Vous vous réveillez un matin et constatez la disparition de la totalité de votre vie numérique !

Plus de mails, plus de contacts, plus de photos, plus de vidéos, plus de documents, plus de calendrier, plus de blog, plus de favoris, plus de flux RSS… tout, absolument tout, s’est évanoui !

De la science-fiction ?

Non, un simple compte Google désactivé unilatéralement et sans préavis par la société.

En l’occurrence le compte de Dylan M. (@ThomasMonopoly sur Twitter) qui avait décidé peu de temps auparavant de tout faire migrer sur son unique compte Google. Compte sur lequel étaient attachés les nombreux services qu’offre la firme de Mountain View (Gmail, Picasa, Google Docs, Calendar, Reader, Blogger, etc.).

Et ce sont donc ici 7 années digitales qui partent en fumée d’un simple clic. Adieu données personnelles. Ce n’est alors pas que votre identité numérique qui vacille, mais votre identité toute entière…

Cette triste ou effroyable histoire vraie est malheureusement riche d’enseignements. D’abord parce qu’elle peut arriver à n’importe quel possesseur d’un compte Google (ici on ne saura pas pourquoi le compte a été désactivé et rien ne pourra être fait pour le rétablir !). Mais aussi et surtout parce qu’elle en dit long sur ce que nous acceptons tacitement lorsque nous décidons de faire confiance à ces « sociétés du nuage » en nous inscrivant, le plus souvent gratuitement, à leurs services en ligne.

Et il va sans dire que Facebook, Twitter ou Apple ont toutes le droit d’en faire autant.

Exaspéré et désespéré, Dylan M. a conté sa mésaventure dans une longue lettre ouverte à Google, que vous trouverez traduite ci-dessous. Une lettre publiée sur… TwitLonger et non sur son blog, puisque ce dernier était sur Blogger et dépendait lui aussi de son compte Google !

De quoi faire réfléchir non seulement sur les pratiques du géant Google mais également sur le monde dans lequel nous avons choisi de vivre…

Je vous laisse, j’ai quelques sauvegardes urgentes à faire sur mon disque dur^[1].

Edit du 17 août : Il y a une suite à cette histoire.

Cher Google…

Dear Google…

Thomas Monopoly – 22 juillet 2011 – TwitLonger
(Traduction Framalang : Marting, Slystone, Siltaar, Juu, Padoup et Goofy)

Cher Google,

Je voudrais attirer votre attention sur quelques points avant de me déconnecter définitivement de tous vos services.

Le 15 juillet 2011 vous avez bloqué la totalité de mon compte Google. Vous n’aviez absolument aucune raison de faire cela, même si votre message automatique me disait que votre systeme avait repéré une « violation ». Je n’ai en aucun cas violé les Conditions Génerales d’Utilisation, que ce soit celles de Google ou celles spécifiques au compte, et votre refus de me fournir une quelconque explication ne fait que renforcer ma certitude. Et je souhaiterais vous montrer les dégâts que votre négligence a causés.

Mon compte Google était lié à presque tous les produits que Google a développés, ce qui veut dire que j’ai aussi perdu tout ce qui était dans ces comptes. Je venais aussi d’entreprendre de tout regrouper sur un seul compte Google. En fait, j’avais réfléchi à tout cela voici quelques mois et avais décidé que Google était une entreprise sérieuse et digne de confiance. Donc j’ai tout importé de mes autres comptes Hotmail, Yahoo…, dans mon unique compte Gmail. J’ai passé environ 4 mois à migrer lentement toute ma présence en ligne : comptes email, informations bancaires, documents professionnels, etc., dans cet unique compte Google, l’ayant déterminé comme étant fiable. Cela signifie en termes d’informations environ 7 années de correspondances, plus de 4800 photographies et vidéos, mes messages Google Voice, plus de 500 articles enregistrés dans mon compte Google Reader pour mes études (lorsque j’ai fermé mon compte Reader d’origine pour tout regrouper dans mon unique compte portant mon nom, j’ai ré-enregistré plusieurs centaines d’articles et de flux moi-même, à la main, un par un dans ce nouveau compte, celui que vous avez fermé et dont j’ai maintenant perdu tous les articles). J’ai également perdu tous mes favoris, ayant utilisé Google Bookmarks.

J’avais migré mes favoris d’ordinateur à ordinateur pendant peut-être 6 ans, environ 200, et je les ai finalement tous envoyés sur Google Bookmarks, content d’avoir trouvé une solution pour les migrer et content de me préserver de leur perte. J’ai aussi perdu plus de 200 contacts. Nombreux sont ceux pour lesquels je n’ai pas de sauvegarde. J’ai aussi perdu l’accès à mon compte Google Docs avec des documents partagés et des sauvegardes de fichiers archivés. J’ai par ailleurs perdu l’accès à mon calendrier. Avec cela, j’ai perdu non seulement mon propre calendrier personnel avec des rendez-vous chez le médecin, des réunions et autres, mais j’ai aussi perdu mes calendriers collaboratifs que j’avais créés et pour lesquels plusieurs heures de travail humain ont été nécessaires, des calendriers communautaires qui sont maintenant perdus.

Aucun de ces calendriers n’était non plus sauvegardé. J’ai également perdu mes cartes Google Maps sauvegardées et mon historique de voyages. J’ai perdu mes dossiers de correspondances médicales et diverses notes très importantes qui étaient attachées à mon compte. Mon site Web, un compte Blogger pour lequel j’ai acheté le domaine via Google et que j’ai conçu moi-même, a été aussi désactivé et perdu. Pensez-vous réellement que je ferais sciemment quelque chose qui mettrait en péril autant de données personnelles et professionnelles ? Au fur et à mesure que les jours passent, je suis certain que je vais prendre connaissance d’autres choses que Google a détruites dans la désactivation injustifiée de mon compte. Je suis seulement trop en colère en ce moment pour réflechir correctement et tout passer en revue. Pourquoi quelqu’un confierait-il quoi que ce soit à « l’informatique dans les nuages » après ce que j’ai traversé ? C’est quelque chose qui me dépasse complétement.

Je voudrai aussi préciser que je suis en fait un client payant, au point que j’ai acheté mon domaine via Google et j’ai aussi acheté de l’espace de stockage supplémentaire.

J’aimerais attirer votre attention sur d’autres éléments : je suis en ce moment en train de soumettre ma candidature pour les études supérieures. Je recevais occasionnellement des courriels de professeurs et d’autres personnes que je n’attendais pas et dont je n’avais pas les coordonnées. Ceci entraînant qu’en plus de mes amis et de ma famille à l’étanger ou des gens qui ne pouvaient pas me joindre autrement, ces personnes recevront maintenant un message de Google leur signalant que mon adresse électronique n’existe pas. Et j’ose imaginer que certains d’entre eux n’auront pas le temps de trouver d’autres moyens de contacter un candidat à qui ils faisaient une faveur en faisant le premier pas.

J’aimerais attirer votre attention sur d’autres éléments : J’ai été ce que l’on pourrait appeler un supporter enthousiaste de Google en tant qu’entreprise. Étant un utilisateur de la première heure, on pourrait presque dire que j’ai été un apôtre du travail de Google. Google sortait ses produits prématurément, et je contribuais au feedback sur ces produits. Lorsque Google a réussi son coup politique en Chine en re-routant les serveurs vers Hong-Kong, j’ai applaudi et j’ai posté des articles à ce sujet sur tous mes réseaux sociaux, et j’ai fait la remarque, par ces mots, à plusieurs personnes que je connais : « Ils l’ont fait avec classe et dignité ». J’ai également convaincu l’entreprise pour laquelle je travaillais de migrer vers Google Business Apps et d’utiliser les Google Apps pour à peu près tout. Je les ai aussi encouragés à acheter de l’espace de stockage avec Picasa pour construire notre base de données d’images. De plus, j’ai convaincu presque toute ma famille et mes amis d’ouvrir un compte Google ou Gmail dans les deux dernières années, et j’ai montré aux gens comment les utiliser et leur ai expliqué les bénéfices de Chrome sur les autres navigateurs. J’ai même des actions Google.

J’aimerais attirer votre attention sur d’autres éléments encore : je ne suis pas fâché que Google ait suspendu mon compte s’ils pensent qu’il a été corrompu, mais je suis absolument furieux qu’ils aient suspendu mon compte sans me prévenir, sans même me donner une raison, et sans me donner quelque moyen que ce soit pour le réactiver, et ensuite ignorer toutes mes tentatives de trouver un interlocuteur. Aucun autre prestataire de service Internet ne se comporte ainsi. Je comprends que Google ne puisse pas offrir de l’aide personnalisée pour chaque demande de ses utilisateurs, mais quand une société comme Google a pris une position de monopole sur des pans entiers de l’Internet, elle a le devoir de se montrer responsable envers leurs clients quand des évènements comme ceux-ci arrivent. J’ai utilisé tous les forums d’aide : en vain. Et cela n’a fait que me mettre davantage en colère. Je ne vais pas prendre la peine de citer toutes les conversations absurdes que j’ai eues, elles sont trop nombreuses et elles vont seulement me rendre de plus mauvaise humeur.

La goutte d’eau qui a fait déborder le vase, c’est quand un « top contributeur » a déplacé le fil de la discussion du forum d’aide initial sur lequel je postais vers un autre forum sans ma permission. Puis, quelques jours plus tard, un autre « top contributeur » a laissé un message indiquant que le fil se trouvait dans le mauvais forum et a fermé la conversation, m’empêchant dorénavant au même titre que n’importe quelle autre personne d’y participer ou de faire des progrès. Les forums d’utilisateurs ne sont pas des sources d’information contrairement à ce que pense Google. Et la seule fois qu’un employé de Google a contribué dans mon fil, cela a été pour dire que ma question n’était pas posée dans le bon forum, et pour me dire que j’aurais dû poster dans le forum où je l’avais initialement placé. Cela s’est produit quand j’ai reposé sans arrêt les mêmes questions. En voici un exemple :

Moi : S’il vous plait, aidez-moi, mon compte a été désactivé et je ne sais pas pourquoi !

Utilisateur 1 : Connectez-vous simplement au tableau de bord et faites quelque chose.

Moi : Je ne peux pas, mon compte a été désactivé.

Utilisateur 2 : Salut, je viens juste de voir votre post. Pouvez-vous vous connecter à votre compte et me dire ce que quelque chose dit ?

Moi : Mais puisque JE VOUS DIS que JE NE PEUX PAS me connecter à mon compte !

Utilisateur 1 : Ok, ne vous énervez pas, pouvez-vous faire quelque chose qui implique que je sois connecté ?

Moi : Mais NON ! Je ne peux pas DU TOUT me connecter à mon compte !!!

Puis la conversation a été fermée par quelqu’un et j’ai abandonné, après 5 jours. Je comprends la philosophie qui est derrière les forums modérés par les utilisateurs eux-mêmes. Mais dans de nombreux cas, les problèmes sont hors de portée des autres utilisateurs. Je ne demande pas comment activer les émoticônes dans une signature Gmail ou comment modifier ma photo de profil. Mon problème est un problème grave pour lequel une voie de secours sérieuse devrait être disponible. Je pense mettre le doigt sur une critique valide des insuffisances de l’aide géré par les communautés d’utilisateurs en ligne. Google a mis en place une gestion type Ferme des Animaux sur son site avec des utilisateurs qui pour la plupart sont bien intentionnés mais complètement incapables de prendre des décisions à un niveau administrateur ou d’offrir de l’aide à un tel niveau.

Et cela peut fonctionner en douceur aussi bien pour l’utilisateur que pour l’entreprise, du moment que l’entreprise reste impliquée et prend ses responsabilités quand la résolution d’un problème est entièrement hors de portée d’un autre utilisateur. Google ne fait pas cela.

Je me fiche qu’un service Google soit gratuit. C’est Google qui adopte l’approche : « Vous n’aimez pas ? Tant pis, de toutes façons c’est gratuit ». Gratuit ou non, tous les utilisateurs sont dans l’orbite de Google et c’est en nous montrant des publicités que Google a gagné ses milliards de dollars. Il n’y a pas d’autre société côtée en bourse du niveau de Google qui ne propose pas un support simple et complet à ses utilisateurs.

En plus des forums, j’ai également rempli tous les formulaires et demandes que j’ai pu trouver, et tenté de contacter chaque bureau et même chaque personne dans les deux bureaux de Manhattan. Mais pas une seule personne n’a été capable de m’aider, ce que je trouve choquant et exaspérant comme dans un cauchemar kafkaïen. Un employé m’a même répondu qu’il ne savait pas ce que je devais faire, ajoutant : « honnêtement, je n’utilise même pas Google » !

Après avoir exploré tous les canaux possibles pour obtenir de l’aide, j’ai finalement été contacté tout à coup par un employé de Google qui a vu par hasard mes protestations sur Twitter, un service que j’ai utilisé suite à l’absence complète de support à la clientèle de Google. Il a dit qu’il allait essayer de contacter des personnes chez Google pour m’aider à restaurer mon compte. Après plusieurs échanges d’emails avec lui, il m’a rapporté qu’il avait parlé à quelqu’un de chez Google qui lui a dit que mon compte avait été désactivé, sans lui dire pourquoi. Il a essayé d’expliquer que ça devait être une erreur, mais ils ne pouvaient pas se l’expliquer eux-mêmes.

Alors Google, voici autre chose à laquelle je voudrais que vous réfléchissiez. L’un de vos propres employés est allé vers vous pour moi et vous a indiqué que vous aviez désactivé mon compte par erreur, et votre réponse a été : « Non, on est presque sûr que non ». Votre propre employé a dit : « Écoutez, j’ai parlé à cette personne et je pense qu’une erreur a été faite, vous devriez revérifier ou lui parler ». Et à nouveau, votre réponse a été « Non, on est presque sûr ». Alors, posez-vous la question, quelqu’un comme moi qui a vu son compte être désactivé se lancerait-il dans une telle campagne vociférante et bruyante pour parler à quelqu’un de chez Google afin de leur expliquer qu’une erreur a été commise et que des années de données importantes ont été détruites, quelqu’un comme moi qui aurait volontairement mené des activités illégales sur son compte ferait-il cela ? Vous avez seulement besoin de bon sens pour répondre.

D’autres éléments : J’ai eu des comptes Hotmail, Yahoo, AOL et Compuserve et jamais l’un de ces comptes n’a été désactivé. Lorsque l’une de ces entreprises pensait que mon compte était compromis, il m’en ont averti et j’ai changé mon mot de passe. Pourquoi Google ne m’a-t-il pas notifié, à l’adresse email alternative que j’ai fournie à l’inscription, avant de prendre la décision de désactiver mon compte ? Cela me laisse perplexe. Si vous dites que j’ai violé certaines Conditions Génerales d’Utilisation c’est votre droit, et dans ce cas il est justifié de résilier mon compte. Mais je vous demande maintenant un minimum de preuves de cette violation.

Concernant toute violation, je veux être tout à fait clair : je n’ai causé aucune infraction aux Conditions Génerales d’Utilisation. Si Google pense que quelque chose a été fait de mon côté, je les défie de me dire ce que c’est. Je n’ai d’aucune façon violé de Conditions d’Utilisation, c’est un fait. Je voudrais signaler que quelques jours avant que mon compte ne soit désactivé j’obtenais des messages d’erreur quand j’essayais d’accéder à Google.com via Chrome. Je sais que je ne suis pas la seule personne que je connais à qui cela est arrivé. Mes amis et membres de ma famille utilisant Chrome obtenaient des messages d’erreur en essayant d’accéder à Google.com. Je pense que c’était des avertissements de redirections ou de certificat du site. J’ajoute que mon compte Google Plus se comportait de façon étrange lui aussi avant la désactivation de mon compte. Mais je lance des vérifications antivirus régulièrement et je n’ai jamais eu de virus. Une quelconque « violation perçue » est une méprise de la part de Google, ceci aussi est un fait.

Vous avez coupé mes moyens de communication, perturbé ma vie personnelle et professionnelle, détruit de larges parties des mes données personnelles et professionnelles, m’avez accusé de quelque chose sans me dire de quoi, avez bloqué toute communication directe avec mon accusateur, et ne m’avez donné aucune possibilité de faire appel de cette décision ou de parler à quelqu’un des faits connus dans cette affaire. Cette entreprise se dirige vers une voie très, très menaçante, si elle continue ainsi.

Plusieurs appels ont été faits à l’ONU pour que l’accès à Internet, aux communications essentielles et aux services d’information deviennent des Droits de l’Homme. En Grèce, en Espagne, en France et en Scandinavie, cela a déjà été accordé. Ce ne sera pas long avant que des lois ne soient mises en place concernant les comptes personnels utilisés pour accéder à ces services de communication et d’information, et des lois régulant la sauvegarde des informations personnelles contenues dans ces comptes, comme les correspondances. Il est impardonnable qu’une entreprise telle que Google, qui fait tant de déclarations sur les bonnes pratiques dans les domaines de la communication et de l’information, n’ait pas pris d’elle-même l’initiative et ait à la place choisi de traîner les pieds tant qu’ils n’y sont pas contraints par les gouvernements.

Les entreprises comme Google profitent des lois actuelles et écrivent dans leurs Conditions Générales d’Utilisation des choses telles que :

« …vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout Contenu que vous avez fourni, publié ou affiché sur les Services ou par le biais de ces derniers. »
(NdT : Tiré directement de la version française)

Ces conditions ne sont pas viables et je ne doute pas qu’elles seront modifiées à un moment ou à un autre à l’avenir. De nombreux grands médias, tel que le Washington Post, ont déjà commencé à scruter Google et d’autres entreprises qui ont choisi d’imposer de telles drastiques conditions à leurs clients. Voir Google agir de la sorte est infect et inexcusable.

Et je m’inquiète réellement de l’avenir de la dissidence sociale et politique qui devra se battre pour exister dans l’œil du cyclone formé par les réseaux sociaux et l’actuelle politique de Google. Un climat dans lequel la Responsable de la Vie Privée chez Google, Alma Whitten, a encensé YouTube comme un moyen pour les activistes politiques de poster du contenu de manière anonyme. Quelques mois plus tard, une nouvelle décision interne éliminait tranquillement toute possibilité de publier anonymement.

Je tiens aussi à mentionner qu’en aucun cas je n’ouvrirai un autre compte Google.

Comme je l’ai déjà dit, j’ai toujours été un apôtre et un fidèle de Google. Aujourd’hui c’est terminé. Je vais en finir avec les Google Apps qu’utilise mon entreprise et laisser tomber tous les autres produits Google que j’utilise, même les services comme Google News que je consultais auparavant plusieurs fois par jour. J’étais même sur le point de remplacer mon iPhone par un téléphone tournant sous Android. Au lieu de cela, je vais dépenser la même énergie que je consacrais à encenser Google à dénoncer cette entreprise que je considère désormais comme extrêmement nuisible et aux pratiques honteuses. Je vais écrire à mon sénateur, vendre mes actions et contacter ma banque à propos de l’argent que j’ai versé pour le domaine et l’espace de stockage qui sont à présent inaccessibles. Je vais faire pression sur Google par tous les biais possibles pour qu’ils m’expliquent ce qu’ils ont perçu comme une violation de leurs Conditions d’Utilisation. Ces conditions que Google nous présente lors de l’ouverture d’un compte : « Google se réserve le droit de clore votre compte à n’importe quel moment, pour n’importe quelle raison, avec ou sans préavis » ne sont pas des termes défendables (pour certains points, je pense qu’un tribunal pourrait conclure que ces termes sont inacceptables).

Google est une entreprise à qui les gens confient de nombreuses données personnelles dont ils dépendent fortement. C’est pourquoi Google doit fournir la preuve de ce qui cause la désactivation d’un compte. Une fois de plus, on ne peut pas prendre l’argent des gens et avoir un monopole sur des pans entiers de l’Internet sans montrer un minimum de responsabilité vis-à-vis de ses clients. J’ose espérer que Google sera forcé de fournir un moyen de récupérer ses données personnelles telles que sa correspondance ou ses contacts lors de la fermeture d’un compte.

Le fait que pour le moment Google n’offre pas cette option lorsqu’il désactive arbitrairement le compte d’un utilisateur ne fait qu’ajouter l’insulte aux dommages causés.

Quand je pense à tout le business que j’ai fait faire à Google, à tout l’argent que j’ai apporté à cette entreprise, à tous les gens que j’ai convertis de Yahoo ou d’Hotmail, à tous les prêches que j’ai faits envers Android, à tout le travail que j’ai consacré à la souscription de mon entreprise à Google Apps, ça me met en rage et je regrette tout ce que j’ai fait. Et je vais faire tout ce qui est humainement possible pour défaire toutes ces actions, ainsi que pour mettre Google sous pression pour qu’elle devienne une entreprise plus responsable.

Honte à vous et à vos associés ainsi qu’à vos employés qui tolèrent de telles pratiques d’entreprise déplorables, déshonorantes et répréhensibles !

Il est désormais possible de se passer de la suite bureautique Microsoft Office et du système d’exploitation Windows en utilisant de fiables alternatives libres (GNU/Linux et Libreoffice pour ne pas les nommer).

Mais quid du réseau social Facebook et des services Google par exemple ? Est-il possible de proposer des alternatives libres à ces applications dans les nuages du web qui demandent une énorme bande passante et nécessitent des batteries de serveurs, avec tous les coûts faramineux qui vont avec (et que ne pourra jamais se permettre le moindre projet libre qui commence avec cinq gus dans un garage) ?

L’enjeu est de taille car c’est de nos données qu’il s’agit et dont on fait commerce.

Une piste de solution, qui sur le papier semble tout autant lumineuse que triviale, serait de pouvoir séparer l’application web des données que cette application traite. L’application serait quelque part sur un serveur et les données ailleurs sur un autre serveur (chez vous par exemple).

Imaginez un Facebook où toutes les données de ses utilisateurs ne seraient plus sur le site et les serveurs de Facebook ! Facebook serait bien bien plus léger du coup à administrer (moins rentable aussi c’est sûr).

Finis la centralisation et le contrôle sur vos données qui retrouvent du même coup une liberté qu’elles n’auraient jamais dû perdre. Et le web (re)devient un meilleur web.

C’est l’objectif pour le moins ambitieux mais ô combien urgent et utile du projet Unhosted conduit par Michiel de Jong dont nous vous proposons une instructive et enthousiasmante interview ci-dessous.

On notera au passage que le projet collabore avec Libreoffice. À quand un « Google Docs Killer » basé sur unhosted ?

On remarquera également que le projet n’hésite pas à accorder de suite une forte importance au confort de l’utilisateur. Extrait : « Nous avons besoin que les utilisateurs finaux sautent le pas, or les utilisateurs finaux ne comprennent souvent pas bien les principes du logiciel libre, mais si on fait des applications vraiment agréables, ils viendront pour les applications, et resteront pour la liberté. »

Bonne lecture. La problématique exposée ici constitue certainement l’un de nos prochains combats. En fait la bataille a déjà commencé. Elle s’annonce rude mais on déplacé tant de montagnes par le passé qu’il n’y a aucune raison de perdre confiance et de laisser le champ… libre aux seuls monopoles commerciaux à la taille démesurée.

Mais avant cela rien de tel que cette courte vidéo introductive pour se mettre dans le bain et comprendre plus encore de quoi il est question :

—> La vidéo au format webm
—> Le fichier de sous-titres

Entretien de Michiel de Jong avec la communauté

Fellowship interview with Michiel de Jong

Chris Woolfrey – 23 avril 2011 – Followship of FSFE
(Traduction Framalang : Pandark, Pyc et Slystone)

Michiel de Jong a travaillé comme programmeur, chercheur et administrateur système à Amsterdam, Oxford, Londres et récemment à Madrid en tant qu’ingénieur en scalabilité (ou adaptabilité) pour le réseau social espagnol Tuenti. L’hiver dernier il a pris deux mois de vacances (de hacker) à Bali pour monter le projet Unhosted. Il vit maintenant à Berlin avec Kenny Bentley et Javier Diaz, où ils prévoient de travailler à plein temps sur le projet si les donations le permettent.

Chris Woolfrey : Pouvez-vous expliquer ce qu’est le projet Unhosted avec vos propres mots ?

Michiel de Jong : Il y a plusieurs manières de le présenter ; mon approche préférée est l’angle du logiciel libre. Le terme de logiciel libre signifiait auparavant que l’on avait un pouvoir de contrôle (utilisation, partage, étude et amélioration) sur le code source et le logiciel exécuté par l’application, c’est la définition utilisée par la FSFE.

À l’époque, c’était suffisant. On considérait comme acquis le contrôle des données traitées par l’application ; c’est évident, elles sont sur votre ordinateur ou votre serveur, sur lequel vous avez un accès complet aux données utilisées par vos applications.

Concernant les logiciels installés, que ce soit sur un ordinateur de bureau ou sur un serveur, cette vision était juste : si vous contrôlez le code source, vous possédez la liberté logicielle. Mais ensuite, lentement, les logiciels installés ont été remplacés chez l’utilisateur par des logiciels hébergés (comme Google Docs, Facebook et Twitter). Ces sites web hébergés ne sont alors plus une source d’information comme les classiques sites web d’avant ; ce sont des applications interactives, et la liberté logicielle n’existe pas dans ce contexte.

Il est absurde que les logiciels hébergés vous fassent céder vos données à l’auteur de l’application en question, mais c’est ainsi que cela se passe. Cela s’est installé progressivement et insidieusement, car les sites web d’information sont devenus peu à peu des sites dynamiques, et ces sites dynamiques ont commencé à accepter les contributions d’utilisateurs et sont peu à peu devenu des applications interactives. Désormais, les logiciels hébergés sont largement utilisés, souvent en lieu et place d’anciennes applications installées localement sur les ordinateurs.

Dans la transition des applications locales aux application hébergées, la liberté logicielle a été oubliée. Personne ne parle plus désormais de logiciels installés localement, on parle de logiciels hébergés, et pourtant certains disent « Mon ordinateur ne contient que des logiciels libres ; seul le microprogramme de la carte graphique est propriétaire », et c’est une erreur car une bonne partie des « logiciels » qu’ils utilisent ne sont pas installés localement sur leur ordinateur mais utilisés au travers d’un navigateur internet.

Le projet Unhosted a pour but d’inventer et promouvoir un moyen de résoudre ces problèmes. La liberté logicielle doit, de nos jours, être non seulement la liberté du code mais aussi celle des données.

CW : Comment Unhosted permet-il ceci ?

MdJ : Nous séparons le code d’une application de ses données.

Quand vous vous connectez à une application web Unhosted, l’URI affichée dans la barre d’adresse indique l’emplacement du code de l’application, mais le nom de domaine suivant l’arobase de votre identifiant indique l’emplacement de vos données ; ce qui libère vos données de l’emprise du serveur de l’application, tout en libérant ledit serveur de la charge de l’hébergement de vos données.

Ceci implique que l’hébergement d’applications libres redevient possible sur le web. Après tout, il existe un évident substitut libre à Microsoft Windows : GNU/Linux, comme il existe un évident substitut libre à Microsoft Office : Libre Office.

Mais quel logiciel libre pour remplacer aussi évidemment Google Docs ? Pourquoi ne pas se connecter à « www.libredocs.org », par exemple, et utiliser là des applications web libres, comme pour un logiciel installé localement ?

La réponse simple est le coût inhérent au fonctionnement d’une application distante, trop élevé pour permettre la fourniture de ces services gratuitement. Pour coder du logiciel libre, il suffit que des développeurs y consacrent du temps et du savoir-faire. Mais il est impossible de proposer des logiciels libres en ligne sans coût financier, parce que cette activité nécessite l’utilisation de serveurs, et qu’il faut rétribuer les hébergeurs.

En séparant le code des données, laissant leur traitement au navigateur, notre solution règle ce problème : il devient très économique d’héberger des applications web libres parce que vous n’avez à héberger que l’application elle-même, son code, pas les données qu’elle doit traiter.

C’est le côté « libérez les applications du poids des données » de notre projet. Puis arrive l’autre coté : le logiciel c’est du code et des données, le logiciel libre c’est du code libre et des données libres.

Avec Unhosted, la liberté des données est assurée par le choix, lors de l’inscription à une application, du domaine devant héberger vos données pour vous. Vous pouvez ouvrir un compte chez un fournisseur de services (ils sont en train d’être mis mettre en place) ou demander à l’administrateur réseau de votre université ou de votre entreprise d’héberger un nœud pour celle-ci ; de cette façon, tout bénéficiaire d’une adresse « @quelquepart » aura la possibilité d’obtenir un compte Unhosted avec le même nom d’utilisateur.

CW : Y a-t-il des bénéfices en termes de vie privée à utiliser Unhosted en comparaison avec une application web qui conserve à la fois le code et les données à distance ?

MdJ : En utilisant une application Unhosted, toutes vos données sont chiffrées par le navigateur avant d’être transmises au serveur hébergeant votre compte Unhosted. De cette façon, les données confiées à votre compte Unhosted peuvent se trouver sur n’importe quel serveur, parce que, bien que vous vous reposiez sur ce serveur pour permettre un accès à vos données, ces données sont stockées et chiffrées, ainsi vous n’avez pas à craindre que l’hébergeur du compte lise vos messages, par exemple. Les données stockées par une application Unhosted sont chiffrées par votre navigateur avant d’être transmises et enregistrées sur votre compte, et elles seront déchiffrées au moment de leur sollicitation par le navigateur, au moment de leur utilisation. Le serveur hébergeant vos données Unhosted est aveugle ; il transmet vos données vers et depuis des sites web Unhosted sans pouvoir lire leur contenu.

Utiliser JavaScript pour la cryptographie n’a habituellement aucun intérêt, parce que si un site web contient des scripts JavaScripts pour chiffrer des données, alors ces mêmes scripts peuvent être utilisés pour espionner ces données chiffrées.

Avec Unhosted il en va autrement car nous séparons le domaine qui fournit l’application de celui qui héberge les données. L’hébergeur du compte Unhosted (celui des données) ne pourra pas accéder aux scripts de cryptographie de l’application, donc l’application Unhosted peut chiffrer des données que le serveur du compte Unhosted ne poura pas déchiffrer.

CW : Quel genre d’applications convient d’après vous le mieux à l’utilisation d’Unhosted ? Quel types d’applications Web vous attendez-vous à voir adopter Unhosted en premier ?

MdJ : Toutes les applications qui n’enregistrent pas un grand nombre de données utilisateur peuvent être facilement adaptées à Unhosted.

Ce sont toutefois les applications comme Google Docs, nécessitant le stockage de beaucoup de données utilisateur importantes, qui bénéficieraient le plus du passage à Unhosted. Celà pourrait aussi bénéficier grandement au parallélisme (informatique). Cependant, pour d’autres services, comme les moteurs de recherche, il faudra trouver de bons algorithmes pour permettre un fonctionnement plus décentralisé. En général, toute application web qui nécessite le stockage d’un grand nombre de données personnelles peut tirer profit d’Unhosted.

CW : Il y a une effervescence actuellement autour de projets libres décentralisé pour proposer des alternatives au réseau social Facebook (Diaspora, Appleseed…) ou au moteur de recherche Google (YaCy, Seeks…). Quel impact et comment pourrait s’adapter votre travail à des projets comme Diaspora, Appleseed et, Seeks ou YaCy ?

MdJ : Unhosted a été d’une certaine façon créé sur la mailing list des développeurs de Diaspora. Nous discutions du basculement de Diaspora de PGP vers SSL, et de la façon dont un chiffrement « de bout en bout » serait plus adapté. Alors j’ai commencé à développer un système de chiffrement de données en Ajax. Il était destinée à intégrer Diaspora. Plus tard, j’ai réalisé qu’il pourrait avoir bien d’autres applications.

Il nous reste encore à écrire une application « sociale » Unhosted qui pourrait fédérer Diaspora et Appleseed. YaCy étant un moteur de recherche, il nécessitera un travail travail d’ingénierie plus conséquent avant de l’intégrer dans l’architecture des applications web d’Unhosted.

Outre ceux que vous avez évoqués, nous avons aussi été approchés par LibreOffice pour discuter de la façon de faire fonctionner ensemble Unhosted et LibreOffice. Ce fut un grand honneur. Nous mettons actuellement en œuvre un cloud-sync Unhosted pour LibreOffice. Il ne déplace pas exactement LibreOffice sur le web, c’est à dire que toute l’application n’est pas dans votre navigateur, mais il fait de LibreOffice un « navigateur de documents », similaire à un « navigateur web », et il sera compatible avec les standards web que nous avons rendu publiques il y a trois semaines.

Pour le reste, nous ne faisons que commencer. Nous avons mis en ligne une application de démonstration qui montre le principe : http://myfavouritesandwich.org. Les gens peuvent copier cette démo et s’en servir comme un « Hello World! », de base pour l’utilisation d’Unhosted.

CW : En voilà un super nom de domaine !

MdJ : Au départ c’était myfavouritecar.org mais Javier estimait que myfavouritesandwich.org était plus marrant.

CW : L’apparence du projet est-elle importante pour vous ?

MdJ : 33% de notre équipe à plein temps est un graphiste. C’est une autre caractéristique relativement unique de ce projet ; je ne pense pas que beaucoup de projets de logiciels libres atteignent ce pourcentage. Nous avons besoin que les utilisateurs finaux sautent le pas, or les utilisateurs finaux ne comprennent souvent pas bien les principes du logiciel libre, mais si on fait des applications vraiment agréables, ils viendront pour les applications, et resteront pour la liberté.

Il n’y a pas de barrière d’entrée pour l’utilisateur : c’est une caractéristique importante pour nous. L’utilisateur n’a pas besoin de savoir si une application est complètement hébergée ou Unhosted. Si l’utilisation d’Unhosted devient transparente, alors nous aurons fait un bon travail.

Il nous faut convaincre les développeurs web de créer des applications Unhosted, et leurs clients n’ont même pas besoin de savoir précisément ce que c’est. Si un client demande à un développeur une nouvelle application, le développeur doit pouvoir juste répondre « OK, on va utiliser la dernière technologie pour développer cette application pour vous », et créer alors une application Unhosted. Le client n’a pas besoin qu’on lui signale l’utilisation d’une architecture Unhosted, seul le développeur doit le savoir.

Nous voulons créer quelques applications de démonstration qui soient vraiment agréables à utiliser, de façon à pouvoir éviter les stigmates qu’associent souvent les non-convertis aux logiciels libres (par exemple un logiciel libre peut bien fonctionner mais il est souvent moche). Je pense qu’il est important que les logiciels libres soient beaux et agréables à utiliser. Beaucoup de projets font du très bon travail aujourd’hui, et nous voulons être l’un d’eux. Voilà pourquoi 33% de notre équipe à plein temps est consacrée au graphisme.

CW : Il semble que vous essayez d’attirer des gens en dehors de l’écosystème existant des logiciels libres. Pensez-vous qu’il y ait des avantages évidents à utiliser Unhosted pour des entreprises et associations non concernées par les logiciels libres ?

MdJ: Oui, certainement. Tout d’abord, une entreprise qui utilise des logiciels comme moyen de production peut vouloir utiliser un chiffrement de bout en bout, de façon à ce que les secrets de l’entreprise ne quittent pas son réseau privé virtuel, mais qu’elle puisse tout de même utiliser le stockage sur les serveurs d’Amazon, par exemple. Ainsi, ils peuvent bénéficier d’applications web Unhosted avec des comptes Unhosted qui stockent des données chiffrées sur des serveurs Amazon, et le tout fonctionnera dans les navigateurs web de leur personnel, sans avoir à installer de logiciels chez eux.

De plus, l’évolutivité et la robustesse d’une architecture distribuée peuvent être un choix stratégique pour une entreprise : si vous désirez proposer une application propriétaire, mais ne voulez pas que vos serveurs soient le maillon faible du système, alors Unhosted apportera à vos applications moins d’indisponibilité, ou au moins les incidents ne toucheront pas tous les utilisateurs et votre application ne sera pas entièrement indisponible à cause de problèmes localisés. Enfin, le coût d’hébergement d’une application Unhosted est bien moins élevé que celui d’une application traditionnelle.

C’est un grand avantage pour les projets libres qui, à l’heure actuelle, ne peuvent simplement pas s’offrir l’hébergement d’applications web, mais pour les applications propriétaires c’est aussi une opportunité intéressante, parce que cela permet de réduire les coûts. Il y a donc là une activité commerciale possible comme fournisseur de comptes Unhosted. Selon le nombre d’applications intéressantes que nous pouvons susciter et promouvoir, des entreprises de ce type écloront, et alors les utilisateurs pourraient avoir un unique identifiant pour l’ensemble des applications Unhosted qu’ils utiliseront.

Les possibilités d’interopérabilité entre les applications sont elles aussi enthousiasmantes — la séparation des applications et des données permettra aussi (quand une complète compatibilité des formats le permettra) de basculer sur un autre site et constater, par exemple, que tous vos albums de photos sont bien là, pour revenir au site précédent pour voir que vos modifications ont été prises en compte instantanément, sans avoir à faire d’import ou d’export, parce que les données sont les mêmes.

Ce sera une expérience incroyable pour les utilisateurs finaux quand nous arriverons à faire fonctionner tout cela ! Certaines personnes ne se soucient pas d’évolutivité, de pérennité, de robustesse, de chiffrement, de vie privée, des applications dans le domaine public ou de logiciels libres, etc., ils ne se soucient que des possibilités d’interopérabilité des données. Ce type d’interopérabilité pourrait être le meilleur atout du projet Unhosted.

CW : Pourquoi a-t-il fallu attendre jusqu’à maintenant pour qu’un projet comme Unhosted voit le jour ?

MdJ: Je pense que tout cela est très récent. Il y a un an, on ne se rendait pas forcément compte qu’il y avait un problème avec nos données. Oui, il y a eu l’article de Richard Stallman au sujet de SaaS, puis les excellentes présentations de Eben Moglen, mais pendant ce temps-là, Facebook est devenu de plus en plus dominant. Sans oublier des projets tout neuf comme le Chrome Web Store et Chrome OS.

Il y a deux ans, ça n’était pas aussi évident. Enfin, je sais que je n’aurais pas pu envisager tout cela il y a deux ans, mais je pense que c’est le bon moment maintenant. Un grand nombre de ces idées ne sont pas les miennes. Certains principes importants viennent de Tim Berners-Lee et Zooko, je les ai juste rassemblées et ai rédigé un « manifeste » sur le sujet, ce qui encore une fois, est essentiellement copié d’Eben Moglen et Richard Stallman.

CW : Comment prévoyez-vous de travailler à plein temps sur Unhosted ?

MdJ : Nous ambitionnons de récolter pendant les prochains mois 36000 €. Nous avions le choix entre créer une entreprise ou développer entièrement le projet dans le cadre d’une association à but non lucratif.

Nous avons choisi la voie non marchande car nous pensons qu’il est important de le faire de cette façon. Nous sommes trois ingénieurs à plein temps, et nous avons l’intention de trouver un hackerspace à Berlin pour nous accueillir tous les trois, plus deux bureaux libres pour les hackers en visite. Nos locaux seront ouverts aux vacanciers qui voudraient passer une semaine à Berlin, trainer dans nos locaux et contribuer à libérer le web. Les loyers sont très bon marché à Berlin, toutefois chacun de nous a besoin d’environ 1000 € par mois pour vivre.

Nous sommes très impliqués dans ce projet. Prochainement, nous publierons des outils et des applications de démonstration afin de faire avancer le web Unhosted, et nous nous occuperons des détails à mesure que nous progresserons. Unhosted est un projet communautaire, entièrement ouvert, mais je pense qu’il est bon d’avoir une structure « fondation plus communauté », avec une petite équipe entièrement dédiée au projet, pour constamment lui donner une impulsion.

Nous encourageons les personnes intéressées à s’inscrire à notre liste de discussion, nous suivre sur Identi.ca et Twitter, et à rejoindre notre canal IRC. D’autre part, nous encourageons les développeurs à forker nos applications de démonstration pour développer leurs propres applications Unhosted.

Le web Unhosted commence aujourd’hui…

Ça y est, les premiers « ordinateurs Google », les Chromebooks – un Acer et un Samsung pour commencer – vont bientôt arriver sur le marché. Ils seront tous les deux munis du système d’exploitation maison Google Chrome OS (qui, rappelons-le, repose sur une couche open source Chromium OS).

Potentiellement il s’agit bien moins d’une évolution que d’une véritable révolution.

Je vous parle d’un temps que les moins de vingt ans… mais souvenons-nous de nos premiers PC. On avait nos applications (téléchargées en ligne ou installées depuis un cédérom) que l’on mettait à jour volontairement et manuellement. Parmi ces applications, il y a une qui a pris de plus en plus d’importance au fil des ans, c’est notre navigateur Web. Mais on conservait encore du temps pour notre suite bureautique ou notre traitement d’images. Si on n’avait pas la chance d’être sur un OS libre alors il fallait aussi un antivirus. Et puis on avait nos fichiers, dans notre disque dur ou nos périphériques.

Avec un Chromebook, tout ceci disparaît d’un coup de baguette magique ! Direction : « le nuage » !

Ici notre ordinateur se confond avec notre navigateur et se transforme en un terminal de connexion à Internet (vous avez dit Minitel 2.0 ?). Nous n’avons plus à nous soucier des applications, de leurs mises à jour, des fichiers et de leur stockage. Ce sont les serveurs de Google qui s’en chargent pour nous. Quel confort, quelle praticité, quelle simplicité !

C’est bien l’image que souhaite nous en donner Google en tout cas dans cette signifiante publicité vidéo : le Chromebook ce n’est pas un ordinateur portable, ce n’est pas un portable qui a accès au Web, c’est le Web matérialisé dans le Chromebook, on peut tout faire désormais sur le Web, y accéder de n’importe où, etc. et la dernière phrase, emblématique : le Chromebook sera prêt quand vous le serez.

Bon, imaginons que ces ordinateurs soient massivement adoptés et qu’au fur à mesure que le temps passe et que la connexion en tout lieu s’améliore, ils soient de plus en plus plébiscités… en grignotant chaque jour davantage de part de marché. Alors, soyons un peu provocateur, il ne servira plus à rien de se rendre, comme nous la semaine prochaine^[1], à l’Ubuntu Party de Paris. Car l’adoption ou la migration de Windows vers GNU/Linux sera alors complètement court-circuitée. Idem pour d’autres célèbres migrations, d’Internet Explorer à Firefox (bonjour Google Chrome), de MIcrosoft Office à LibreOffice (bonjour Google Documents). Framasoft aussi du reste ne servira plus à rien (ou presque) puisque son annuaire, ses clés ou ses dvd seront définitivement à ranger dans les archives du Web.

Le danger est réel pour « la communauté du libre ». D’autant qu’en son sein Google jouit d’une bien meilleure image qu’un Microsoft, Apple ou Facebook et que nous sommes nombreux à posséder un compte Gmail.

Mais le danger est encore plus réel pour le futur acheteur d’un Chromebook. Car la condition sine qua non pour l’utiliser c’est de posséder un compte Google et de souscrire de facto à ses conditions d’utilisation. Conditions pas toujours très claires quant à l’usage de vos données personnelles et qui peuvent changer à tout moment selon le bon vouloir de Google (et de ses actionnaires). Vous ne vendrez pas spécialement votre âme au diable, mais dites-vous bien que vous confiez tout, absolument tout, à la société commerciale américaine Google^[2].

C’est, entre autres critiques, ce que souligne Ryan Cartwright dans la traduction ci-dessous.

Si le Chromebook devient un succès, peut-être allons-nous devenir de « vieux réacs du Web » (des « Zemmour du Web » !) avec notre souhait et notre souci de conserver le contrôle et donc la liberté sur nos serveurs, nos machines, nos applications, nos fichiers et nos données.

Mais au moins aura-t-on tenté de résister et de vous prévenir…

Chromebooks – Le futur commence aujourd’hui ?

Chromebooks – has the future arrived?

Ryan Cartwright – 18 mai 2011 – Free Software Magazine
(Traduction Framalang : Goofy et Lolo le 13)

On a l’impression que ça fait une éternité que Google a annoncé ChromeOS, ce qui bien sûr a fait couler beaucoup d’encre, y compris dans ce magazine. Maintenant que deux fabricants s’apprêtent à lancer deux modèles de Chromebooks, il pourrait être utile de se souvenir des problèmes liés au « système d’exploitation basé sur le nuage », en général et dans ce cas précis.

C’est quoi le « nuage » ?

Il n’y a pas de réelle définition de ce qu’est le « nuage ». C’est comme la « Propriété Intellectuelle » : c’est surtout un terme de marketing qu’on peut recycler à son gré pour lui faire dire ce qu’on veut. Quand j’utiliserai l’expression ici, « un système d’exploitation dans les nuages » est quelque chose où toutes les données et les applications utilisateurs sont sur le World Wide Web. La seule chose qui reste au plan du matériel lui-même, c’est un système d’exploitation basique sur un disque et un navigateur Web. Je suis certain qu’on peut trouver des définitions plus complexes et plus détaillées de système d’exploitation dans les nuages et/ou de ChromeOS, mais ma définition ira bien pour cet article.

Vie privée et confidentialité des données

Ce sera toujours le plus gros problème en ce qui concerne le système d’exploitation basé sur le nuage. Si vous-même en tant qu’utilisateur vous espérez stocker vos données en ligne, alors vous les mettez (avec beaucoup d’autres choses) en danger. Il y a assez d’exemples de données en lignes qui ont été lues par des personnes non autorisées pour rendre inquiétant un système d’exploitation entier basé sur ce concept. Alors qu’il est vrai que beaucoup de gens ne font pas l’effort de sécuriser leurs données sur un support externe, certains pensent que ces données seront protégées derrière une porte fermée. Oui, donner à ces soi-disant ordinateurs un accès au Web en fait des ressources ouvertes, même si la plupart des données personnelles de l’utilisateur lambda manquent d’intérêt pour les malfaisants. Cependant, réunissez toutes les données sur un simple serveur (ou un groupe de serveurs) et soudain les données deviennent bien plus attractives. Et plus elles sont attirantes plus le risque est élevé. Pour faire une analogie, c’est comme la différence entre ceux qui stockent leur économies dans un coffre-fort à la maison et ceux qui les confient à la banque. Le fait de passer de maison en maison pour faire une série de casses n’était pas très attirant pour les voleurs. Par contre, mettez tout cet argent dans un seul coffre-fort d’une banque et soudain le facteur de retour sur l’effort fait que la chose est bien plus séduisante.

Donc si ChromeOS m’autorisait à stocker mes données dans un serveur de mon choix et me laissait la possibilité d’avoir un autre apps store dans un autre endroit, alors au moins les données pourraient être davantage sous mon contrôle. C’est vrai, plein d’utilisateurs de ces Chromebooks n’y feront probablement pas attention mais sans même cette éventualité, il est inutile de chercher à leur faire comprendre l’idiotie de leur renoncement.

Accès

ChromeOS est conçu et vendu comme « basé sur le nuage », avec la Wi-Fi et la 3G (il existe des versions avec la wifi seule). Ce qui présente aussitôt à mes yeux un problème particulier. Que se passe-t-il quand vous n’avez pas de connexion ? Existe-t-il une option hors-connexion ? Mes recherches suggèrent que non mais pour être honnête toute la documentation sur ce point est soit du marketing de Google ou des fabricants soit rédigée au doigt mouillé sur des sites de technos qui veulent se positionner au plus haut dans les résultats des moteurs de recherche.

J’imagine que la cible marketing des Chromebooks sera le marché des netbooks et tablettes. J’ai noté qu’on utilisait la plupart du temps ce genre d’appareils dans des conférences ou des cafés. Il existe une bonne raison à ça — on trouve généralement dans ces endroits une connexion wifi à peu près correcte. Dans ce genre d’environnement le Chromebook conviendra parfaitement, mais si la connexion Internet devient un peu chancelante, que se passera-t-il ? Que va devenir un document que vous avez à moitié entamé au moment où la connexion s’interrompt ? Je suis certain que Google s’est penché sur le problème mais jusqu’à maintenant je n’ai pas vu grand-chose qui aille dans le sens d’une solution.

Pendant que j’y suis, parlons un peu de l’impression. Comme Chromebooks fait tout « dans le nuage », imprimer localement devient un problème. Il semble que la solution soit de connecter votre imprimante locale à l’Internet et d’imprimer via les serveurs de Google. Oui, vous avez bien lu, et je le répète : pour imprimer avec un Chromebook, vous aurez besoin d’utiliser une imprimante qui sera connectée au réseau. Donc, vous devez partager non seulement vos données avec Google, mais aussi votre imprimante. Bon d’accord en réalité la plupart des utilisateurs enregistreront leurs documents avec Google docs et les imprimeront depuis un ordinateur qui ne sera pas dans le nuage, à l’aide d’une imprimante locale. Mais même ainsi c’est à mes yeux un nouvel inconvénient.

Applis

Aucun appareil digne de ce nom ne peut être lancé sans une myriade d’applis. Dans le cas de Chromebook il existe des applis web pour le navigateur Chrome. Certaines sont gratuites, d’autres sont gratuites dans la période d’essai, d’autres enfin sont carrément commerciales. Aucune de celles que j’ai vues n’est libre au sens où nous en parlons ici. je ne suis pas toujours d’accord à 100% avec Richard Stallman (gare au troll) mais il a raison de déclarer :

« C’est aussi nul que d’utiliser un programme propriétaire. Faites vos opérations informatiques sur votre propre ordinateur avec votre programme respectueux de vos libertés. Si vous utilisez un programme propriétaire ou le serveur web de quelqu’un d’autre, vous êtes sans défenses. Vous êtes à la merci de celui qui a conçu le logiciel ». Richard Stallman, cité par le Guardian, 29 septembre 2008.

Il existe aussi un autre problème qui nous concerne en tant qu’utilisateurs de logiciels libres. La licence de ces applis web n’est pas mentionnée dans la boutique d’applis de Chrome. Google a probablement raison de prétendre que la plupart des utilisateurs de ChromeOS seront plus préoccupés par le prix que par la liberté, mais malgré tout l’absence d’information sur la licence soustrait un point important de l’esprit du public. Quand vous pensez à tout le temps qu’il a fallu pour avoir les libertés en informatique que nous avons aujourd’hui, omettre délibérément ces informations revient simplement à encourager les gens à ignorer les problèmes de liberté et de confidentialité. Les cyniques répondront que c’est le problème de Google (et autres géants du secteur informatique) et que c’est certainement payé par Android. Ce qui a été lancé comme un système d’exploitation pour mobile « basé sur Linux » est maintenant connu comme « Android de Google ». Tout comme si des questions importantes — mais finalement un peu barbantes — comme la sécurité, la confidentialité et la liberté devaient être sacrifiées sur l’autel non du prix cassé mais de l’accès facile. Tant qu’on peut le faire facilement, le sacrifice que vous devez faire passe inaperçu.

Pas ma tasse de thé

Vous aurez probablement deviné que le Chromebook ne figure pas en tête de la liste de cadeaux à me faire sur mon compte Amazon. Mais ce n’est pas un problème car je n’ai pas pour habitude de partager ma liste de vœux avec tout le monde. Il existe simplement beaucoup trop de problèmes importants à mes yeux qui restent sans solution et qui ne pourront être résolus compte-tenu du modèle économique de ChromeOS. Toutefois à la différence des iTrucs (que je déteste pour des raisons évidentes) et les tablettes, qui ne me donnent pas la moindre raison de les acheter (l’indice certain que je vieillis), j’ai comme l’intuition que les Chromebooks ne se vendront pas si bien que ça. La raison majeure c’est que beaucoup ne supporteront pas l’idée de devoir être toujours en ligne. Avoir une connexion un peu faiblarde pour un usage basique du Web c’est une chose, mais quand vous en avez besoin pour votre travail vous êtes vraiment très vite furieux. Mais je pense que les problèmes que je viens de soulever ne vont pas se dissiper. Nous autres dans la communauté du logiciel libre (encore une expression dont les contours sont flous), nous avons pris conscience depuis un certain temps des problèmes de libertés posés par « l’informatique dans le nuage », mais nous avons flirté avec ça sur le marché des appareils mobiles. Je crains que des entreprises propriétaires rapaces ne se mettent à vouloir prendre le contrôle de portions toujours plus vastes de nos vies grâce à des choses comme Chromebook. En quelque sorte ils auront plus vite résolu les problèmes de bande passante que ceux posés par le respect de la vie privée.

Retour vers le passé

La dernière fois que j’ai publié un billet sur ChromeOs j’ai fait quelques prédictions. Comme toujours dans ces cas-là, certaines étaient évidentes (le magasin ChromeOs, les netbooks plus petits et moins voraces en énergie), et d’autres restent encore à accomplir (le développement des logiciels qu’on paiera suivant la consommation). Mais l’une d’entre elles a malheureusement bien des chances de s’accomplir. Si les problèmes que j’ai soulignés dans ce billet comme la confidentialité et les libertés prennent de l’ampleur, alors les logiciels libres, sans forcément disparaître, vont sortir de la sphère d’influence publique et c’est une bien mauvaise chose.

Le monde de plus en plus numérique qui se met en place présente le risque et le paradoxe de nous déposséder d’une part de nous-mêmes, celle qui laisse toujours plus de traces sur le réseau.

Dans un récent article publié par le New York Times, le professeur économiste Richard Thaler en appelle à plus de transparence quant à l’utilisation commerciale de nos données^[1].

Mais il en appelle surtout à la possibilité de réutiliser nous-mêmes nos propres données, ce qui est loin d’être le cas actuellement.

Et la situation ne pourra évoluer que si les utilisateurs sont de plus en plus nombreux à prendre conscience du problème en mettant alors la pression sur les structures qui exploitent ces données.

Nos données nous appartiennent. Montrez-les-nous !

Show Us the Data. (It’s Ours, After All.)

Richard Thaler – 23 avril 2011 – The New York Times
(Traduction Framalang : Goofy et Don Rico)

Nul ne sait mieux que moi ce que j’aime.

Cette affirmation peut passer pour une évidence, mais la révolution des technologies de l’information a généré une liste croissante d’exceptions. Votre épicier sait ce que vous aimez manger et peut probablement vous donner des conseils judicieux et appropriés sur d’autres aliments qui pourraient vous plaire. Votre opérateur téléphonique sait qui vous appelez, et votre téléphone sait où vous êtes allé. Quant à votre moteur de recherche, il peut anticiper vos désirs avant même que vous ayez achevé de les saisir au clavier.

Les entreprises accumulent des masses considérables d’informations sur ce qui vous plaît ou pas. Mais ce n’est pas seulement parce que vous êtes digne d’intérêt. Plus elles en savent sur vous, plus cela leur rapporte d’argent.

La récolte et la diffusion de ces informations soulève une quantité de problèmes de confidentialité, bien entendu, et un tandem de sénateurs des deux camps, John Kerry et John McCain, a proposé de les régler avec leur Commercial Privacy Bill of Rights (Ndt : Déclaration des Droits à la confidentialité dans le commerce). Protéger notre vie privée est important, mais la démarche des deux sénateurs fait l’impasse sur un problème plus important : elle n’inclut pas le droit d’accès à nos propres données personnelles. Non seulement nos données devraient être protégées, mais elles devraient aussi être disponibles pour que nous puissions les utiliser selon nos propres besoins. Après tout, ces données nous appartiennent.

Voici un principe de base : si une entreprise commerciale collecte électroniquement les données des utilisateurs, elle devrait leur fournir une version de ces informations facile à télécharger et à exporter vers un autre site Web. On peut résumer cette démarche ainsi : vous prêtez vos données à une entreprise, et vous en voudriez une copie pour votre usage personnel.

Le gouvernement de la Grande-Bretagne vient d’annoncer une initiative intitulée « mydata » qui va dans ce sens (j’ai travaillé comme consultant pour ce projet). Bien que les lois britanniques demandent déjà aux entreprises de donner à leurs clients des informations sur l’utilisation de ces données, le programme vise à fournir des données accessibles via un ordinateur. Pour commencer, le gouvernement travaille en concertation avec plusieurs grandes banques, les émetteurs de cartes de crédit, les opérateurs et revendeurs de téléphones mobiles.

Pour comprendre comment un tel programme pourrait améliorer la façon dont fonctionne le marché, songez par exemple à la façon dont vous choisissez un nouvel abonnement à un service de téléphonie mobile. Deux études ont démontré que les consommateurs pouvaient économiser plus de 300 dollars chaque année en souscrivant un abonnement mieux adapté. Mais pour cela, il faut être capable d’estimer ses besoins en termes de services : SMS, médias sociaux, musique en streaming, envoi de photos, etc.

Il se peut que vous ne soyez pas en mesure de traduire tout cela en mégaoctets, mais votre opérateur lui, en est capable. Bien que certaines informations soient déjà disponibles en ligne, elles ne se trouvent généralement pas encore disponibles dans un format exportable – vous ne pouvez pas les couper-coller facilement sur un autre site, un comparateur de prix par exemple – et elles ne se présentent pas de telle manière qu’il vous soit facile de calculer quel est le meilleur abonnement pour vous.

Si l’on suit la règle que je propose, votre opérateur vous donnerait accès à un fichier comprenant toutes les informations qu’il a récoltées depuis que vous avez un mobile, ainsi que toutes les factures en cours pour chacun des services que vous utilisez. Les données vous seraient remises dans un format utilisable par les créateurs d’applications, si bien que de nouveaux services pourraient voir le jour, proposant aux consommateurs des conseils pratiques (pensez à Expedia, par exemple). Ainsi, ce cercle vertueux créerait des emplois pour ceux qui ne rêvent que de lancer ce genre de nouveaux sites Web.

Avant de se plaindre qu’il est difficile de se soumettre à une telle règle, les entreprises devraient jeter un coup d’œil à une initiative du gouvernement fédéral appelée Blue Button. Cette procédure déjà en vigueur offre aux anciens combattants et bénéficiaires de Medicare (NdT : programme de sécurité sociale pour personnes âgées) la possibilité de transmettre leur dossier médical à un organisme de confiance (le nom « Blue Button » fait allusion au bouton bleu sur lequel peut cliquer l’utilisateur qui désire récupérer ses données).

L’initiative Blue Button se répand déjà dans les applications du secteur privé. Northrop Grumman a développé une application pour smartphone qui permet aux anciens combattants d’accéder à leur dossier médical et de recevoir sur leur téléphone des conseils de santé pour être en bonne forme. HealthVault, un site Microsoft pour l’organisation de ses soins de santé, permet également aux utilisateurs de Blue Button d’y rechercher leurs informations médicales. La possibilité d’accéder à ces différents types de services pourrait sauver des vies en cas d’urgence.

Si le gouvernement est capable de collecter et restituer des informations confidentielles de manière sécurisée et utile, les entreprises privées peuvent en faire autant, ce qui donnera davantage de chances aux consommateurs d’être des clients plus avisés.

Revenons à l’exemple des smartphones. Une fois que le propriétaire d’un téléphone fournit ses informations personnelles à des sites Web tiers, ceux-ci (BillShrink, par exemple) peuvent l’aiguiller vers les abonnements de meilleur rapport qualité/prix. Vous envisagez de changer votre téléphone ? Les sites tiers peuvent vous avertir si votre utilisation risque de s’accroître, en se basant sur l’expérience d’utilisateurs qui ont fait avant vous le même changement.

Si les données personnelles sont accompagnées d’informations détaillées sur les coûts, comme je l’écrivais dans mon dernier article, les consommateurs connaîtront mieux la façon dont ils utilisent vraiment les services, ainsi que leur coût réel. La tarification transparente, elle, donnera un avantage compétitif aux fournisseurs honnêtes et de qualité sur ceux qui ont des pratiques opaques. Ces éléments permettront une croissance économique saine.

Les applications possibles sont innombrables. Les supermarchés, par exemple, savent déjà qu’ils peuvent attirer plus de clients dans leurs clubs de consommateurs en offrant des réductions exclusives à ceux qui en font partie. Ce qui permet aux magasins de connaître les habitudes de consommation des clients et de cibler les bons de réduction d’après leurs achats. Les clients peuvent se désinscrire – mais alors ils perdront leurs réductions.

Exigeons donc que ce soit à double sens. Pourquoi ne pas vous donner, à vous consommateur, quelque chose en échange de votre participation ? Exigez du supermarché qu’il vous fournisse l’historique de vos achats. Il ne se passera pas longtemps avant qu’un entrepreneur astucieux ne vous concocte une application capable de vous indiquer des solutions de remplacement moins coûteuses et plus saines, qui seront aussi bonnes pour votre ligne que pour votre compte en banque. Les applications ne servent pas qu’à économiser de l’argent ; elles pourraient aussi avertir les clients souffrant d’allergies, par exemple, qu’ils achètent des aliments contenant des ingrédients auxquels ils sont sensibles, comme les arachides ou le gluten.

La capacité qu’ont les entreprises à surveiller notre comportement fait déjà partie de notre quotidien, et ce n’est qu’un début. Nous devons évidemment protéger notre droit à la confidentialité, mais si nous sommes malins, nous utiliserons également les données qui sont collectées pour améliorer notre existence.

J’espère que les entreprises américaines suivront l’exemple de leurs homologues britanniques et coopèreront au programme « mydata ». Sinon, nous exigerons des entreprises qu’elles nous indiquent ce qu’elles savent déjà sur nous. Pour paraphraser Moïse, demandons-leur : « laisse aller mes données, afin qu’elles me servent »

Richard H. Thaler est professeur d’économie et des sciences du comportement à l’école de commerce Booth de l’Université de Chicago.

Lorsque Richard Stallman s’exprime, il ne laisse généralement pas la Toile indifférente. Ce qui se comprend aisément puisque, Microsoft, Apple, Facebook, Google…, il critique ouvertement et radicalement ce que tout le monde ou presque utilise au quotidien.

Son récent avis sur le Cloud Computing en général et Google Chrome OS en particulier dans un article du Guardian que nous venons de traduire ne déroge pas à la règle^[1].

Jusqu’à donner l’idée à Katherine Noyes de compiler quelques interventions lues dans les commentaires de l’article ainsi que sur le célèbre site Slashdot. Avec ce terrible constat qui ouvre le billet et que je retourne en question aux lecteurs du Framablog : Pensez-vous que Stallman a perdu ?

Déluge de critiques de Stallman sur le Cloud : Prudence ou Paranoïa ?

Stallman’s Cloudburst: Prudence or Paranoia?

Katherine Noyes – 20 décembre 2010 – E-Commerce Times
Traduction Framalang : Olivier Rosseler)

« Je vais pouvoir annoncer à notre bon vieux RMS qu’il a perdu », nous dit hairyfeet, blogueur chez Slashdot. « La partie est terminée, l’ours a été tué et sa peau est depuis longtemps vendue. Regardez simplement avec quel enthousiasme les gens balancent tous les détails de leur vie sur Facebook, vous comprendrez qu’ils font peu de cas de leur vie privée tant que vous flattez leur ego surdimensionné. »

Quand Richard Stallman s’exprime, la communauté du logiciel libre écoute en général, on en a eu une nouvelle démonstration dans la blogosphère Linux la semaine passée.

C’est à l’occasion de la sortie de Chrome OS, le nouveau système d’exploitation de Google, que le fondateur de la Free Software Foundation a donné son avis, et, fidèle à ses principes, on peut dire qu’il ne nous a pas déçus.

La technologie peut « entraîner les gens à utiliser l’informatique imprudemment », confie Stallman au journal The Guardian, lorsqu’elle leur demande de confier leurs données aux nuages plutôt qu’à des machines dont ils ont le contrôle. Pour Stallman, une forte dépendance au nuage est même « pire que stupide. »

Voilà une opinion forte, à n’en pas douter, mais les réactions qui s’ensuivirent dans la blogosphère n’en furent pas moins fortes.

« Il a complétement raison »

Dans les commentaires ici même sur LinuxInsider, phatpingu qualifie les idées de Stallman d’étriquées. « Je trouve ça assez incroyable qu’il imagine que ces questions n’aient pas été soulevées et débattues en interne chez Google et qu’il pense qu’aucune mesure ou règle définissant la propriété des contenus n’ait été mise en place. »

amicus_curious, lui, oppose un avis plus neutre : « C’est toujours difficile de savoir si RMS se donne en spectacle ou s’il croit vraiment en ce qu’il dit. Mais Chrome OS et le nuage de Google n’ont pas grand-chose à craindre du mépris de Stallman. »

Puis il y a aussi ceux qui partagent ses idées. Parmi la centaine de commentaires qu’a reçus l’article du Guardian, blossiekins écrit : « Il a complètement raison. L’informatique dans les nuages ne fait qu’encourager l’ignorance et la nonchalance des utilisateurs vis-à-vis de leurs données et de ce qui en est fait. »

« Google n’est pas un joli Bisounours qui veut s’occuper de vos données simplement parce qu’il est gentil, il veut s’en occuper parce que ça lui apporte des informations », poursuit blossiekins. « Et plus les choses avancent, plus les risques font froid dans le dos. »

Depuis quelques jours, les arguments pro et anti Stallman résonnent dans la blogosphère, Linux Girl décida alors d’en savoir plus. L’impression dominante dans la blogosphère ne tarda pas à se faire entendre.

L’avantage des logiciels libres

« RMS a évidemment raison », d’après le blogueur Robert Pogson en réponse à Linux Girl, par exemple. « Pour utiliser Chrome, il faut faire confiance au nuage, ce qui est le cas de la plupart d’entre nous. »

Prenez, par exemple, Facebook, suggère Pogson.

« Des centaines de millions de personnes y passent des heures, malgré les innombrables problèmes de sécurité que le site a connus cette année », fait-il remarquer. « Des millions d’utilisateurs font confiance à Google et M$ aussi, mais je pense qu’ils le regretteront tôt ou tard. Je ferais bien plus confiance à un nuage construit avec des outils libres plutôt qu’à un trou noir. »

Pogson rappelle que le nuage a de gros avantages, économiquement parlant, principalement dus aux économies d’échelle dont peuvent bénéficier les grandes entreprises comme Google.

« Les particuliers comme les PME seront tentés d’externaliser leurs emails, leurs données, leurs sauvegardes et la gestion de leurs documents dans le nuage », prédit-il. « Je m’attends à une explosion du marché du nuage en 2011, ainsi que de celui des logiciels libres. Choisir des outils libres plutôt que ceux de M$ ou des solutions « maison » dans les nuages apportera des avantages. »

« La fin de la vie privée »

En effet, « ça me fait mal de l’avouer, vraiment, mais je suis d’accord avec RMS », commence hairyfeet, blogueur chez Slashdot. « Nous offrons les détails de nos vies entières à ces méga-entreprises, et le pire, c’est qu’en retour on ne reçoit rien, même pas un bonbon ou un rabais de 20% sur notre prochain achat. »

« C’est la raison pour laquelle j’ai changé de navigateur, pas pour Chrome ou même Chromium, mais pour Comodo Dragon, dont la philosophie est NE ME PISTEZ PAS », dit hairyfeet.

Malheureusement « Je peux dire à notre bon vieux RMS qu’il a perdu », poursuit-il. « La partie est terminée, l’ours a été tué et sa peau est depuis longtemps vendue. Regardez simplement avec quel enthousiasme les gens balancent tous les détails de leur vie sur Facebook, vous comprendrez qu’ils font peu de cas de leur vie privée tant que vous flattez leur ego surdimensionné. » Ils ne se rendent sûrement même pas compte « qu’une fois identifiés sur Facebook, ils sont reconnus par quasiment TOUS LES SITES, puisqu’ils sont presques tous interconnectés maintenant. En naviguant, ils laissent donc derrière eux des traces aussi visibles qu’un A380 partout où ils vont », ajoute-t-il.

Alors, « je suis désolé mon bon vieux hippie, mais c’est la fin de la vie privée, tuée par l’ego surdimensionné des gens », conclut hairyfeet.

« Le nuage ? Un effet de mode »

« Je pense que le nuage n’est qu’un effet de mode. On perd le contrôle de nos propres données, en espérant simplement que notre fournisseur fasse bien son boulot avec les sauvegardes », témoigne Gerhard Mack, consultant à Montréal et blogueur pour Slashdot. « Et que faire lorsque je n’ai pas accès à Internet ? ».

Et c’est vraiment « ce qui me gêne le plus avec mon téléphone sous Android », dit-il. « La plupart des applications ont besoin d’une connexion pour fonctionner, mais qu’est-ce que je peux faire si je suis dans une petite ville où j’arrive à peine à capter un réseau 2G et que j’ai besoin des indications du GPS ? Et si j’ai besoin de me servir du traducteur espagnol dans un sous-sol ? »

« C’est du vécu, et ça me laisse penser que le nuage a encore des fortes lacunes », conclut-il.

« Les petites lignes vous (en) privent »

« RMS a absolument raison à propos de l’informatique dans les nuages » acquiesce Barbara Hudson, blogueuse chez Slashdot, plus connue sous le pseudo de Tom sur le site. « Il faut être très attentif lorsqu’on sacrifie notre vie privée sur l’autel de la facilité. »

Les règles de partage de l’information de Gmail, par exemple, sont faites pour « protéger Google, pas pour vous protéger vous, si quelque chose se passe mal », nous explique Hudson. « Pour dire les choses autrement : ce que les grandes lignes vous offrent, les petits lignes vous en privent. »

Mais elle fait tout de même remarquer que Google a déjà, par le passé, refusé de partager avec le gouvernement ses historiques de recherche détaillés.

« Mais bien malin celui qui saura dire ce que nous réserve l’avenir. N’oublions pas que si le magazine Time n’a pas choisi Julien Assange comme personnalité de l’année, c’est, au moins en partie, par peur d’être placé sur la liste noire du gouvernement, aux côtés du New York Times ainsi que cinq autres journaux » dit Hudson.

« Je veux une garantie »

Il faut alors bien vous demander si « vous voulez vraiment que votre hébergeur dans les nuages et ses associés puissent exploiter vos projets commerciaux, vos feuilles de calcul et votre correspondance, professionnelle et personnelle », s’interroge Hudson. « Ou encore si vous désirez devenir la cible d’une perquisition demandée par votre ex-épouse ou par un tordu avec une idée derrière la tête? »

Elle conclut en disant que « Au moins, lorsqu’il s’agit de mon propre disque dur je peux encore dire : Il me faudrait un peu plus qu’une confiance raisonnable, il me faut une garantie ».

Il y a un mois Google annonçait la sortie du Cr 48, premier prototype de netbook tournant sous Chrome OS. Avec cet OS d’un nouveau genre vos applications, vos fichiers, vos données, etc. sont déplacés sur le Web, votre ordinateur n’est plus qu’un terminal permettant d’y avoir accès. C’est en apparence fort pratique (et c’est de qualité Google) mais il y a un réel risque de sacrifier sa liberté, individuelle et collective, sur l’autel de notre confort.

Du coup le Guardian en profita pour demander son avis au gardien du temple qu’est Richard Stallman^[1].

Tout comme la critique de Facebook, ce qui se cache derrière Google Chrome OS, c’est le cloud computing, c’est-à-dire, d’après Wikipédia, le « concept de déportation sur des serveurs distants des traitements informatiques traditionnellement localisés sur le poste utilisateur ».

D’autres appellent cela « l’informatique dans les nuages » mais Stallman nous invite ici à prendre garde à cette appellation trompeuse que l’on a trop vite fait de connoter positivement (et d’évoquer alors plutôt une « careless computing », c’est-à-dire une informatique negligente ou imprudente).

Son point de vue sera-t-il partagé, en paroles et en actes, au delà des initiés du réseau ? Le doute est malheureusement permis. Et tout comme Facebook, il y a de bonnes chances pour que les ordinateurs Google Chrome OS soient bien le succès annoncé.

Lire aussi la suite de ce billet : Ce que pensent les internautes de ce que pense Stallman sur le Cloud Computing.

Embrasser ChromeOS, c’est accepter de perdre le contrôle de ses données, nous avertit Richard Stallman, fondateur de GNU

Google’s ChromeOS means losing control of data, warns GNU founder Richard Stallman

Charles Arthur – 14 décembre 2010 – The Guardian (Blog Technology)
(Traduction Framalang : Olivier Rosseler)

Le nouveau système d’exploitation dans les nuages de Google, ChromeOS, va « entraîner les gens à utiliser l’informatique imprudemment » en les forçant à stocker leurs données dans les nuages plutôt que sur leur machine. Telle est la mise en garde de Richard Stallman, fondateur de la Free Software Foundation et créateur du système d’exploitation GNU.

Il y a deux ans, Stallman, un vieux de la veille dans le domaine de l’informatique, et un ardent défenseur des logiciels libres à travers sa Free Software Foundation, prévenait qu’utiliser intensivement l’informatique dans les nuages était « pire que stupide », car alors l’utilisateur perd le contrôle de ses données.

Il se dit maintenant de plus en plus inquiet à cause de la sortie de ChromeOS, le nouveau système d’exploitation de Google, basé sur GNU/Linux, pensé pour stocker le moins possible de données localement. Il s’en remet plutôt à une connexion permanente avec le nuage de serveurs de Google, éparpillé dans le monde, pour assurer le stockage des informations sur les machines de l’entreprise plutôt que sur la vôtre.

Stallman ajoute : « Aux États-Unis, vous perdez vos droits sur vos données si vous les confiez aux machines d’une entreprise plutôt qu’à la vôtre. La police doit vous présenter un mandat pour saisir vos données, mais si elles sont hébergées sur le serveur d’une entreprise, la police peut y accéder sans rien vous demander. Ils peuvent même le faire sans présenter de mandat à l’entreprise. »

Google a entrepris un lancement en douceur de ChromeOS la semaine dernière, en présentant quelques fonctionnalités du système d’exploitation et en fournissant des machines de test à certains développeurs et journalistes tout en précisant que le lancement officiel n’aurait pas lieu avant le deuxième semestre 2011.

Eric Schmidt, patron de Google, en fait l’éloge sur son blog : « Ces annonces sont à mes yeux les plus importantes de toute ma carrière, c’est l’illustration du potentiel qu’a l’informatique de changer la vie des gens. Il est fascinant de voir à quel point des systèmes complexes peuvent produire des solutions simples comme Chrome et ChromeOS, adaptées à tout public. » Puis il poursuit : « À mesure que les développeurs se familiarisent avec notre ordinateur de démonstration, le Cr-48, ils découvriront que malgré sa jeunesse, il fonctionne incroyablement bien. Vous retrouverez toutes vos habitudes, mais avec des logiciels clients qui vous permettront de pleinement profiter de la puissance du Web. »

Mais Stallman reste de glace. « Je crois que informatique dans les nuages ça plaît aux marketeux, parce que ça ne veut tout simplement rien dire. C’est plus une attitude qu’autre chose au fond : confions nos données à Pierre, Paul, Jacques, confions nos ressources informatiques à Pierre, Paul, Jacques (et laissons-les les contrôler). Le terme « informatique imprudente » conviendrait peut-être mieux. »

Il voit un problème rampant : « Je suppose que beaucoup de gens vont adopter l’informatique imprudente, des idiots naissent chaque minute après tout. Le gouvernement américain pourrait encourager les gens à stocker leurs données là où ils peuvent les saisir sans même leur présenter de mandat de perquisition, plutôt que chez eux. Mais tant que nous serons suffisamment nombreux à conserver le contrôle de nos données, personne ne nous empêchera de le faire. Et nous avons tout intérêt à le faire, de peur que ce choix ne nous soit un jour totalement retiré. »

La responsabilité des fournisseurs de services dans les nuages a bénéficié d’un gros coup de projecteur durant la dernière quinzaine lorsqu’Amazon a banni Wikileaks de son service d’informatique dans les nuages EC2, invoquant, unilatéralement et sans proposer de médiation, le non respect des conditions d’utilisation par le site.

Le seul point positif de ChromeOS pour Stallman est sa base : GNU/Linux. « Au fond, ChromeOS est un système d’exploitation GNU/Linux. Mais il est livré sans les logiciels habituels, et il est truqué pour vous décourager de les installer ». Il poursuit : « c’est le but dans lequel ChromeOS a été créé qui me dérange : vous pousser à confier vos données à un tiers et accomplir vos tâches ailleurs que sur votre propre ordinateur ».

Stallman met de plus en garde les hackers en herbe contre le logiciel LOIC, présenté comme un moyen d’exprimer sa colère contre les sites ayant pris des mesures contre Wikileaks, non pas car il est contre ces actions, mais parce que le code source de l’outil n’est pas ouvert aux utilisateurs. « Pour moi, utiliser LOIC sur le réseau c’est pareil que descendre dans la rue pour protester contre les boutiques qui pratiquent l’évasion fiscale à Londres. Il ne faut accepter aucune restriction au droit de protester » note-t-il. « (Mais) si les utilisateurs ne peuvent pas compiler eux-même le logiciel, alors ils ne devraient pas lui faire confiance. »

Mise à jour : Richard Stallman nous écrit : « Un article de la BBC rapportait que quelqu’un de chez Sophos disait que LOIC est un « logiciel inconnu », et j’ai cru qu’il entendait par là « propriétaire », mais je me suis trompé. En fait, LOIC est un logiciel libre, et donc les utilisateurs ont accès au code source et peuvent le modifier. Ses rouages ne sont pas obscurs comme ceux de Windows, de MacOS ou d’Adobe Flash Player, et personne ne peut y cacher de fonctionnalités malicieuses, comme c’est le cas pour ces programmes. »

Lire aussi la suite de ce billet : Ce que pensent les internautes de ce que pense Stallman sur le Cloud Computing…

Répondons sans attendre à la question du titre. Vous trouverez la version française du bouton « J’aime pas » Facebook, ci-dessous, sur le Framablog ! Explications…

Il aurait pu faire comme Le Monde et désigner Julian Assange mais non, le célèbre hebdomadaire américain Time Magazine a choisi le fondateur de Facebook Mark Zuckerberg comme Personnalité de l’année 2010.

Et cette décision est restée un peu en travers de la gorge de la Free Software Foundation, qui du coup vous propose une contre-offensive en détournant ce pernicieux espion traceur que représente le bouton Facebook « J’aime », qui pullule déjà sur d’aussi naïfs que nombreux sites.

Bouton que notre ami Poupoul2 s’est fait un plaisir d’adapter à notre langue et que vous trouverez en pièce-jointe (au format .SVG) à la fin de la traduction du billet de la FSF expliquant et justifiant cette action.

À partager et diffuser sans modération si affinités dans la démarche.

Mark Zuckerberg, personnalité de l’année selon TIME Magazine ? Où est le bouton « J’aime pas » ?

Mark Zuckerberg is TIME Magazine’s Person of the Year? Where’s the “dislike” button?

Matt Lee et John Sullivan – 4 janvier 2011 – FSF.org
(Traduction Framalang : Julien et Antistress)

TIME Magazine fait l’éloge de Mark Zuckenberg pour avoir créé un système qui a interconnecté les gens du monde entier.

Malheureusement, les conditions sous lesquelles il prétend avoir réalisé cela a créé un épouvantable précédent pour notre avenir — s’agissant de la maîtrise des logiciels que nous utilisons pour interagir avec les autres, du contrôle de nos données et de notre vie privée. Les dégâts ne sont pas limités aux utilisateurs de Facebook. Parce que tant de sites — y Compris TIME — utilisent le bouton Facebook « J’aime » de traçage des internautes, Zuckerberg, est capable de collecter des informations sur des personnes qui ne sont même pas utilisatrices de son site. Ce sont des précédents qui entravent notre capacité à nous connecter librement les uns aux autres. Il a créé un réseau qui est avant tout une mine d’or pour la surveillance gouvernementale et les annonceurs publicitaires.

Tout cela est bien connu s’agissant du comportement du site Facebook lui-même et de ses relations avec l’extérieur — mais les choses pourraient s’avérer en fait bien pires. Les utilisateurs de Facebook ne se connectent pas directement entre eux. Ils parlent à M. Zuckenberg qui commence par enregistrer et stocker tout ce qui est dit, et, alors seulement, le transmet éventuellement à l’utilisateur destinataire, si ce qui est dit lui convient. Dans certains cas, il ne le fait pas — comme en sont témoins les récents comptes-rendus montrant que le service de messagerie de Facebook bloque des messages en se basant sur les mots et liens qu’ils contiennent, parce que ces liens pointent vers des services que Facebook préférerait que l’on évite de mentionner.

Heureusement, il y a de nombreux efforts en cours pour fournir des services distribués, contrôlés par l’utilisateur, permettant de faciliter la mise en relation entre les gens, dont GNU social, status.net, Crabgrass, Appleseed et Diaspora. Ces services n’auront pas les mêmes types de problèmes parce qu’à la fois le code permettant le fonctionnement du réseau et les données échangées seront entre les mains des gens qui communiquent.

Ces efforts finiront par être couronnés de succès. Nous espérons que, lorsque ce sera le cas, TIME réparera son erreur d’appréciation en décernant le titre de la Personnalité de l’année avec plus de discernement.

Copiez et collez ce code dans votre propre site :

<a href="http://www.fsf.org/fb"><img src="http://static.fsf.org/nosvn/no-facebook-me.png" alt="Not f'd — you won't find me on Facebook" /></a>

En attendant, vous pouvez encourager les gens à ne pas se connecter à Zuckenberg lorsqu’ils croient qu’ils se mettent en rapport avec vous, en plaçant ce bouton sur votre blogue ou site web, avec un lien vers la méthode que vous préférez qu’ils utilisent pour vous contacter directement — peut-être votre compte sur identi.ca ou tout autre serveur status.net.

Sinon, vous pouvez faire pointer un lien vers ce billet ou tout autre article qui souligne les problèmes avec Facebook, tel que « Des amis tels que ceux-ci… » (NdT : dont il existe une traduction en français) de Tom Hodgkinson, ou les ressources disponibles sur http://autonomo.us — en particulier la « Déclaration sur la Liberté et les Services Réseaux de Franklin Street » (NdT : nommée d’après l’adresse des bureaux de la FSF à Boston).

Notre bouton n’est évidemment pas relié à une quelconque base de données de surveillance ou autre système de traçage.

Téléchargez notre bouton « J’aime pas » et ajoutez le à votre site web, ou imprimez vos propres autocollants.

Tous les boutons sont mis à disposition sous la licence Creative Commons Paternité – Partage des Conditions Initiales à l’Identique (CC BY SA).

Vous êtes libre de modifier les boutons, mais veuillez garder la mention des créateurs originaux intacte, et assurez-vous que vos boutons soient sous la même licence.

Se connecter à un Wifi public dans un parc, une gare ou un café ^[1] pour accéder à Internet, c’est un peu comme passer par la salle d’attente du médecin avant une consultation. Dans les deux cas, vous avez confiance en votre destination ^[2], mais vous êtes au préalable enfermé dans un espace avec des étrangers, tous plus ou moins malades.

En effet, le WiFi d’un café vous connecte, comme la salle d’attente, avec votre entourage direct, sans que vous ayez rien demandé. Or, si votre dossier médical est confidentiel, il suffit de faire tomber ses papiers dans une salle d’attente pour que toutes les personnes présentes puissent les lire, et il suffit de se connecter (via un WiFi public) à un service qui n’utilise pas le protocole HTTPS pour que votre entourage connecté puisse s’immiscer dans votre session et votre intimité.

Les coupables ? Les sites conservant à votre place des éléments de votre vie privée d’une part, et proposant d’autre part et sans la protection du petit cadenas qui dénote de l’utilisation du protocole HTTPS, de « garder votre session ouverte » grâce à un cookie. Si vous y prenez garde, ce n’est pas le cas des services en ligne de votre banque.

Toutefois, si l’auteur est assez pessimiste dans son petit billet complémentaire (reproduit ici à la suite du premier) face aux moyens de protection à notre disposition, il existe plusieurs extensions Firefox pour limiter les risques sans trop se compliquer la vie, citons (sur les bons conseils de Goofy) HTTPS Everywhere, et Force-TSL. De plus, il me semble également assez simple de se connecter, où qu’on soit, d’abord à un VPN personnel, ou directement en SSH sur son serveur à soit (voir l’extension Foxyproxy de Firefox), pour surfer ensuite l’esprit tranquille et sans laisser de traces locales, comme si on était à la maison. D’ailleurs, votre WiFi chez vous, il est protégé comment ?

Quand le berger prévient les moutons à New York City

Herding Firesheep in New York City

Gary LosHuertos – 27 octobre 2010 – TechnologySufficientlyAdvanced.blogspot.com
Traduction Framalang : Goofy, Pablo, cheval_boiteux

On a beaucoup parlé de Firesheep ces derniers jours. Cette extension gratuite pour Firefox récolte pour vous les cookies qui sont envoyés depuis un réseau WiFi non protégé n’utilisant pas le protocole SSL. Vous la mettez en route, elle collecte les cookies de Facebook, Twitter et de 24 autres sites (par défaut). Ensuite, vous pouvez voler l’identité d’un compte et obtenir l’accès sous cette identité.

L’extension n’a rien de scandaleux en elle-même. Si vous êtes un développeur un peu compétent, vous savez depuis longtemps que cette faille existait, n’est-ce pas ? Mais quid du reste du monde ? Tous ces gens qui n’ont jamais entendu parler de cette nouvelle menace si facile d’accès, qui n’ont pas été alertés par leurs amis, qui ne regardent pas Engadget, ni Slashdot, ni ABC Pronews7 à Amarillo ?

Je me suis dit que j’allais faire passer le message et aider les béotiens après leur travail, puisqu’il y a un grand Starbucks tout près de chez moi. J’y suis allé, j’ai acheté un peu de nourriture malsaine, j’ai ouvert mon portable et lancé Firesheep. Moins d’une minute plus tard, j’avais cinq ou six identités disponibles dans le panneau latéral. Trois d’entre elles étaient sur Facebook.

Absolument rien de surprenant ; Firesheep n’est pas magique, et tous ceux qui vont au Starbucks savent qu’un tas de gens y mettent à jour leur statut Facebook sans faire attention, tout en sirotant leur café au lait. J’ai pensé que j’allais y passer un peu plus de temps, j’ai donc écouté un peu de musique, parlé à quelques amis, et le plus important (mais pas le plus simple) je n’ai navigué sur aucun site avec le protocole standard HTTP (et surtout pas sur Facebook évidemment).

Environ une demi-heure plus tard, j’avais récolté entre 20 et 40 identités. Puisque Facebook était de loin le service le plus représenté (et qu’il détient plus d’informations personnelles que Twitter) j’ai décidé d’envoyer aux utilisateurs des messages depuis leur propre compte, pour les avertir des risques auxquels ils s’exposaient. J’ai fait un modèle de message sympa qui précisait la localisation du Starbucks, la nature de la vulnérabilité, et comment y remédier. J’ai envoyé des messages aux 20 personnes autour de moi.

J’ai nettoyé le panneau latéral, retiré mes écouteurs, et j’ai attendu. J’ai entendu quelqu’un marmonner un juron pas très loin, et me suis demandé si mon message en était la cause. Pendant le quart d’heure suivant, je n’ai entendu strictement personne parler de ce qui venait se passer (pourtant ceux qui fréquentent les Starbucks ne sont le plus souvent pas du genre à tenir des conversations discrètes). Pourtant, j’ai pu vraiment constater une nette chute du nombre d’identités que je pouvais récolter quand j’ai relancé Firesheep.

C’était un soulagement — en voilà qui avaient compris le message. Avec un peu de chance, ils allaient alerter leurs amis, mettre à l’abri leur femme et leurs enfants. J’ai de nouveau nettoyé le panneau latéral, et après une vingtaine de minutes de conversations impromptues j’ai vu que cinq identités que j’avais déjà croisées étaient revenues dans mon troupeau.

C’était assez surprenant. Avaient-ils reçu le premier message ? Je me suis mis sur leur compte avec leurs identifiants, et en effet ils l’avaient reçu. L’un d’entre eux était même sur Amazon.com, site contre lequel j’avais mis en garde dans mon premier message. Je l’ai choisi pour première cible : j’ai ouvert sa page perso sur Amazon, j’ai repéré un truc sur lequel il avait récemment jeté un coup d’œil et lui ai envoyé un mot : « non, c’est pas sérieux » sur Facebook depuis son propre compte, avec un clin d’œil sur ses goûts musicaux.

J’ai encore une fois effacé les identités, attendu dix minutes, et lorsque j’ai à nouveau rassemblé mon troupeau avec Firesheep, il était parti. Mais il y en avait encore quatre qui restaient là. Peut-être, me suis-je dit, qu’ils ont cru que c’était un message d’avertissement automatique les ciblant au hasard (bien que j’aie mentionné leur localisation dans un rayon d’une trentaine de mètres). Donc, un dernier message était nécessaire.

J’ai bricolé un très court message (le premier était peut-être trop long ?) et je l’ai envoyé aux quatre, une fois encore avec leur propre compte :

« C’était vraiment pas une blague l’avertissement sur la sécurité. Je n’enverrai plus d’autre message après celui-ci –– à vous de prendre sérieusement en main votre propre sécurité. Vous êtes au Starbucks XYZ connecté de façon non sécurisée, et absolument n’importe qui peut accéder à votre compte avec l’outil approprié nécessaire (et disponible à tous). »

Vingt minutes ont passé, et tous les quatre utilisaient encore Facebook frénétiquement. Encore une fois, j’ai envisagé qu’ils auraient pu ne pas recevoir le message, mais en vérifiant leur compte j’ai vu qu’ils l’avaient bel et bien reçu.

Voilà ce qu’il y a de plus choquant à propos de la sécurité sur Internet : ce n’est pas que nous soyons tous scotchés sur un réseau global qui tient avec des bouts de sparadrap et laisse béants d’horribles failles de sécurité ; ce n’est pas non plus qu’un outil librement disponible puisse récolter des cookies d’authentification ; et ce n’est toujours pas qu’il y ait des gens pas du tout au courant de l’un ni de l’autre. Ce qui est absolument incompréhensible, c’est qu’après avoir été averti d’un danger (et sur son propre compte !) on puisse tranquillement ignorer l’avertissement, et reprendre le fil de ses activités.

Mais enfin j’ai tenu parole et n’ai pas envoyé d’autre message. J’ai rangé mon matériel, fait un petit tour dans le café, et reconnu plusieurs personnes auxquelles j’avais montré leur vulnérabilité. Je n’avais pas laissé d’indices sur ma propre identité, moins par crainte de rétorsion que parce que l’intrusion dans la vie privée est encore plus traumatisante quand elle est commise par un étranger complet, dont on n’a pas la moindre chance de découvrir l’identité.

En revenant chez moi, j’ai réfléchi à ce que cette expérience révélait de notre société. Peu importe le nombre de mesures de sécurité que nous procurons au monde entier, il y aura toujours des gens qui laisseront la porte ouverte, même s’ils ont été victimes d’une intrusion. Le maillon le plus faible de la sécurité c’est et ce sera toujours la décision de l’utilisateur.

De retour dans mon appartement, j’ai commencé à m’installer — et c’est le moment où je me suis rendu compte que pendant toute la soirée j’avais eu la braguette grande ouverte. La preuve par neuf finalement : nous nous baladons tous avec des vulnérabilités qu’il nous reste à découvrir.

Addendum

Herding Firesheep Addendum

Gary LosHuertos – 04 novembre 2010 – TechnologySufficientlyAdvanced.blogspot.com
Traduction Framalang : Siltaar, RaphaelH, Goofy

À la suite du billet précédent, je me suis dit qu’en voulant faire court j’avais omis quelques informations. Ceci sert donc d’addendum à mon précédent billet, et a été rédigé de la manière la plus courte possible.

Le message original envoyés aux clients était le suivant :

Comme vous utilisez Facebook sans chiffrement dans un Starbucks, votre compte a été compromis. Je ne suis qu’un amical client du Starbucks qui a souhaité vous prévenir de cette vulnérabilité.

Vous pouvez en apprendre davantage en cherchant des informations sur « Firesheep ». Il n’y a pas vraiment de solutions disponibles pour protéger votre compte Facebook lorsque vous êtes connectés à un réseau public, et je vous recommande donc simplement de ne pas vous y connecter lorsque vous êtes dans un Starbucks. Cette faille affecte également Twitter, Amazon.com, Google (mais pas Gmail), et quantité d’autres services.

Votre mot de passe n’a pas été compromis. Vous déconnecter de Facebook est tout ce que vous avez besoin de faire.

Pour préciser mes motivations, laisser un compte Facebook sans protection ne signifie pas seulement que quelqu’un peut regarder vos photos, vos coups de cœurs et messages. Un compte Facebook compromis donne à quelqu’un d’autre l’accès à votre identité, lui permettant de se faire passer pour vous auprès de vos amis, ruinant potentiellement des relations. S’il est possible de rattraper les choses ensuite, le temps et l’énergie que ça demande sont importants, surtout pour quelqu’un qui a beaucoup d’amis. Quelqu’un envoyant un faux message à l’un de vos amis n’est peut être pas un gros problème, mais un faux message envoyé à 500 de vos amis est déjà plus gênant. D’autant plus qu’il peut y avoir des collègues de travail, des membres de votre famille, ou des clients dans ces 500 personnes.

Concernant la légalité de mes actions : ça n’était pas l’objet de mon article. On peut toujours spéculer sur fait que je finisse en prison, mais c’est hors sujet par rapport à ce dont je parle dans mon billet : les sites non protégés comme Facebook et Twitter sont dangereux pour leurs utilisateurs. Il semble plus intéressant de consacrer son énergie à faire passer le mot plutôt que de troller sur mon éventuelle incarcération.

Enfin concernant ce que les utilisateurs peuvent faire, la meilleure réponse à l’heure actuelle est : rien. Ne vous connectez pas aux réseaux non protégés pour utiliser ces sites web, ou bien utilisez une application qui n’utilise pas d’authentification par cookie non protégée (pour ce que j’en sais, l’application Facebook pour iPhone ne le ferait pas). Assurez-vous que votre réseau WiFi domestique est chiffré en WPA, voire en WPA2 (le WEP est trivialement déchiffrable). Si vous utilisez Facebook au travail sur une connection sans-fil, vérifiez le chiffrement du réseau. La faille de sécurité ne vient pas seulement de Firesheep, elle vient du manque de protection des connexions. La menace la plus grande vient des outils automatisés qui existent depuis des années ^[3].