rien que par le nom.
  • Mettre en place les réglages DNS. Masto.host vous enverra alors quelques changements que vous devez effectuer sur votre configuration DNS. La plupart des fournisseurs de nom de domaine ont une page pour le faire. Puis, signalez à Masto.host une fois que vous avez effectué ces changements.
  • Créer votre compte Mastodon. Masto.host va installer votre instance Mastodon. Vous recevrez alors un message vous demandant de créer votre compte Mastodon. Créez le compte Mastodon pour votre administrateur/administratrice. Puis, indiquez à Masto.host que c’est celui que vous avez choisi comme compte administrateur. Masto.host vous donnera alors les droits administrateur/adminstratrice sur ce compte.
  • Modeler votre instance Mastodon à votre guise pour qu’elle corresponde à ce que vous souhaitez. Dès que vous avez les droits d’administration, vous pouvez personnaliser votre instance Mastodon de la manière qui vous plaît. Vous souhaiterez probablement commencer par fermer l’enregistrement aux autres personnes.

La procédure entière sur Masto.host a pris environ une heure pour moi. Mais gardez à l’esprit que c’est une procédure qui nécessite quelques interventions manuelles, ça peut donc prendre un peu plus de temps. Masto.host est géré par un seul véritable humain (Hugo), pas une société quelconque, il a besoin de dormir, manger, vivre sa vie, et maintenir d’autres instances, donc, si vous vous inscrivez à Masto.host, soyez sympas et polis s’il vous plaît !

Mais, mais, mais…

À partir du moment où vous commencez à recommander un réseau social alternatif, les gens auront leurs raisons pour vous dire en quoi ce n’est pas fait pour eux. C’est très bien. Tant que la critique est fondée. Comme l’a résumé Blain Cook sur Twitter…

Bien que j’aie réfléchi et travaillé à ce problème depuis le tout début de Twitter, je n’ai pas eu beaucoup de succès pour y remédier. Pas plus que n’importe qui d’autre.
Ce sont des problèmes difficiles. La critique facile d’efforts acharnés ne nous mènera nulle part. Ce n’est pas pour dire que la critique n’est pas fondée. De nombreux problèmes se posent. Mais si l’argument par défaut revient à « Il ne nous reste qu’à rester et nous plaindre de Twitter », cela sabote sérieusement la légitimité de toute critique.

— Blaine Cook sur Twitter

Cela dit, il y a quelques arguments qui valent la peine d’être rapidement évoqués :

– Tous mes amis / les gens sympas / les discussions intéressantes sont sur Twitter…

Tous vos amis, les gens sympas et les discussions intéressantes étaient-elles sur Twitter lorsque vous l’avez rejoint ? Voyez Mastodon comme une chance de nouveau départ, trouver de nouvelles personnes à suivre, peut-être même saisir l’occasion de suivre un groupe plus diversifié de personnes… ! Vous pouvez cross-poster sur Twitter et Mastodon s’il le faut. Évitez juste de cross-poster les retweets et @réponses, le rendu est moche et illisible.

Je m’abonne à des comptes et des listes sur Twitter en utilisant RSS avec Feedbin, ce qui me permet de garder un œil sur Twitter tout en me désintoxiquant.

– Je n’ai pas le temps de rejoindre un autre réseau social

Créer ma propre instance ne m’a pris qu’une heure. Rejoindre une instance existante prend moins de 30 secondes une fois que vous avez décidé laquelle rejoindre. Instances.social peut vous aider à trouver une petite instance qui vous convient. Assurez-vous d’avoir lu leur Code de Conduite !

Rejoignez-moi !

Si vous lisez ce billet et vous inscrivez à Mastodon, pouettez-moi ! Je serai heureuse de vous suivre et de répondre aux questions que vous vous posez à propos de Mastodon ou du lancement de votre propre instance (ou les booster lorsque je ne connais pas la réponse !)

Laura boit à son mug et son chien Oskar se lèche les babines dans l’image suivante
Oskar pense que l’accessibilité du mug c’est pour lui aussi (photos Laura Kalbag)

 

Mastodon ne sera peut-être pas notre solution optimale définitive en tant que réseau social, mais ce sera peut-être une étape sur le chemin. C’est une véritable alternative à ce qui existe déjà. Nous sommes actuellement bloqués avec des plateformes qui amplifient les problèmes structurels de notre société (racisme, sexisme, homophobie, transphobie) parce que nous n’avons pas d’alternatives. Nous ne pouvons pas échapper à ces plateformes, parce qu’elles sont devenues notre infrastructure sociale.

Nous devons essayer des solutions de rechange pour voir ce qui fonctionne et, en tant que personnes qui travaillent quotidiennement dans le domaine du Web, nous devrions nous charger de trouver une technologie sûre que nous pouvons partager avec nos proches.