Pendant que nous sommes tout occupés à paramétrer notre smartphones ou à répondre par un « poke » à un « poke » de nos amis Facebook, l’industrie du copyright fait pression et participe à mettre en place des lois qui dessinent les contours d’un monde assez terrifiant pour nos libertés.

Et ce n’est pas, comme on l’affirme souvent, qu’elle ne capte rien à Internet. C’est au contraire parce qu’elle a trop bien compris les dangers qui la menacent.

Un billet cinglant de Rick Falkvinge, que nous aimons beaucoup traduire par ici, et qui vient d’ouvrir une section française de son blog grâce au dynamisme de Paul Neitse et de Jean-Marc Manach. D’ailleurs, zut alors, je m’aperçois au moment de la mise en ligne que ce dernier a déjà traduit l’article en question ! Bon, tant pis, ça fera deux versions, c’est aussi cela les licences libres 😉

Comment l’industrie du copyright conduit à une dystopie du type Big Brother

How The Copyright Industry Drives A Big Brother Dystopia

Rick Falkvinge – 12 novembre 2012 – Blog personnel
(Traduction : Mnyo, ehsavoie, lgodard, @paul_playe, ordiclic, PostBlue)

Bien trop souvent, j’entends que l’industrie du copyright ne comprend pas Internet, ne comprend pas la génération du net, ne comprend pas à quel point la technologie a changé. Non seulement c’est faux, mais c’est dangereusement faux. Pour vaincre un adversaire, vous devez d’abord comprendre comment il pense plutôt que de le présenter comme le mal. L’industrie du copyright comprend exactement ce qu’est Internet, et qu’il doit être détruit pour que cette industrie garde un soupçon de pertinence.

Regardez les lois qui sont proposées en ce moment : écoutes téléphoniques généralisées. fichage des citoyens, exile par excommunication… Toutes ces lois poursuivent un dessein commun : elles ont pour but de recentraliser les autorisations pour publier idées, connaissances et culture, et punir avec une sévérité totalement disproportionnée quiconque se mettrait en travers du chemin des gardiens.

Être en position de gardien, ou avoir eu ce poste de gardien, apprend à quiconque ce qu’est le pouvoir, dans le pire sens du terme. Si vous pouvez décider quels seront la culture, le savoir et les idées dont pourront profiter les gens – si vous avez la position pour dire si oui ou non une idée sera publiée – alors cela va bien au-delà du pouvoir de la simple publication. Cela vous met en position de choisir. Cela vous met dans une position où vous décidez quel sera le cadre de référence pour tout le monde. Cela vous donne littéralement le pouvoir de décider ce que les gens diront, ressentiront et penseront.

La possibilité de partager idées, culture, et connaissance sans permission ou traçage est inscrite dans les fondements du net, comme c’était le cas pour le service postal lors de sa création. Quand nous envoyons une lettre par courrier, nous et nous seuls choisissons si nous nous identifions comme expéditeur sur l’enveloppe, dans le courrier pour le seul destinataire, ou pas du tout. De plus, personne n’ouvrira nos enveloppes scelées durant le voyage juste pour vérifier ce que nous envoyons.

L’internet reproduit cela. Il est parfaitement raisonnable que nos enfants y aient les même droits que ce qu’ont pu avoir leurs parents. Mais si nos enfants ont ces même droits, dans un milieu où ils communiquent, cela rend une partie de certaines industries obsolètes. C’est donc ce que l’industrie des ayant-droit essaie de détruire.

Ils font pression pour des lois qui introduisent l’identification et le traçage de nos logs de connexion. L’industrie du copyright a été l’un des plus forts soutien de la directive de rétention des données en Europe, qui impose l’enregistrement de nos communications, pas les contenus mais le journal et l’historique de nos sessions (qui avons-nous contacté ? quand ? pour quelle durée ? et ce pendant un temps significatif. Ce sont des données qu’il était absolument interdit de conserver auparavant pour des questions de vie privée. L’industrie du copyright s’est arrangée pour tourner cette interdiction en obligation.

Ils font pression pour introduire des lois impliquant la responsabilité (pénale) à tous les niveaux. Une famille de quatre personnes peut être traduite en justice par un cartel d’industries, dans un salle d’audience où la présomption d’innocence n’existe pas (en procédure au civil). Et ils militent pour que les transporteurs de courriers scellés soient responsables des messages qu’ils transportent. Cela va à l’encontre de siècles de pratique des services postaux en acceptant leurs desiderata extrajudiciaires, en dehors des salles d’audience où les gens ont encore des droits minimums à se défendre.

Ils font pression pour des lois qui introduisent les écoutes téléphoniques pour des populations entières et agissent en justice pour le droit de le faire avant que cela ne devienne la loi. Ils l’ont fait de toute façon sans le dire à personne.

Ils font pression pour des lois permettant d’envoyer des gens en exil (en leur supprimant l’accès au net), les empêchant d’exercer leur fonction dans la société, s’ils écrivent ce qu’il ne faut pas dans des lettres scellées.

Ils font pression pour des lois de censure active comme nous n’en avions plus connues depuis un siècle, utilisant la pédopornographie comme cheval de Troie (qui n’a aucun effet, bien au contraire, sur cette dernière).

Ils font pression pour des lois introduisant une traçabilité, même pour des délits mineurs, incluant spécifiquement le partage de la culture (qui ne devrait pas évidemment pas être un délit). Dans certains cas, lorsqu’il s’agit de violer la vie privée, ces lois donnent à l’industrie du copyright des droits plus forts qu’elle n’en donne aux forces de police.

Réunissons ces lois iniques et il va être enfin possible, enfin, de se de se débarrasser de notre liberté d’expression et de nos droits fondamentaux, tout ça pour soutenir une industrie non-nécessaire. Cela crée un Big Brother cauchemardesque, au delà de ce qu’auraient jamais pu imaginer les gens il y a à peine une décennie. Ma sempiternelle question est la suivante : pourquoi les gens préfèrent-ils s’accommoder de cela au lieu de fracasser la chaise la plus proche sur la tronche de ces bâtards ?

Par exemple, nous avons entendu dire que les FAI (Fournisseur d’Accès à Internet) des États-Unis d’Amérique vont commencer à se soumettre aux diktats de l’industrie du copyright dans le traitement de ses propres clients, jusqu’à les déposséder de leur citoyenneté et de leur droit à l’anonymat. Un jeu que l’on pourrait appeler : j’envoie mamie dans le box des accusés. Un cas d’école de mauvaises relations avec la clientèle dans les futurs manuels de marketing : faire en sorte que vos clients puissent être traduits en justice (et perdre) par des organisations industrielles dans un jeu truqué où ils ne sont mêmes pas présumés innocents. Sérieusement, à quoi pensent donc les FAI ?

Aujourd’hui, nous exerçons nos droits fondamentaux – le droit à la vie privée, le droit à l’expression, le droit à la correspondance, le droit de s’associer, le droit de se réunir, le droit à une presse indépendante, et bien d’autres droits – par le biais de l’Internet. Par conséquent, un accès anonyme et non censuré à Internet est devenu un droit aussi fondamental que les droits que nous exerçons à travers lui.

Si cela veut dire qu’une industrie stupide qui fait de fines galettes de plastique ne peut plus faire d’argent, peu me chaut qu’ils fassent faillite ou vendent de la mayonnaise à la place.

C’est leur problème.

Crédit photo : Thomas Leuthard (Creative Commons By)

Nous imaginant technophiles béats, les gens sont souvent surpris de la prise de position de la grande majorité des partisans du logiciel libre en défaveur du vote électronique (quand bien même on ait accès au code source qui pilote la machine et le processus, ce qui semble être du bon sens mais non partagé).

Ce n’est pas l’expérience ci-dessous, au moment même où se déroulent les élections présidentielles américaines, qui risque de nous faire changer d’avis.

Comment j’ai hacké une machine de vote électronique

Roger Johnston (raconté par Suzanne LaBarre) – 5 novembre 2012 – PopSci.com
(Traduction : Zii, ehsavoie, plink, KoS, aKa, lgodard, MF, Ag3m, greygjhart)

How I Hacked An Electronic Voting Machine

De quoi avez-vous besoin pour truquer une élection ? Des connaissances basiques en électronique et 30 dollars d’équipement de RadioShack suffisent, révèle le hackeur professionnel Roger Johnston. La bonne nouvelle : nous pouvons empêcher cela.

Roger Johnston est à la tête de la « Vulnerability Assessment Team » au Laboratoire National d’Argonne. Récemment, lui et ses collègues ont lancé une attaque de sécurité sur des machines de vote électronique pour montrer la facilité déconcertante avec laquelle quelqu’un peut trafiquer les votes. Encore plus surprenant : les versions de ces ordinateurs seront présentes dans les bureaux de vote de toute l’Amérique ce mardi. Le magazine Harper a rapporté recemment que l’écran tactile Diebold Accuvote-TSX va être utilisé par plus de vingt-six millions de votants dans ving États et que l’ordinateur de vote à bouton pressoirs Sequoia AVC va être utilisée par presque neuf millions de votants dans quatre États. Dans cet article, Johnston révèle comment il a hacké ces machines — et que c’est à la portée du premier venu, du lycéen à la grand-mère de 80 ans.

La Vulnerability Assessment Team du Laboratoire National d’Argonne scrute une large variété d’équipements électroniques — serrures, sceaux, tags, contrôle d’accès, biometrie, sécurité des cargaisons, sécurité nucléaire — pour tenter de trouver des vulnérabilités et repérer des solutions potentielles. Malheureusement, on n’alloue pas assez de budget à l’analyse de la sécurité des élections dans ce pays. Alors nous nous sommes penchés dessus, histoire de nous occuper, un samedi après-midi.

On appelle cela une attaque de l’homme du milieu. C’est une attaque classique sur les appareils de sécurité. On implante un microprocesseur ou un autre appareil électronique dans la machine de vote, et cela vous permet de contrôler le vote et de tricher ou non. Basiquement, on interfère avec la transmission de l’intention du votant.

Nous avons utilisé un analyseur logique. La communication digitale est une série de zéros et de uns. Le voltage augmente, diminue. Un analyseur logique rassemble les voltages oscillants entre haut et bas et vous présentera ensuite les données digitales dans une variété de formats. Mais il y a plein de manières de faire. Vous pouvez utiliser un analyseur logique, un microprocesseur, un ordinateur — en gros, n’importe quoi qui vous permette de voir l’information qui est échangée et ensuite vous laisse comprendre ce qu’il faut faire pour imiter l’information.

Nous avons donc espionné les communications entre le votant et la machine. Dans un cas, le votant appuie sur des boutons (c’est une machine à voter avec des boutons poussoirs) et dans l’autre, il interagit avec un écran tactile. Puis, nous avons écouté les communications entre le logiciel de la machine et le votant. Disons que je veux que Jones gagne l’élection, et que vous votez pour Smith. Alors, mon microprocesseur va dire à la machine de voter pour Jones si vous essayez de voter pour Smith. Mais si vous votez pour Jones, je n’interviendrai pas dans les communications. Parfois on bloque les communications, parfois on les déforme, parfois on ne fait que les regarder et les laisser passer. C’est ça l’idée. Deviner quels sont les échanges en cours, puis les modifier si besoin est, y compris ce qui sera présenté au votant.

Nous pouvons faire ceci car la plupart des machines, autant que je sache, ne sont pas chiffrées. C’est simplement un format de communication standard. Il est donc très simple de deviner les informations échangées. N’importe quelle personne qui fait de l’électronique numérique — un amateur ou un fan d’électronique — peut le deviner.

Le dispositif que nous avons intégré dans la machine à écran tactile valait en gros 10 $. Si vous voulez une version de luxe où vous pouvez le contrôler à distance jusqu’à environ 800 mètres, il vous en coutera 26 $. Ce n’est pas très cher. Vous pouvez trouver ça chez RadioShack. Je suis allé à des salons scientifiques dans des lycées où les gosses avait des projets avec des processeurs plus sophistiqués que ceux nécessaires pour truquer ces machines.

Parce qu’il n’y a pas de financements pour ce genre de tests de sécurité, il faut compter sur des gens qui achètent des machines d’occasion sur eBay (dans ce cas l’écran tactile Diebold Accuvote TS Electronic Voting Machine et la machine à boutons Sequoia AVC Advantage Voting Machine). Ces deux machines étaient un peu vieilles, et nous n’avions pas de manuel ou de schéma de circuits. Mais, dans le cas du Sequoia AVC, nous avons deviné comment elle marchait en moins de deux heures. En deux heures nous avions une attaque viable. L’autre machine nous a pris un peu plus de temps car nous ne comprenions pas comment l’affichage sur un écran tactile fonctionnait. Nous avons dû donc apprendre, mais ce n’était qu’une question de jours. C’est un peu comme un tour de magie, vous devez le pratiquer beaucoup. Si nous avions pratiqué longtemps, voir mieux, si quelqu’un de très bon avait pratiqué pendant deux semaines, nous aurions mis 15 à 60 secondes pour exécuter ces attaques.

Les attaques nécessitent un accès physique à la machine. C’est facile pour les personnes en interne qui les programment pour une election ou les installent. Et nous pouvons supposer que ce n’est pas si difficile pour des personnes extérieures. Beaucoup de machines à voter gisent dans la cave de l’église, le gymnase ou le préau de l’école élémentaire, sans surveillance pendant une semaine ou deux avant l’election. Généralement elles ont des serrures très bon marché que n’importe qui peut ouvrir ; quelquefois elles n’en ont même aucune. Personne ne s’identifie auprès des machines quand il prend son poste. Personne n’est chargé de les surveiller. Leurs scellés ne sont pas si différents des dispositifs anti-fraude sur les paquets de nourriture et les médicaments en libre service. Falsifier un produit alimentaire ou un médicament, vous pensez que c’est difficile ? Ça ne l’est vraiment pas. Et un grand nombre de nos juges d’élections sont de petites vieilles à la retraite, et, Dieu les garde, c’est grâce à elles que les élections marchent, mais elles ne sont pas forcement fabuleusement efficaces pour détecter des attaques subtiles de sécurité.

Formez les personnels chargés de la vérification des scellés, et ils auront une chance de détecter une attaque raisonnablement sophistiquée. Faites des vérifications sur les personnes en interne et cette menace sera bien moins sérieuse. Dans l’ensemble il manque une bonne culture de la sécurité. Nous avons beau avoir des machines de vote avec des défauts, avec une bonne culture de la sécurité nous pouvons avoir des élections sans fraude. D’un autre côté, on peut avoir des machines fabuleuses, mais sans une culture de la sécurité à la hauteur, cela ne servira à rien. Il faut vraiment prendre du recul. Notre point de vue est qu’il sera toujours difficile d’arrêter un James Bond. Mais je veux faire avancer les choses jusqu’à un niveau où au moins ma grand-mère ne puisse pas truquer les élections, et nous en sommes encore loin.

Crédit photo : Steve Jurvetson (Creative Commons By)

Megaupload était une système de partage de fichiers techniquement neutre. Oui, il contenait beaucoup de contenus enfreignant les lois sur le copyright. Mais il y avait également des utilisateurs qui y plaçaient leurs propres ressources dans la plus stricte légalité et qui se sont retrouvés du jour au lendemain dans l’incapacité d’y accéder lorsque le gouvernement américain a fait fermer Megaupload.

C’était le cas de Kyle Goodwin qui a déposé un recours pour tenter de les récupérer.

Mais le gouvernement américain ne l’entend pas de cette oreille en choisissant volontairement de mettre des bâtons dans les roues de la procédure. Pire encore il se permettrait d’aller fouiller sans autorisation dans le feu compte Megaupload de Kyle Goodwin afin d’y trouver d’éventuelles preuves d’une quelconque culpabilité (comme par exemple y puiser un fichier illégal).

Et ce n’est plus le seul problème de Kyle Goodwin avec Megaupload qui est en jeu ici, c’est le devenir de toutes les données personnelles que nous mettons dans le cloud computing, puisque rien ne semble empêcher demain le même gouvernement d’aller fouiller sans vous prévenir dans votre compte Google, Apple ou Amazon !

Nous devons lutter contre ces agissements brutaux et dangereux du gouvernement américain. Mais nous devons aussi nous interroger quant au devenir de nos données que nous laissons, parfois naïvement, dans le cloud, a fortiori si derrière ce cloud se cachent des serveurs sur territoire américain (et donc juridiction américaine).

Megaupload et l’attaque du cloud computing par le gouvernement Américain

Megaupload and the Government’s Attack on Cloud Computing

Cindy Cohn et Julie Samuels – 31 octobre 2012 – EFF.org
(Traduction : Zii, Husi10, A-xis, KoS, lgodard, Ag3m, Maxauvy, Ryoanji, 3josh)

Hier, EFF (Electronic Frontier Fondation), pour le compte de son client Kyle Goodwin, a déposé un recours en justice dans l’affaire Megaupload afin de rendre le gouvernement responsable des actions entreprises (et celles qu’il n’a pas reussi à entreprendre) lorsqu’il a fermé le service de Megaupload et ainsi empêché des tiers comme M. Goodwin d’accèder à leurs biens. Le gouvernement a également déposé son propre recours, imposant la mise en place d’un long et difficile processus qui demanderait à des tiers (souvent des anonymes ou des petites entreprises) de voyager jusqu’à de lointains tribunaux et de participer à de multiples audiences, uniquement pour récupérer ce qui leur revient de droit.

Pire, le gouvernement a reconnu avoir eu accès au compte Megaupload de M. Goodwin et en avoir examiné le contenu. En agissant ainsi, le gouvernement a franchi une étape significative et quelque peu effrayante. Il a apparemment fouillé les données saisies dans un but précis alors que sa cible était Megaupload, afin d’utiliser les preuves éventuellement découvertes contre M. Goodwin, qui a été atteint par ces actions mais qui n’est clairement pas l’objet d’une quelconque enquête criminelle, et encore moins concerné par celle visant Megaupload. Il s’agit bien sûr d’une vaine tentative pour attaquer M. Goodwin, en essayant de détourner l’attention de la presse et de la Cour de l’incapacité du gouvernement à prendre des mesures, et encore moins les mesures raisonnables requises par la loi, afin de protéger les droits de propriété des tiers, que ce soit avant ou après l’exécution d’un mandat. Et bien entendu, si le gouvernement est si bien placé qu’il peut fouiller dans les fichiers de M. Goodwin et donner son avis sur leur contenu (et il n’est pas certain que cette seconde fouille ait jamais été autorisée), il peut a priori trouver un moyen de les lui restituer.

Mais, en plus de cela, l’approche du gouvernement devrait terrifier tous les utilisateurs de services de cloud, sans compter les fournisseurs de ces services. Le gouvernement maintient que M. Goodwin a perdu ses droits de propriété sur ses données en les stockant sur un service de cloud computing. Spécifiquement, le gouvernement argumente qu’à la fois le contrat entre Megaupload et M. Goodwin (un contrat standard de cloud computing) et le contrat entre Megaupload et son hébergeur Carpathia (un accord standard également), « limite tout intérêt de propriété qu’il pourrait avoir » dans ses données. (Page 4). Si le gouvernement a raison, aucun fournisseur ne peut plus se protéger contre des pertes soudaines (comme celles dues à un ouragan), ni promettre à leurs clients que leurs droits de propriété seront maintenus en utilisant le service. Ils ne peuvent non plus garantir que leurs fichiers ne risquent pas de disparaître soudainement, sans aucun moyen raisonnable de les récupérer si le gouvernement décide de les saisir avec un mandat. Apparemment, vos droits de propriété « deviennent sévèrement limités » si vous autorisez une tierce personne à héberger vos données sous couvert d’un accord standard de cloud computing. Cet argument n’est aucunement limité à Mégaupload, il s’appliquerait aussi si la tierce partie était le S3 d’Amazon, Google Apps ou Apple iCloud.

La tactique du gouvernement nous démontre une chose effrayante : si les utilisateurs essaient d’obtenir leurs biens, le gouvernement n’hésitera pas à les passer au peigne fin afin d’essayer de trouver une preuve à utiliser contre eux. Le gouvernement cherche également à imposer un fardeau quasi insurmontable aux utilisateurs en demandant au tribunal d’avancer lentement et d’utiliser un processus à plusieurs étapes qui aurait lieu dans un tribunal éloigné. La plupart des personnes utilisant le service de cloud computing pour stocker leurs documents commerciaux ou personnels ne sont pas en mesure d’assister à une seule comparution devant le tribunal de Virginie, et encore moins aux multiples autres que le gouvernement envisage de soumette à la Cour.

Finalement, si le gouvernement ne ressent pas l’obligation de respecter le droit des utilisateurs de Megaupload, et c’est vraiment le cas, il ne va pas changer d’avis si la cible de sa prochaine investigation est un service de partage encore plus populaire. La portée de cette saisie a été sans précédent et ils n’ont pas engagé un processus que la loi nomme « minimisation », que ce soit en amont ou après coup, en faisant en sorte de rendre leurs données aux utilisateurs du cloud et ce en mesurant bien les dégâts. Et maintenant le gouvernement est en train d’essayer d’utiliser les clauses des contrats standards pour vendre le fait que les utilisateurs d’un service de cloud ont au mieux, « sévèrement limité » leurs droits de propriété sur leur propres données.

Tous ceux qui ont réfléchi sur ce qu’impliquent les problèmes soulevés par ce procès ont raison de penser que l’affaire Megaupload va bien au delà de Megaupload.

Crédit photo : Fernando (Creative Commons By-Sa)

Ce n’est pas la première fois que nous vous proposons un témoignage raz-le-bol de Facebook qui joint la théorie à la pratique en décidant de quitter réellement le célèbre réseau social.

Après « la maman », voici « le musicien »… Et si ces deux cas isolés anticipaient un futur (et salutaire) mouvement de fond ?

Le constat va croissant, nombreux sont désormais les gens autour de moi qui n’aiment pas (ou plus) Facebook. L’attrait de la nouveauté envolé, les changement soudain de paramétrage qui désorientent et menacent notre vie privée, le temps passé dessus au détriment de « la vraie vie » (avec des morceaux de vrai(e)s ami(e)s dedans)… nombreuses sont les raisons qui font que la « douce saveur » du début a un arrière-gout de plus en plus amer.

Mais, contrairement à nos deux courageux, la grande majorité y reste pourtant, par habitude ou « parce que, vous comprenez, tout le monde est dessus ».

La parallèle est discutable mais ça me fait penser à tous ces utilisateurs, passés ou présents, enchaînés à leur système d’exploitation Windows. On finit par haïr Microsoft mais on en redemande quand même. Et cela porte un nom : addiction.

Facebook est le Windows de notre époque et il n’a toujours pas trouvé son GNU/Linux (puisqu’en l’occurrence notre musicien ne s’en va malheureusement pas beaucoup plus loin en choisissant Google+).

Facebook en voie de devenir le prochain MySpace ?

Is Facebook becoming the next MySpace?

Christian Grobmeier – 31 octobre 2012 – Blog personnel
(Traduction : lgnap, tiossanne, Yuston, ehsavoie, Yann, Gatitac, unnamed4, Naar, Damien, Maxauvy, Paul, Simon Villeneuve, 3josh)

Je suis musicien amateur. Bon, entre Time & Bill et d’autres projets me prenant tout mon temps, je suis actuellement un musicien « en pause », mais en 2005, j’étais plutôt actif et je me souviens que nous voulions sortir notre prochain CD. Tous mes amis musiciens étaient sur MySpace et nous parlaient de la pub efficace qu’ils pouvaient y faire. J’ai toujours trouvé le site laid, mais il y avait tellement de monde dessus que je m’y suis inscrit à mon tour, j’y ai déposé nos chansons et j’ai fait l’effort de construire un réseau. Ça a bien fonctionné pendant un moment. Ensuite, il est apparu qu’il y avait plus de musiciens que d’auditeurs sur le site. J’ai reçu des tonnes de messages comme « Écoute mon nouveau titre » ou « Viens à notre concert ». Les commentaires sur notre page ressemblaient à un grand mur couvert de pubs collées par d’autres musiciens. Parfois, parmi tous ces messages, on pouvait voir des femmes nues proposant leurs services. J’ai fini par fermer les commentaires. Puis MySpace a commencé à « faire mieux» (NdT : nouveau slogan du site). Ça a échoué, le site est simplement devenu plus lent, laid et inutilisable. Finalement, j’en suis parti et me suis préoccupé uniquement de notre site web. MySpace était un vrai bazar et n’avait plus aucune utilité.

Ensuite, tout le monde est passé à Facebook. J’y ai jeté un œil, sans être emballé. Il était difficile d’y mettre de la musique. Il y avait un côté restrictif et j’ai vraiment détesté l’interface utilisateur, mais bon, là encore tout le monde s’y est inscrit, et j’en ai donc fait de même. J’ai trouvé quelques applications tierces qui permettaient à mes visiteurs d’écouter ma musique. Tout allait bien. Après quelques temps, j’y ai même retrouvé avec émotion de vieux amis. Tout semblait aller pour le mieux.

C’est alors que les jeux sont arrivés. Tout à coup, ce fut le bazar. Eh, je ne veux pas gagner d’or, tuer des dragons ou cultiver des salades. Je suis juste là pour discuter avec des amis et échanger avec les fans de notre groupe. Cela empira au point de vouloir quitter Facebook lorsque j’ai découvert FBPurity. Et les choses s’arrangèrent. Quand j’ai découvert comment faire pour que Facebook arrête de m’envoyer des e-mails « Veux-tu jouer à ce jeu super ? », tout est rentré à nouveau en ordre, apparemment.

J’ai pendant longtemps ignoré toutes les discussions sur la confidentalité des données. Je ne publie rien de sensible sur Facebook. Les photos téléversées sont du tout-venant. Je ne réponds pas à toutes les questions que Facebook me pose. Ainsi, j’ai pu vivre avec le fait que Facebook fasait des choses vraiment étranges avec mon profil. À un moment, des clients m’ont ajouté à leur liste d’amis, j’ai donc dû devenir plus prudent avec mon profil. Il est probablement étrange pour mes clients de lire sur mon mur les invitations de ma maman à récolter de la salade sur Farmville, mais bon, ils doivent faire avec.

La confidentialité des données — est-ce vraiment un problème ? Parce que j’ai appris que la majeure partie du contenu sur Facebook est de la vraie foutaise. « Aïe, je me suis cassé un orteil » est l’un des messages les plus intéressants. Parfois, quelqu’un a un bébé, et si c’est un vieil ami, je le sais déjà. Si c’est une personne dont je n’ai pas entendu parler depuis des années, ce n’est pas aussi amusant que de lire les bêtises d’un autre ami dans un bar. Alors, quelles sont les « données importantes » dont nous nous préoccupons tous ? Si ce ne sont pas les absurdités que nous écrivons, c’est probablement lorsque nous cliquons sur « J’aime », parce que Facebook sait alors que nous aimons Coca-Cola et qu’il peut vendre notre profil client à n’importe qui.

Néanmoins, je peux accepter qu’ils vendent mes données pour me fournir un service apte à promouvoir mon groupe et garder contact avec avec mon réseau de relations, même si l’interface est toujours un cauchemar. Depuis le lancement de Google+, Facebook est devenu encore plus bordélique. Par exemple, il me faut toujours un temps fou pour ajouter des évènements à une page qui m’intéresse pour un ami.

Maintenant, qu’est-ce qu’on nous propose ? Des pubs partout,me forçant à utiliser AdBlock+ (j’y suis passé). Du contenu bien souvent sans intérêt et trop chronophage, je suis bien assez occupé comme ça. Mon profil est vendu à des inconnus. Ah, et au fait, j’oubliais : Facebook modifie pas mal de choses sans notification préalable.

Par exemple, vous ne pouvez plus cibler tous les fans de votre page lorsque vous postez un nouveau contenu. C’est vrai, Facebook me conseille maintenant de payer pour cela. Voici un billet intéressant à ce sujet qui décrit la situation. Après tout, il faut bien compenser la chute des actions en bourse…

À présent, Facebook a largement dépassé la moisissure qu’était Myspace. Non, je ne paierai pas pour ça, et je vais cesser de poster du contenu. Pourquoi continuerais-je à en poster si personne ne le lit ? Pourquoi paierais-je pour discuter de choses futiles et anodines avec mes amis ? Le téléphone est bien moins cher ! Pourquoi paierais-je pour la présence de mon groupe sur cette plateforme alors qu’il ne génère aucun revenu actuellement ?

Il en va souvent ainsi j’imagine, parfois, les grands réseaux sociaux oublient que les utilisateurs ne sont pas que des machines à fric, et aussi qu’ils peuvent partir. Je compte d’ailleurs quitter Facebook au profit de Google+. J’y poste déjà le contenu de tous mes blogs, si vous souhaitez me suivre. J’aime beaucoup son interface. ses bulles, ses cercles et son tchat vidéo. On y trouve du contenu de meilleure qualité que sur Facebook, et beaucoup de spécialistes sur un sujet donné.

Ce qui fait que Twitter et G+ sont désormais mes principaux canaux de communication. Du moins, jusqu’à ce qu’ils empirent. Twitter fait déjà des choses étranges, comme avec ses nouvelles modifications plus restrictives de l’API. Voyons ce que le futur nous réserve.

Enfin, je crois fermement qu’un jour, il y aura un réseau social décentralisé fondé sur des outils open source.

Adieu Facebook. Tu ne me manques pas.

Crédit photo : Phphoto2010 (Creative Commons By-Nd)

Framindmap est un nouveau projet du réseau Framasoft.

Il permet de faire de jolies cartes heuristiques directement en ligne à même le navigateur (on parle aussi de carte mentale ou mind map).

L’interface est franchement fluide et intuitive^[1].

Pas d’installation, pas d’inscription, vous voici tout de suite opérationnel(le) ! De plus nous ne conservons strictement aucune donnée personnelle (l’application ne laisse de traces que locales sur votre ordinateur et non sur le serveur).

Contrairement à Framapad ou Framacalc, Framindmap ne permet pas la collaboration sur une même carte. Mais vous pouvez à la sortie l’imprimer, en faire une image et donc aussi l’enregistrer localement (soit directement dans votre navigateur soit comme fichier au format JSON^[2]) pour une utilisation ultérieure.

Pour ce qui concerne les usages, Framindmap pourra être utile en situation de brainstorming, prise de notes, formation, classification, structuration d’un projet, etc.

Comme d’habitude, il repose sur une solution libre que nous avons adaptée et francisée, en l’occurrence mindmaps, du JavaScript sous licence AGPL v3. Et comme d’habitude vous êtes cordialement invité(e) à l’installer sur votre propre serveur pour faire respirer le Web (et vos données personnelles) en le décentralisant.

-> Découvrir et utiliser Framindmap

PS : Nous sortons de nombreux projets actuellement, merci de les relayer si vous le jugez bon car toute notre équipe marketing commerciale est en vacances actuellement (en fait ça fait 10 ans que ça dure). Merci également de faire en sorte que cela ne soit pas notre chant du cygne en nous soutenant ! 🙂

Avec combien de login et de mots de passe devons-nous jongler dans la journée ?

Beaucoup en effet…

En même encore plus si nous ne les enregistrions pas automatiquement par défaut dans notre machine (avec un gros risque de sécurité). Ou, pire encore, si nous n’avions pas décidé de nous enregistrer sur des services tiers avec notre compte Facebook, Twitter ou Google (avec un énorme risque de se retrouver prisonnier de leurs cages dorées).

À l’heure et à l’ère de la multiplication exponentielle des services Web, la question de l’identification devient cruciale et problématique.

Nous avons besoin d’un système global pratique, sécurisé et auquel nous pourrions faire confiance.. C’est ce que propose Persona, le nouveau système d’authentification de Mozilla.

Il n’est pas forcément aisé de le comprendre de l’intérieur mais c’est pour que ce soit le plus simple possible du côté de l’utilisateur 🙂

Pourquoi Persona de Mozilla apporte la bonne réponse à la question de l’identification

Why Mozilla Persona Is the Right Answer to the Question of Identity

David Somers – 1er octobre 2012 – Blog personnel
(Traduction : greygjhart, ZeHiro, Yho, Evpok, aKa, FredB, Simounet, Mounou, Coyau, Isdf, peupleLa, thot, HgO, salelodenouye)

Le 27 septembre 2012, Mozilla a lancé la première version bêta de Persona. Persona est un système d’authentification d’apparence similaire à OpenID et oAuth, mais qui s’en distingue d’un point de vue technique et fonctionnel.

Nous avons eu la chance de nous associer à Mozilla pour créer la version bêta de The Times Crosswords lors du lancement du Mozilla App Store. Nous sommes ainsi l’un des premiers services tiers à avoir intégré Persona de Mozilla (qui s’appelait encore BrowserID à l’époque), Mozilla en a même fait une vidéo.

Pourquoi un nouveau système d’identification ?

Passons en revue quelques-uns des problèmes d’OpenID et oAuth :

• OpenID utilise des URLs en tant qu’identifiants.
  • Même si fondamentalement l’idée est bonne, cela peut être déroutant pour les utilisateurs. Le risque ? Se voir demander de « choisir un service d’identification » comme Google, LiveJournal, etc. alors qu’en fait vous n’êtes pas du tout en train de vous identifier avec eux.
  • La plupart des sites voudraient que vous leur fournissiez au moins une adresse email pour pouvoir vous contacter. Il faudra donc presque toujours en passer par une étape supplémentaire lors de la première connexion.
• OpenID est un système de connexion incohérent : il faut que vous quittiez complètement le site où vous étiez puis y retourner après vous être authentifié avec un outil tiers. On peut en dire autant d’oAuth (même si certaines de ses implémentations permettent une connexion en un seul clic, comme Twitter).
• oAuth est complexe à implémenter pour les développeurs : cela nécessite le stockage et la gestion de jetons . Il y a également plusieurs versions du protocole, et parfois une authentification supplémentaire (les jetons de rafraîchissement de Google par exemple).
• Tant OpenId qu’oAuth permettent à votre service d’identification (qu’il s’agisse de Google, Facebook, Twitter) de pister chaque site sur lequel vous vous inscrivez.

Comment Persona et BrowserID résolvent-ils ces problèmes ?

• Ils utilisent les adresses email au lieu des URLs. Non seulement les adresses email sont plus faciles à mémoriser, mais vous pouvez aussi utiliser une adresse email par identité ; par exemple votre adresse email de travail ou personnelle.
• Mozilla Persona utilise une « popup », ainsi vous ne quittez pas le site internet sur lequel vous êtes. Mieux encore, si le navigateur supporte le protocole BrowserID, vous n’aurez rien à faire.
• Persona/BrowserID est en général géré par les navigateurs (que ce soit en JavaScript ou en natif) et en tant que développeur vous n’aurez qu’à vérifier que l’utilisateur est bien celui qu’il dit être. Ceci doit être fait sur votre propre serveur, mais peut être implémenté avec à peine plus qu’une requête cURL.
• En plaçant le navigateur au centre du processus d’authentification, les services d’identification ne peuvent pas tracer les visites des utilisateurs, mais ils permettent tout de même aux sites visités de vérifier leur identité. On y parvient en incorporant une cryptographie à clé publique dans le protocole.

Bien entendu, Persona ne vous sera d’aucune utilité quand vous aurez besoin d’accéder à des ressources tierces authentifiées comme vos données Twitter, mais ce n’est pas son rôle. Et c’est la ligne de démarcation qu’il faut entre votre identité et vos données.

Comment ça marche ?

Ce qu’il y a de bien avec la solution Persona de Mozilla, c’est qu’elle se décompose en deux niveaux. Le premier est le service BrowserID amorcé : Persona. Le second est le protocole d’identification en lui-même : BrowserID. En concevant ainsi l’amorçage du protocole, Mozilla évite les problèmes de prise en main et le rend attractif pour les développeurs.

BrowserID

Dans un monde idéal où BrowserID serait massivement adopté, voici ce qui se passerait au moment où vous voulez vous connecter à un site Web :

1. Vous cliquez sur « Connexion ».
2. Votre navigateur vous demande avec quelle adresse email vous voulez vous identifier.
3. Vous êtes connecté.

Et voici ce qui se passerait dans le détail :

1. Vous cliquez sur « Connexion » sur un site désigné ci-dessous par Service Tiers.
2. Votre navigateur vous demande avec quelle adresse email vous voulez vous identifier.
3. Votre navigateur contacte votre Service d’Identification (désigné dans la suite par S.I, par exemple Gmail) en utilisant vos identifiants (adresse email et clé publique) et demande un certificat signé.
4. Optionnel : Votre S.I. vous demande de vous inscrire (avec les habituels identifiant/mot de passe pour cela).
5. Votre S.I. envoie à votre navigateur un certificat signé qui dure 24 heures.
6. Votre navigateur génère une « Assertion ». Elle fait preuve que vous êtes le légitime détenteur de votre adresse email : générée à partir de votre clé privée (stockée dans le navigateur), elle contient le domaine du site pour lequel vous vous authentifiez ainsi qu’une date d’expiration.
7. L’assertion et votre certificat signé sont tous deux envoyés au Service Tiers.
8. À l’aide de votre clé publique (fournie par votre navigateur), le Service Tiers vérifie que votre Assertion semble correcte.
9. Le Service Tiers demande la clé publique de votre S.I. (mais n’envoie aucune information sur l’utilisateur) et s’en sert pour vérifier que le certificat, envoyé par votre navigateur, est également correct.
10. Vous êtes connecté.

Plutôt long le processus ! Mais au moins, il est décentralisé, sécurisé et respecte votre vie privée (votre S.I. ne peut pas savoir quels sites vous êtes en train de visiter).

Si c’était la seule façon d’implémenter BrowserID, son déploiement serait compromis. C’est là que Persona entre en piste.

Mozilla Persona

Mozilla Persona est une application tierce qui fournit une interface de programmation (API) REST plutôt cool pour cacher toute cette cryptographie à clé publique.

• Persona gère la vérification via les services d’identification et agit également comme service d’identification à part entière pour les services tiers qui n’en possèdent pas (ce qui est la cas de tous les fournisseurs d’adresses email actuellement).
• Persona fournit une interface de programmation de type REST pour valider chaque assertion.

En traitant toute la partie cryptographie, implémenter BrowserID ne requiert que quelques lignes de JavaScript (le bouton de login et les callbacks en POST pour envoyer l’assertion au serveur) et une requête cURL (pour valider l’assertion).

Envie de l’utiliser ?

Commencez par jeter un œil sur le Persona Quick Setup (NdT : Installer Rapidement Persona) qui vous fournira les instructions pour ajouter Persona à votre site Web, avec des exemples en JavaScript et une implémentation en Python de la vérification de l’assertion (c’est vraiment très simple). Le tout en une soixantaine de lignes de code.

Nous vous suggérons ensuite de consulter le guide des bonnes pratiques pour vous assurer que vous ne faites rien de travers.

NdT : En annexe deux liens de mozilliens francophones :

• BrowserID par Pierre Rudloff
• BrowserID, implémentation en Java côté serveur par Flaburgan

Fondateur notamment du collectif Art is Open Source, Salvatore Iaconesi est un hacker, artiste, raver, ingénieur présent depuis une dizaine d’années sur la scène italienne. J’ai eu l’occasion de le rencontrer lors de mon séjour romain.

Très triste nouvelle : il souffre d’une tumeur au cerveau.

Il demande à Internet, c’est-à-dire à la planète entière, de l’aider en publiant ses données personnelles médicales.

Sauf qu’il lui aurait été impossible de lancer cet appel s’il n’avait craqué lui-même ses propres données encapsulées nativement dans un format fermé et propriétaire, démontrant une nouvelle fois l’absurdité du système.

C’est pourquoi il a prénommé son appel « mon traitement open source », que nous vous proposons traduit en français ci-dessous.

Mon traitement open source

my Open Source Cure

Rome, le 10 septembre 2012
(Traduction : Unagi, lilian, Vincent)

J’ai un cancer du cerveau.

Hier, j’ai reçu mes résultats médicaux, sous forme numérique. Je dois les montrer à plusieurs médecins.

Malheureusement, ces fichiers sont dans un format fermé et propriétaire, et donc je n’ai pas pu les ouvrir avec mon ordinateur, ou les envoyer dans ce format à toutes les personnes qui auraient pu me sauver la vie.

Je les ai craqués.

J’ai ouvert les fichiers et je les ai convertis en formats ouverts pour pouvoir les partager avec tout le monde.

Aujourd’hui seulement, j’ai pu partager les données médicales (à propos de mon cancer du cerveau) avec 3 docteurs.

Deux d’entre eux ont déjà répondu.

J’ai pu faire cela parce que les données utilisées étaient dans des formats ouverts et accessibles : ils ont ainsi pu ouvrir les fichiers sur leurs ordinateurs ou tablettes. Ils ont pu répondre de chez eux, un dimanche.

Je publierai progressivement toutes les réponses que je recevrai, en utilisant des formats ouverts, afin que n’importe qui avec la même maladie puisse bénéficier des solutions que je trouverai.

Ceci est un TRAITEMENT. C’est mon TRAITEMENT OPEN SOURCE.

Ceci est une large invitation à participer au traitement.

TRAITEMENT, n’a pas la même siginification selon les cultures.

Il y a des traitements pour le corps, pour l’esprit, pour la communication.

Prenez les informations sur ma maladie, si vous voulez, et donnez-moi un TRAITEMENT : créez une vidéo, une oeuvre d’art, une carte, un poème, un jeu, ou essayez de trouver une solution à mon problème de santé.

Artistes, designers, hackers, scientifiques, médecins, photographes, vidéastes, musiciens, écrivains. N’importe qui peut me donner un traitement.

Créez votre traitement en utilisant le contenu que vous trouverez dans la section DATI/DATA de ce site, et envoyez le à info@artisopensource.net.

Tous les TRAITEMENTS seront diffusés ici.

Crédit photo : Transmediale (Creative Commons By-Nc-Sa)

Facebook est-il « libre » ? Gmail est-il « libre » ? Le nébuleux « cloud computing » est-il « libre » ?

Lorsqu’il s’agit de services en ligne la question est mal posée et mérite d’être précisée, nous affirme ici Richard Stallman en passant en revue les différents et complexes cas de figure^[1].

Les services en ligne ne sont ni libres ni privateurs ; ils posent d’autres problèmes

URL d’origine du document (GNU.org)

Richard Stallman – version du 15 mai 2012 – Gnu.org – Creative Commons By-Nd
(Traduction : Céline Libéral, Mathieu Adoutte, Caner, pour Framalang)

Les programmes et les services sont deux choses différentes. Un programme est une œuvre que vous pouvez exécuter, un service est une activité avec laquelle vous pouvez interagir.

Pour les programmes, nous établissons une distinction entre libre et non libre (privateur, ou propriétaire). Plus précisément, cette distinction s’applique à un programme dont vous avez une copie : soit vous disposez des quatre libertés, soit vous n’en disposez pas.

Une activité (telle qu’un service) n’existe pas sous forme de copies. Il n’est donc pas possible d’en avoir une ni d’en faire. Ainsi, les quatre libertés qui définissent un logiciel libre n’ont pas de sens pour les services.

Pour utiliser une analogie culinaire, même si j’ai appris à cuisiner en vous regardant, ma cuisine ne peut pas être une copie de la vôtre. Il se peut que j’aie une copie de la recette que vous utilisez pour cuisiner, et que je m’en serve, car les recettes, comme les programmes, sont des œuvres qui peuvent exister en plusieurs exemplaires. Mais la recette et la manière de cuisiner sont deux choses différentes (et les plats obtenus en sont une troisième).

Avec la technologie actuelle, les services sont souvent implémentés en faisant tourner des programmes sur des ordinateurs mais ce n’est pas le seul moyen (en fait, il existe des services en ligne qui sont implémentés en demandant à des êtres humains en chair et en os de saisir des réponses à des questions). Dans tous les cas, l’implémentation n’est pas visible par les utilisateurs du service, donc cela n’a aucun impact sur eux.

Un service en ligne peut poser aux utilisateurs le problème du recours à un logiciel libre ou non libre, par le biais du client requis pour l’utiliser. Si le service nécessite l’utilisation d’un programme client non libre, recourir à ce service suppose que vous abandonniez votre liberté à ce programme. Pour beaucoup de services web, ce logiciel non libre est du code JavaScript, installé discrètement dans le navigateur de l’utilisateur. Le programme GNU LibreJS permet de refuser facilement d’exécuter ce code JavaScript non libre. Mais le problème du logiciel client est selon toute logique distinct de celui du service lui-même.

Il existe un cas où un service est directement comparable à un programme : celui où le service revient à avoir une copie d’un programme donné et à l’exécuter vous-même. On appelle cela SaaS, ou « logiciel en tant que service », et un tel service constitue toujours une régression au plan éthique. Si vous disposiez du programme équivalent, vous auriez le contrôle sur votre informatique, à supposer que le programme soit libre. Mais lorsque vous utilisez le service de quelqu’un d’autre pour faire la même chose, vous ne contrôlez plus rien.

Recourir au SaaS revient à utiliser un programme non libre avec des fonctionnalités de surveillance et une porte dérobée (backdoor) universelle. Donc vous devriez le refuser, et le remplacer par un logiciel libre qui fait la même chose.

En revanche, les fonctions principales de la plupart des services sont de communiquer et de publier des informations. Ils n’ont rien en commun avec un logiciel que vous exécuteriez vous-même, ce ne sont donc pas du SaaS. Ils ne peuvent pas non plus être remplacés par votre copie d’un programme, car un programme s’exécutant sur vos propres ordinateurs, utilisé uniquement par vous, n’est pas suffisant en lui-même pour communiquer avec d’autres personnes.

Les services non SaaS peuvent nuire à leurs utilisateurs d’autres manières. Les problèmes qui leur sont liés peuvent être aussi bien la mauvaise utilisation des données que vous leur avez envoyées, que la collecte d’autres données (surveillance). Le Franklin Street Statement^[2] a tenté d’aborder cette question, mais nous n’avons pas de position bien établie pour le moment. Ce qui est clair, c’est que les problèmes liés aux services sont différents de ceux qui concernent les programmes. Ainsi, par souci de clarté, il est préférable de ne pas appliquer les termes « libre » et « non libre » à un service.

Supposons qu’un service soit fourni par le biais d’un logiciel : l’opérateur du serveur a des copies de nombreux programmes, et les exécute pour fournir le service. Ces copies peuvent être des logiciels libres, ou non. Si c’est l’opérateur qui a développé les programmes, et qu’il les utilise sans en distribuer de copie, alors ils sont libres (sans que cela signifie grand chose) puisque tout utilisateur (il n’y en a qu’un) détient les quatre libertés.

Si certains programmes ne sont pas libres, cela n’affectera pas directement les utilisateurs du service. Ce ne sont pas eux qui exécutent ces programmes, c’est l’opérateur. Dans certaines situations bien particulières, ces programmes peuvent indirectement affecter les utilisateurs : si le service détient des informations confidentielles, ses utilisateurs peuvent s’inquiéter de la présence de portes dérobées dans les programmes non libres, permettant à d’autres d’accéder à leurs données. En fait, les programmes non libres du serveur obligent les utilisateurs à faire confiance à leurs développeurs ainsi qu’à l’opérateur du service. Le risque concret dépend de chaque cas particulier, et notamment de ce que font ces programmes non libres.

Cependant, il y a une personne qui est certainement affectée par les programmes non libres qui fournissent le service, c’est l’opérateur du serveur lui-même. Nous ne lui reprochons pas d’être à la merci de logiciels non libres, et nous n’allons certainement pas le boycotter pour ça. Au contraire, nous nous faisons du souci pour sa liberté, comme pour celle de tout utilisateur de logiciel non libre. Quand nous en avons l’occasion, nous essayons de lui expliquer qu’il met en péril sa liberté, en espérant qu’il bascule vers le logiciel libre.

Inversement, si un opérateur de service utilise GNU/Linux ou d’autres logiciels libres, ce n’est pas une bonne action, c’est tout simplement dans son intérêt. Nous n’allons pas l’encenser, ni le remercier, simplement nous le félicitons d’avoir fait le choix le plus avisé. S’il publie certains de ses logiciels libres, contribuant ainsi à faire avancer la communauté, là nous avons une raison de le remercier. Nous lui suggérons de diffuser ces programmes sous la GNU Affero GPL (Licence publique générale Affero de GNU), puisqu’ils sont destinés à des serveurs.

Pourquoi la GPL Affero ?

Ainsi, nous n’avons pas de règle qui dise que des systèmes libres ne devraient pas utiliser (ou s’appuyer sur) des services (ou des sites) fournis par le biais de logiciels non libres. Cependant, ils ne devraient pas dépendre de services de type SaaS, ni inciter à les utiliser. Les Saas doivent être remplacés par des logiciels libres. Et, toutes choses égales par ailleurs, il est préférable de privilégier les fournisseurs de service qui apportent leur contribution à la communauté en publiant des logiciels libres utiles. Il est également souhaitable de privilégier les architectures pair-à-pair plutôt que les communications centralisées reposant sur un serveur.