Laurent Chemla propose : exigeons des GAFAM l’interopérabilité

« Il est évidemment plus qu’urgent de réguler les GAFAM pour leur imposer l’interopérabilité. » écrit Laurent Chemla. Diable, il n’y va pas de main morte, le « précurseur dans le domaine d’Internet » selon sa page Wikipédia.

Nous reproduisons ici avec son accord l’article qu’il vient de publier sur son blog parce qu’il nous paraît tout à fait intéressant et qu’il est susceptible de provoquer le débat : d’aucuns trouveront sa proposition nécessaire pour franchir une étape dans la lutte contre des Léviathans numériques et le consentement à la captivité. D’autres estimeront peut-être que sa conception a de bien faibles chances de se concrétiser : est-il encore temps de réguler les Gafam ?

Nous souhaitons que s’ouvre ici (ou sur son blog bien sûr) la discussion. Comme toujours sur le Framablog, les commentaires sont ouverts mais modérés.

Interopérabilitay

« Interopérabilité » : ce mot m’ennuie. Il est moche, et beaucoup trop long.

Pourtant il est la source même d’Internet. Quasiment sa définition, au moins sémantique puisqu’il s’agit de faire dialoguer entre eux des systèmes d’information d’origines variées mais partageant au sein d’un unique réseau de réseaux la même « lingua franca » : TCP/IP et sa cohorte de services (ftp, http, smtp et tant d’autres) définis par des standards communs. Des machines « interopérables », donc.

Faisons avec.

L’interopérabilité, donc, est ce qui a fait le succès d’Internet, et du Web. Vous pouvez vous connecter sur n’importe quel site Web, installé sur n’importe quel serveur, quelle que soit sa marque et son système d’exploitation, depuis votre propre ordinateur, quelle que soit sa marque, son système d’exploitation, et le navigateur installé dessus.

Avant ça existaient les silos. Compuserve, AOL, The Microsoft Network en étaient les derniers représentants, dinosaures communautaires enterrés par la comète Internet. Leur volonté d’enfermer le public dans des espaces fermés, contrôlés, proposant tant bien que mal tous les services à la fois, fut ridiculisée par la décentralisation du Net.

Ici vous ne pouviez échanger qu’avec les clients du même réseau, utilisant le même outil imposé par le vendeur (« pour votre sécurité »), là vous pouviez choisir votre logiciel de mail, et écrire à n’importe qui n’importe où. Interopérabilité.

Ici vous pouviez publier vos humeurs, dans un format limité et imposé par la plateforme (« pour votre sécurité »), là vous pouviez installer n’importe quel « serveur web » de votre choix et y publier librement des pages accessibles depuis n’importe quel navigateur. Interopérabilité.

Bref. Le choix était évident, Internet a gagné.

Il a gagné, et puis… Et puis, selon un schéma désormais compris de tous, le modèle économique « gratuité contre publicité » a envahi le Web, en créant – une acquisition après l’autre, un accaparement de nos données après l’autre – de nouveaux géants qui, peu à peu, se sont refermés sur eux-mêmes (« pour votre sécurité »).

Il fut un temps où vous pouviez écrire à un utilisateur de Facebook Messenger depuis n’importe quel client, hors Facebook, respectant le standard (en l’occurrence l’API) défini par Facebook. Et puis Facebook a arrêté cette fonctionnalité. Il fut un temps où vous pouviez développer votre propre client Twitter, qui affichait ses timelines avec d’autres règles que celles de l’application officielle, pourvu qu’il utilise le standard (encore une API) défini par Twitter. Et puis Twitter a limité cette fonctionnalité. De nos jours, il devient même difficile d’envoyer un simple email à un utilisateur de Gmail si l’on utilise pas soi-même Gmail, tant Google impose de nouvelles règles (« pour votre sécurité ») à ce qui était, avant, un standard universel.

On comprend bien les raisons de cette re-centralisation : tout utilisateur désormais captif devra passer davantage de temps devant les publicités, imposées pour pouvoir utiliser tel ou tel service fermé. Et il devra – pour continuer d’utiliser ce service – fournir toujours davantage de ses données personnelles permettant d’affiner son profil et de vendre plus cher les espaces publicitaires. Renforçant ainsi toujours plus les trésoreries et le pouvoir de ces géants centralisateurs, qui ainsi peuvent aisément acquérir ou asphyxier tout nouveau wanabee concurrent, et ainsi de suite.

C’est un cercle vertueux (pour les GAFAM) et vicieux (pour nos vies privées et nos démocraties), mais c’est surtout un cercle « normal » : dès lors que rien n’impose l’interopérabilité, alors – pour peu que vous soyez devenu assez gros pour vous en passer – vous n’avez plus aucun intérêt à donner accès à d’autres aux données qui vous ont fait roi. Et vous abandonnez alors le modèle qui a permis votre existence au profit d’un modèle qui permet votre croissance. Infinie.

Imaginez, par exemple, qu’à l’époque des cassettes vidéo (respectant le standard VHS) un fabricant de magnétoscopes ait dominé à ce point le marché qu’on ait pu dire qu’il n’en existait virtuellement pas d’autres : il aurait évidemment modifié ce standard à son profit, en interdisant par exemple l’utilisation de cassettes d’autres marques que la sienne (« pour votre sécurité »), de manière à garantir dans le temps sa domination. C’est un comportement « normal », dans un monde libéral et capitaliste. Et c’est pour limiter ce comportement « normal » que les sociétés inventent des régulations (standards imposés, règles de concurrence, lois et règlements).

Et il est évidemment plus qu’urgent de réguler les GAFAM pour leur imposer l’interopérabilité.

Nous devons pouvoir, de nouveau, écrire depuis n’importe quel logiciel de messagerie à un utilisateur de Facebook Messenger, pourvu qu’on respecte le standard défini par Facebook, comme nous devons écrire à n’importe quel utilisateur de Signal en respectant le standard de chiffrement de Signal. Il n’est pas question d’imposer à Signal (ou à Facebook) un autre standard que celui qu’il a choisi (ce qui empêcherait toute innovation), pourvu que le standard choisi soit public, et libre d’utilisation. Mais il est question de contraindre Facebook à (ré)ouvrir ses API pour permettre aux utilisateurs d’autres services d’interagir de nouveau avec ses propres utilisateurs.

Au passage, ce point soulève une problématique incidente : l’identité. Si je peux écrire à un utilisateur de Messenger, celui-ci doit pouvoir me répondre depuis Messenger. Or Messenger ne permet d’écrire qu’aux autres utilisateurs de Messenger, identifiés par Facebook selon ses propres critères qu’il n’est pas question de lui imposer (il a le droit de ne vouloir admettre que des utilisateurs affichant leur « identité réelle », par exemple : ce choix est le sien, comme il a le droit de limiter les fonctionnalités de Messenger pour lui interdire d’écrire à d’autres : ce choix est aussi le sien).

Il est donc cohérent d’affirmer que – pour pouvoir écrire à un utilisateur de Messenger depuis un autre outil – il faut avoir soi-même un compte Messenger. Il est donc logique de dire que pour pouvoir lire ma timeline Twitter avec l’outil de mon choix, je dois avoir un compte Twitter. Il est donc évident que pour accéder à mon historique d’achat Amazon, je dois avoir un compte Amazon, etc.

capture d’écran, discussion sur Twitter
capture d’écran, discussion avec L. Chemla sur Twitter. cliquez sur cette vignette pour agrandir l’image

L’obligation d’avoir une identité reconnue par le service auquel on accède, c’est sans doute le prix à payer pour l’interopérabilité, dans ce cas (et – au passage – c’est parce que la Quadrature du Net a décidé d’ignorer cette évidence que j’ai choisi de quitter l’association).

Ce qui ne doit évidemment pas nous obliger à utiliser Messenger, Amazon ou Twitter pour accéder à ces comptes: l’interopérabilité doit d’accéder à nos contacts et à nos données depuis l’outil de notre choix, grâce à l’ouverture obligatoire des API, pourvu qu’on dispose d’une identité respectant les standards du service qui stocke ces données.

On pourrait résumer ce nouveau type de régulation avec cette phrase simple :

« si ce sont MES données, alors je dois pouvoir y accéder avec l’outil de MON choix ».

Je dois pouvoir lire ma timeline Twitter depuis l’outil de mon choix (et y publier, si évidemment j’y ai un compte, pour que les autres utilisateurs de Twitter puissent s’y abonner).

Je dois pouvoir consulter mon historique d’achats chez Amazon avec l’outil de mon choix.

Je dois pouvoir écrire à (et lire les réponses de) mes contacts Facebook avec l’outil de mon choix.

Il y aura, évidemment, des résistances.

On nous dira (« pour votre sécurité ») que c’est dangereux, parce que nos données personnelles ne seront plus aussi bien protégées, dispersées parmi tellement de services décentralisés et piratables. Mais je préfère qu’une partie de mes données soit moins bien protégée (ce qui reste à démontrer) plutôt que de savoir qu’une entreprise privée puisse vendre (ou perdre) la totalité de ce qui est MA vie.

On nous dira que c’est « excessivement agressif pour le modèle économique des grandes plateformes », alors qu’évidemment c’est justement le modèle économique des grandes plateformes qui est excessivement agressif pour nos vies privées et nos démocraties, d’une part, et que d’autre part l’interopérabilité ne modifie en rien ce modèle économique : dès lors qu’elles stockent toujours une partie de nos données elles restent (hélas) en capacité de les vendre et/ou de les utiliser pour « éduquer » leurs IA. Tout au plus constateront-elles un manque-à-gagner comptable, mais ne gagnent-elles pas déjà largement assez ?

À ce jour, l’interopérabilité s’impose comme la seule solution réaliste pour limiter le pouvoir de nuisance de ces géants, et pour rétablir un peu de concurrence et de décentralisation dans un réseau qui, sinon, n’a plus d’autre raison d’être autre chose qu’un simple moyen d’accéder à ces nouveaux silos (qu’ils devraient donc financer, eux, plutôt que les factures de nos FAI).

À ce jour, l’ARCEP, la Quadrature du Net (même mal), l’EFF, le Sénat, et même l’Europe (Margrethe Vestager s’est elle-même déclarée en faveur de cette idée) se sont déclarés pour une obligation d’intéropérabilité. C’est la suite logique (et fonctionnelle) du RGPD.

Qu’est-ce qu’on attend ?

Édit. de Laurent suite à la publication de l’article sur son blog

Suite à ce billet des discussions sur Twitter et Mastodon, indépendamment, m’ont amené à préciser ceci : prenons par exemple mamot.fr (l’instance Mastodon de la Quadrature) et gab.ai (l’instance Mastodon de la fachosphère). Mamot.fr, comme nombre d’autres instances, a refusé de se fédérer avec Gab. C’est son droit. En conséquence, les utilisateurs de Gab ne peuvent pas poster sur Mamot, et inversement.

Pour autant, les deux sont bel et bien interopérables, et pour cause : elles utilisent le même logiciel. Gab pourrait parfaitement développer un bout de code pour permettre à ses utilisateurs de publier sur Mamot, pour peu qu’ils s’y soient identifiés (via une OAuth, pour les techniciens) prouvant ainsi qu’ils en acceptent les CGU.

Ce qu’elles ne sont pas, c’est interconnectées : il n’est pas possible de publier sur l’une en s’identifiant sur l’autre, et inversement.

Je crois qu’au fond, les tenants de l’idée qu’on devrait pouvoir publier n’importe quoi n’importe où, sans identification supplémentaire, confondent largement ces deux notions d’interconnexion et d’interopérabilité. Et c’est fort dommage, parce que ça brouille le message de tous.

 

Pour aller plus loin dans la technique, vous pouvez aussi lire cette réponse de Laurent dans les commentaires de NextINpact.




Le nuage de Cozy monte au troisième étage

Tristan Nitot est un compagnon de route de longue date pour l’association Framasoft et nous suivons régulièrement ses aventures libristes, depuis son implication désormais « historique » pour Mozilla jusqu’à ses fonctions actuelles au sein de Cozy, en passant par la publication de son livre Surveillance://

Nous profitons de l’actualité de Cozy pour retrouver son enthousiasme et lui poser quelques questions qui nous démangent…

— Bonjour Tristan, je crois bien qu’on ne te présente plus. Voyons, depuis 2015 où tu es entré chez Cozy, comment vis-tu tes fonctions et la marche de l’entreprise ?

Tristan Nitot par Matthias Dugué, licence CC-BY

— Ça va faire bientôt trois ans que je suis chez Cozy, c’est incroyable comme le temps passe vite ! Il faut dire qu’on ne chôme pas car il y a beaucoup à faire. Ce job est pour moi un vrai bonheur car je continue à faire du libre, et en plus c’est pour résoudre un problème qui me tient énormément à cœur, celui de la vie privée. Autant j’étais fan de Mozilla, de Firefox et de Firefox OS, autant je détestais l’idée de faire un logiciel libre côté navigateur… qui poussait malgré lui les gens dans les bras des GAFAM ! Heureusement Framasoft est là avec Degooglisons-Internet.org et CHATONS, mais il y a de la place pour d’autres solutions plus orientées vers la gestion des données personnelles.

C’est quoi l’actualité de Cozy ?

La grosse actu du moment, c’est le lancement de Cozy pour le grand public. Le résultat de plusieurs années de travail va enfin être mis à disposition du grand public, c’est très excitant !

Fin 2016, nous avons commencé une réécriture complète de Cozy. Ces deux derniers mois, nous avons ouvert une Bêta privée pour près de 20 000 personnes qui en avaient fait la demande. Et puis hier, nous avons terminé cette phase Bêta pour ouvrir l’inscription de Cozy en version finale à tous. Autrement dit, chacun peut ouvrir son Cozy sur https://cozy.io/ et disposer instantanément de son espace de stockage personnel.

Allez, dis-nous tout : qu’est-ce qui a changé depuis le départ de Frank Rousseau ? Cozy a changé de politique ou bien reste fidèle à ses principes initiaux ?

En 18 mois, Cozy a bien grandi, nous sommes dorénavant 35 employés à temps plein, donc plus de structure qu’avant, plus de méthode, ce qui implique une accélération du développement. Par ailleurs, nous avons réécrit une très grosse partie du code, qui donne cette fameuse Cozy V3, plus rapide, plus économe en énergie et en ressources (c’est important !) et aussi plus jolie et beaucoup plus ergonomique. Nous avons aussi développé des applications de synchro pour GNU/Linux, MacOS, Windows, Android et iOS. Ce qui n’a pas changé, par contre, c’est notre attachement au logiciel libre, à la sécurité des données et au respect de la vie privée.

On peut avoir les chiffres ? Combien de particuliers se sont installé une instance cozycloud sur leur serveur/raspberry/autre ?

C’est difficile à dire car nous ne pistons pas nos utilisateurs. On sait juste qu’il y a eu quelques centaines de téléchargements de la version 3 par des gens qui veulent s’auto-héberger. Nous faisons des ateliers pour apprendre à installer Cozy et les places y sont rares tellement elles sont demandées ! Mais on imagine que pour des raisons de sécurité et de simplicité, la plupart des gens vont choisir de se faire héberger par Cozy Cloud. Je viens de vérifier, nous avons plus de 8000 instances Cozy sur notre infrastructure en Bêta fermée. Maintenant que nous venons de passer en version finale, nous espérons que ça va grimper très vite !

On voit bien quel intérêt est pour Cozy de s’appuyer sur une communauté de développeurs qui vont enrichir son magasin d’applications. Mais l’intérêt de la communauté, il est où ? Si je suis développeur et que j’ai une bonne idée, pourquoi irais-je la développer pour Cozy plutôt que pour un autre projet ?

C’est une excellente question ! Développer pour Cozy, c’est avant tout développer pour le Web, avec des technos Web, avec une spécificité : disposer d’une API pour accéder aux données personnelles de l’individu et donc fournir des applications innovantes. Cozy, c’est un espace sur un serveur où je peux stocker mes données personnelles, avec en plus des connecteurs pour récupérer des données stockées chez des tiers (données de consommation électrique ou téléphonique, bancaires, factures, etc.) et enfin c’est une plateforme applicative. C’est la combinaison de ces trois choses qui fait de Cozy une solution unique : en tant que développeur, tu peux écrire des applications qui utilisent ces données personnelles. Personne d’autre à ma connaissance ne peut faire pareil. Et en plus, elle est libre et auto-hébergeable !

Cozy en est à la version 3 et on a l’impression que ça évolue peu, malgré le numéro de version qui passe de 1 à 2 et de 2 à 3. Normal ? Est-ce qu’il existe des remaniements importants en arrière-plan qui ne seraient pas perceptibles par les utilisateurs et utilisatrices ?

Cozy est avant tout une plateforme, ce qui veut dire que c’est quand même une grosse base de code. Ça n’est pas juste une application, c’est un truc fait pour faire tourner des applications, donc c’est normal que ça prenne du temps de développement. Ces douze derniers mois ont été consacrés à la réécriture en langage Go pour plus de performance et d’ergonomie. La version 2 était encore très geek et pouvait rebuter les Dupuis-Morizeau, mais maintenant nous sommes dans un logiciel libre avec une finition et une ergonomie visant le plus grand nombre. Nous avons aussi profité de la réécriture du back-end pour revoir les applications Fichiers et Photos ainsi que les connecteurs. Par ailleurs, nous proposons une nouvelle application, Cozy Banks, qui est un agrégateur bancaire.

Un clin d’œil côté CGU – Leur détail est disponible aussi

 

On peut lire les engagements de Cozy sur cette page vie privée et ça fait plaisir. Mais au fait pour la sécurité comment on se débrouille ? C’est compliqué à administrer une instance Cozy sur son serveur personnel ?

J’aimerais pouvoir dire à tout le monde de s’auto-héberger, mais franchement ça ne serait pas raisonnable. Pour le faire, il faut des compétences, du temps, et de l’envie, et c’est trop vite arrivé de mal paramétrer sa machine pour ensuite se retrouver « à poil sur Internet ». Je déplore cette situation, mais il faut voir tout de même que qu’Internet est un milieu hostile, patrouillé par des robots qui attaquent toutes les adresses IP qu’ils trouvent. L’autre jour, lors d’un atelier Cozy sur l’auto-hébergement, on a créé des serveurs temporaires avec des mots de passe un peu trop simples (pour pouvoir les partager avec les stagiaires qui n’avaient pas de serveurs à eux). Résultat : la première attaque a été enregistrée au bout de 37 minutes seulement. Elle a réussi au bout de 3 h, alors qu’on finissait l’atelier ! Monter son serveur est relativement facile, c’est vrai, mais le maintenir en sécurité est nettement plus complexe et nécessite un vrai savoir-faire et l’envie d’y passer du temps. Donc c’est à chacun de décider ce qui lui convient. Cozy laisse le choix à chacun.

Ces applications sont sympas mais pourquoi elles ne fonctionnent pas hors de l’univers Cozy Cloud ? Pas de standalone ? En particulier, pourquoi développer une application pour Cozy, avec les contraintes techniques qui feront qu’elle ne pourra fonctionner que dans Cozy ? Est-ce que cela ne fractionne pas l’écosystème libre ?

En fait, une application Cozy, c’est une application Web, avec la possibilité de faire appel à des API pour accéder à des données personnelles. Comme tu le soulignes, Cozy n’a aucun intérêt à fragmenter l’écosystème libre. Par contre, Cozy veut innover et proposer des choses jamais vues ailleurs, comme l’accès à des données personnelles, et ça passe par les API que nous avons créées, pour aller chercher la donnée dans le file system ou la base de données Couch

On comprend bien que vous souhaitez combattre les silos, mais est-ce que les contraintes de croissance de la startup ne vont pas à l’encontre de cet objectif, menant à une possible dérive de Cozy en tant que silo ? Quelles mesures adoptez-vous pour éviter que Cozy ne devienne un nouveau silo ?

Encore une excellente question. Effectivement, il ne faut pas que Cozy devienne un silo, puisque c’est contraire à nos valeurs. Pour cela, nous avons dès le départ pensé à un certain nombre de choses qui permettent d’éviter cela. Tout d’abord, Cozy est un logiciel Libre, donc son code source est librement téléchargeable (sur https://github.com/cozy/ ) et ceux qui le veulent peuvent l’auto-héberger. Il y a donc une indépendance forte de l’utilisateur qui peut rapatrier ses données quand il le veut. Par ailleurs, pour ceux qui ne veulent pas s’auto-héberger, il est prévu que plusieurs hébergeurs proposent une offre Cozy, pour qu’on puisse déménager son instance et reprendre son indépendance. Si Cozy réussit, ça devient un standard libre. Reprocherait-on à GNU/Linux de s’être imposé sur les serveurs ? Au contraire, on s’en félicite !

Tu parles de SIRCUS (Système Informatique Redonnant le Contrôle aux UtilisateurS) dans ton livre Surveillance:// ; est-ce que CozyCloud en est un, autrement dit est-ce qu’il respecte tous les critères des SIRCUS ?

Avec le concept de SIRCUS, je définis plus des principes que des critères « durs ». La façon dont nous concevons Cozy fait que c’est un SIRCUS à la base, mais ça n’est pas juste Cozy qui décide de cela. L’utilisateur et son hébergeur ont aussi leur mot à dire. Par exemple, si vous installez une application propriétaire sur votre Cozy, vous vous éloignez du concept de SIRCUS. Ou si un hébergeur vous propose de l’espace disque gratuit en échange de publicité ou de fouiller dans vos données, ou si vous désactivez le chiffrement… c’est pareil : ça n’est plus vraiment un SIRCUS (voire plus du tout !).

En même temps, on l’a vu avec la problématique de l’auto-hébergement, c’est difficile d’avoir un SIRCUS «100 % pur ». Je redoute cette idée de pureté absolue, parce qu’elle est difficile à atteindre et peut décourager le plus grand nombre qui se dira « à quoi bon » voire « je n’ai rien à cacher », juste parce que ça semble inatteignable. Chez Cozy, on veut toucher le plus grand nombre avec la meilleure solution possible, pas se limiter à une élite geek, à un 1 % numérique.

Est-ce que toutes mes données personnelles stockées sur Cozy transitent et restent uniquement chez Cozy, et non chez l’un de ses partenaires ?

En fait, ça dépend de plusieurs critères, à commencer par la solution d’hébergement choisie : si vous êtes auto-hébergé, les données sont chez vous. Si vous avez une instance Cozy, ça reste sur les serveurs que Cozy loue à OVH. Si vous utilisez l’application Cozy Banks, laquelle fonctionne en partenariat avec Linxo (nous utilisons leurs connecteurs bancaires), alors vos données bancaires transitent via les machines de Linxo.

Parmi les missions qui sont les tiennes au sein de Cozy, il y a l’objectif de mobiliser la communauté. Est-ce que cette mobilisation a répondu à tes/vos attentes ? Quel message souhaites-tu transmettre à la communauté libriste aujourd’hui ?

La réécriture de Cozy pour faire la v3 a été difficile de ce point de vue-là. Je suis ravi du résultat en termes de performance, de fonctionnalités et d’ergonomie, mais cela a gêné le développement de la communauté, puisque nous sommes restés de longs mois sans « os à ronger » : les anciens connecteurs ne fonctionnaient plus avec la v3, les outils changeaient, la v2 ne progressait plus, bref, pas facile d’animer une communauté dans de telles conditions.

Mais tout cela est maintenant derrière nous avec l’arrivée de Cozy V3 : c’est le moment d’essayer Cozy, d’en parler autour de soi, d’y stocker ses données. J’espère qu’on va réussir avec Cozy ce qu’on a fait avec Firefox, à savoir un produit libre et bien fichu que les non-geeks ont envie d’utiliser et que les geeks et/ou libristes ont envie de recommander. L’arrivée de Cozy V3, c’est aussi l’occasion de l’utiliser comme plateforme pour développer des applications qui tirent parti de données personnelles. Allez voir sur Github ! On organise aussi des meetups et ateliers pour ça, venez et participez ! On peut même voir comment en organiser en régions 🙂

Parlons un peu business. Après une grosse (deuxième) levée de fonds, Cozy peut progresser, mais pour aller vers où ? Est-ce que l’expérience en cours avec la MAIF est un exemple que Cozy veut voir se multiplier ? Selon toi, pourquoi des entreprises comme la MAIF (aussi La Poste, INRIA, EDF, Orange…) adoptent-elles Cozy Cloud ou s’y intéressent-elles? Ce ne serait pas parce qu’elles ont peur de se faire dépasser dans leur domaine d’activité par le grand méchant Google ?

La vérité, c’est que presque personne n’a intérêt à ce que les GAFAM dominent le monde : ni les consommateurs, qui sont transformés en bétail produisant de la donnée et consommant de la pub ciblée, ni les entreprises qui sont à deux doigts de se faire uberiser. Les États aussi ont beaucoup à perdre, vu l’optimisation fiscale hyper agressive des GAFAM. Donc redonner aux entreprises les moyens de repenser leur relation client avec des moyens techniques permettant de respecter la donnée personnelle, ça a du sens, beaucoup de sens ! Donc nous avons la chance d’avoir la MAIF qui est très mûre dans cette approche, qui pourrait nous aider, en proposant un jour des instances à ses clients. Ça nous permettrait de toucher un public plus large avec du logiciel libre respectueux de la vie privée. Je trouve cette perspective très excitante, bien plus que ce qu’on constate actuellement avec des plateformes centralisées et privatrices. Et c’est pour ça que je me lève le matin avec autant d’enthousiasme 🙂

Le respect de la confidentialité des données est un atout majeur de Cozy par rapport à des solutions de cloud hégémoniques. Comment ça se traduit concrètement pour une entreprise qui s’adresse à vous ? Est-ce que c’est perçu comme un avantage décisif ?

Oui, absolument, c’est une des particularités de la solution Cozy. Mais surtout, c’est une opportunité pour les entreprises de battre les GAFAM en changeant les règles du jeu. Les géants de l’Internet veulent les données personnelles pour désintermédier les entreprises ? Ces dernières aident leurs clients à reprendre la main sur leurs données personnelles pour entrer dans une relation client/fournisseur plus saine.

Et finalement comment vous comptez gagner des sous ? Vos investisseurs (MAIF et Innovacom) attendent quoi de votre réussite ?

C’est une question essentielle ! Nous avons annoncé hier le modèle de financement de Cozy, qui est un modèle dit freemium, c’est-à-dire un mix entre un modèle gratuit et un modèle payant. En bref, on peut avoir son espace Cozy gratuitement, mais il est limité à 5Go de stockage. Si vous voulez disposer de plus, il est possible d’avoir 50Go de stockage pour 2,99€ par mois ou pour les gloutons de la donnée, 1000 Go pour 9,99€ par mois. Évidemment, ceux qui veulent s’auto-héberger n’auront pas à payer : le logiciel est libre et gratuit (téléchargeable depuis https://docs.cozy.io/fr/install/debian/ ). Cozy est un logiciel libre et le restera !

Merci d’avoir répondu à nos questions, on te laisse comme il est de coutume le mot de la fin !

On voit bien le succès des services Dégooglisons Internet, on constate que le mouvement CHATONS prend de l’ampleur, et dans quelques jours, c’est le FOSDEM où j’aide à l’organisation d’une salle dédiée à la décentralisation d’Internet et à la vie privée. Et hier, c’était le lancement public de Cozy. Même Mark Zuckerberg, le patron de Facebook, annonçait dans ses vœux qu’il voulait réparer Facebook (attention les yeux, lien vers FB ) et remettre la décentralisation d’Internet à l’ordre du jour, pour redonner à chacun plus de pouvoir sur ses données, donc sur sa vie numérique, donc sa vie tout court. Je pense que ce moment est venu. Nous entrons doucement dans l’ère post-GAFAM. Comme le dit une association que j’aime beaucoup, le chemin est long, mais la voie est libre !

 

 




Des métadonnées Twitter…

S’il est de notoriété publique que nos données personnelles sont enregistrées et utilisées par les G.A.F.A.M., il est en revanche moins connu que certaines de ces données sont utilisables par tout le monde. Et c’est bien là le point faible de toute campagne de prévention : on a beau dire que nos données sont utilisées, il est peu fréquent que nos paroles soient illustrées.

x0rz publie sur son blog un billet qui illustre parfaitement ce problème. En effet, il a écrit un petit script Python (moins de 400 lignes de code) qui récupère et synthétise les métadonnées Twitter, accessible par n’importe qui.

Ce billet ouvre deux perspectives :

  • Concernant le harcèlement numérique : certes ces données sont publiques, mais il faut tout de même quelques capacités en programmation pour les exploiter, ce qui n’est pas à la portée de tout le monde. Imaginons qu’apparaissent de plus en plus de programmes grand public permettant d’accumuler et synthétiser ces données. Il deviendra alors plus facile pour un particulier d’identifier et de traquer une autre personne.
  • Concernant les métadonnées en général : dans cet exemple, les données analysées restent très basiques (heure et localisation). Nous arrivons toutefois, par l’accumulation et le recoupement, à déduire des informations intéressantes de ces « méta-métadonnées », et à identifier nettement une personne. Imaginons que les métadonnées enregistrées soient plus précises et plus nombreuses, les informations obtenues seraient alors d’une importance et d’une précision inimaginables. Est-ce alors nécessaire de mentionner qu’à la fois les entreprises (ici Twitter) et les agences gouvernementales ont accès à ce genre de métadonnées ?

Article original écrit par x0rz, consultant en sécurité informatique, sur son blog.

Traduction Framalang : mo, mathis, goofy, valvin, Diane, Moriarty, Bromind et des anonymes

Vous serez surpris par tout ce que vos tweets peuvent révéler de vous et de vos habitudes

Une analyse de l’activité des comptes Twitter

J’utilise Twitter tous les jours. Pour moi qui suis consultant en cybersécurité, c’est de loin un des meilleurs outils pour rester informé des dernières actualités et pour partager des informations qu’on estime pertinentes pour d’autres. Avec la récente investiture de Donald Trump, les dingos de Twitter de la nouvelle administration et l’émergence de groupes de résistance sur Twitter, j’ai décidé de démontrer à quel point il est facile d’exposer des informations révélatrices à partir du compte de quelqu’un d’autre, sans même le pirater.

Métadonnées

Comme tous les réseaux sociaux, Twitter sait beaucoup de choses sur vous, grâce aux métadonnées. En effet, pour un message de 140 caractères, vous aurez un paquet de métadonnées, plus de 20 fois la taille du contenu initial que vous avez saisi ! Et vous savez quoi ? Presque toutes les métadonnées sont accessibles par l’API ouverte de Twitter.
Voici quelques exemples qui peuvent être exploités par n’importe qui (pas seulement les gouvernements) pour pister quelqu’un et en déduire son empreinte numérique :

  • Fuseau horaire et langue choisie pour l’interface de twitter
  • Langues détectées dans les tweets
  • Sources utilisées (application pour mobile, navigateur web…)
  • Géolocalisation
  • Hashtags les plus utilisés, utilisateurs les plus retweetés, etc.
  • Activité quotidienne/hebdomadaire

Un exemple d’analyse de tweet (2010, l’API a beaucoup changé depuis).

Tout le monde connaît les dangers des fuites de géolocalisation et à quel point elles nuisent à la confidentialité. Mais peu de gens se rendent compte que tweeter de façon régulière suffit à en dire beaucoup sur vos habitudes.
Prendre séparément un tweet unique peut révéler des métadonnées intéressantes. Prenez-en quelques milliers et vous allez commencer à voir se dessiner des lignes directrices. C’est là que ça devient amusant.

Méta-métadonnées

Une fois qu’on a collecté suffisamment de tweets d’un compte on peut par exemple identifier ceux qui relèvent d’une entreprise (émettant uniquement pendant les horaires de bureau) et même essayer de deviner combien d’utilisateurs interagissent avec ce compte.
Pour prouver ce que j’avance, j’ai développé un script en python qui récupère tous les derniers tweets de quelqu’un, extrait les métadonnées, et mesure l’activité en fonction de l’heure et du jour de la semaine.

Analyse du compte de @Snowden

Snowden a posté 1682 tweets depuis septembre 2015. Comme on peut le voir ci-dessous, il est facile de déterminer son rythme de sommeil (fuseau horaire de Moscou).

Activité du compte Twitter de Snowden

Analyse du compte de @realdonaldtrump

Est-ce que le compte de Donald Trump est géré par plusieurs personnes ? Cette fois en observant le nombre de sources détectées, je vous laisse deviner…

Sources des tweets du compte de Donald Trump

Recommandations générales

Je vous recommande fortement de lire les conseils de sécurité Twitter du Grugq. En plus de ce guide, je vous conseille d’être prudents avec les fuseaux horaires et les langues que vous utilisez, et d’être également conscients que vos tweets peuvent être analysés comme un tout : ne tweetez pas toujours à la même heure si vous ne voulez pas que les gens devinent votre fuseau horaire. Bien sûr, ces principes sont valables seulement si vous souhaitez rester anonyme, ne les appliquez pas à votre compte principal (ce serait une perte de temps) !

Code source

J’ai publié mon script sur GitHub. C’est open source donc n’hésitez pas à contribuer 😉