Un article qui ne nous apprend à priori rien de nouveau mais dont les exemples et les arguments enchaînés aboutissent à quelque chose d’absolument terrifiant.

Ce n’est pas un cauchemar c’est la réalité. Une réalité, née d’un accord tacite entre le public (les États) et le privé (les multinationales), qui s’est mise en place sans véritablement rencontrer consciences ni oppositions.

Raison de plus pour soutenir tous ceux qui voient le monde autrement et participer à faire en sorte que nous soyons de plus en plus nombreux à réclamer une éthique et faire vivre le bien commun…

Internet est un État policier

The Internet is a surveillance state

Bruce Schneier – 16 mars 2013 – CNN Opinion
(Traduction : Antoine, Neros, Sky, guillaume, audionuma, Asta + anonymes)

Note de la rédaction : Bruce Schneier est un expert en sécurité et l’auteur de Liars and Outliers: Enabling the Trust Society Needs to Survive (NdT : Menteurs et Atypiques : mettre en œuvre la confiance dont la société à besoin pour survivre).

Je vais commencer par trois points factuels.

Un : certains des hackers militaires chinois qui ont été récemment impliqués dans une attaque d’envergure contre le gouvernement et des entreprises des États-Unis ont été identifiés car ils accédaient à leur compte Facebook depuis la même infrastructure réseau qu’ils utilisaient pour leurs attaques.

Deux : Hector Monsegur, un des dirigeants du mouvent hacker LulzSec, a été identifié et arrêté par le FBI l’année dernière. Bien qu’il prenait de fortes mesures de sécurité informatique et un relais anonyme pour protéger son identité, il s’est quand même fait prendre.

Et trois : Paula Broadwell, qui avait une relation extra-conjugale avec David Petraeus, le directeur de la CIA, a également pris de nombreuses mesures pour masquer son identité. Elle ne se connectait jamais à son service de courriel anonyme depuis le réseau de son domicile. À la place, elle utilisait les réseaux publics des hôtels lorsqu’elle lui envoyait un courriel. Le FBI a effectué une corrélation entre les données d’enregistrement de différents hôtels pour y trouver que son nom était le point commun.

Internet est en état de surveillance. Internet est un état de surveillance. Que nous l’admettions ou non, et que cela nous plaise ou non, nous sommes traqués en permanence. Google nous trace, tant sur ses propres pages que sur celles auxquelles il a accès. Facebook fait de même, en traçant même les utilisateurs non inscrits chez lui. Apple nous trace sur nos iPhones et iPads. Un journaliste a utilisé un outil appelé Collusion (NdT : de Mozilla) pour déterminer qui le traçait : 105 entreprises ont tracé son usage internet sur une seule période de 36 heures !

De plus en plus, nos activités sur Internet sont croisées avec d’autres données nous concernant. La découverte de l’identité de Broadwell a nécessité de croiser son activité sur internet avec ses séjours dans des hôtels. Tout ce que nous faisons aujourd’hui implique l’usage d’un ordinateur, et les ordinateurs ont comme effet secondaire de produire naturellement des données. Tout est enregistré et croisé, et de nombreuses entreprises de big data font des affaires en reconstituant les profils de notre vie privée à partir de sources variées.

Facebook, par exemple, met en corrélation votre comportement en ligne avec vos habitudes d’achat hors-ligne. Et, plus encore, Il y a les données de localisation de votre téléphone portable, les enregistrements de vos mouvements par les caméras de surveillance…

C’est de la surveillance omniprésente : nous sommes tous surveillés, tout le temps, et ces données sont enregistrées de façon permanente. C’est ce à quoi un état de surveillance ressemble, et c’est plus efficace que dans les rêves les plus fous de George Orwell.

Bien sûr, nous pouvons agir pour nous y prémunir. Nous pouvons limiter ce que nous cherchons sur Google depuis nos iPhones, et utiliser à la place les navigateurs Web de nos ordinateurs, qui nous permettent de supprimer les cookies. Nous pouvons utiliser un alias sur Facebook. Nous pouvons éteindre nos téléphones portables et payer en liquide. Mais plus le temps passe et moins de gens s’en soucient.

Il y a simplement trop de façons d’être pisté. L’Internet, les courriels, les téléphones portables, les navigateurs Web, les sites de réseaux sociaux, les moteurs de recherche : ils sont devenus nécessaires, et il est fantaisiste d’attendre des gens qu’ils refusent simplement de s’en servir juste parce qu’ils n’aiment pas être espionnés, d’autant plus que l’ampleur d’un tel espionnage nous est délibérément cachée et qu’il y a peu d’alternatives commercialisées par des sociétés qui n’espionnent pas.

C’est quelque chose que le libre marché ne peut pas réparer. Nous, les consommateurs, n’avons pas de choix en la matière. Toutes les grandes sociétés qui nous fournissent des services Internet ont intérêt à nous pister. Visitez un site Web et il saura certainement qui vous êtes; il y a beaucoup de façons de vous pister sans cookie. Les compagnies de téléphones défont de façon routinière la protection de la vie privée sur le Web. Une expérience à Carnegie Mellon a pris des vidéos en temps réél d’étudiants sur le campus et a permis d’identifier un tiers d’entre eux en comparant leurs photos avec leurs photos publiques taguées sur Facebook.

Garder sa vie privée sur Internet est désormais presque impossible. Si vous oubliez ne serait-ce qu’une fois d’activer vos protections, ou si vous cliquez sur le mauvais lien, vous attachez votre nom de façon permanente à quelque service anonyme que vous utilisez. Monsegur a dérapé une fois, et le FBI l’a choppé. Si même le directeur de la CIA ne peut garder sa vie privée sur Internet, nous n’avons aucun espoir.

Dans le monde d’aujourd’hui, les gouvernements et les multinationales travaillent de concert pour garder les choses telles qu’elles sont. Les gouvernements sont bien contents d’utiliser les données que les entreprises collectent — en demandant occasionnellement d’en collecter plus et de les garder plus longtemps — pour nous espionner. Et les entreprises sont heureuses d’acheter des données auprès des gouvernements. Ensemble, les puissants espionnent les faibles, et ils ne sont pas prêts de quitter leurs positions de pouvoir, en dépit de ce que les gens souhaitent.

Résoudre ces questions nécessite une forte volonté gouvernementale, mais ils sont aussi assoiffés de données que les entreprises. Mis à part quelques amendes au montant risible, personne n’agit réellement pour des meilleures lois de protection de la vie privée.

Alors c’est ainsi. Bienvenue dans un monde où Google sait exactement quelle sorte de pornographie vous aimez, où Google en sait plus sur vos centres d’intérêt que votre propre épouse. Bienvenue dans un monde où votre compagnie de téléphone portable sait exactement où vous êtes, tout le temps. Bienvenue à l’ère de la fin des conversations privées, puisque vos conversations se font de plus en plus par courriel, SMS ou sites de réseaux sociaux.

Bienvenue dans un monde où tout ce que vous faites sur un ordinateur est enregistré, corrélé, étudié, passé au crible de société en société sans que vous le sachiez ou ayez consenti, où le gouvernement y a accès à volonté sans mandat.

Bienvenue dans un Internet sans vie privée, et nous y sommes arrivés avec notre consentement passif sans véritablement livrer une seule bataille…

Crédit photo : Mixer (Creative Commons By-Sa)

Google Glass c’est le projet Google de lunettes révolutionnaires à réalité augmentée. On nous promet leur commercialisation avant la fin de l’année. Une vidéo spectaculaire a été publiée récemment. Si vous ne l’avez pas encore vue, nous vous invitons à le faire car vous allez mieux comprendre la traduction qui suit.

Bientôt donc vous retrouverez quelque part avec des gens qui porteront ces lunettes. À tout moment, ceux-ci peuvent vous filmer à votre insu et mettre en ligne en temps réel la vidéo sur YouTube, non sans qu’un système automatisé de reconnaissance faciale et de tags vous ait peut-être identifié au passage !

Ce n’est plus de la science-fiction et comme Google n’est pas une entreprise philanthropique, on imagine sans peine l’impact majeur d’une telle innovation sur notre vie privée et le devenir de nos données personnelles.

Gare aux Google Glasses !

Watch Out for Google Glasses

Anton Wahlman – 25 février 2013 – TheStreet.com
(Traduction : jtanguy, 3wen, Benoît, Jeanba88, misterk, goofy + anonymes)

D’ici la fin de cette année, notre société va subir un changement très particulier, qui va susciter beaucoup de controverses. La cause ? Les Google Glasses.

Les Google Glasses vont impacter les comportements sociaux dès leur mise en circulation. Au moment où vous les apercevez, vous savez que vous pouvez être filmé. Et les gens n’aiment pas être filmés.

Bien sûr, tous les smartphones peuvent enregistrer des vidéos et prendre des photos. Mais vous savez quand ça arrive. Vous n’avez pas constamment l’impression que tout le monde autour de vous est en train de vous filmer sous tous les angles. Vous les voyez faire quand ils le font.

Les Google Glasses sont différentes. Au-delà des photos et des vidéos, qu’advient-il de ces données ?

Imaginons que je sois derrière le guichet d’une entreprise : banque, restauration rapide, guichet d’enregistrement à l’aéroport, peu importe. Mes Google Glasses pourraient afficher le numéro de sécurité sociale, le casier judiciaire, la présence sur les réseaux sociaux, etc. de la personne en face de moi.

C’est peut-être un progrès pour certains mais d’autres trouveront cela terrifiant. Pouvez-vous imaginer la scène dans un bar où les gens commencent à porter des Google Glasses ? En l’espace d’une seconde ou deux, vous aurez toutes les informations disponibles à propos de la personne en face de vous. Et certaines de ces informations pourraient ne pas être flatteuses.

Les lieux publics devront élaborer de nouvelles politiques. Hôtels, aéroports, restaurants, salles de sport et écoles voudront avoir leur mot à dire concernant le port des Google Glasses dans leurs locaux. Vous pourrez entendre les tollés dès que les premières images de gens trichant dans les écoles, ou filmant dans les vestiaires seront publiées sur YouTube. De futurs conflits vont certainement très mal tourner.

D’autre dimensions du problème apparaissent aussitôt. Que se passera-t-il si les versions futures des Google Glass deviennent très difficiles à distinguer des lunettes traditionnelles ?

Aujourd’hui, que se passe-il si vous pénétrez dans un établissement en tenant une caméra qui filme les visages des gens, dans un restaurant, une banque ou une salle de sport ? On vous demandera d’éteindre votre caméra, et si vous n’obéissez pas rapidement, on vous jettera dehors.

Les Google Glasses vont rendre les interactions publiques et sociales très délicates car vous prenez le risque potentiel d’être sur YouTube quel que soit l’endroit où vous allez. Quelques mois après leur arrivée sur le marché, les Google Glasses pourraient être déjà si répandues que vous serez filmé dès que vous pointerez le nez dehors.

Défenseurs de la vie privée, en avant !

Les données photos et vidéos des Google Glasses ne vont pas être utilisées seulement par la personne qui porte les lunettes. La personne qui prend ces images voudra peut-être « taguer automatiquement » ces médias avec l’identité des personnes dans la photo ou vidéo.

Il y a des gens qui préfèrent passer sous les radars. Ils payent en liquide, n’utilisent pas de GPS en voiture, n’ont pas de téléphone, et ne sont membres d’aucun réseau social en ligne. Ils ont réussi à rester en-dehors de la plupart des bases de données disponibles publiquement.

Une fois qu’une partie significative de la population aura commencé à déambuler dans les rues avec des Google Glasses, ils ne le pourront plus vraiment. Il n’y aura plus de place pour se cacher, à moins que les gouvernements ne légifèrent sur ces Google Glasses, ou que les établissements privés décident de les interdire.

Qu’en est-il de Google lui-même ?

Les Google Glasses deviendront une arme décisive dans la guerre imminente pour les données personnelles. Si d’autres personnes les utilisent, pourquoi pas moi ? Je prédis que toutes les personnes avec suffisamment de moyens vont se ruer pour en obtenir, surtout si le prix baisse de 1 500$ à 1 000$, puis à 500$ et finalement en-dessous, lors des deux premières années de commercialisation.

Si Google arrive à sortir ce genre de lunettes avant ses concurrents directs, non seulement Apple, mais aussi Microsoft, son avance pourrait bien être décisive. Google possède déjà 70% des parts de marché des smartphones avec Android, donc il est plutôt bien parti, mais n’oublions pas que la part de marché des PC de Microsoft atteignait 95% il y a seulement quelques années.

Comme Google va probablement inventer un lien fort entre les Google Glasses et les smartphones Android, les Google Glasses vont être une véritable aubaine pour Android. N’importe qui regardera son iPhone et devra sérieusement envisager de passer à Android.

Les Google Glasses risquent de causer un chaos social, mais elles vont être très bénéfiques pour les finances de Google.

Crédit photo : Max Braun (Creative Commons By-Sa)

Les lobbys ont toujours tenté d’influencer les politiques. Mais lorsqu’il s’agit de lobbyistes américains qui arrivent à faire passer mot pour mot certains textes de loi en Europe avec la complicité de nos députés, il y a d’autant plus de quoi s’interroger que cela va dans le sens des entreprises US et non du citoyen européen.

Un article traduit du chroniqueur anglais Glyn Moody, souvent traduit sur le Framablog)

Heureusement que nous avons désormais des sites qui permettent de mieux connaître le comportement individuel des députés et leurs éventuelles « sources d’inspiration ». Heureusement aussi que nous avons des structures comme la Quadrature du Net qui tente tant bien que mal d’agir et veiller au grain. Mais la vigilance reste de mise.

Protection des données dans l’Union Européenne : Les amendements proposés, écrits par des lobbyistes américains

EU Data Protection: Proposed Amendments Written by US Lobbyists

Glyn Moody – 11 février 2013 – ComputerWorld.uk
(Traduction : Fly, Alpha + anonymes)

Il devient évident que le lobby autour des directives européennes sur la protection des données est l’un des plus intenses lobbys jamais rencontrés, certains activistes ont déclaré que le phénomène était même pire que durant le projet de loi ACTA, alors que du côté des États-Unis, le bruit court qu’une guerre commerciale est sur le point d’être lancée si la loi est voté sous sa forme actuelle.

Etant donné la pression exercée pour affaiblir la protection de notre vie privée, une question-clé est : qui défend nos intérêts ?. La réponse évidente serait les députés européens, puisqu’il s’agit de nos représentants élus au Parlement Européen. Leur travail consiste précisément à nous représenter et dans ces circonstances particulières et à nous défendre. Et certains, tel le député européen Vert, Jan Albrecht, font probablement de leur mieux, comme j’ai pu l’écrire dans un billet précédent. Mais qu’en est-il du reste ? Que font-ils exactement ?

Dans le passé il était impossible de répondre à cette question, mais grâce aux miracles de la technologie moderne, et à l’avènement de l’ouverture des données qui permettent l’accès à toutes sortes d’informations. Il est désormais possible d’obtenir une vision claire de ce que font nos représentants européens.

Un nouveau site a été créé, il porte le nom plutôt lourd de LobbyPlag (NdT : Association des mots lobby et plagiat). Aussi disgracieux, que son nom puisse être, ce site ne décrit pas moins une vérité choquante : les députés européens proposent des amendements sur le projet de loi sur la protection des données qui reprennent mot pour mot les propositions des lobbyistes. En tout état de cause, ce qui est inquiétant ici n’est pas le plagiat, mais plutôt le fait que les mesures destinées à protéger les populations européennes soient supprimées ou altérées par les mêmes personnes que nous avons élues pour nous défendre.

Voici par exemple, un paragraphe important sur le fichage. On peut lire, sur la version originale :

Chaque personne physique (NdT : every natural person) doit avoir le droit de ne pas être soumis à une mesure entraînant des effets juridiques relatifs à cette personne physique particulière ou l’atteignant de manière significative, dès lors qu’elle se base uniquement sur un traitement automatisé ayant pour but l’analyse ou la prédiction de certains aspects personnels en lien avec cette personne physique, en particulier, l’efficacité au travail, la situation financière, la localisation, la santé, les préférences personnelles, la fiabilité, ou le comportement de cette personne physique.

Mais la Chambre de Commerce américaine, cette célèbre organisation européenne, n’aimait pas cette version et a souhaité la changer en :

Une personne concernée par la collecte des données (NdT : a data subject) ne doit pas faire l’objet d’une décision injuste ou discriminatoire uniquement basée sur le traitement automatisé ayant pour but l’évaluation de certains aspects personnels liés à cette personne.

Ce qui est sensiblement différent car on supprime ici un droit important.

Or quel texte a été proposé par des députés européens dans pas moins de trois commissions ? Le voici :

Une personne concernée par la collecte des données ne doit pas faire l’objet d’une décision injuste ou discriminatoire uniquement basée sur le traitement automatisé ayant pour but l’évaluation de certains aspects personnels liés à cette personne.

Ce qui correspond donc mot pour mot à la demande de la Chambre de Commerce américaine.

Voici un exemple explicite, issu d’une section extrêmement récente, rédigée par des députés européens, on peut y lire ce qui suit :

La personne responsable est supposée avoir accompli les obligations en exergue dans le paragraphe 1,lorsqu’il s’agit de choisir un organisme certifié de manière autonome ou ayant obtenu une certification, un sceau ou marqué comme étant conforme aux articles 38 ou 39 de ce Réglement, démontrant l’implémentation de normes techniques et de mesures organisationnelles appropriées en réponse aux exigences mises en exergue dans ce Règlement.

Ce qui rend la certification autonome quasiment suffisante pour les services de cloud computing. Alors, d’où vient ce texte sinon d’une modification précise suggérée par Amazon ?

La personne responsable est supposée avoir accompli les obligations en exergue dans le paragraphe 1,lorsqu’il s’agît de choisir un organisme certifié de manière autonome ou ayant obtenu une certification, un sceau ou marqué, démontrant l’implémentation de normes techniques et de mesures organisationnelles appropriées en réponse aux exigences mises en exergue dans ce Règlement.

Ce qui donc, par une autre extraordinaire coïncidence, est quasiment identique à ce que des députés européens ont choisi comme une très bonne idée.

LobbyPlag fournit une analyse intéressante sur le pourcentage d’amendements proposés avec du contenu repris des lobbyistes. Ci-dessous les chiffres pour les députés anglais calculés par le site :

• Giles Chichester (giles.chichester@europarl.europa.eu): amendements repris des lobbys : 10 sur 44 (22.73%)
• Malcolm Harbour (malcolm.harbour@europarl.europa.eu): amendements repris des lobbys : 14 sur 55 (25.45%)
• Sajjid Karim (sajjad.karim@europarl.europa.eu): amendements repris des lobbys : 13 sur 55 (23.64%)
• Emma McClarkin (emma.mcclarkin@europarl.europa.eu): amendements repris des lobbys : 1 sur 8 (12.50%)

Malheureusement, à l’heure actuelle, aucun de ces députés européens ne me représente donc je ne pourrais pas les contacter. Mais si l’un de vos députés apparaît, ils ont le devoir de vous répondre donc peut-être que vous devriez leur envoyer un courriel et leur demander pourquoi ils ont proposé ces amendements qui sont repris mot-à-mot ou presque d’entreprises américaines et de lobbyistes et que cela nuira à la population européenne tout en bénéficient à ces mêmes entreprises américaines.

Vous pourriez leur demander qui ils pensent représenter réellement : vous et 500 millions citoyens européens dont les impôts paient leurs salaire, qui s’élève actuellement à 80.000 £ par an (NdT : 93 000 € environ) ou alors, une poignée d’entreprises américaines ayant pour but de nous spolier notre vie privée pour pouvoir devenir encore plus riche ?

Si jamais vous recevez un réponse intéressante, merci de me l’envoyer à glyn.moody(AT)gmail.com que je puisse la partager avec mes lecteurs. Je suis certain que les explications seront passionnantes.

Crédit photo : European People’s Party (Creative Commons By)

Depuis 2011, date du fracassant rachat de Skype par Microsoft pour plusieurs milliards de dollars, la situation des données collectées par l’application est encore plus floue que par le passé. D’autant que quand on débourse une telle somme on attend un certain retour sur investissement !

C’est ce qui a poussé un collectif d’auteurs à écrire une lettre ouverte demandant rapidement des éclaircissements.

PS : Sauf bien sûr si on s’en passe et en passe par une solution libre 😉

Lettre ouverte à Skype

Open Letter to Skype

Lettre collective – 24 janvier 2013
(Traduction : Skydevil, toto, RavageJo, Progi1984, lmnt, Metal-Mighty, ehsavoie, Alpha, arcady, Penguin, Zilkos + anonymous)

De la part des défenseurs des libertés personnelles et de la vie privée, de militants d’Internet, de journalistes et de diverses organisations

À l’attention :
du Président de la division Skype, Tony Bates
du Directeur en charge de la vie privée du groupe Microsoft, Brendon Lynch
de l’avocat général du groupe Microsoft, Brad Smith

Chers MM Bates, Lynch et Smith,

Skype est une plateforme de communication vocale, vidéo et textuelle qui compte plus de 600 millions d’utilisateurs à travers le monde, ce qui en fait de facto une des plus grandes entreprises de télécommunication au monde. Nombreux sont les utilisateurs qui comptent sur la sécurité des communications via Skype, que ce soit des activistes dans des pays gouvernés par des régimes totalitaires, des journalistes communiquant avec des sources confidentielles ou de simples utilisateurs qui souhaitent parler, en privé, à leurs associés, leur famille ou leurs amis.

Il est préjudiciable que ces utilisateurs, ainsi que ceux qui les conseillent en terme de sécurité informatique, se trouvent en permanence face à des déclarations obscures et ambiguës quant à la confidentialité des conversations Skype, en particulier en ce qui concerne la possibilité pour des gouvernements ou des personnes tierces d’accéder à leur données personnelles et leurs communications.

Nous comprenons que la transition engendrée par le rachat de Microsoft, et les modifications légales ainsi que celles de l’équipe dirigante en découlant, puissent avoir levé des questions auxquelles il est difficile de répondre officiellement, quant à l’accès légal, à la collecte des données des utilisateurs et au degré de sécurité des communications via Skype. Cependant nous pensons que depuis l’annonce officielle du rachat en Octobre 2011, et à la veille de l’intégration de Skype dans plusieurs de ses logiciels et services clefs, il est temps que Microsoft documente publiquement les pratiques de Skype en termes de sécurité et de respect de la vie privée.

Nous demandons à Skype de publier et de mettre à jour régulièrement un rapport de transparence comprenant les élements suivants :

1. Des données quantitatives concernant la délivrance des informations des utilisateurs Skype à des tierces parties, décomposées selon le pays d’origine de la requête, incluant le nombre de requêtes faites par gouvernement, le type de données demandées, la proportion de requêtes accordées – et les raisons de rejet des requêtes en désaccord.
2. Des détails précis sur toutes les données utilisateurs collectées actuellement par Microsoft et Skype, et leurs conditions de conservation.
3. Une meilleur connaissance des données que les tierces parties, incluant les opérateurs réseaux ou les éventuelles parties malveillantes, peuvent intercepter ou récuperer.
4. Une documentation décrivant les relations opérationnelles entre Skype d’une part, TOM Online en Chine et des éditeurs tiers ayant acquis une license des technologies Skype d’autre part, incluant la compréhension qu’a Skype des capacités de surveillance et de censure dont les utilisateurs peuvent être sujets en utilisant ces produits alternatifs.
5. Le point de vue de Skype quant à ses responsabilités envers la Communications Assistance for Law Enforcement Act (CALEA)^[1], ses conditions quant à la mise à disposition des méta-données sur les appels en réponse aux subpoenas et aux Lettres de Sécurité Nationales (National Security Letters, NSL), et, globalement, les conditions et les lignes directrices suivies par les employés lorsque Skype recoit et répond aux requêtes de transfert de données utilisateurs à l’application de la loi et à directon des agences de renseignement aux États-Unis et le reste du monde.

D’autres entreprises telles que Google, Twitter et Sonic.net publient d’ores et déjà des rapports de transparence détaillant les requêtes d’accès aux données des utilisateurs émanant de tierces parties, et cela deux fois par an. Nous pensons que ces informations sont vitales pour nous permettre d’aider les utilisateurs de Skype les plus vulnérables, qui s’appuient sur votre logiciel pour assurer la confidentialité de leurs communications et, dans certains cas, protéger leurs vies.

Cordialement,
Les personnes soussignées.

Crédit photo : Mike Licht (Creative Commons By)

Un logiciel espion dans Ubuntu ! Que faire ?

par Richard Stallman

L’un des principaux avantages du logiciel libre est que la communauté protège les utilisateurs des logiciels malveillants. Aujourd’hui Ubuntu GNU/Linux est devenu un contre-exemple. Que devons-nous faire ?

Le logiciel privateur est associé à la malveillance envers l’utilisateur : code de surveillance, menottes numériques (gestion numérique des restrictions, ou DRM) destinées à imposer des limites aux utilisateurs, et portes dérobées qui peuvent faire des choses déplaisantes sous contrôle à distance. Les programmes qui effectuent l’une quelconque de ces opérations sont des logiciels malveillants et devraient être considérés comme tels. Les exemples les plus communs sont Windows, les iTrucs, ou encore le « Kindle » d’Amazon (connu pour son autodafé de livres virtualisés^[1] ), qui font ces trois choses ; Macintosh et la Playstation III qui imposent des menottes numériques ; la plupart des téléphones portables, qui espionnent et possèdent des portes dérobées ; Adobe Flash Player, qui espionne et fait respecter les menottes numériques ; ainsi que de nombreuses applications iTrucs ou Android, qui intègrent une ou plusieurs de ces pratiques néfastes.

Le logiciel libre donne aux utilisateurs la possibilité de se protéger contre les comportements malveillants des logiciels. Encore mieux, la communauté protège en général tout le monde et la majorité des utilisateurs n’a pas à bouger le petit doigt. Voici comment.

De temps à autre, des utilisateurs sachant programmer trouvent du code malveillant dans un programme libre. Généralement, ce qu’ils font ensuite c’est de publier une version corrigée du programme : les quatre libertés (voir http://www.gnu.org/philosophy/free-sw.html) qui définissent le logiciel libre le permettent. On appelle cela un fork du programme. Rapidement, la communauté bascule sur la version corrigée, et la version infectée est rejetée. La perspective d’un rejet ignominieux n’est pas vraiment tentante : donc, la plupart du temps, même ceux qui ne sont pas arrêtés par leur conscience ou par la pression sociale s’abstiennent de glisser des malfaçons dans les logiciels libres.

Mais pas toujours. Ubuntu, distribution influente et largement utilisée, a installé du code de surveillance. Lorsque l’utilisateur effectue une recherche dans ses propres fichiers en utilisant le système de recherche d’Ubuntu desktop, Ubuntu envoie cette recherche à l’un des serveurs de Canonical (Canonical étant la société qui développe Ubuntu).

C’est exactement comme le premier cas de surveillance dont j’aie appris l’existence, dans Windows. Mon vieil ami Fravia m’avait expliqué qu’un jour, alors qu’il recherchait une phrase dans ses fichiers avec Windows, un paquet – détecté par son pare-feu – avait été émis vers un serveur. À compter de cet exemple, je suis devenu attentif et n’ai pas oublié la propension à la malveillance qu’ont les logiciels privateurs « réputés ». Ce n’est peut-être pas par hasard qu’Ubuntu émet la même information.

Ubuntu se sert de ces informations sur leurs recherches pour afficher aux utilisateurs des publicités pour des produits vendus par Amazon. Cette société cause beaucoup de tort (voir http://stallman.org/amazon.html) ; en promouvant Amazon, Canonical y contribue. Cependant, les publicités ne sont pas le cœur du problème. Le véritable problème est l’espionnage des utilisateurs. Canonical affirme qu’Amazon ne sait rien de l’origine des recherches. Toutefois, il est tout aussi déplorable de la part de Canonical de collecter vos informations personnelles que cela ne l’aurait été de la part d’Amazon.

Certains feront sûrement des versions modifiées d’Ubuntu dépourvues de cette fonctionnalité espionne. De fait, plusieurs distributions GNU/Linux sont des versions modifiées d’Ubuntu. Lorsqu’elles se mettront à niveau avec la dernière version d’Ubuntu, je m’attends à ce que cette fonctionnalité soit enlevée. Canonical s’y attend également, sans aucun doute.

La plupart des développeurs de logiciel libre laisseraient tomber un tel projet, étant donné la perspective d’une migration en masse vers la version corrigée de quelqu’un d’autre. Mais Canonical n’a pas abandonné le logiciel espion d’Ubuntu. Peut-être Canonical pense-t-il que le nom « Ubuntu » a assez de poids et d’influence pour éviter les conséquences habituelles et s’en tirer avec cette surveillance.

Canonical dit que cette fonctionnalité permet de faire des recherches sur Internet « autrement ». Selon les détails de la méthode, cela pourrait, ou non, aggraver problème, mais cela ne l’atténuerait pas.

Ubuntu permet aux utilisateurs de désactiver la surveillance. Évidemment, Canonical pense que beaucoup d’utilisateurs d’Ubuntu vont laisser cette fonctionnalité à son état par défaut, c’est-à-dire active. Et c’est ce que beaucoup font probablement, car il ne leur vient pas à l’esprit d’essayer d’y changer quoi que ce soit. Ainsi, l’existence de cette option ne rend pas pour autant la fonctionnalité de surveillance acceptable.

Même si elle était désactivée par défaut, cette fonctionnalité resterait dangereuse : « activer une fois pour toutes » une pratique risquée, dont le risque varie selon les spécificités du système, invite au laisser-faire. Pour protéger la vie privée de l’utilisateur, les systèmes doivent simplifier l’usage de la prudence : quand un programme de recherche locale a une option de recherche sur le réseau, ce devrait être à l’utilisateur de choisir la recherche sur le réseau explicitement à chaque fois. C’est simple : il suffit de boutons séparés pour la recherche sur le réseau ou la recherche locale, comme c’était le cas dans les anciennes versions d’Ubuntu. Une fonctionnalité de recherche sur le réseau devrait aussi informer l’utilisateur clairement et concrètement sur la nature et la destination précise des données personnelles collectées, lorsqu’il utilise cette fonctionnalité.

Si une proportion suffisante des faiseurs d’opinion de la communauté voient cette question d’un point de vue uniquement personnel, s’ils désactivent la surveillance pour eux-mêmes et continuent à promouvoir Ubuntu, Canonical pourrait s’en tirer. Ce serait une grande perte pour la communauté du logiciel libre.

Nous, qui présentons le logiciel libre comme une défense contre les logiciels malveillants, n’affirmons pas qu’il s’agit d’une défense parfaite. Il n’existe pas de défense parfaite. Nous ne disons pas que la communauté va à coup sûr dissuader les gens d’implanter des logiciels espions. Donc, à proprement parler, ce n’est pas parce qu’il y a un logiciel malveillant dans Ubuntu que nous devons manger notre chapeau.

Mais ce qui est en jeu ici dépasse le fait de savoir si quelques-uns d’entre nous vont devoir avaler leur chapeau. La question est ici de savoir si notre communauté peut efficacement utiliser l’argument des logiciels espions privateurs. Si nous pouvons seulement dire « les logiciels libres ne vous espionnent pas, sauf si c’est Ubuntu », c’est bien moins percutant que de dire « les logiciels libres ne vous espionnent pas ».

Il nous appartient d’exprimer notre réprobation à Canonical avec suffisamment de force pour qu’il arrête cela. Canonical peut donner toutes les excuses qu’il veut, elles seront insuffisantes ; même s’il affectait tout l’argent que lui donne Amazon au développement de logiciel libre, cela pourrait difficilement contrebalancer ce que le logiciel libre a à perdre s’il cesse d’être un moyen efficace d’éviter aux utilisateurs de se faire flouer.

Si jamais vous recommandez ou redistribuez GNU/Linux, merci de retirer Ubuntu des distributions que vous recommandez ou redistribuez. Si la pratique d’installer et recommander des logiciels non libres ne vous convainc pas d’arrêter, ceci le fera. Dans vos install parties, dans vos « Journées du Libre », au FLISOL, n’installez pas et ne recommandez pas Ubuntu. À la place, dites qu’Ubuntu est mis à l’index pour espionnage.

Pendant que vous y êtes, vous pouvez aussi leur dire qu’Ubuntu contient des programmes non libres et suggère l’installation d’autres programmes non libres (voir http://www.gnu.org/distros/common-distros.html). Cela contrecarrera l’autre forme d’influence négative qu’exerce Ubuntu dans la communauté du logiciel libre : la légitimation des logiciels non libres.

Matériels incompatibles, absence d’interopérabilité, formats fermés, logiciels propriétaires… des motifs de colère et de combats familiers de la communauté libriste. Ces problématiques sont cependant un peu désincarnées aux yeux de la majeure partie de nos concitoyens du Net tant qu’ils n’ont pas été personnellement confrontés à des blocages fort irritants.

Une situation concrète est le point de départ du coup de gueule de Terence Eden. Quant à la véhémence de ses propos, elle est à la mesure de l’urgence. Car dans la guerre en cours, celle de notre liberté de choix, Apple, Amazon, Google et quelques autres ont plusieurs longueurs d’avance : des millions d’utilisateurs sont déjà entrés de leur plein gré dans des prisons numériques dorées.

Dans cet environnement, nous ne sommes plus propriétaires des fichiers médias que nous avons pourtant achetés, nous n’en sommes que les usagers à titre révocable et temporaire ! Autant dire que nous perdons la possibilité de réutiliser nos biens dès lors que nous changeons de support matériel. Du disque vinyle au CD-ROM et du DVD au fichier numérique, nous avons déjà vu comment un saut technologique nous contraint à acheter de nouveau. Eh bien cette farce au goût amer se joue maintenant sur la scène des médias numériques.

Parviendrons-nous à libérer nos médias captifs du matériel ? Il faudra certes bien plus qu’un coup de gueule comme celui qui suit, mais il n’est pas mauvais qu’un cri de colère agite un peu nos esprits de consommateurs endormis.

Je ne veux pas faire partie de votre putain d’écosystème

I Don’t Want To Be Part of Your Fucking Ecosystem

Terence Eden – 23 novembre 2012 – Blog personnel
(Traduction framalang & les twittos : Gatitac, Zii, ga3lig, Stan, Isdf, Slystone, Quartz, Coyau, Goofy, Exirel, greygjhart)

Je discutais avec un ami qui exprimait une opinion que je trouve assez répandue :

— Alors oui, j’aimerais bien passer à Android, mais tous mes données sont dans iTunes.

J’ai découvert que le problème, ce ne sont pas les applications : les racheter est pénible, mais la plupart sont gratuites. Le problème, ce sont les données qui emprisonnent les utilisateurs avec des services dont ils ne veulent plus.

Les musiques, les films, les séries TV, les abonnements et les podcasts. Tout est fermé à double tour dans l’étroit écosystème d’Apple. C’est une façon bien pensée d’enchaîner les gens à leur matériel.

Imaginez, ne serait-ce qu’un instant, que votre lecteur de DVD Sony ne puisse lire que des films de chez Sony. Si vous décidiez d’acheter un nouveau lecteur de marque Samsung par exemple, aucun de ces contenus ne serait lisible sur votre nouvel appareil sans un sérieux bidouillage.

Voilà les hauts murs derrière lesquels tant de grandes entreprises voudraient bien nous enfermer. Et je trouve que ça pue.

Sur un réseau de téléphonie mobile au Royaume-Uni, on peut utiliser le téléphone de son choix. Le matériel et les services sont complètement indépendants les uns des autres. Cela suscite de la concurrence parce que les consommateurs savent que s’ils sont mécontents de HTC, ils peuvent passer à Nokia et que tout fonctionnera comme avant.

Mais si tous vos contacts, vos services de divertissement et sauvegardes sont enchaînés à HTC, eh bien, vous êtes juste dans la merde si vous voulez changer.

Je veux assister à une séparation complète de l’Église et de l’État. Le matériel devrait être séparé du logiciel. Le logiciel devrait être séparé des services. Je veux pouvoir regarder des films achetés chez Nokia sur un système Google Android tournant sur un appareil Samsung, et ensuite sauvegarder le tout sur Dropbox.

C’est comme cela que ça fonctionne, plus ou moins, dans le monde du PC. Je ne comprends pas pourquoi cela n’est pas pareil dans le monde des tablettes et des smartphones. Pourquoi est-ce que j’achèterais une tablette qui ne fonctionnerait qu’avec le contenu d’un seul fournisseur ? Que ce soit Amazon, Microsoft ou Apple, ils constituent un dangereux petit monopole qui fera augmenter les prix et diminuer la qualité.

Bon, je sais. Le mantra du « It just works » (« Ça marche, tout simplement » ). Je suis légèrement dégoûté de devoir configurer ma tablette pour qu’elle parle à mon NAS, puis de faire en sorte que mon téléviseur fonctionne avec les deux à la fois. Cette situation n’est pas due à mes équipements multimédias qui viennent de différents fabricants, elle est plutôt due à ces différents fabricants qui n’utilisent pas de standards ouverts.

J’ai peur de ce qui arrivera lorsqu’un fournisseur mettra fin à un service. Je rigole à l’idée d’une éventuelle faillite d’Apple : même s’ils restent solvables, qu’est-ce qui les empêchera de supprimer tous vos achats de films et de musiques ? Après tout, ils ont fermé leur service Mobile Me quasiment sans avertissement et détruit toutes les données que leurs clients payants hébergeaient chez eux.

Adobe a fermé ses serveurs de DRM après un court préavis de 9 mois, en empêchant de fait quiconque de lire les livres pourtant achetés (Amazon peut vider votre Kindle).

Google a emmené Google Video au bûcher et lui a tiré une balle dans la tête — tout comme Buzz, Wave et qui sait combien d’autres produits.

Microsoft a mis en place PlaysForSure, puis l’a laissé mourir, piégeant ainsi des millions de fichiers musicaux sur des appareils qui ne sont plus pris en charge.

Donc peut-être vais-je m’en tenir à Google et espérer que mon téléviseur Google communiquera avec mon téléphone Google pendant que je regarderai des vidéos Google Play et que j’écouterai des musiques Google Play sur mon ChromeBook Google que je partagerai sur Google+ et que j’achèterai avec Google Wallet. Et je leur enverrai la prière du geek : « S’il vous plaît, ne décidez pas que ce service bien pratique n’est pas rentable ».

Je veux simplement que l’on s’entende tous. Je veux que mes équipements disparates se parlent. Je ne veux pas vivre dans une maison où chaque composant doit être fabriqué par une unique entreprise sous peine de ne rien voir marcher correctement. Je ne veux pas être bloqué ni devoir utiliser un mauvais produit parce que c’est le seul à offrir un certain service.

Je ne veux pas de vos jouets qui ne fonctionnent qu’avec les piles de votre marque.

Je ne veux pas faire partie de votre putain d’écosystème.

Crédit photo : Luke Addison (Creative Commons By-Sa)

Source : Fini l’anonymat sur Google Play (Begeek)

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Au fait, les libristes ont aussi un corps.

Et ils apprennent parfois à leurs dépens que dans le monde médical, le code propriétaire et les formats fermés peuvent empêcher d’avoir de meilleures chances de se soigner. Souvenez-vous de Salvatore Iaconesi, dont nous avions traduit les déclarations, qui voulait avoir accès à ses données médicales dans un format ouvert.

C’est une histoire personnelle comparable que raconte Karen Sandler au cours d’une conférence que nous vous proposons ici. Karen Sandler est loin d’être une inconnue dans le monde du Libre notamment par son militantisme et ses responsabilités au sein de la Gnome Foundation.

Découvrir qu’un problème cardiaque menace d’un jour à l’autre votre vie même est une épreuve que vous pouvez surmonter en faisant appel à un appareillage de haute technologie (pacemaker, défibrillateur…). Mais découvrir que cette technologie repose sur un code auquel on n’a pas accès, c’est comme le fait Karen prendre conscience que sa vie est à la merci d’un bug dans un code inaccessible…

Non seulement Karen livre ici avec humour le récit de ses déboires, mais elle évoque également d’autres domaines de la vie quotidienne où l’accès au code est désormais crucial. La vidéo qui suit, dont la transcription, la traduction et le sous-titrage ont été assurés par : FredB, Pandark, peupleLa, ga3lig, KoS, Mnyo, Lamessen, goofy, est relativement longue (54 minutes). Ceux qui ne disposent pas d’un long temps de lecture pourront découvrir de larges extraits de la conférence dans le texte sous la vidéo.

Note : je vois d’ici venir dans les commentaires tous ceux qui ne pourront résister au plaisir de faire un jeu de mots recyclant une des deux cent cinquante expressions comprenant le mot cœur. Eh bien, ils auront un gage ! À chaque astuce publiée en commentaire ils devront faire un petit don à Framasoft qui ne vit que de etc. voir le mantra automnal de notre campagne en cours.

La liberté dans mon cœur et partout ailleurs

Cliquer sur l’image pour accéder à la vidéo de la conférence

Je suis vraiment, vraiment contente d’être ici. Ma conférence s’appelle La liberté dans mon cœur et partout ailleurs. Comme dit précédemment, je fais partie de la communauté Libre et Open Source depuis un moment. Je suis directrice exécutive de la fondation GNOME. Nous en reparlerons un peu plus tard, c’est vraiment cool. Et j’ai longtemps été avocate au Software Freedom Law Center, pour finir par en devenir la directrice juridique. Donc j’ai eu l’occasion de faire la connaissance de plein de gens dans la communauté du logiciel Libre et Open Source en les aidant avec tous les emmerdements dont ils ne voulaient pas s’occuper. Vraiment, vraiment amusant ! Je suis une passionnée du Libre et de l’Open Source, je dirais, depuis les années quatre-vingt-dix.
Et je suis aussi une patiente.

Un très gros risque de mourir subitement

J’ai un cœur vraiment, vraiment très grand. En fait, j’ai un cœur énorme.
Vous pensez sûrement à mon travail pour des associations, mais en fait, j’ai une hypertrophie du cœur. J’ai une maladie appelée cardiomyopathie hypertrophique. Je suis toujours un peu nerveuse quand je parle de ça parce que ça revient à dire que mon cœur est un petit peu cassé. Ce n’est pas vraiment ça. Mon cœur est très épais et ça veut dire qu’il a du mal à battre. Il est un peu raide. Mais au final, tout va bien. Pour l’instant, je n’ai aucun symptôme. J’ai seulement un très gros risque de mourir subitement. Le terme est littéralement mort subite. C’est ce que les docteurs vous expliquent quand vous avez cette maladie et que vous devez suivre un traitement à vie. Ils disent que vous avez un risque élevé de mort subite.
Ce qui, en tant que patiente, est vraiment terrifiant. Deux ou trois fois par an je risque de mourir subitement. Et ça se cumule, donc j’ai découvert ça à 31 ans, soit de 20% à 30% environ de risque de mort subite pour la décennie suivante. C’est vraiment, vraiment une chose terrible à entendre… mais il existe maintenant une solution ! C’est de se faire poser un défibrillateur.
Le principe d’un défibrillateur, c’est qu’il est installé dans votre cœur. D’ailleurs j’en ai un, il est juste ici. Il a l’air vraiment énorme là mais c’est environ gros comme ça et c’est juste ici. Il a des câbles qui se glissent dans mes vaisseaux sanguins et qui s’enfoncent dans mon cœur, et en gros, il me surveille constamment.
C’est comme avoir des gens qui vous suivent partout avec un défibrillateur électrique et si je tombe raide morte tout à coup, il m’enverra une décharge et je serai remise sur pieds — Et je ne mourrai pas ! C’est formidable.

Qu’est-ce qui tourne dessus ?

Donc, tout ça est merveilleux, parfait. L’électrophysiologiste que j’ai rencontré et qui m’a expliqué ça en avait quelques-uns dans le tiroir de son bureau afin de pouvoir les montrer à tous ses patients parce qu’en voyant à quel point cet appareil est petit, ça parait nettement moins inquiétant. Il l’a poussé vers moi sur le bureau, j’étais assise là, avec ma mère. Je l’ai pris…
Et il disait : « Prenez-le, voyez comme c’est léger… » Alors je l’ai pris et j’ai demandé : « Cool ! Qu’est-ce qui tourne dessus ? ». En réponse, j’ai eu droit à un regard médusé. Ma mère semblait elle aussi perplexe.
Le chirurgien m’a demandé « Mais de quoi parlez-vous ? » et j’ai répondu « Eh bien, de toute évidence cet appareil ne vaut que ce que vaut son logiciel, c’est-à-dire qu’il se base sur le logiciel pour savoir quand je risque une mort subite, que ce soit quand je traverse une rue alors que je n’aurais pas dû, ou que je décide de courir un marathon, ou pour n’importe quelle autre raison. Je suis dépendante de ce logiciel pour savoir quand il est approprié de m’envoyer une décharge et quand ça ne l’est pas. Quand mon cœur a besoin d’être stimulé ou pas. Et l’électrophysiologiste, bien sûr, n’avait pas de réponse à me donner. Il m’a dit « Personne ne m’a jamais demandé ça. Je n’avais jamais pensé au logiciel sur cet appareil. Ne bougez pas, il y a un représentant de Medtronic dans nos bureaux aujourd’hui. Je vais aller lui demander, c’est lui le fabricant, et ils auront sûrement déjà pensé à ça ».
Donc, le représentant arrive et j’essaie de lui expliquer « Je suis avocate au Software Freedom Law Center. Je m’intéresse au logiciel sur mon appareil. Je veux juste savoir comment ça marche, sous quoi ça tourne ? Est-ce que vous pouvez me le dire ? ». Il a répondu : « Personne ne m’a jamais demandé ça auparavant ». Donc, on a eu une conversation très intéressante, et il a conclu par :
« Je comprends, c’est une question très importante, voici mon numéro, appelez moi, et je vous mettrai en contact avec des gens qui pourront vous parler de ça ». Enhardie par cet échange, je l’ai appelé à Medtronic. Il m’a passé le service technique et j’ai commencé à laisser des messages… Mais au final, je me faisais continuellement refouler. Personne ne voulait me parler de ça.

Vous devez nous faire confiance…

J’ai appelé les deux autres principaux fabricants d’appareil médicaux, Boston Scientific et St Jude, et aucun n’a su me donner une vraie réponse non plus. À la fin, j’ai commencé à appeler en disant : « Écoutez, si quelqu’un me laissait voir le logiciel… Je signerai un accord de confidentialité », C’est contre mes principes en tant que militante d’un organisme à but non-lucratif dans un domaine technique. Je n’ai pas envie de signer un contrat qui m’empêcherait de partager ce que je découvre avec le reste du monde. Mais j’ai pensé :
« Au moins, moi, je pourrai voir le code source et j’aurai davantage confiance dans ce qu’on installe dans mon corps ». Mais, malheureusement, on m’a envoyé balader. On m’a dit non. J’ai parlé avec des gens très compréhensifs à Medtronic. J’ai rencontré d’excellents docteurs. Et ces gens me disaient « Oh, vous savez, nous sommes Medtronic, nous avons à cœur de nous assurer de l’absence de bogue dans les logiciels que nous installons sur ces appareils. Évidement, nous ne le vendrions pas si nous ne pensions pas qu’il est sûr. Pour toutes ces raisons, vous devez nous faire confiance».
Le docteur a ajouté que la FDA, l’Agence fédérale américaine des produits alimentaires et médicamenteux, approuve ces appareils. Donc votre réaction est clairement disproportionnée ». Et quand j’en parlais avec mon électrophysiologiste au téléphone, je disais que j’étais vraiment gênée par tout ça, parce que je pensais à tous ces gens qui portent ces appareils. Certains sont relativement puissants, Dick Cheney en avait un à l’époque. Il en a un encore plus impressionnant aujourd’hui, qui fait continuellement circuler son sang alors techniquement, il n’a pas de pouls. C’est un appareil vraiment fascinant !

Est-ce que je vais vraiment avoir un logiciel propriétaire à l’intérieur de mon corps ?

Les populations qui bénéficient de ces appareils sont souvent dans des positions de pouvoir. Donc on peut facilement imaginer une situation où quelqu’un voudrait éteindre ces appareils. Et l’électrophysiologiste à qui je parlais au téléphone était tellement contrarié, tellement contrarié…qu’il m’a raccroché au nez. Il m’a dit « Je pense que vous préparez quelque chose… je ne comprends pas.. ; je ne sais pas pourquoi ça vous dérange tellement. Si vous voulez un appareil, je vous aiderai mais je ne… Je pense que vous êtes… vous… »
Et il a raccroché.
C’est vraiment terrifiant parce qu’il m’avait précisé au début de la conversation qu’il installait ces appareils tout le temps. Il en installe parfois plusieurs par jour. Alors l’idée qu’il ait pu ne même pas s’être posé de question à propos du logiciel installé sur ces appareils le terrifiait. J’ai donc remis à plus tard et je me suis dit, il faut que j’arrête de penser à ça. C’est trop terrifiant.
Est-ce que je vais vraiment avoir un logiciel propriétaire à l’intérieur de mon corps ? Je ne sais pas. Ajoutez à ça cette histoire de « mort subite » et le fait d’avoir un équipement cousu à l’intérieur de mon corps. Ça fait beaucoup à gérer. Alors j’ai continué à remettre ça à plus tard jusqu’à ce que je ne puisse plus différer parce que mes amis et ma famille continuaient à m’en parler et à me dire « Nous nous inquiétons tellement pour toi, nous savons que tu peux mourir à tout instant » Ma mère… vous savez, évidemment je n’ai pas de ligne fixe et mon mobile ne capte pas bien dans mon appartement Et ma mère, si je ne la rappelais pas dans l’heure commençait à appeler tous mes amis en demandant « Vous avez parlé à Karen aujourd’hui ? Vous savez si elle va bien ? » Je suis allée déjeuner avec une amie, et elle m’a demandé où en était cette histoire. Et j’ai répondu « Eh bien, les compagnies médicales ne me rappellent pas. Et tu sais, je suis sûre que je vais me débrouiller. Et elle a fondu en larmes et dit :
« Tu sais, tu pourrais mourir. Aujourd’hui. Et je ne peux pas le supporter. Si tu ne règles pas cette histoire, je ne sais pas si je peux encore être ton amie. C’est une chose très grave et tu l’ignores juste pour… » ce qu’elle considérait comme un problème ésotérique.
J’ai vraiment compris ça et j’ai compris que je n’avais pas le choix. Alors j’ai eu un appareil. Je me le suis fait implanter et ça a pris un peu de temps pour me remettre de l’opération et aussi pour réfléchir à propos de ma propre situation, prendre un peu de recul, faire quelques recherches. Mais je me suis juré que si j’acceptais cet appareil, j’allais faire des recherches, écrire un article et parler des problèmes que j’avais rencontrés et auxquels la profession médicale, ou du moins, les professionnels de la médecine que j’avais interrogés n’avaient pas de réponse.

Un bogue pour cent lignes de code

Donc, j’ai découvert des choses en écrivant cet article, certaines peuvent sembler normales, mais d’autres vous surprendront. Les logiciels ont des bogues. (…) Et les appareils médicaux, comme l’a dit Matthew Garret, auront des bogues, parce que l’institut d’ingénierie logicielle estime qu’il y a environ un bogue pour chaque centaine de lignes de code. Donc même si la majorité des bogues était interceptés par les tests, même si les trois quarts des bogues étaient interceptés lors des tests, ça fait toujours un sacré nombre de bogues.
J’ai lu une étude qui observait les rappels d’appareils publiés par la FDA. Fondamentalement, l’étude portait sur l’ensemble des rappels et a déterminé ceux qui venaient vraisemblablement de pannes logicielles puis ils les ont évalués. Parmi ceux qu’ils ont pu étudier suffisamment et dont ils ont pu déterminer précisément les failles logicielles : 98% d’entre elles auraient pu être détectées de simples tests par paires.
Donc, pour les tests basiques que vous êtes en droit d’attendre sur n’importe équipement technologique — oui, la FDA les soumet à quelques tests. Mais si les entreprises ne font pas de tests basiques qu’est ce qu’on peut faire ?
Donc, les logiciels ont des bogues. Ici dans cette pièce, tout le monde le sait. Une autre chose que la plupart d’entre nous savons c’est que la sécurité par l’obscurité ça ne marche pas. Même si ça peut sembler contre-intuitif pour ceux qui ne sont pas dans cette pièce. Toutes les personnes à qui j’ai expliqué cette idée dans le corps médical m’ont répondu : « Mais je ne comprends pas… pourquoi voulez vous que les gens puissent voir le logiciel ? Si tout le monde peut voir le code source, il sera beaucoup plus facile de le pirater ! ».
Mais nous savons tous que ce n’est pas le cas. En fait, en publiant le code source, tout le monde peut le voir, et il est plus sûr. Mais c’est une question capitale en réalité. J’en parle dans mon article : Tués par le code qui cite un certain nombre d’études montrant que les professionnels de la sécurité approuvent cette idée.
Donc pour le moment, on a le pire des deux mondes : un code fermé qui ne profite pas d’une relecture et d’une correction par le plus grand nombre. Mais on manque également de sécurité sur ces appareils. Beaucoup d’entre eux émettent des informations en sans fil. C’est le standard aujourd’hui. Quand j’ai découvert cela, j’étais choquée. Vous êtes en train de me dire que mon appareil cardiaque va émettre en continu ? Considérant les conférences auxquelles j’assiste, les gens que je fréquente, je n’ai vraiment pas envie de voir mes informations diffusées.

algorithmes

Donc c’est une des choses que j’ai abordées avec les différents docteurs que j’ai pu rencontrer. Comme vous l’imaginez, j’ai abandonné cet électrophysiologiste qui m’avait raccroché au nez. Et je suis allée de cardiologue en cardiologue pour trouver quelqu’un qui puisse comprendre ces problèmes ou qui puisse au moins comprendre pourquoi cela m’inquiétait. Et j’ai fini par trouver un excellent cardiologue et excellent électrophysiologiste qui m’a dit « Je n’avais jamais pensé à cette question, mais je comprends que ça puisse poser problème. Vous avez besoin de cet appareil, vous ne pouvez plus attendre. Mais je vais travailler avec vous, et on va trouver un moyen de résoudre au moins certains des problèmes qui vous inquiètent ».
Donc, l’une des choses que mon électrophysiologiste a faites c’est qu’il a appelé les hôpitaux, l’un après l’autre jusqu’à ce qu’il trouve un ancien pacemaker.
Il m’a expliqué que, ma défaillance cardiaque étant simple, j’avais seulement besoin d’un appareil qui surveillait les rythmes dangereux et qui m’enverrait une décharge en cas d’alerte. C’est un algorithme bien plus simple que celui des nouveaux appareils. Beaucoup des nouveaux appareils ont un algorithme complexe de stimulation pour des patients ayant une grande variété de problèmes. On peut tout à fait comprendre les raisons des compagnies médicales. Ces appareils sont très difficiles à faire. Ils fabriquent des produits de haute précision. Et s’ils peuvent utiliser ces appareils dans des cas plus variés alors tout est pour le mieux.
De plus vous ne pouvez pas savoir quels genres de complications les patients vont éventuellement développer. Donc, pour le moment, je n’ai aucun symptôme mais je pourrais en développer et c’est génial d’avoir cette technologie de stimulation. Mais mon cardiologue électrophysiologiste m’a dit : « Bon maintenant on voit que vous avez besoin de quelque chose de simple. Alors pourquoi ne pas vous trouver un ancien modèle d’appareil ? »
Donc j’ai actuellement un ancien appareil qui communique par couplage magnétique et non par technologie sans fil. Mais mon père a ce type de pacemaker et quand il entre dans une pièce du bureau des techniciens ils changent son pouls. Donc, avant même qu’il ne soit assis ils savent énormément de choses sur lui et ils ont la capacité de vraiment l’affecter. C’est incroyable. Mais comme vous pouvez le voir sur le dernier point de cette diapo ces appareils ont été hackés. En fait, un groupe de réflexion de plusieurs universités travaillant ensemble a montré qu’en utilisant du matériel disponible dans le commerce vous pouvez hacker ces appareils et en prendre le contrôle. Non seulement, Ils sont parvenus à déclencher des décharges ce qui est déjà terrifiant en soi…
— Une fois, mon pacemaker s’est déclenché par erreur et je peux vous dire, que c’est comparable à un coup de pied dans la poitrine. Ça vous met au tapis au moins pour quelques minutes. J’ai été forcée de m’asseoir, c’était si épuisant, la surprise et l’inquiétude m’ont forcée à dormir quelques heures pour m’en remettre. C’est très éprouvant.
… donc non seulement ils sont parvenus à envoyer une décharge mais ils ont également pu arrêter le traitement. Si l’appareil stimulait le pouls, ils pouvaient l’arrêter et beaucoup de gens ont besoin de stimulation pour rester en vie. Beaucoup de gens ne peuvent monter les escaliers sans cette stimulation. Mon père en fait partie. Ils ont également pu récupérer des informations clefs à partir de ces appareils comme les numéros d’identifications médicaux, les noms des médecins, les numéros de série… Beaucoup d’informations personnelles sont diffusées et il n’y a aucun chiffrement sur ces appareils. C’est plutôt inquiétant. Ils sont également parvenus à mettre les appareils en mode test ce qui a pour effet de consommer la batterie. Euh, la batterie s’épuise à un rythme bien plus rapide que dans des circonstances normales et ces appareils n’ont d’intérêt que s’ils ont de la batterie. Donc si la batterie lâche sur mon pacemaker il me faudra un nouvel appareil, ce qui signifie une opération.

…au bout du compte, personne à la FDA n’a vu le code source.

Donc ces appareils ont été hackés. Ces conclusions sont arrivées bien après mon diagnostic. Les médecins s’appuient beaucoup sur le fait que ces appareils ont l’agrément de la FDA aux États-Unis, et d’institutions similaires dans d’autres pays. En bonne avocate, j’ai fait des recherches sur la FDA et leur processus d’approbation des logiciels. Ce que j’ai découvert, c’est que la FDA ne vérifie pas systématiquement le code source des appareils sauf en cas d’erreur particulièrement visible en lien avec le logiciel, ils ne demandent généralement pas à le vérifier.
Il n’y a même pas de cahier des charges clair pour le logiciel et il y a des raisons pour ces décisions de la FDA, mais nous croyons que celle-ci devrait faire beaucoup plus qu’elle ne fait en réalité. L’absence de cahier des charges clair est lié au fait, d’après eux, que ces sociétés conçoivent des appareils très spécialisés avec des particularités propres à chaque fabricant. Il y a donc probablement des tests spécifiques à ces appareils et les mieux placés pour les réaliser sont ceux qui connaissent le mieux ces machines, c’est à dire leurs fabricants. Et il y a des allers-retours pour savoir s’ils ont fait les bons tests ou non, mais en vérité, au bout du compte, personne à la FDA n’a vu le code source.
Puisqu’ils ne le demandent pas, ils n’en ont même pas de dépôt. Donc si une panne catastrophique se produit chez Medtronic, par exemple, je ne sais pas s’il y a un dépôt canonique pour le logiciel auquel je pourrais avoir accès… et sans possibilité de mise à jour du logiciel sur mon appareil, je devrais être opérée pour en avoir un nouveau.

Pas de liberté vis-à-vis de mon propre corps

J’ai parlé lors d’un débat, avec un type dans la cyber-sécurité à la FDA et j’étais vraiment, vraiment nerveuse parce que j’ai fait tout ce que je pouvais en tant qu’avocate, j’ai fait toutes les recherches que j’ai pu sur la FDA mais je n’étais pas sûre que c’était vraiment le cas en pratique, donc j’ai projeté mes diapos et dit :
« John, dis-moi si je me trompe, mais voilà ce que je pense. Je pense que ça se passe comme ça… » Et j’ai continué avec une diapo sur le logiciel Libre et Open Source et pourquoi c’est tellement mieux et plus sûr. Dès qu’il a eu la parole, il a dit :
« Tout le monde pense que la FDA devrait faire comme ci, comme ça, mais nous n’avons pas les ressources et la FDA n’est pas là pour ça ».
Puis il a fait une pause, m’a regardée et juste quand j’allais… vous savez. Et il a dit: « Mais vous parlez d’autre chose. Vous parlez de laisser tous les autres passer en revue le code source, c’est quelque chose de très intéressant. Donc, s’assurer que les logiciels de nos appareils seront publiés revient à dire que tout le monde pourrait les relire. Mon père, qui a un pacemaker, est également ingénieur et un heureux programmeur. Il l’aurait probablement examiné.
Beaucoup ici connaissent des gens avec des pacemakers nous aurions fouillé dans ce code, assurément ! Une autre chose que j’ai découverte qui est un peu étrange c’est qu’aux États-Unis, comme ces appareils ont l’agrément d’une agence fédérale, les patients ne peuvent pas recourir à la State True Law. Il y a donc tout un éventail de recours auxquels ont normalement accès les patients, dont les fabricants n’ont même pas à s’inquiéter. Bon maintenant je ne dirais pas que les entreprises de matériel médical se moquent de savoir si les malades meurent, évidemment que non. Mais il y a toute une série de recours légaux qui ne sont pas disponibles. Vraiment étonnante cette étude, et j’ai tout résumé dans l’article que j’ai écrit : il est disponible sur le site web du centre juridique pour le logiciel libre.
Au bout du compte je n’ai pas de liberté vis-à-vis de mon propre corps. Je n’ai pas l’autorisation d’analyser le logiciel qui est implanté en moi. Il est littéralement connecté et vissé à mon cœur et je ne peux pas l’examiner. Ça me semble incroyable. Je n’en reviens toujours pas du fait que ça me soit arrivé. C’est un peu bizarre que moi, avocate au Software Freedom Law Center j’aie cette maladie cardiaque étrange, je l’admets. Mais c’est toujours hallucinant que je n’aie pas eu le choix. Le seul choix était entre une grande probabilité de mourir, ou se faire implanter cet appareil à l’intérieur du corps. J’espère que personne ici n’aura à faire ce choix, mais c’était vraiment, vraiment effrayant.

Voitures

Puis j’ai commencé à y réfléchir, et vous voyez, ce n’est pas seulement une question d’appareils cardiaques. Ça concerne tout ce dont dépendent nos vies dans notre société. Alors que j’y réfléchissais, j’ai pris conscience que cela concernait beaucoup plus de domaines de nos vies que je ne le pensais. Par exemple, les voitures. Comme ce groupe de réflexion universitaire qui a travaillé sur les appareils médicaux, soit dit en passant, si vous avez du temps, vous devriez lire cette étude. C’est fascinant, ils ont implanté cet appareil dans un sac de bacon ou de viande quelconque pour le stimuler et ils ont montré tout l’équipement facilement trouvable qu’ils ont utilisé pour modifier l’appareil.
Et la même procédure à été appliquée aux voitures. Et un autre groupe a montré qu’ils sont parvenus à pirater deux marques différentes, deux fabricants différents de voitures. Donc l’IEEE affirme qu’une voiture haut de gamme compte près de 100 millions de lignes de code. Donc si on revient à ce que le Software Engineering Institute a dit : « environ un bogue toutes les 100 lignes de code » ça fait un paquet de bogues, juste dans votre voiture. Et ce ce groupe a réussi à faire, tout ce que vous pouvez imaginer. Ils sont capable de faire accélérer, freiner la voiture. Ils ont réussi à contrôler chaque roue individuellement. Et ma partie préférée, juste pour s’amuser, je ne sais pas si vous pouvez voir, mais ils peuvent mettre des messages sur le tableau de bord et ils ont écrit pwnd et mis une petite émoticône avec un X pour les yeux. L’idée qu’ils aient pu prendre contrôle de deux marques différentes de voitures haut de gamme est vraiment incroyable pour moi.

La sécurité par l’obscurité ne fonctionne pas

Les machines à voter sont un autre domaine très sensible et nous en avons déjà parlé.
Beaucoup d’experts en sécurité ont parlé des problèmes avec leurs machines à voter. Aux États-Unis, nous comptons sur Diebold et beaucoup de fabricants privés. Nous avons eu des problèmes avec l’étalonnage. Je ne sais pas si vous avez vu ce dessin animé hilarant dans lequel des gens essayent de voter pour le bon candidat et le nom du candidat pour qui ils veulent voter se dérobe sur l’écran tandis que vous essayez d’appuyer dessus et à la fin, quel que soit votre choix, ça dit : « Vous vouliez voter pour l’autre candidat, n’est-ce pas ? N’est-ce pas ? »
Il est très difficile de le savoir parce que parfois nous n’avons pas de reçu pour vérifier, on ne sait même pas si notre vote a bien été enregistré et si on a pu voter pour notre candidat au final.
Vraiment bizarre car c’est la base de notre société et le pilier de notre démocratie. J’adore ce qu’ils ont fait au Brésil. Je ne sais pas si vous en avez entendu parler, mais le Brésil a dit : « On sait que ces logiciels ont des failles et des bogues ; alors on invite les équipes de hackers à venir, on vous donnera le code source et on donnera un prix à quiconque trouvera un moyen de trouver une faille pour s’introduire dans le système ». Sur toutes ces équipes, deux ont trouvé des bogues. Aucun d’eux ne pouvait affecter une élection, mais ils ont pu les corriger. Et ces hackers ont reçu une récompense. La démocratie est plus sûre. La sécurité par l’obscurité ne fonctionne pas. Je ne sais pas quand nous allons enfin le comprendre mais le Brésil a su le faire. Donc c’est possible.
Nos institutions financières, ouais c’est passionnant, les institutions financières sont un autre domaine dont nous avons récemment pu observer les déboires quand elles déclinent. De nombreuses institutions utilisent des logiciels et les marchés boursiers et le fonctionnement de nos banques. Toutes ces choses sont critiques vis-à-vis de la manière dont nous vivons. C’est plus sociétal, mais nous avons déjà vu qu’il y a des vulnérabilités de ce côté. Tout cela pour dire, et j’insiste : mon appareillage médical peut être contrôlé !

Nous avons atteint le point où le logiciel doit être utilisable par tous.

Nos voitures peuvent être contrôlées et détraquées et nos institutions financières compromises. Nous sommes tous d’accord, les logiciels socialement et vitalement critiques doivent être sûrs. Mais nous sommes à une période très intéressante. Car comment savoir quel logiciel est d’un intérêt vital ou socialement critique ? La manière d’utiliser les ordinateurs a changé si rapidement et récemment… Je suis ébahie par la quantité de gens qui se sont mis à utiliser des ordinateurs comme ils ne l’avaient jamais fait.
Ce ne sont plus seulement des personnes à l’aise avec la technologie. C’est tout le monde, nos grands-parents, tout le monde. Et nous utilisons les logiciels pour tout, c’est devenu notre manière de tout faire. Comment nous communiquons. Comment nous parlons au téléphone. Comment nous écrivons, faisons de l’art. Comment nous gérons les institutions scolaires et comment nous gérons nos vies. Nous construisons cette infrastructure et nous n’y réfléchissons même pas.
Beaucoup de personnes utilisent leurs téléphones pour suivre des choses comme leur entraînement ou leur régime. C’est très pratique parce qu’on peut suivre ce qu’on a mangé au fur et à mesure, ce qu’on a fait. Certains téléphones ont des podomètres, et c’est assez basique mais il existe déjà un logiciel pour l’iPhone qui peut communiquer avec une pompe à insuline et évaluer l’exercice et le régime en fonction du niveau de sucres dans le sang.
Et nous voilà revenus à l’appareillage médical. Vous avez un iPhone sur lequel vous comptez pour votre vie. Nous créons tout cette infrastructure, et nous avons envie d’y réfléchir voilà pourquoi l’ordinateur personnel est si important. C’est en quelque sorte là où tout prend son sens dans mon histoire personnelle et les raisons pour lesquelles j’ai quitté le Software Freedom Law Center que j’aimais et me rendait très heureuse d’y être avocate pour pouvoir travailler et être à la Fondation Gnome que j’ai également quittée.
Et je parle d’ordinateur entre guillemets parce que ça va des manières d’interagir avec nos ordinateurs à la façon dont nous gérons nos vies à travers des logiciels. Nous avons atteint le point où le logiciel doit être utilisable par tous. Je pense que tout le monde ici doit connaître une personne plus âgée qui, il y a quelque années, n’avait probablement jamais rien fait avec son ordinateur.
Ma mère était l’une de ces personnes. Je me rappelle qu’étant enfant, je lui répétais :
« Mais maman, regarde ces super jeux ! — m’intéressent pas »
Et je me rappelle qu’au collège, je lui disais :
« Maman, si nous pouvions parler par courriel, ça serait tellement mieux ! — (Rien)…
Je me rappelle à l’école de droit, je disais :
« Maman, je peux effectuer toutes ces recherches sur mon ordinateur, sans avoir à rester toute la journée à la bibliothèque, c’est génial ! — (Rien)…
Plus tard, j’ai essayé de lui dire « Maman, j’organise mon voyage avec mon ordinateur ». Soudain, elle était un peu intéressée et maintenant, avec tout ce qui est arrivé elle ne peut plus rien faire sans son ordinateur. Maintenant, son ordinateur est devenu… Premièrement, elle envoie des courriels et des messages à ses amis, elle gère ses voyages et ses finances. C’est spectaculaire pour moi parce que je n’ai pas utilisé ici mon père qui est ingénieur, mais ma mère était vraiment un peu technophobe. Et maintenant, elle aime Apple. ELLE AIME APPLE. Elle peut utiliser son ordinateur pour… elle n’a pas à y penser.
C’est super, et c’est très frustrant pour moi. Mais je suis contente qu’elle puisse maintenant utiliser un ordinateur et c’est quelque chose qu’elle possède maintenant. Elle ne me pose pas de questions, enfin si, elle le fait… Mais elle ne voit pas de raison pour laquelle ces appareils ne lui seraient pas destinés et elle est très représentative de la majorité de notre société. Et ces gens n’auraient pas été aussi capables il y a quelques années, de faire autant avec leurs ordinateurs. Nous devons séduire des gens parce que ce sont ceux qui choisissent d’adopter l’iPhone pour mettre en relation leur exercice et leur régime avec leur pompe à insuline.
C’est le genre de chose dont nous devons nous préoccuper parce que si nous ne rendons pas nos logiciels simple pour tout le monde, personne ne voudra les utiliser. Et nous avons aujourd’hui une opportunité, une fenêtre qui se referme lentement parce que nous faisons maintenant des choix avec lesquels nous allons devoir vivre longtemps. Nous créons des habitudes, nous créons des attentes et nous établissons la mesure de notre société concernant ce qui est ou non acceptable pour un logiciel.
Vous êtes ici, à LinuxConfAu, vous connaissez les raisons pour lesquelles vous devriez utiliser des logiciels Libres et Open Source. Vous êtes ici pour toutes ces raisons y compris parce que c’est vraiment amusant. Nous avons passé un bon moment ici, et appris toutes sortes de choses vraiment cool mais derrière tout ça, la source d’où proviennent toutes ces raisons, c’est la Liberté.
Le logiciel Libre et Open Source n’est pas juste un marché profitable c’est aussi la bonne chose à faire. Donc lorsque nous parlons de nos appareils cardiaques, nous parlons de nos machines à voter et ensuite de la manière de vivre nos vies et de l’infrastructure par laquelle nous communiquons.
Nous voyons que le logiciel Libre et Open Source est exactement ce qu’il faut à notre société et pour l’apporter aux autres gens nous devons nous assurer que c’est facile et simple à utiliser pour eux.
(…)
Nous devons franchir la barrière, nous devons fournir des logiciels utilisables par des gens qui sinon ne pourraient pas s’en servir. Nous devons nous assurer que nos ordinateurs sont accessibles à tous parce que nous ne pourrons pas créer la bonne infrastructure pour toute la société si nous n’embarquons pas ces gens avec nous. (…)
Vous savez, nous avons la technologie, c’est bien agréable. Je n’ai plus vraiment besoin de bidouiller mon bureau. Je suis passée sur Gnome-Shell, et c’est brillant et très bien fait, j’ai à peine besoin de lignes de commande pour les choses en lien avec mon environnement de travail et uniquement quand je me sens bloquée. Ce n’est pas pour tout le monde, mais nous devons faire le choix du libre et des plateformes ouvertes, nous avons besoin de développer là-dessus parce que c’est le seul moyen que nous ayons de créer des sociétés meilleures et plus sûres. C’est le seul moyen de créer un monde où nous saurons que nos logiciels seront revus et qu’ils auront leur intégrité. Nous devons construire nos communautés dans l’espace non lucratif car nous devons établir ce très haut degré de confiance. Nous devons réinvestir notre idéologie dans le logiciel libre. Pour aller un peu plus loin je dirais : il ne s’agit pas de terminologie, mais d’idéologie. Nous devons vraiment penser à rendre le monde meilleur car nous le pouvons et nous le devons. Choisissons les logiciels libres et ouverts pour nous-mêmes et pour notre société.