Quand la communauté OpenStreetMap aide à sauver des vies aux Philippines

La forte mobilisation de la communauté OpenStreetMap après le passage du terrible typhon Haiyan aux Philippines fournit une aide précieuse à la la Croix-Rouge sur le terrain.

« Quand les défenseurs des données ouvertes discutent à propos des licences de données, ils discutent rarement en termes de vie ou de mort. »

Haiyan_approaching_Philippines_2013_-_11_-_07.jpg

Comment les éditeurs de cartes en ligne aident la Croix-Rouge à sauver des vies aux Philippines

How Online Mapmakers Are Helping the Red Cross Save Lives in the Philippines

Robinson Meyer – 12 novembre 2013 – The Atlantic
(Traduction : Garburst, Penguin, Genma, goofy, MFolschette, JLoDoesIT, fcharton, bob, Lydie, Mooshka, aKa, Omegax)

Des bénévoles à travers le monde sont en train de construire une infrastructure géo-numérique pour aider l’organisation des secours aux victimes du typhon Haiyan.

Il faudra des mois avant que nous ne connaissions les réels dégâts provoqués par le terrible typhon Haiyan. Les pertes actuelles de vies humaines liées à la tempête ne sont pour l’instant qu’une estimation. Les humanitaires venant du monde entier s’envolent maintenant vers l’archipel, ou sont seulement en train d’arriver. Avec les Philippins, ils vont venir en aide aux survivants et commencer à reconstruire.

Mais ils pourront être aidés par une technologie formidable, une collaboration humanitaire mondiale et massive rendue possible par le biais d’Internet.

De quoi s’agit-il ? D’une carte détaillée des zones touchées par le typhon Haiyan, qui n’existait pas il y a trois jours lorsque le typhon a frappé.

Depuis samedi, plus de 400 contributeurs ont effectué près de 750 000 ajouts sur la carte en ligne libre des Philippines et de ses environs.

Ces contributions reflètent l’état de la carte avant le passage du typhon, mais elles aideront les sauveteurs de la Croix-Rouge et les bénévoles à prendre des décisions cruciales afin de savoir où envoyer de la nourriture, de l’eau , des équipements.

Il est très facile ici d’exagérer, mais il est très probable qu’aux Philippines à l’heure actuelle, les données et logiciels de cartographie libres — ainsi que la communauté qui les supporte — sauveront des vies.

Le Wikipédia des cartes

Les changements ont été faits dans OpenStreetMap (OSM), une sorte de Wikipédia des cartes. OSM se veut être une carte complète du monde, libre d’utilisation et modifiable par tous. Créée en 2004, la plateforme a maintenant plus d’un million d’utilisateurs.

J’ai parlé avec Dale Kunce, un ingénieur de géolocalisation senior de la Croix-Rouge américaine, sur la façon dont l’aide apportée par les volontaires créant les cartes pouvait améliorer la situation aux Philippines.

La Croix-Rouge, à l’échelle internationale, a commencé récemment à utiliser des logiciels et des données libres au sein de ses différents projets, dit-il. Les logiciels libres réduisent ou éliminent les coûts cachés, ou le montant nécessaire pour que les choses continuent de fonctionner après le départ de la Croix-Rouge. N’importe quel logiciel ou donnée issu de la Croix-Rouge est aujourd’hui sous licence libre ou Creative Commons.

Bien qu’OpenStreetMap ait déjà été utilisé dans des crises humanitaires, c’est ici la première fois où la Croix-Rouge coordonne son utilisation avec celle des volontaires.

Comment les modifications ont-elles été effectuées ?

Les quelques 400 bénévoles qui ont édité OSM ces derniers trois jours ne sont pas tous des cartographes professionnels. À l’initiative de la branche humanitaire d’OpenStreetMap sur Twitter, l’appel fut lancé pour cartographier les zones qui se sont trouvées sur le chemin de la tempête.

À quoi ressemble la cartographie ? Généralement, il s’agit de « traçage » des routes dans OSM en se basant sur des données satellitaires. L’éditeur d’OSM met les images satellite en arrière-plan — sur lesquelles les infrastructures comme les routes sont clairement visibles — et au-dessus, la représentation du monde tel qu’il est cartographié par OSM. Les bénévoles peuvent alors tracer le chemin d’une route, comme cela est montré dans cette image GIF animée, créé par MapBox, une startup originaire de Washington :

9303509136_93ca3ef923_o.gif

Les bénévoles peuvent également dessiner les immeubles dans la partie Mapbox, en utilisant le même éditeur visuel. Depuis que Haiyan a frappé, les bénévoles ont ainsi retracé quelque 30 000 bâtiments.

Les cartes, sur le terrain

Comment des données cartographiques aident-elles les personnes sur le sol des Philippines ? Tout d’abord, elles leur permettent d’imprimer sur place des cartes en utilisant les donnée d’OSM pour ensuite les redistribuer sur le terrain. La Croix-Rouge américaine a envoyé quatre responsables de haut niveau aux Philippines, et parmi eux, Helen Welch, une spécialiste de la gestion de l’information, a apporté avec elle plus de 50 cartes papier décrivant la ville de Tacloban et d’autres zones fortement touchées.

462e7fb76.png

La ligne rouge montre la trajectoire du super-typhon Haiyan et les zones colorées montrent où les volontaires ont complété OpenStreetMap ce week-end. Notez l’étendue des modifications à Tacloban, une ville de plus de 220 000 habitants et qui est la plus touchée par le phénomène climatique.

Ces cartes ont été imprimées le samedi, avant que les volontaires n’aient fait la majorité des changements dans les zones concernées sur OSM. Quand ces nouvelles données seront imprimées sur le terrain, elles incluront presque tous les tracés des bâtiments, et les secouristes auront une meilleure représentation de l’endroit où les bâtiments « fantômes » devraient se trouver. Elles seront aussi sur papier, de manière à ce que les sauveteurs puissent y écrire, y dessiner et y indiquer des lieux.

Welch a atterri il y a 12 heures, et Kunce a dit qu’on lui avait déjà envoyé trois ou quatre cartes actualisées.

5e566f188.png

Une partie de la ville de Tacloban avant puis après sa cartographie par l’équipe d’OpenStreetMap Humanitarian (HOT). Les routes, les immeubles et les plans d’eau n’existaient pas avant que les contributeurs les ajoutent (@RBanick).

La Croix-Rouge a commencé à vouloir utiliser des données géospatiales après le gigantesque tremblement de terre en Haïti en 2010. En utilisant des données satellitaires pré-existantes, les volontaires ont cartographié la quasi totalité de Port-au-Prince dans OSM, créant des données qui devinrent la colonne vertébrale pour le logiciel qui a aidé à organiser l’aide et à gérer les opérations de recherche.

Les efforts considérables des volontaires ont convaincu les dirigeants de la Croix-Rouge américaine d’augmenter les équipes travaillant sur la cartographie numérique et les systèmes d’information géographique (SIG). Depuis cette décision, ils ont constaté une augmentation énorme de la qualité et de la quantité de cartes.

Mais ce n’est pas tout ce que les cartes peuvent faire.

La National Geospatial-Intelligence Agency (NGA, agence nationale de renseignement géospatiale), gérée par le département de la Défense des États-Unis, a déjà récupéré des images satellitaires des Philippines. Cette agence a décidé où se situaient les dégâts les plus importants, et a envoyé les coordonnées de ces zones à la Croix-Rouge. Mais, ce lundi à 19 h, la Croix-Rouge n’avait toujours pas les images pour ces zones.

Le but de l’équipe géospatiale de la Croix-Rouge, déclare Kunce, était d’aider les hommes sur le terrain à « prendre des décisions basées sur des preuves, pas des intuitions ». L’équipe « leur a fourni toutes les données possibles ». Qu’est-ce que cela signifie ? Grâce aux volontaires, la Croix-Rouge sait où les routes et bâtiments devraient être. Mais jusqu’à ce qu’ils aient le second jeu de données, décrivant la zone après le typhon, ils ne savent pas où se trouvent effectivement les routes et bâtiments. Tant qu’ils n’ont pas ces nouvelles données, les volontaires ne peuvent décider, par exemple, quel itinéraire parmi trois ils peuvent utiliser pour envoyer de l’eau à un village isolé.

À l’heure actuelle, ils ne peuvent pas prendre ces décisions.

Kunce a déclaré que le Département d’État américain était en négociation avec la NGA pour que les images satellites puissent être mises à la disposition de la Croix-Rouge. Mais, pour le moment, rien n’a encore été publié.

Quand les défenseurs des données ouvertes discutent à propos des licences de données, ils discutent rarement en termes de vie ou de mort. Mais à chaque heure qui passe pendant lesquelles la Croix-Rouge ne reçoit pas d’images satellite, ce sont des décisions optimales qui ne peuvent pas être prises, pour savoir où envoyer des équipements ou encore où mener des opérations de sauvetage.

Et une fois que les images satellites seront arrivées, les bénévoles OSM à travers le monde pourront alors les comparer aux structures d’avant la tempête, marquant chacun des 30 000 bâtiments comme indemnes, endommagés ou détruits. Cette phase, qui n’a pas encore commencé, va aider les secouristes à hiérarchiser leurs efforts.

OSM n’est pas la seule organisation à solliciter l’aide de volontaires en ligne afin d’aider les Philippines : MicroMappers, dirigé par un vétéran des efforts d’OSM en Haïti, a également fait des appels à des bénévoles pour trier des tweets, et ainsi déterminer les zones où les secours étaient les plus nécessaires.

Kunce m’a dit que la plus large diffusion commerciale des cartes électroniques a contribué de manière générale à leur croissance tant en quantité qu’en qualité au travers des différentes organisations humanitaires.

« Si vous mettez une carte entre les mains des gens, ils vont vous en demander une autre », a déclaré Kunce. Espérons que le gouvernement va fournir de meilleures cartes à la Croix-Rouge — et aux secours qui sont sur le terrain — et ce aussi vite que possible.




Chapitre III — Post-it, grands maîtres et menue monnaie

Toujours plus à l’ouest, notre écriveur de fond est de passage à Brest, où l’on trouve par ailleurs des initiatives et des activités libristes bien intéressantes.

Le monde qui l’entoure, le Pouhiou le reluque et le relooke, il fait son équi-libriste sans fil et sans filet entre les rencontres roboratives, les jouissances de l’écriture et les fins de mois difficiles qui commencent le 10 novembre. Accompagnez Pouhiou, envoyez-lui de gros poutous et de petits touittes, encouragez-le tandis qu’il en est bientôt à mi-parcours de son défi graphomane.

Lisez-le.

J’irai écrire chez vous épisode 3 : Brest (7-10 novembre)

3 jours à Brest… c’est un peu frustrant tant ça passe vite. Les rencontres, les échanges sont si riches que j’ai parfois du mal à trouver le temps d’écrire. Mais mine de rien, on avance…

5 heures de blabla entre Rouen en Brest : check.

Pour aller de Rouen à Brest, j’ai retrouvé le bon vieux covoiturage. Avec la question qui tue : « qu’est-ce que tu vas faire là bas ? » — Je vais écrire. Mon 3e roman. Qui est libre de droits. Et je passe novembre à l’écrire chez les gens… Le voyage avec Eric, Cynthia et les autres fut une longue discussion passionnante : est-ce que le Libre, si ça se généralise, ça peut marcher ? Et là on rêve du monde de demain, genre relooking sociétal. Sous la pluie entre Rouen et Brest. On a envie d’y croire. On a peur des abus. On découvre que nous on n’a pas envie d’abuser. On réalise que certains (genre Apple) abusent. On s’échange des séries à télécharger, aussi. Et on partage la voiture d’Eric. C’est marrant comme parfois, le monde de demain s’invite dans aujourd’hui.

J’ai écrit chez Moosh

pouhiou chez moosh Arrivé à Brest, je suis rejoint par Moosh et Igor. Qui crient « Ninjaaa ! » pour traverser le passage piéton me séparant d’eux. Avec ses longs cheveux et sa frange encadrant son visage, Moosh pourrait avoir l’air d’une maîtresse d’école. Si ce n’était la joie pure, la gourmandise et la malice qui l’habitent constamment. Igor, lui, est un matou à la jolie barbe. Moosh et Igor, chez eux, illes se parlent avec des voix kawaï. Ils ont un panneau Keep Calm and Eat Cupcake et un grrros chat qui semble avoir suivi le conseil. Et tout leur décor est à l’avenant : coloré, épicé de petites touches qui, simplement, mettent en joie. Moosh et Igor semblent jouer à vivre, mais jouent avec le sérieux d’enfants espiègles et appliqués. Du coup, je leur ai fait des Outrageous Cookies.

On vit entouré de créativité.

Plus je voyage, et plus je rencontre des gens qui, à leur niveau, parfois même sans s’en rendre compte, créent. Peut-être que ça vient de moi. Il est possible que je n’attire que de dangereux esprits fertiles qui goupillent du code, des images, des histoires (et autres artisanaleries) dans leur coin. Mais n’empêche. C’est beau à voir. Les amis étudiants en cinéma. Le pote webdéveloppeur et photographe (résultat à suivre). La Moosh qui travaille à son roman à grand renfort de post-it sur de grandes feuilles. Moosh, elle, écrit comme un besoin : un besoin aussi impitoyable que la hauteur des barres qu’elle veut atteindre. Écrire c’est un jeu, et jouer est une affaire sérieuse. Moi, j’ai juste hâte de la lire.

Qui me dira comment qu’on fait ?

Moosh me fait découvrir des grands noms du story-telling. Des théoriciens qui ont passé beaucoup d’énergie à développer leur méthode pour expliquer le racontage d’histoire. La scénarisation. La caractérisation. Je sais que ce sont des outils passionnants. Quand j’ai fait du théâtre, j’ai fait le tour des méthodes : Jouvet, Stanislavsky, Artaud, Boal… Et je n’y arrive toujours pas. À chaque fois que je lis une théorie, je ne vois qu’un enfermement. Un angle toujours trop fermé, une formalisation forcément étriquée. Parce que personne n’est capable de couvrir toutes les façons de créer. Car aucune rationalisation n’a assez de mots et de concepts pour y parvenir. Un metteur en scène / prof de théâtre me disait : « on n’enseigne que soi ». Du coup, les maîtres qu’on présente comme des autorités : ça m’énerve. C’est marrant, c’est justement le thème du livre III : grands maitres et petits disciples.

Avancées…

Le livre III se porte bien. Je viens de finir le chapitre 2 (sur huit) et je suis vraiment surpris par les formes qu’il prend. Il visite l’histoire des NoéNautes à contre-courant, et c’est assez jouissif. Je sais maintenant que le premier jet ne sera probablement pas achevé au 30 novembre. Je crois réussir à écrire 50 000 mots, mais je vois que ce roman sera plus long. J’essaie de prendre le temps, mais le temps de vivre et le temps d’écrire ne sont pas séparables : ils se nourrissent. Et c’est là le nerf de la guerre : le temps. Du temps libéré par l’argent, comme toujours. On devrait pouvoir avoir le temps de vivre, d’écrire, d’échanger… sans qu’une journée ne coûte forcément X heures de SMIC. Mais non. Le revenu de base n’est pas à l’ordre du jour. Quoiqu’il y ait des citoyen-ne-s d’Europe qui croient que ça peut changer.

…et sous.

Donc je regarde le compte en banque. Il me reste 200 € (et le découvert ˆˆ) pour finir le mois. Trajets inclus. Ooops. Et là je reçois un email qui fait chaud au cœur. Un mec qui souhaite me faire un don, mais ne veut pas passer par des intermédiaires type paypal ou Flattr. Qui souhaite me faire un virement. Je lui envoie mon RIB. Et je découvre peu après qu’il m’a soutenu comme si tu achetais 30 livres des NoéNautes. Juste parce que (à l’instar de Ploum qu’il te FAUT suivre) j’expérimente des manières de se libérer de l’emploi. Voilà une aide inespérée qui tombe à point ! Ça et tous les flattr reçus le mois dernier (encore une fois : essaie flattr, teste le web payant et la reconnaissance directe !), et je suis paré pour continuer !
N’oublie pas que tu peux aussi (et surtout) faire un don à Framasoft, qui offre un cadre, un soutien et une voix aux expériences comme les miennes.
Moi, je file écrire et découvrir le chapitre III !

À tout biental,

— Pouhiou. keep clam eat a cupcake




Geektionnerd : TVA sur les eBooks

Geektionnerd - Simon Gee Giraudot - CC by-sa

Geektionnerd - Simon Gee Giraudot - CC by-sa

Source :

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)




L’école selon Microsoft : comment j’ai appris à ne plus m’en faire et à aimer l’éducation privatrice et fermée

Paris, le 7 novembre 2013. Communiqué de presse.

Deux ans après la convocation d’une centaine d’inspecteurs de l’Éducation nationale au siège de Microsoft France, l’April, Framasoft, le CNLL, SavoirsCom1 et l’Aful s’étonnent d’une nouvelle entorse à la neutralité scolaire et à l’intérêt du service public d’éducation.

Le 19 novembre 2013, plusieurs responsables de l’Éducation nationale se déplacent au siège de la société Microsoft1. Michel Pérez, Inspecteur général de l’Éducation nationale, Catherine Becchetti-Bizot, Inspectrice générale, Directrice du Comité Stratégique pour le Numérique à l‘École ainsi que des représentations des associations de collectivités viennent découvrir une étude coordonnée par Ludovia Magazine, en association avec Microsoft, Intel et SFR2.

Le titre de l’étude se veut neutre : « Investissement des collectivités en matière de numérique à l’école ». Le dispositif de communication ne l’est pas. Par leur présence à la table ronde organisée par Microsoft, les Inspecteurs généraux légitiment l’appropriation de l’Éducation nationale par une société privée. Les signataires de ce communiqué dénoncent fermement cette nouvelle entorse à la neutralité scolaire et à la mission de service public de l’éducation nationale.

Les collectivités territoriales souhaitent-elles vraiment favoriser l’exploitation commerciale de l’école par quelques grandes sociétés pour lesquelles l’éducation est exclusivement un marché captif ?

Ce n’est pas la première fois que des responsables de l’Éducation nationale se déplacent au siège de la société Microsoft. Lors du salon Éducatec-Éducatice 2011, les inspecteurs de l’Éducation nationale chargés de mission nouvelles technologies (IEN-TICE) s’étaient vu convoqués par leur hiérarchie pour tenir leur journée annuelle au siège de la société Microsoft. L’April et Framasoft avaient déjà dénoncé « une véritable entorse à la neutralité scolaire et vivement regretté que les programmes de ces journées ne mentionnaient pas les logiciels et ressources libres3. Malgré la circulaire du premier ministre « Pour l’usage des logiciels libres dans l’administration »4.

Ce n’est pas non plus qu’un accident de parcours. Les services de l’Éducation nationale envoient depuis plusieurs mois des signaux inquiétants. Le rapport de l’Inspection générale sur « La structuration de la filière du numérique éducatif : un enjeu pédagogique et industriel »5 est très peu documenté sur les logiciels et ressources libres ou, au mieux minimise leur apport. Et le rapport n’aborde que très succinctement l’une des dispositions importantes du texte de loi pour la refondation de l’école qui recommande : « l’incitation au développement de ressources numériques se fera notamment en faveur de logiciels libres et de contenus aux formats ouverts »6. Les signataires de ce communiqué auraient pu, avec d’autres, aider les rédacteurs dans leur travail afin d’arriver à un rapport plus exhaustif.

« L’école ne doit pas être un marché captif des éditeurs privateurs du numérique. L’école que nous appelons de nos vœux, ne doit pas enseigner « avec  » le numérique sur des produits privateurs dans une approche de type B2i qui forme avant tout des consommateurs passifs » déclare Rémi Boulle, vice-président de l’April, en charge du groupe de travail Éducation. Dans la continuité des principes hérités du siècle des Lumières, elle doit former des futurs citoyens responsables, capables de réfléchir de façon libre, indépendante voire les créateurs de demain.

Stefane Fermigier, Vice-Président du CNLL, rappelle pour sa part « La place du logiciel libre dans le système éducatif français est un enjeu majeur pour la compétitivité de notre économie. Pour continuer d’être à sa place de leader mondial du logiciel libre, la France doit aussi se doter d’une politique éducative forte dans ce domaine, en privilégiant l’usage d’outils pédagogiques libres, en fondant l’apprentissage du numérique à l’École sur les logiciels libres, et en enseignant les technologies et méthodologies propres au logiciel libre dans les filières informatiques et scientifiques ».

Enseigner « avec  » le « numérique » dans toutes les disciplines nécessiterait a minima :

  • un véritable enseignement de la science informatique ;
  • d’authentiques cours de technologie qui ne seraient plus limités, en collège, à la seule étude d’objets physiques dans lesquels l’informatique qu’ils pourraient incorporer est ignorée et traitée comme une boîte noire  ;
  • un authentique apprentissage raisonné des logiciels et de l’internet qui n’est actuellement enseigné nulle part ;
  • un enseignement des technologies et méthodologies propres au logiciel libre dans les filières scientifiques et informatiques ;
  • l’utilisation de logiciels libres et la diffusion sous licence libre des ressources utilisées dans le service public de l’éducation ;
  • une réflexion opérationnelle (approfondie) sur les contenus de cet enseignement, dès l’école primaire.

C’est également enseigner l’apprentissage du travail collaboratif, incompatible avec des ressources privatrices DRMisées, des formats de fichiers non interopérables, des licences qui ne permettent pas la libre circulation et le libre partage des savoirs. L’École ne doit plus être contrainte dans des systèmes privateurs et fermés.

Nous nous tenons à la disposition de l’Inspection générale et de Mme Catherine Becchetti-Bizot pour toute information complémentaire sur les logiciels et ressources libres pour l’éducation et leur souhaitons un riche salon Éducatec-Éducatice.

À propos de l’April

Pionnière du logiciel libre en France, l’April est depuis 1996 un acteur majeur de la démocratisation et de la diffusion du Logiciel Libre et des standards ouverts auprès du grand public, des professionnels et des institutions dans l’espace francophone. Elle veille aussi, dans leurre numérique, à sensibiliser l’opinion sur les dangers d’une appropriation exclusive de l’information et du savoir par des intérêts privés.

L’association est constituée de plus de 3 600 membres utilisateurs et producteurs de logiciels libres.

Pour plus d’informations, vous pouvez vous rendre sur le site Web à l’adresse suivante : http://www.april.org/, nous contacter par téléphone au +33 1 78 76 92 80 ou par notre formulaire de contact.

Contacts presse :

  • Rémi Boulle, vice-président de l’April, en charge du groupe de travail Éducation, rboulle@april.org>, 06 05 03 32 30
  • Frédéric Couchet, délégué général, fcouchet@april.org +33 6 60 68 89 31
  • Jeanne Tadeusz, responsable affaires publiques, jtadeusz@april.org +33 1 78 76 92 82

À propos de Framasoft

Issu du monde éducatif, Framasoft est un réseau d’éducation populaire consacré principalement au logiciel libre et s’organise en trois axes sur un mode collaboratif : promotion, diffusion et développement de logiciels libres, enrichissement de la culture libre et offre de services libres en ligne.

Pour plus d’informations, vous pouvez vous rendre sur le site Web à l’adresse suivante : http://www.framasoft.org/ et nous contacter par notre formulaire de contact.

Contact presse :

  • Alexis Kauffmann, fondateur et chargé de mission, aka@framasoft.org +33 6 95 01 04 55

À propos du CNLL

Le Conseil National du Logiciel Libre est l’instance représentative, au niveau national, des associations et groupements d’entreprises du logiciel libre en France. Le CNLL représente 13 associations et groupements, et par leur intermédiaire plus de 300 entreprises françaises spécialisées ou avec une activité significative dans le logiciel libre.

Le CNLL a pour principale mission de représenter l’écosystème du logiciel libre auprès des pouvoirs publics et des organisations nationales et internationales existantes.

Contact Presse :

  • Amélie Vaysse, chargée de communication, relations presse. 01 41 40 11 42 – info@cnll.fr

À propos de SavoirsCom1

SavoirsCom1 est un collectif qui s”intéresse aux politiques des biens communs de la connaissance. Son action vise à faire en sorte que les politiques publiques favorisent la création, la diffusion et la mise en partage de biens communs informationnels. SavoirsCom1 défend lespositions exprimées dans son Manifeste.

Contact presse :

À propos de l’Aful

Association Francophone des Utilisateurs de Logiciels Libres, l’AFUL a pour principal objectif de promouvoir les logiciels libres ainsi que l’utilisation des standards ouverts. Ses membres, utilisateurs, professionnels du logiciel libre, entreprises ainsi que d’autres associations, sont issus d’une dizaine de pays ou de régions francophones (France, Belgique, Suisse, Afrique francophone, Québec).

Interlocuteur de nombreux médias, l’AFUL est présente sur nombre de salons, conférences et rencontres. Elle agit notamment activement contre la vente liée (site Non aux Racketiciels, comparatif bons-vendeurs-ordinateurs.info et bons-constructeurs-ordinateurs.info), pour l’interopérabilité (membre de l’AFNOR, participation aux référentiels d’interopérabilité et d’accessibilité de la DGME, site formats-ouverts.org, etc.), intervient sur les problématiques du droit d’auteur ainsi que pour la promotion de l’utilisation de logiciels et ressources pédagogiques libres pour l’éducation entendue au sens large.

Contacts presse :

Notes

1. Le Numérique à l’École : un enjeu partagé
2.Lancement de la deuxième édition de l’étude sur le numérique éducatif dans les collectivités territoriales
3.Les inspecteurs de l’éducation nationale convoqués chez Microsoft
4.Circulaire Ayrault sur le bon usage des logiciels libres dans l’administration française
5. Michel Pérez est le coordonnateur du rapport « La structuration de la filière du numérique éducatif : un enjeu pédagogique et industriel », 24/09/2013
6.Loi n° 2013-595 du 8 juillet 2013 d’orientation et de programmation pour la refondation de l’école de la République publiée au Journal Officiel le mardi 9 juillet 2013  : « L’incitation au développement de ressources numériques se fera notamment en faveur de logiciels libres et de contenus aux formats ouverts ».




Geektionnerd : Snowden en Russie

Geektionnerd - Simon Gee Giraudot - CC by-sa

Geektionnerd - Simon Gee Giraudot - CC by-sa

Source :

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)




La « politique » Framabook et les licences libres, Par C. Masutti et B. Jean

Un « livre libre » est un un livre qui offre à l’auteur, au lecteur et à l’éditeur les mêmes libertés (et obligations) qu’un programmeur, un utilisateur ou un éditeur de logiciel libre. Mais comment ces libertés s’accordent-elles avec le droit d’auteur ? Comment faire vivre une collection de livres libres dans le contexte d’une économie culturelle ?

La collection Framabook a dû élaborer une stratégie qui la positionne assez clairement (politiquement et économiquement) à la fois par rapport au droit d’auteur et par rapport aux multiples licences libres (et assimilées) existantes. À l’issue du processus créatif d’un auteur, celui-ci effectue un choix : doit-il on non placer son œuvre sous licence libre? Si oui, quelles sont les clauses les plus susceptibles de protéger son œuvre ? Pour un auteur qui n’est pas forcément spécialiste du droit et familier avec certains concepts inhérents aux licences libres, il peut-être difficile de comprendre le choix de la collection Framabook à ne pas accepter de clauses empêchant les modifications ou limitant les usages commerciaux. Ceci est d’autant plus étonnant que le penchant légitime, et presque naturel, d’un auteur est de souhaiter que son œuvre soit transmise en toute intégrité, dans un respect très strict de ses idées.

Christophe Masutti et Benjamin Jean se font l’écho d’un débat déjà assez ancien, à la fois dans la communauté du Libre mais aussi à l’intérieur de l’association Framasoft. Ils voient que finalement, le choix d’une licence ne s’établit pas seulement sur l’idée qu’une licence libre suffit à elle seule pour protéger une œuvre, mais que cette protection s’établit dans un dialogue entre les droits d’auteur et les licences libres.

Ce débat, ici rapporté pour ce qui concerne la collection Framabook, dépasse ce seul cadre et s’adresse à différents modèles d’édition, du simple blog personnel aux modèles d’éditions ouvertes (dans les sciences ou d’autres domaines). Nous vous invitons après lecture à le poursuivre dans les commentaires.

Remarque : Vous trouverez en pièce-jointe ci-dessous une version de l’article sous différents formats : PDF, HTML, ODT et TeX.

La « politique » Framabook et les licences libres

Article placé sous triple licence Licence Art Libre 1.3, GNU Free Documentation License 1.3 et Creative Commons By-SA 3.0.

Par Christophe Masutti, Benjamin Jean

Christophe Masutti est docteur en histoire des sciences et des techniques, chercheur associé au SAGE (Société, Acteurs, Gouvernements en Europe, Université de Strasbourg), responsable des affaires européennes à la Direction Générale des Hôpitaux Universitaires de Strasbourg. Président de l’association Framasoft depuis janvier 2012.

Benjamin Jean est membre de l’équipe du CUERPI (Centre Universitaire d’Enseignement et de Recherches en Propriété Intellectuelle) co-fondateur de la société Inno3, consultant au Cabinet Gilles Vercken et maître de conférence à Science Po. Co-fondateur de l’association Veni, Vidi, Libri et du cycle de conférences European Open Source & Free Software Law Event (EOLE).

Initié en mai 2006, Framabook est le nom donné au projet de collection de livres libres édités par Framasoft[1]. Basée sur une méthode de travail collaborative entre l’auteur et des bénévoles de l’association, la collection dispose d’un comité de lecture et d’un comité éditorial. Elle propose des manuels, des essais et même des bandes dessinées et des romans en lien avec le logiciel libre ou la culture libre en général. Le choix des licences qui les accompagnent les inscrit dans la culture libre et la participation aux biens communs.

Depuis que Framasoft a choisi de devenir éditeur de sa collection, nous avons tant bien que mal travaillé à la construction d’un modèle alternatif et collaboratif d’édition. Dans nos discussions avec les auteurs, la question des licences acceptées pour la diffusion des projets est récurrente (pour ne pas dire systématique). Ce sujet relativement technique a mobilisé le débat de nos assemblées générales, se poursuivant parfois tard en soirée et sur nos listes de discussion, pour des réponses finalement toujours similaires (« des licences libres et seulement des licences libres »). Nous nous sommes aperçus que cette recherche répétée de consensus résultait surtout du manque d’exposition claire des principes auxquels adhère la collection Framabook. C’est pour y remédier que cet article a été écrit. Il cherche à exposer les principes de la politique éditoriale du projet Framabook tout en rassemblant les différents éléments de discussion issus des archives de nos listes et qui concernent précisément les licences libres. D’une certaine manière, il témoigne aussi d’une réflexion devenue mature et qui nous semble valider la pertinence d’un modèle d’édition ouverte.

Nous destinons aussi ces quelques lignes aux auteurs et éditeurs, afin de les aider à cerner les enjeux du choix d’une licence pour une œuvre destinée à être publiée dans la collection Framabook ou ailleurs. Nous avons conscience que ce choix n’est pas anodin et peut même être difficile, tant d’un point de vue culturel après presque trois siècles d’histoire du droit d’auteur, que d’un point de vue économique et éthique, dans le contexte d’une économie de la culture qui multiplie les abus en tout genre. Nous ne cherchons pas non plus à prétendre que ce modèle devrait remplacer les modèles existants, nous souhaitons seulement démontrer qu’il peut être viable et, surtout, qu’il ne génère pas tous les risques et déviances qu’on lui rattache fréquemment.

Bien que l’un de nos ouvrages compte désormais comme une référence en la matière (Benjamin Jean, Option Libre. Du bon usage des licences libres)[2], certaines subtilités nécessitent à la fois une connaissance du droit d’auteur, une connaissance du domaine de l’édition et une connaissance des licences libres. L’ensemble est néanmoins à la portée de tous et n’excède pas les quelques minutes de la lecture à laquelle nous vous invitons, sous la forme de questions fréquemment posées (QFP)…

1. Sous quelle licence dois-je placer mon œuvre dans la collection Framabook ?

Le premier postulat de notre collection est que les auteurs sont absolument libres d’utiliser les licences qu’ils souhaitent pourvu qu’elles soient « libres », c’est-à-dire qu’elles assurent à l’utilisateur une libre utilisation, copie, modification ou redistribution de l’ouvrage ou de ses dérivés (ce qui exclut donc toutes les licences Creatives Commons limitant l’usage commercial « NC » ou la modification « ND », ainsi que nous allons le développer plus loin).

Dans l’esprit du Libre auquel nous adhérons, cette définition n’exclut pas les licences dites copyleft qui imposent la pérennité des libertés assurées à l’utilisateur (garantissant à l’auteur que le livre ne pourra être exploité que librement). Ce choix n’est pas neutre puisque ce type de licences permet d’alimenter un « pot commun » auquel tout le monde peut puiser à condition d’y reverser à son tour ses propres contributions.

En d’autres termes, un Framabook pourra être aussi bien sous Licence Art Libre 1.3, sous licence CC-By-SA 3.0, que sous licence CC-By 3.0 (« tout court ») voire sous CC-0[3]. Vous serez toujours libre de réutiliser ces ouvrages (même commercialement), mais à votre charge de respecter les obligations que ces licences contiennent.

Par exemple – Si quelqu’un rédige un texte incluant un passage substantiel (en termes qualitatifs ou quantitatifs) tiré d’un Framabook, et même si cet usage dépasse le cadre délimité du droit de citation, la licence libre associée par l’auteur lui accordera les droits nécessaires (à condition que soient parallèlement respectées les contraintes qu’elle impose). Au titre de ces contraintes, certaines licences copyleft imposeront que toutes modifications apportées à ce texte soient diffusées selon la même licence, voire que l’intégralité de l’œuvre utilisatrice soit distribuée selon la même licence (ce qui, contrairement à la première hypothèse, limite grandement le type d’exploitation possible). Ainsi qu’indiqué précédemment, cette obligation permet d’assurer une relative pérennité au projet initial et s’ajoute aux obligations classiques telle que l’obligation d’attribuer la paternité de l’œuvre initiale à nos auteurs (et ceux-ci seulement ; vous serez pour votre part auteur de votre propre version dérivée).

2. Pourquoi utiliser des licences libres ?

Avant toute autre considération, le Libre procède d’une volonté de partage. Si vous placez une œuvre sous licence libre, c’est que vous désirez la partager avec le plus grand nombre d’« utilisateurs » ou de contributeurs possible. Importante dans le monde physique, cette notion de partage se révèle encore plus évidente dans le monde immatériel (celui de la propriété intellectuelle) où l’acquisition par un individu n’implique pas l’aliénation ou la perte par l’autre (bien au contraire)[4].

Ainsi, « Libre » ne signifie donc pas « libre de droits » (notion qui n’a aucune valeur juridique) et les licences libres sont là pour traduire et sécuriser juridiquement la relation souhaitée[5].

Le projet Framabook repose donc sur :

  • l’usage de licences libres par lesquelles les auteurs exploitent leurs droits. C’est grâce à ce contrat que toutes les autorisations indispensables à l’évolution et à la diffusion de l’œuvre sont données (en l’absence de licence, rien ne serait permis).
  • le respect du droit d’auteur dans sa globalité, et notamment des prérogatives morales (droit de divulgation, droit de paternité, droit au respect de l’intégrité de l’œuvre, etc.) qui protègent l’auteur en raison des liens étroits qu’il entretient avec son œuvre. Ajoutons qu’il n’y a pas de remise en cause de ces prérogatives morales par les licences libres ; bien au contraire, celles-ci les rappellent (et parfois renforcent) systématiquement.
  • sur le respect des conditions relatives au prix de vente des livres. La loi Lang (81-766 du 10 août 1981 modifiée 2008) sur le prix unique du livre doit toujours être respectée quelle que soit la politique éditoriale choisie (ces règles s’appliquent aussi sur la vente des versions numériques – même si un prix différent du prix papier peut alors être décidé).

Ainsi, l’utilisation d’une licence libre est indispensable pour assurer aux utilisateurs les libertés proclamées par l’auteur et par la collection.

3. N’est-ce pas contradictoire avec la commercialisation des livres ?

L’adage « libre ne signifie pas gratuit » s’applique parfaitement pour ce qui concerne la collection Framabook. La politique de la collection consiste à proposer un modèle économique du livre basé à la fois sur la primauté de la diffusion et la juste rémunération des auteurs. Puisque nous vendons les livres « papier » et encourageons d’éventuelles rééditions, nous ne voulons pas utiliser de clause de licence interdisant à priori la vente (pas de -NC dans le cas des licences Creative Commons). Bien que la clause NC puisse être légitimée, il y a un contexte propre à la collection Framabook.

Framasoft est un réseau d’éducation populaire dédié au Libre qui s’appuie sur une association d’intérêt général à but non lucratif. De cette orientation découle toute l’importance de la diffusion au plus grand nombre. C’est pour cela que nous avons fait le choix de distribuer gratuitement les versions numériques des ouvrages. Mais elles auraient pu aussi bien être vendues au même titre que les livres « papier ». Quoi qu’il en soit, les sources (les fichiers originaux servant à la composition de l’œuvre) étant elles aussi disponibles, tout le monde peut les utiliser afin de diffuser à son tour gratuitement ou non.

Par essence, la clause de type -NC contrevient au principe de libre diffusion et de partage, à moins de lever à chaque fois cette clause pour chaque cas particulier (et, même dans cette situation, nous nous placerions dans une situation privilégiée qui serait contre-productive compte tenu du partage qui nous motive). Certaines maisons d’édition effectuent ainsi une sorte de « Libre-washing » en profitant de leur position de monopole sur l’œuvre pour lever cette clause temporairement moyennant une rémunération que l’auteur ne touche pas obligatoirement. L’idée est de prétendre une œuvre libre mais en conservant le monopole et en exerçant des contraintes indues. Nous pensons que dans la mesure où une maison d’édition désire rééditer un Framabook, moyennant les conditions exposées à la question numéro 4, elle devrait pouvoir le faire indépendamment de Framasoft, en directe relation avec l’auteur. Nous n’avons donc pas à fixer un cadre non-commercial et encore moins fixer un prix pour ces rééditions. L’exemple typique est le besoin d’une réédition locale hors de France afin d’économiser des frais de port parfois exorbitants : soit il s’agit d’une réédition, soit il s’agit d’une simple ré-impression, mais dans les deux cas, nous n’avons aucun profit à tirer puisqu’il s’agit de toute façon d’un territoire ou d’un secteur dans lequel nous ne sommes pas présent ou actif. Au contraire, une telle diffusion par un tiers (partenaire ou non) est créateur de valeur pour ce tiers, pour la collection ainsi que pour l’auteur (qui, selon nous, mérite un intéressement bien que les négociations ne nous regardent pas). Par ailleurs, ne bénéficiant que d’une simple cession de droits non exclusive de la part de nos auteurs, nous assumons pleinement le risque d’être concurrencés dans notre rôle d’éditeur si jamais nous ne remplissions pas nos engagements (éthiques ou économiques).

Dans le cas d’une traduction, l’usage d’une licence contenant une clause -NC interdirait à priori la vente de l’œuvre traduite (et donc modifiée). En faisant une nouvelle voie d’exploitation, des maisons d’édition proposent parfois de lever la clause pour cette traduction moyennant une somme forfaitaire sur laquelle l’auteur peut le plus souvent ne rien toucher puisque son contrat ne le lie qu’à la première maison d’édition. Par ailleurs, comme le contrat de cet auteur est généralement exclusif, il ne peut contracter librement avec la maison d’édition qui édite la traduction, sauf accord préalable avec la première. Nous pensons au contraire que non seulement les contrats d’édition ne doivent pas « lier » (au sens premier) un auteur avec sa maison d’édition mais aussi que celle-ci doit prendre la mesure de sa responsabilité éditoriale sans exercer de monopole et signer avec l’auteur des contrats non exclusifs qui lui permettent d’être contacté par une maison d’édition cherchant à traduire son œuvre à lui, sans pour autant passer par un intermédiaire rendu obligatoire uniquement pour des raisons mercantiles (il peut y avoir des raisons tout à fait acceptables, cependant)[6].

Concernant les livres « papier », nous avons fait le choix de ne pas (tous) les vendre à prix coûtant. Il y a deux raisons à cela :

  1. Depuis 2011, Framasoft a choisi de devenir son propre éditeur. À ce titre nous passons directement des contrats d’édition avec les auteurs, comprenant une rémunération à hauteur de 15% du prix de vente de chaque exemplaire. Ce pourcentage est toujours négociable, mais nous essayons d’en faire une règle, sans quoi il influe trop sur le prix de vente. Nous avons bien conscience que ce pourcentage est nettement plus élevé que ce qui se pratique habituellement dans le monde de l’édition. Il nous semble en effet important que nos auteurs qui ont fait le choix et le pari de la licence libre avec nous s’y retrouvent financièrement et bénéficient ainsi du modèle contributif dans lequel s’inscrit la collection[7].
  2. Framasoft est composé de bénévoles mais repose sur une association qui compte aujourd’hui plusieurs permanents[8]. À ce titre, le budget de tout projet doit être le plus équilibré possible. Or, éditer un livre suppose de nombreux coûts : le prix de vente est basé sur la fabrication, les frais de port et les frais annexes (administration, BAT, pertes, dons de livres, commission de l’association EnVentelibre.org qui se charge de la vente, des livraisons, de la charge TVA, etc.). Dans les frais annexes, nous pouvons aussi inclure les livres qui sont vendus à prix coûtant (afin de maintenir un prix « acceptable »[9]). Ainsi, en faisant en sorte de rester en deçà des prix habituellement pratiqués et gardant comme objectif de favoriser la diffusion des connaissances dont elle est responsable, l’association Framasoft perçoit une somme forfaitaire à chaque vente qui lui permet de contribuer à faire vivre les projets éditoriaux de l’association[10].

Ainsi, l’usage d’une licence qui autorise les usages commerciaux est à la fois conforme à nos objectifs internes (et à la mission d’intérêt général que revêt Framasoft) et constitutive d’un modèle d’édition ouvert qui tire plein profit des opportunités de notre société numérique et internationale.

4. Puis-je rééditer un Framabook ?

Oui, c’est même encouragé, sans quoi le modèle économique que nous défendons n’aurait pas de sens. Cependant, n’oubliez pas que les licences libres imposent certaines contraintes ! En plus de celles-ci, pour ce qui concerne les Framabooks, il y a d’autres éléments à prendre en compte.

  • Toute réédition doit bien sûr respecter la licence de l’ouvrage à la lettre, à défaut de quoi elle serait non autorisée et donc contrefaisante (cela couvre les obligations en matière de mentions légales – respect de la paternité, indication du Framabook d’origine, de la licence, etc. –, mais plus largement toutes les autres obligations de la licence – et donc notamment lorsqu’elle se présente la clause share alike/copyleft à laquelle est parfois associée l’obligation de livrer la version source du fichier publié).
  • Les auteurs des Framabook ont signé des contrats d’édition. Soumis par le Code de la propriété intellectuelle à un régime dédié, les contrats d’édition sont particulièrement protecteurs des intérêts des auteurs (et un éditeur ne peut y déroger)[11]. Les contrats conclus par Framasoft avec les auteurs ne couvrent que notre propre collection et sont dits « non exclusifs » (n’empêchant donc pas un auteur de publier une réédition ailleurs). Toute nouvelle édition de l’ouvrage devra donc donner lieu à un nouveau contrat d’édition signé par le ou les auteurs (avec ou sans un intéressement à la vente, selon les négociations).
  • Toute réédition d’un Framabook consiste à utiliser le contenu d’un livre (en le modifiant ou non) pour le diffuser par une autre maison d’édition, avec un nouvel ISBN. Il ne s’agit donc pas seulement de revendre un Framabook déjà édité par Framasoft. Dans ce cadre, hors accord spécifique avec l’association Framasoft, toute réédition ne doit pas réutiliser l’identité de Framasoft (ou son dérivée Framabook) qui est une marque déposée. Naturellement, Framasoft doit être mentionné dans les crédits (« Première édition : Framasoft <année> »).

5. Alors, tout le monde pourrait modifier mon œuvre et je n’aurais rien à dire ? Ne devrais-je pas plutôt utiliser une licence comme CC-BY-ND (sans modification) ?

La réponse mérite un développement.

Certaines personnes, et c’est en particulier le cas de Richard M. Stallman, affirment que dans le cas d’œuvres dites « d’opinion », la pensée de l’auteur ne devrait pas pouvoir être déformée[12]. Ces œuvres constitueraient donc autant de cas où une licence doit pouvoir empêcher toute modification de l’œuvre[13].

En réalité, le droit d’auteur[14] est bien plus subtil que ne laisse paraître ce genre de posture.

Premièrement, Richard M. Stallman confond le fond et la forme : le droit d’auteur protège la forme que donne l’auteur à certaines idées, en aucun cas il ne protège les idées ou l’opinion d’un auteur (celles-ci n’étant, en tant que telles, génératrices d’aucun droit).

À partir de là, apposer sur la forme une licence qui limite la réutilisation qui peut en être faite apparaît comme une limitation qui empêche in fine (pour un auteur) d’utiliser une certaine matière (les écrits, tournures, etc.) sans pour autant apporter de garantie quant à la réutilisation (ou non) des idées ou opinions qu’elle contient. Cela est d’autant plus dommage que la société actuelle donne une place de plus en plus grande au « mashup », ainsi qu’à tous ces processus de créations utilisant des œuvres premières comme matière, et qu’une licence qui interdit les dérivations s’oppose frontalement à cet usage.

Aussi, jamais une licence libre (qui ne porte donc que sur le droit d’auteur – l’expression, la forme) n’autorisera de modifier une œuvre de telle sorte que cette modification porte atteinte à l’intégrité de l’œuvre. Dans le cadre d’une œuvre conçue par son auteur comme ouverte et collaborative, la modification par un contributeur est par principe entièrement respectueuse de l’intégrité de l’œuvre. Néanmoins, s’il était porté sur l’œuvre une modification manifestement non conforme à la représentation qu’en avait son auteur, il serait tout à fait valable qu’un auteur agisse sur le fondement de ses droits moraux pour faire cesser cette atteinte (de la même façon qu’il pourrait le faire en l’absence de licence libre), en particulier si l’œuvre était utilisée pour véhiculer des messages manifestement contraires à l’intention de l’auteur.

Au-delà du champ du droit d’auteur, ajoutons qu’il reste bien entendu interdit de publier toute version dérivée qui serait présentée de telle sorte qu’elle véhiculerait une idée fausse : soit que l’auteur initial de l’œuvre en serait aussi l’auteur, soit qu’il ait écrit certaines choses de certaines façons, etc. Ce type de comportement serait tout à fait sanctionnable d’un point de vue civil comme pénal. Il n’est bien sûr pas inutile de le rappeler, mais en revanche nul besoin d’utiliser une « licence verbatim » (interdisant toute modification) à cette seule fin.

Dans le cas des Framabooks, une clause de type -ND (ou toute autre clause de la même famille) est donc superflue. La suite va nous montrer qu’elle peut même être gênante.

Le second argument concerne la réédition. En effet, une modification de l’œuvre n’a d’intérêt que pour la diffuser. Il s’agit dans ce cas d’une réédition. Comme il est expliqué dans la question numéro 4, toute réédition d’un Framabook est soumise à certaines conditions. Parmi celles-ci, le contrat d’édition signé par l’auteur : puisque le contrat est « nommé », il lie l’auteur à son œuvre de manière formelle. Ainsi, il resterait toujours possible pour un imprimeur de réaliser des copies papiers « à la demande » dès lors qu’il ne rentrerait pas dans une démarche similaire à celle d’un éditeur et toute nouvelle édition serait nécessairement rattachable à un auteur (soit l’auteur initial de l’œuvre s’il choisit de souscrire à un nouveau contrat et dès lors que ce nouveau contrat ne souffre pas de la non exclusivité accordée à Framasoft ; soit l’auteur d’une version dérivée dès lors que les apports de chacun des auteurs sont clairement identifiés).

Le troisième argument, « l’absence de risque », est sans doute le plus important. Une licence sans clause -ND (ou autre clause du même genre) aura seulement pour conséquence :

  • de permettre des créations nouvelles empruntant pour partie à l’œuvre initiale, mais : a) en attribuant l’œuvre initiale et b) en se dissociant de façon non équivoque. C’est le cas par exemple de traductions ou des « mises à jour » de l’œuvre ;
  • de permettre des « grandes citations » (ou toute autre réutilisation qui dépasserait le seul cadre des exceptions prévues par la Loi) au sein d’une autre œuvre.

Ainsi, dans la mesure où notre objectif premier est celui de la diffusion, une clause interdisant toute modification fait obstacle à l’apparition de nouvelles créations susceptibles de devenir le support second de cette propagation.

En guise d’illustration, nous pouvons citer deux extraits du préambule de la Licence Art Libre, mise à disposition pour des œuvres artistiques : « Avec la Licence Art Libre, l’autorisation est donnée de copier, de diffuser et de transformer librement les œuvres dans le respect des droits de l’auteur (…) L’intention est d’autoriser l’utilisation des ressources d’une œuvre ; créer de nouvelles conditions de création pour amplifier les possibilités de création. La Licence Art Libre permet d’avoir jouissance des œuvres tout en reconnaissant les droits et les responsabilités de chacun ». Cet esprit est d’autant plus présent dans la LAL que le texte distingue l’original de la copie : les droits portant sur les copies de l’original (qui pour sa part ne peut être modifié sans autorisation de son auteur et qui doit être mentionné comme tel).

Pour revenir au contexte d’édition dans lequel nous nous situons, le choix d’une licence entièrement libre est aussi une assurance pour le projet et ses contributeurs : même si l’auteur se désengage et ne souhaite ou ne peut assurer de nouvelle version, d’autres pourront prendre le relais (comme ce fut le cas pour le premier Framabook Utilisez Thunderbird 2.0 !).

6. Et si je décide de ne pas m’encombrer les neurones ?

Les raisons esthétiques ci-dessus ne s’appliquent que peu aux ouvrages de la collection Framabook, mais restent néanmoins discutables dans le cadre d’une démarche de partage libre. A contrario, nous pouvons signaler que certains ouvrages de la collection sont, eux, sous licence CC-Zéro. C’est-à-dire qu’il s’agit de ce que l’on pourrait appeler le « domaine public volontaire ».

Certes, nous avons dit plus haut qu’il était impossible pour un auteur, du point de vue légal et dans beaucoup de juridictions, de renoncer à tous ses droits d’auteurs (en particulier les droits moraux). Cela dit, les choses peuvent aussi s’envisager d’un point de vue beaucoup plus pratique : le fait de déclarer que non seulement l’œuvre est libre mais aussi qu’elle a pour vocation de suivre son cours en pleine autonomie, un cours que l’auteur s’engage à ne pas influencer (à ne pas exercer son droit d’auteur qui pourtant lui colle à la peau).

La licence CC-0 cherche à traduire ces effets au sein d’un contrat qui propose alternativement et successivement : une renonciation aux droits, une cession de tous les droits patrimoniaux et moraux ou une cession des seuls droits patrimoniaux. En d’autres termes, les droits de Propriété Intellectuelle (et régimes associés) étant territoriaux, la licence CC-0 fonctionne différemment selon que l’auteur peut renoncer à ses droits, céder ses droits moraux ou non. Dans les faits, la licence confère ainsi à l’œuvre le statut juridique s’approchant le plus de la volonté de l’auteur (en France, un statut très proche de la CC By : une cession très large des droits patrimoniaux avec une obligation de citer l’auteur – sauf si ce dernier souhaite rester anonyme).

C’est notamment le cas du roman Le Cycle des NoéNautes, par Pouhiou[15]. Nous pouvons le citer :

« Dès aujourd’hui, je fais passer Les Noénautes dans le domaine public volontaire. Cela veut dire que tu as le droit d’en faire ce que tu veux. Tu n’as aucun compte à me rendre. Tu peux éditer et vendre cette œuvre pour ton propre compte, tu peux la réécrire, l’adapter, la recopier, en faire de la pub ou des navets… Tu es libre. Parce que légalement, cette œuvre est libre. La loi Française imposerait que tu fasses mention de l’auteur malgré tout : OSEF, j’irai pas t’attaquer ! J’avoue que si tu fais quelque chose de tout cela, ça m’amuserait que tu me tiennes au jus. Mais tu n’as plus d’autres obligations que celles que tu te crées. »[16]

Conclusion

Elle s’exprime en une phrase : la collection Framabook édite des livres sous licence libre, sans clause non commerciale ou empêchant toute modification de l’œuvre. Voici des exemples de licence qui peuvent être utilisés :

  • GNU FDL – Issue du projet GNU, elle est au départ adaptée aux manuels de logiciels. C’est une licence très permissive ;
  • CC-By – Creative commons – paternité (obligation de nommer l’auteur pour toute redistribution avec ou sans modification) ;
  • CC-By-SA – Creative commons – Paternité – Partage à l’identique (share alike) : toute redistribution doit être partagée sous les mêmes termes de licence ;
  • LAL – Licence Art Libre, conçue comme une adaptation de la GNU GPL au domaine de l’art ;
  • CC-Zéro – il s’agit du versement volontaire de l’œuvre dans le domaine public.

Cette liste n’est pas limitative et nous nous ferons un plaisir de vous accompagner si vous souhaitez discuter de la pertinence de toute autre licence. Le choix de la licence de la part de l’auteur doit être un choix éclairé et mûrement réfléchi. Il entre dans une démarche de partage et en même temps dans un circuit éditorial. Il n’échappe néanmoins pas à la juridiction du droit d’auteur.

– Framasoft, le 15 octobre 2013

Notes

[1] Voir : http://fr.wikipedia.org/wiki/Framasoft#cite_note-32. La collection est coordonnée par Christophe Masutti.

[2] Nous avons également publié un essai qui propose, lui, de se passer complètement du droit d’auteur : J. Smiers, et M. van Schijndel, Un monde sans copyright… et sans monopole.

[3] De manière plus complexe, certains de nos ouvrages sont soumis à plusieurs licences libres : tel l’ouvrage précité « Option Libre » qui est diffusé sous triple licence CC-By-SA 3.0, Licence Art Libre 1.3, GNU FDL 1.3.

[4] Lorsque je souhaite donner un fichier, je fais une copie, ce qui devient du partage : ce principe est évidemment contrarié par la pléthore de dispositifs de surveillance et de protection de la part des ayants droits (type DRM, ou lobbying législatif) qui visent à empêcher le partage pour des raisons plus ou moins défendables.

[5] Il est en effet admis, au moins en Europe, qu’un auteur ne peut décider d’élever de lui-même une œuvre dans le domaine public (un tel acte serait certainement sans valeur juridique et l’auteur ou ses ayants droit pourraient valablement revenir dessus plusieurs années plus tard).

[6] Nous avons récemment rencontré le cas avec la traduction d’un chapitre de l’ouvrage de C. Kelty, tiré de Two Bits. The Cultural Significance of Free Software (http://twobits.net), que nous souhaitions intégrer dans le Framabook Histoires et cultures du Libre. Bien qu’ayant l’accord de l’auteur, son livre étant sous licence CC-BY-NC-SA, c’est l’éditeur seul qui pouvait lever temporairement la clause NC, moyennant une rétribution (certes faible, de l’ordre d’une centaine de dollars), afin que nous puissions inclure ce chapitre dans l’ouvrage destiné à la vente. La clause -SA posait aussi un grave problème pour l’ensemble de l’ouvrage. Nous l’avons donc inclus uniquement dans la version numérique gratuite.

[7] Pour les ouvrages où il n’y a pas de contrat d’auteur, les bénéfices sont reversés à Framasoft et entrent dans le cadre de l’équilibre budgétaire (en principe, lorsque celui-ci peut être atteint).

[8] Framasoft compte trois permanents à ce jour, affectés à la gestion des multiples projets de l’association ainsi qu’à son administration.

[9] C’est par exemple le cas des bandes dessinées GKND pour lesquelles nous avons fixé un objectif de prix (pas au-delà de 12 euros la version imprimée). Ce prix permet à l’auteur de toucher un intéressement, mais ne couvre pas les frais annexes (stockages, frais de port pour les approvisionnements, etc.). Cela peut bien entendu changer si nous empruntons une autre voie plus économique pour la production.

[10] L’essentiel des revenus de l’association étant composé des dons faits à l’association. Les revenus provenant de la vente des ouvrages permet d’avoir à disposition un fonds de roulement permettant d’acheter des stocks d’imprimés.

[11] Voir article L132-1 du CPI : « Le contrat d’édition est le contrat par lequel l’auteur d’une œuvre de l’esprit ou ses ayants droit cèdent à des conditions déterminées à une personne appelée éditeur le droit de fabriquer ou de faire fabriquer en nombre des exemplaires de l’œuvre, à charge pour elle d’en assurer la publication et la diffusion ». Constitue une faute de la part de l’éditeur le fait de n’avoir pas passé un contrat d’édition avec une personne à laquelle il reconnaissait la qualité d’auteur (Paris, 4e chambre, 22 novembre 1990).

[12] R. M. Stallman affirme en effet : « Selon moi, les licences non libres qui permettent le partage sont légitimes pour des œuvres artistiques ou de divertissement. Elles le sont également pour des œuvres qui expriment un point de vue (comme cet article lui-même). Ces œuvres ne sont pas dédiées à une utilisation pratique, donc l’argument concernant le contrôle par l’utilisateur ne s’y applique pas. Ainsi, je ne vois pas d’objection à ce qu’elles soient publiées sous licence CC BY-NC-ND, qui ne permet que la redistribution non commerciale de copies identiques à l’original. »

[13] Dans le même registre, et pour des motifs tout à fait recevables selon l’usage, certaines licences libres – une principalement : la GNU Free Documentation License – permettent d’identifier des passages spécifiques d’une œuvre comme invariants (cela notamment afin d’assurer une plus grande diffusion des textes philosophiques et/ou politiques annexer à une documentation).

[14] Le droit d’auteur se décompose entre droit moral et droit patrimonial : en vertu du droit patrimonial, l’auteur a la possibilité d’exploitation son œuvre (par des contrats de cession telle qu’une licence libre) ; en vertu du droit moral, l’auteur peut limiter certains usages préjudiciables pour son œuvre ou le lien qu’il entretient avec cette dernière.

[15] Ainsi que Joost Smiers et Marieke van Schijndel, op. cit.

[16] Voir : http://noenaute.fr/bonus-13-inspirations-et-digestion/2.




Comment la NSA déploie des logiciels malveillants

Nouvelles révélations, nouvelles précautions

Nous reprenons ici l’article récemment publié par KoS, il s’agit de la traduction française de l’article de l’Electronic Frontier Foundation : How The NSA Deploys Malware: An In-Depth Look at the New Revelations par : Sphinx, KoS, Scailyna, Paul, Framatophe et 2 auteurs anonymes

– – – – – –

Nous avons longtemps suspecté que la NSA, la plus grande agence d’espionnage du monde, était plutôt douée pour pénétrer les ordinateurs. Désormais, grâce à un article de Bruce Schneier, expert en sécurité qui travaille avec The Guardian sur les documents de Snowden, nous avons une vision bien plus détaillée de la manière dont la NSA utilise des failles pour infecter les ordinateurs d’utilisateurs ciblés.

La méthode utilisée par la NSA pour attaquer les gens avec des logiciels malveillants est largement utilisée par les criminels et les fraudeurs ainsi que par les agences de renseignement, il est donc important de comprendre et de se défendre contre cette menace pour éviter d’être victime de cette pléthore d’attaquants.

Comment fonctionnent les logiciels malveillants exactement ?

Déployer un logiciel malveillant via le Web nécessite généralement deux étapes. Premièrement, en tant qu’attaquant, vous devez attirer votre victime sur un site web que vous contrôlez. Deuxièmement, vous devez installer un logiciel sur l’ordinateur de la victime pour prendre le contrôle de sa machine. Cette formule n’est pas universelle, mais c’est souvent ainsi que les attaques sont exécutées.

Pour mener à bien la première étape, qui consiste à amener un utilisateur à visiter un site sous le contrôle de l’attaquant, ce dernier peut envoyer à la victime un courriel avec un lien vers le site web concerné : c’est ce que l’on appelle une attaque par hameçonnage (phishing). La NSA aurait parfois eu recours à ce type d’attaque, mais nous savons à présent que cette étape était généralement accomplie via une méthode dite de « l’homme du milieu » (man-in-the-middle)¹. La NSA contrôle un ensemble de serveurs dont le nom de code est « Quantum », situés sur les dorsales Internet et ces serveurs sont utilisés pour rediriger les cibles vers d’autres serveurs contrôlés par la NSA et chargés d’injecter le code malveillant.

Dans ce cas, si un utilisateur ciblé visite, par exemple, le site yahoo.com, son navigateur affichera la page d’accueil ordinaire de Yahoo! mais sera en réalité en communication avec un serveur contrôlé par la NSA. La version malveillante du site web de Yahoo! demandera au navigateur de l’utilisateur d’adresser une requête à un autre serveur contrôlé par la NSA et chargé de diffuser le code néfaste.

Quand un utilisateur ciblé visite un site web mal intentionné, quels moyens l’attaquant utilise-t-il pour infecter l’ordinateur de la victime ? Le moyen le plus direct est probablement d’amener l’utilisateur à télécharger et à exécuter un logiciel. Une publicité intelligemment conçue s’affichant dans une fenêtre pop-up peut convaincre un utilisateur de télécharger et d’installer le logiciel malveillant de l’attaquant.

Toutefois, cette méthode ne fonctionne pas toujours et repose sur une initiative de l’utilisateur visé, qui doit télécharger et installer le logiciel. Les attaquants peuvent choisir plutôt d’exploiter des vulnérabilités du navigateur de la victime pour accéder à son ordinateur. Lorsqu’un navigateur charge une page d’un site, il exécute des tâches telles que l’analyse du texte envoyé par le serveur et il arrive souvent qu’il charge des greffons (plugins) tels que Flash pour l’exécution de code envoyé par le serveur, sans parler du code JavaScript que peut aussi lui envoyer le serveur. Or, les navigateurs, toujours plus complexes à mesure que le web s’enrichit en fonctionnalités, ne sont pas parfaits. Comme tous les logiciels, ils ont des bogues, et parfois ces bogues sont à la source de vulnérabilités exploitables par un attaquant pour prendre le contrôle d’un ordinateur sans que la victime ait autre chose à faire que visiter un site web particulier. En général, lorsque les éditeurs de navigateurs découvrent des vulnérabilités, ils les corrigent, mais un utilisateur utilise parfois une version périmée du navigateur, toujours exposée à une attaque connue publiquement. Il arrive aussi que des vulnérabilités soient uniquement connues de l’attaquant et non de l’éditeur du navigateur ; ce type de vulnérabilité est appelée vulnérabilité zero-day.

La NSA dispose d’un ensemble de serveurs sur l’internet public désignés sous le nom de code « FoxAcid », dont le but est de déployer du code malveillant. Une fois que des serveurs Quantum ont redirigé une cible vers une URL spécialement forgée et hébergée sur un serveur FoxAcid, un logiciel installé sur ce serveur se sert d’une boîte à outils d’exploitation de failles pour accéder à l’ordinateur de l’utilisateur. Cette boîte à outils couvre vraisemblablement des vulnérabilités connues, utilisables contre des logiciels périmés, et des vulnérabilités zero-day, en règle générale réservées à des cibles de haute valeur ². Nos sources indiquent que l’agence utilise ensuite ce code malveillant initial pour installer d’autres logiciels à le plus long terme.

Quand un attaquant réussit à infecter une victime avec du code malveillant, il dispose d’ordinaire d’un accès complet à l’ordinateur de cette dernière : il peut enregistrer les saisies du clavier (qui peuvent révéler mots de passe et autres informations sensibles), mettre en route la webcam ou lire n’importe quelle donnée conservée sur cet ordinateur.

Que peuvent faire les utilisateurs pour se protéger ?

Nous espérons que ces révélations pousseront les éditeurs de navigateurs à agir, que ce soit pour renforcer leurs logiciels contre les failles de sécurité ou pour tenter de détecter et de bloquer les URL utilisées par les serveurs FoxAcid.

Entre-temps, les utilisateurs soucieux de leur sécurité s’efforceront de suivre des pratiques de nature à assurer leur sécurité en ligne. Gardez toujours vos logiciels à jour, en particulier les greffons des navigateurs tels que Flash, qui nécessitent des mises à jour manuelles. Assurez-vous de bien faire la différence entre les mises à jour légitimes et les avertissements sous forme de pop-ups qui se font passer pour des mises à jour. Ne cliquez jamais sur un lien suspect dans un courriel.

Les utilisateurs qui souhaitent aller un pas plus loin — selon nous, tout le monde devrait se sentir concerné —, utiliseront l’activation en un clic de greffons Flash ou Java de manière à ce que ces derniers ne soient exécutés sur une page web qu’à la condition que l’utilisateur l’approuve. Pour Chromium et Chrome, cette option est disponible dans Paramètres => Afficher les paramètres avancés => Confidentialité => Paramètres du contenu => Plug-ins.

La même chose peut être faite pour Firefox à l’aide d’une extension comme Click to Play per-element. Les greffons peuvent également être désactivés ou complètement désinstallés. Les utilisateurs devraient également utiliser un bloqueur de publicité afin d’empêcher les requêtes superflues du navigateur destinées aux publicitaires et aux pisteurs du web. Ils devraient en outre utiliser l’extension HTTPS Everywhere afin d’utiliser le chiffrement des connexions associées à HTTPS sur le plus de sites possibles.

Si vous êtes un utilisateur prêt à supporter quelques désagréments au bénéfice d’une navigation plus sûre, regardez du côté de NotScripts (Chrome) ou de NoScript (Firefox), qui permettent de limiter l’exécution des scripts. Cela signifie qu’il vous sera nécessaire d’autoriser par un clic l’exécution des scripts un à un. JavaScript étant très répandu, attendez-vous à devoir cliquer très souvent. Les utilisateurs de Firefox peuvent s’orienter vers une autre extension utile, RequestPolicy, qui bloque le chargement par défaut des ressources tierces sur une page. Ici aussi, votre navigation ordinaire pourrait être perturbée car les ressources tierces sont très utilisées.

Enfin, pour les plus paranoïaques, HTTP Nowhere permettra de désactiver l’ensemble du trafic HTTP, avec pour conséquence que votre navigation sera entièrement chiffrée et, par la même occasion, limitée aux seuls sites offrant une connexion HTTPS.

Conclusion

Le système de la NSA pour déployer les logiciels malveillants n’a rien de particulièrement novateur, mais avoir un aperçu de la façon dont il opère devrait aider les utilisateurs et les éditeurs de logiciels et de navigateurs à mieux se défendre contre ces types d’attaques, et contribuer à une meilleure protection de tous contre les criminels, les agences de renseignement et une pléthore d’autres attaquants. C’est pourquoi nous jugeons vital que la NSA soit transparente quant à ses capacités et aux failles ordinaires de sécurité auxquelles nous sommes exposés — notre sécurité en ligne en dépend.


1. Le terme « homme du milieu » est parfois réservé aux attaques sur les connexions sécurisées par cryptographie, par exemple au moyen d’un certificat SSL frauduleux. Dans cet article, toutefois, on entend plus généralement toute attaque où l’attaquant s’interpose entre un site et la victime.
2. D’après l’article de The Guardian, « Les exploits les plus précieux sont réservés aux cibles les plus importantes ».




Le chiffrement, maintenant (6)

Le chiffrement du courriel avec PGP (Pretty Good Privacy)

En 1991, Phil Zimmermann a développé un logiciel de chiffrement des courriels qui s’appelait PGP, destiné selon lui aux militants anti-nucléaires, pour qu’ils puissent organiser leurs manifestations.

Aujourd’hui, PGP est une entreprise qui vend un logiciel de chiffrement propriétaire du même nom. OpenPGP est le protocole ouvert qui définit comment fonctionne le chiffrement PGP, et GnuPGP (abrégé en GPG) est le logiciel libre, 100% compatible avec la version propriétaire. GPG est aujourd’hui beaucoup plus populaire que PGP parce que tout le monde peut le télécharger gratuitement, et les cyberphunks le trouvent plus fiable parce qu’il est open source. Les termes PGP et GPG sont fréquemment employés l’un pour l’autre.

Malheureusement, PGP est notoirement difficile à utiliser. Greenwald en a donné l’exemple quand il a expliqué qu’il ne pouvait pas dans un premier temps discuter avec Snowden parce que PGP était trop difficile à installer.

Paires de clés et trousseaux

Comme pour l’OTR, chaque utilisateur qui souhaite envoyer ou recevoir des messages chiffrés doit générer sa propre clé PGP, appelée paire de clés. Les paires de clés PGP sont en deux parties, la clé publique et la clé privée (secrète).

Si vous disposez de la clé publique de quelqu’un, vous pouvez faire deux choses : chiffrer des messages qui ne pourront être déchiffrés qu’avec sa clé privée, et vérifier les signatures qui sont générées avec sa clé secrète. On peut donner sans problème sa clé publique à tout le monde. Le pire qu’on puisse faire avec est de chiffrer des messages que vous seul pourrez déchiffrer.

Avec votre clé privée vous pouvez faire deux choses : déchiffrer des messages qui ont été chiffrés avec votre clé publique et ajouter une signature numérique pour vos messages. Il est très important que votre clé privée reste secrète. Un attaquant disposant de votre clé privée peut déchiffrer des messages qui ne sont destinés qu’à vous et peut fabriquer de faux messages qui auront l’air de venir de vous. Les clés privées sont généralement chiffrées avec une phrase secrète, donc même si votre ordinateur est compromis et que votre clé privée est volée, l’attaquant devra obtenir votre phrase secrète avant de pouvoir l’utiliser. Contrairement à OTR, PGP n’utilise pas la sécurité itérative. Si votre clé PGP privée est compromise et que l’attaquant dispose de copies de courriels chiffrés que vous avez reçus, il pourra donc tous les déchiffrer.

Comme vous avez besoin des clés publiques des autres personnes pour chiffrer les messages à leur intention, le logiciel PGP vous laisse gérer un trousseau de clé avec votre clé publique et celles de tous les gens avec qui vous communiquez.

Utiliser PGP pour le chiffrement des courriels peut s’avérer problématique. Par exemple, si vous configurez PGP sur votre ordinateur mais que vous recevez un courriel chiffré sur votre téléphone, vous ne pourrez pas le déchiffrer pour le lire avant d’être de retour sur votre ordinateur.

Comme OTR, chaque clé PGP possède une empreinte unique. Vous pouvez trouver une copie de ma clé publique ici, et mon empreinte est 5C17 6163 61BD 9F92 422A C08B B4D2 5A1E 9999 9697. Si vous jetez un coup d’œil à ma clé publique, vous allez voir qu’elle est très longue et qu’il sera difficile de la lire sur un téléphone. Une empreinte est une version plus courte et moins contraignante de représenter une clé de manière unique. Avec ma clé publique, vous pouvez chiffrer des messages que je serais seul à pouvoir déchiffrer, tant que ma clé privée n’a pas été compromise.

Phrases secrètes

La sécurité de la crypto repose souvent sur la sécurité d’un mot de passe. Comme les mots de passes sont très facilement devinés par les ordinateurs, les cryptographes préfèrent le terme phrase secrète pour encourager les utilisateurs à créer leurs propres mots de passe, très long et sécurisés.

Pour obtenir des conseils sur la façon de choisir de bonnes phrases secrètes, consultez la section phrase secrète du livre blanc de l’EFF (NdT : Electronic Frontier Foundation, http://www.eff.org ) “Défense de la vie privée aux frontières des USA : un guide pour les voyageurs qui transportent des terminaux numériques”. Voyez aussi la page d’accueil de Diceware Passphrase.

Mais protéger vos clés privées PGP ne suffit pas : vous devez aussi choisir de bonnes phrases secrètes pour le chiffrement de vos disques et trousseaux de mots-de-passe.

Logiciels

Pour installer GPG, les utilisateurs de Windows peuvent télécharger Gpg4win, et les utilisateurs de Mac OS X GPGTools. Si vous utilisez GNU/Linux, GPG est probablement déjà installé. GPG est un programme en ligne de commande, mais il y a des logiciels qui s’interfacent avec les clients de messagerie, pour une utilisation simplifiée.

Vous devrez télécharger un client messagerie pour utiliser PGP correctement. Un client de messagerie est un programme sur votre ordinateur que vous ouvrez pour vérifier vos courriels, contrairement à l’utilisation de votre navigateur web. La configuration PGP la plus populaire est le client de messagerie Thunderbird accompagné de l’add-on Enigmail. Thunderbird et Enigmail sont des logiciels libres disponibles sur Windows, Mac et GNU/Linux.

À l’heure actuelle, PGP est très difficile à utiliser de façon sécurisée à partir d’un navigateur web. Bien que quelques extensions de navigateurs existants puissent aider à le faire, je recommande de passer par un client de messagerie de bureau jusqu’à ce que le domaine de la crypto de navigateur mûrisse. Il est possible d’utiliser un chiffrement PGP avec Gmail, mais la façon la plus simple est de passer par un client de messagerie comme Thunderbird et de configurer votre compte Gmail à travers lui.

Chiffrement, déchiffrement, et signatures

Vous pouvez envoyer des courriels chiffrés et les signer numériquement en utilisant une interface utilisateur graphique via Thunderbird et Enigmail. Voici un exemple de courriel chiffré que je m’envoie à moi-même.

Quand je clique sur envoyer, mon logiciel prend le corps du message et le chiffre en utilisant ma clé publique, rendant son contenu incompréhensible pour les oreilles indiscrètes, y compris mon fournisseur de courriel.

Quand j’ai ouvert ce courriel, j’ai dû entrer ma phrase secrète de chiffrement pour le déchiffrer. Comme je l’avais chiffré en utilisant ma clé publique, le seul moyen que j’ai de le déchiffrer est d’utiliser ma clé privée. Comme ma clé privée est protégée par une phrase secrète, j’ai eu besoin de la taper pour déchiffrer temporairement ma clé privée qui est alors utilisée pour déchiffrer le message.

PGP n’est pas limité aux courriels

Bien que PGP soit principalement utilisé pour chiffrer les courriels, rien ne vous empêche de l’utiliser pour chiffrer autre chose et le publier en utilisant n’importe quel support. Vous pouvez poster des messages chiffrés sur les blogs, les réseaux sociaux et les forums.

Kevin Poulsen a publié un message PGP chiffré sur le site web de Wired à l’attention d’Edward Snowden. Aussi longtemps que Wired aura une copie de la vrai clé publique de Snowden, seul quelqu’un en possession de la clé privée de Snowden pourra déchiffrer ce message. Nous ne savons pas comment Wired a obtenu une copie de cette clé publique.

Voici un message qui a été chiffré avec ma clé publique. Sans avoir accès à ma clé privée associée, la NSA ne sera pas en mesure de casser ce chiffrage (chère NSA, faites-moi savoir si vous avez réussi à le faire).

-----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.12 (GNU/Linux) hQIMA86M3VXog5+ZAQ//Wep9ZiiCMSmLk/Pt54d2wQk07fjxI4c1rw+jfkKQAi4n 6HzrX9YIbgTukuv/0Bjl+yp3qcm22n6B/mk+P/3Cbxo+bW3gsq5OLFNenQO3RMNM i9RC+qJ82sgPXX6i9V/KszNxAyfegbMseoW9FcFwViD14giBQwA7NDw3ICm89PTj y+YBMA50iRqdErmACz0fHfA/Ed5yu5cOVVa8DD12/upTzx7i0mmkAxwsKiktEaKQ vg8i1gvzqeymWYnckGony08eCCIZFc78CeuhODy0+MXyrnBRP9p++fcQE7/GspKo SbxVT3evwT2UkebezQT2+AL57NEnRsJzsgQM4R0sMgvZI7I6kfWKerhFMt3imSt1 QGphXmKZPRvKqib59U57GsZU1/2CMIlYBVMTZIpYKRh6NgE8ityaa4gehJDl16xa pZ8z3DMNt3CRF8hqWmJNUfDwUvXBEk8d/8Lkh39/IFHbWqNJh6cgq3+CipXH5HjL iVh7tzGPfB6yn+RETzcZjesZHtz4hFudOxTMV0YnTIv0FGtfxsfEQe7ZVmmfqGNG glxE0EfbXt0psLXngFMneZYBJqXGFsK3r5bHjRm6wpC9EDAzXp+Tb+jQgs8t5eWV xiQdBpNZnjnGiIOASOxJrIRuzbTjo389683NfLvPRY8eX1iEw58ebjLvDhvDZ2jS pwGuWuJ/8QNZou1RfU5QL0M0SEe3ACm4wP5zfUGnW8o1vKY9rK5/9evIiA/DMAJ+ gF20Y6WzGg4llG9qCAnBkc3GgC7K1zkXU5N1VD50Y0qLoNsKy6eengXvmiL5EkFK RnLtP45kD2rn6iZq3/Pnj1IfPonsdaNttb+2fhpFWa/r1sUyYadWeHs72vH83MgB I6h3Ae9ilF5tYLs2m6u8rKFM8zZhixSh =a8FR -----END PGP MESSAGE-----

Contrôle d’identité

Comme avec l’OTR, il est important de vérifier les clés PGP des personnes avec qui vous communiquez. Avec PGP, vous faites cela en utilisant votre clé privée pour signer numériquement la clé publique de quelqu’un d’autre.

Depuis Thunderbird, cliquez sur le menu OpenPGP et ouvrez le gestionnaire de clé. Cochez la case « afficher toutes les clés par défaut » pour voir toutes les clés de votre trousseau. De là, vous pouvez importer des clés à partir de fichiers, de votre presse-papier ou de serveurs de clés. Vous pouvez aussi générer une nouvelle paire de clé et voir le détail de toutes les clés de votre trousseau.

Comme avec les clés OTR, chaque clé PGP a une empreinte unique. Et comme pour OTR, vous avez besoin d’afficher l’intégralité de l’empreinte pour être sûr que la clé publique que vous êtes en train de regarder est bien celle de la personne à qui vous pensez qu’elle appartient.

Faites un clic droit sur une clé de cette liste et choisissez « détailler » pour voir son empreinte. Voici le détail de la clé PGP que le logiciel de chiffrement TrueCrypt utilise pour signer numériquement les releases de son logiciel.

Toujours comme OTR, vous avez besoin de vous rencontrer en personne, parler au téléphone ou utiliser une session OTR déjà vérifiée pour comparer chaque caractère de l’empreinte.

Après avoir vérifié que la clé publique dont vous disposez appartient bien à la personne que vous pensez, cliquez sur « choisir une action » et sélectionnez « Signer la clé ».

Sur la capture d’écran ci-dessus, j’ai coché la case « signatures locales (ne peuvent pas être exportées) ». De cette façon, vous pouvez signer les clé PGP, ce qui est nécessaire pour Enigmail et d’autres logiciels PGP pour afficher des messages de sécurité sensés, mais vous ne risquez pas de dévoiler accidentellement avec qui vous communiquez à un serveur de clés PGP.

Si vous recevez un courriel chiffré de quelqu’un que vous connaissez mais que le courriel n’est pas signé numériquement, vous ne pouvez pas être sûr qu’il a vraiment été écrit par la personne à laquelle vous pensez. Il est possible qu’il provienne de quelqu’un qui falsifie son adresse de courriel ou que son compte courriel soit compromis.

Si votre ami vous dit dans son courriel qu’il a généré une nouvelle clé, vous devez le rencontrer en personne ou lui parler au téléphone et inspecter l’empreinte pour être certain que vous n’êtes pas victime d’une attaque.

Attaques

Si vous ne vérifiez pas les identités, vous n’avez pas la possibilité de savoir si vous n’êtes pas victime d’une attaque de l’homme du milieu (MITM).

Le journaliste du Washington Post Barton Gellman, à qui Edward Snowden a confié des informations à propos du programme PRISM de la NSA, a écrit ceci à propos de son expérience dans l’utilisation de PGP.

Le jeudi, avant que The Post ne publie la première histoire, je l’ai contacté sur un nouveau canal. Il ne m’attendait pas à cet endroit et m’a répondu alarmé. « Je te connais ? » a-t-il écrit.

Je lui ai envoyé un message sur un autre canal pour vérifier mon « empreinte » numérique, une sécurité qu’il prennait depuis quelque temps. Fatigué, je lui en ai envoyé une mauvaise. « Ce n’est pas du tout la bonne empreinte », m’a-t-il dit, se préparant à se déconnecter. « Vous êtes en train de faire une attaque de MITM». Il parlait d’une attaque de type « homme du milieu », une technique classique de la NSA pour contourner le chiffrement. J’ai immédiatement corrigé mon erreur.

Snowden avait raison de prendre des précautions et d’insister sur le fait qu’il vérifiait la nouvelle empreinte PGP de Gellman. PGP, s’il est bien utilisé, fournit les outils nécessaires pour éviter les attaques de l’homme du milieu. Mais ces outils ne fonctionnent que si les utilisateurs sont vigilants lors des vérifications d’identité.

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.