Nous sommes bombardés presque chaque semaine d’alertes à la catastrophe numérique ou de pseudo-enquêtes au cœur du Dark Web, censé receler des dangers et des malfaisants, quand il ne s’agit pas d’une conspiration pour diriger le monde.

Une fois retombé le coup de trouille, on se remet à regarder des photos de chatons sur le ouèbe. Mais un éclair de lucidité, parfois, troue le brouillard : comment je sais ce qu’il y a de vrai là-dedans ? Entre la fantasque théorie du complot et les authentiques agissements de personnages obscurs, comment trier ?
Il n’est pas facile d’accéder à une information fiable : les spécialistes sont peu nombreux, plutôt discrets (nous avons par exemple vainement essayé pendant deux ans d’obtenir une interview d’une « pointure »), voire peu enclins à communiquer au-delà des anathèmes volcaniques qu’ils déversent de loin en loin sur les mauvaises pratiques, ce qui n’aide pas trop le commun des mortels.

C’est pourquoi la parution récente du livre de Rayna Stamboliyska « La face cachée d’Internet » nous apparaît comme une excellente nouvelle : son livre est celui d’une spécialiste qui s’efforce de mettre à notre portée des éléments parfois épineux à comprendre. Quand on a comme elle fait une thèse en génétique et bio-informatique et un master spécialisé en « défense, sécurité et gestion de crise », on n’a pas forcément l’envie et le talent de s’adresser à tous comme elle fait fort bien.

Merci donc à Rayna pour cet effort d’éducation populaire et pour avoir accepté de répondre à quelques questions pour le Framablog, parce qu’elle ne mâche pas ses mots et franchement ça fait plaisir.

Salut Rayna, peux-tu te présenter ?

— Je trolle, donc je suis ?

Ce qui m’intéresse, c’est la gestion de l’incertitude et comment les organisations y font face. Du coup, j’ai tendance à saouler tout le monde quand je parle de sextoys connectés par exemple, parce que ça tourne notamment autour des modèles de menaces et des façons de les pwn (i.e., les compromettre techniquement).

Au cours de mes études, ma thématique a toujours été l’impact de la technique et des données (qu’elles soient ouvertes ou non) sur nous, avec un focus qui a graduellement évolué pour passer de la recherche vers les situations de conflits/post-conflits (armés, j’entends), vers l’évaluation de risques et la gouvernance de projets techniques en lien avec les données.

Avoir un nom d’espionne russe, c’est cool pour parler de surveillance de masse ?

Mmmm, je suis plus parapluie bulgare que tchaï au polonium russe, mais admettons. Quant à la surveillance de masse… faut-il une nationalité particulière pour s’en émouvoir et vouloir s’y opposer ?

Ce que mes origines apportent en réalité, c’est une compréhension intime d’enjeux plus globaux et de mécanismes de gouvernance et d’influence très différents auxquels les pays occidentaux dont la France n’ont pas été franchement confrontés. Ainsi, les oppositions que je peux formuler ne sont pas motivées par une position partisane en faveur de telle asso ou telle autre, mais par des observations de comment ça marche (#oupas) une fois implémenté.

C’est sûr, la Stasi et les régimes communistes totalitaires de l’Est n’appelaient pas ça big data ; mais l’idée était la même et l’implémentation tout aussi bancale, inutile et inefficace. La grosse différence est probablement que ces régimes disposaient de cerveaux humains pour analyser les informations recueillies, chose qui manque cruellement à l’approche actuelle uniquement centrée sur la collecte de données (oui, je sais, il y a des algorithmes, on a de la puissance de calcul, toussa. Certes, mais les algos, c’est la décision de quelqu’un d’autre).

Au risque de vous spoiler la fin de mon bouquin, il faut bien comprendre ce qui se joue et y agir avec finesse et pédagogie. La recherche du sentiment de sécurité nous est inhérente et, rappelons-le, est très souvent indépendante de la réalité. Autrement dit, on peut très bien se sentir protégé⋅e alors que les conditions matérielles ne sont pas réunies pour qu’on le soit. Mais parfois, le sentiment de sécurité, même s’il n’est pas fondé, suffit pour prévenir de vrais problèmes. Il y a donc un équilibre vraiment difficile à trouver : c’est le moment de sortir le cliché des 50 nuances de sécu et d’en rajouter une couche sur la finesse et la pédagogie des approches. Si nous sommes les sachant⋅e⋅s d’un domaine, alors comportons-nous en adultes responsables et faisons les choses correctement.

Dans le cas de la surveillance généralisée, ces efforts sont d’autant plus indispensables qu’on est face à une situation très complexe où des questions techniques, politiques et de sécurité des populations se mélangent. Il ne faut pas oublier qu’on n’est pas outillés pour comprendre comment fonctionne le renseignement uniquement parce qu’on est un⋅e adminsys qui tue des bébés phoques à coup de Konsole (oui, je suis une fière fan de KDE).

Et Malicia Rogue, elle va bien ? Pourquoi cette double identité en ligne ?

Nous allons bien, merci 🙂 La double identité date d’il y a très longtemps (2005, par là) et elle était à l’origine motivée par le fait que la science et la politique ne font pas bon ménage. En effet, dans une précédente vie, je faisais de la recherche (génétique évolutive, maladies infectieuses, bio-informatique) ; dans ce monde-là, la prise de position politique est souvent perçue comme une tare. Du coup, il était important de tenir les deux identités séparées, de la façon la plus étanche possible de préférence.

Est-ce que tu es une Anonymousse (au chocolat) ?

Oui, mais chocolat noir seulement, et merci de me passer la cuillère aussi.

Nous, on sait que tu es légitime pour parler de sécurité informatique, mais on a vu que dans un milieu souvent très masculin tu t’es heurtée à des personnes qui doutaient à priori de tes compétences. Et ne parlons pas des premiers à réagir qui n’ont rien lu mais tout compris  ! Pas de problème de ce côté avec ton éditeur ?

Alors, plusieurs choses ici. Je sais que ça va susciter l’ire de plein de gens, mais il faut dire les choses clairement : il y a un sexisme quotidien dans les milieux tech et science. Je suis sûre que ça existe ailleurs aussi, hein, mais disons que ce qui nous préoccupe ici, c’est le milieu tech.

C’est un grand mystère, d’ailleurs. Je viens de l’Est, où malgré toutes les mauvaises choses, les organes génitaux de naissance n’ont pas vraiment été un critère de compétence. On m’a éduquée à faire des choses réfléchies et à savoir argumenter et structurer mes opinions : ce sont les actions qui parlent. La pire discrimination à laquelle j’ai eue à faire face, a été de faire de la bio (une « sous-science » pour mes profs de maths à la fac et ma mère, prof de maths sup’ aussi).

Du coup, débarquer en Europe de l’Ouest et dans le pays des droits humains pour me heurter à la perception qu’avoir des ovaires fait de quelqu’un un sous-humain a été un choc. Et c’est encore pire quand on y pense : les stéréotypes sexistes, c’est bidirectionnel, ils font pareillement mal à toutes les personnes qui les subissent. J’ai décidé de continuer à faire comme d’habitude : construire des trucs. Si je commets des erreurs, je corrige, et si on m’embête inutilement, je mords poliment. 🙂

C’est harassant à la longue, hein. Je pense qu’il faut réguler ce genre de réactions, ensemble. C’est très simple : si l’on vous fait vous sentir que vous êtes malvenu⋅e, la plupart du temps la réaction est la fuite. Si on me fait me sentir malvenue, je pars, je serai bien accueillie ailleurs et les projets passionnants avec des gens adorables ne manquent pas. Alors, c’est dommage pour les projets, certes intéressants, mais portés par ceux et celles qui s’imaginent qu’être rustre à longueur de journée, c’est avoir un caractère fort et assumé.

Quant à mon éditeur… On a passé plus de 4 heures à discuter lors de notre première rencontre, il fallait cadrer le sujet et le calendrier. La question de genre ne s’est jamais posée. J’avais face à moi des gens intéressés et passionnés, j’ai fait de mon mieux pour répondre à la demande et … c’est tout. 🙂

Tu es proche des assos du libre ou farouchement indépendante ?

Les deux, mon capitaine. Même si j’apprécie mon statut d’électron libre.

Ton bouquin parle du darkweb. Mais alors ça existe vraiment ?

Beh oui. C’est l’ensemble des pages web dont la CSS contient :

body {
    background: #000 !important;
}

Ton ouvrage est particulièrement bienvenu parce qu’il vise à démystifier, justement, ce fameux darkweb qui est surtout une sorte de réservoir à fantasmes divers.

Une petite critique tout de même : la couverture fait un peu appel au sensationnalisme, non ?

C’est ton choix ou celui de l’éditeur ?

Alors… il y a eu plusieurs versions de couverture sur lesquelles j’ai eu un pouvoir limité. La v.1 était la pire : il y avait un masque Anonymous dessus et du code Visual Basic en arrière-plan. J’ai proposé de fournir des bouts de vrai code de vrais malwares en expliquant que ça nuirait sensiblement à la crédibilité du livre si le sujet était associé pour la postérité à une disquette. Par la suite, le masque Anonymous a été abandonné, j’aime à penser suite à mes suggestions de faire quelque chose de plus sobre. On est donc resté sur des bouts du botnet Mirai et du noir et rouge.

Outre le fait que ce sont mes couleurs préférées et qu’elles correspondent bien aux idées anarchistes qui se manifestent en filigrane ci et là, je l’aime bien, la couv’. Elle correspond bien à l’idée que j’ai tenté de développer brièvement dans l’intro : beaucoup de choses liées au numérique sont cachées et il est infiniment prétentieux de se croire expert ès tout, juste parce qu’on tape plus vite sur son bépo que le collègue sur son qwerty. Plus largement, il y a une vraie viralité de la peur à l’heure du numérique : c’est lorsque le moyen infecte le message que les histoires menaçantes opèrent le mieux, qu’elles aient ou non un fondement matériel. Dans notre cas, on est en plein dans la configuration où, si on pousse un peu, « Internet parle de lui-même ».

Enfin, les goûts et les couleurs… Ce qui me fait le plus halluciner, c’est de voir le conditionnement chez de nombreuses personnes qui se veulent éduquées et critiques et qui m’interpellent de façon désobligeante et misogyne sur les réseaux sociaux en m’expliquant qu’ils sont sûrs que ce que je raconte est totalement débile et naze parce que la couverture ne leur plaît pas. Je continue à maintenir que ce qui compte, c’est le contenu, et si d’aucuns s’arrêtent aux détails tels que le choix de couleurs, c’est dommage pour eux.

Élection de Trump, révélations de Snowden, DieselGate, Anonymous, wannaCry, tous ces mots à la mode, c’est pour vendre du papier ou il faut vraiment avoir peur ?

Da.

Plus sérieusement, ça ne sert à rien d’avoir peur. La peur tétanise. Or, nous, ce qu’on est et ce qu’on veut être, c’est des citoyens libres ET connectés. C’est comprendre et agir sur le monde qu’il faut, pas se recroqueviller et attendre que ça se passe. J’en profite d’ailleurs pour rappeler qu’on va nous hacher menu si on ne se bouge pas : revoyons nos priorités, les modèles de menaces législatifs (au hasard, le projet de loi anti-terrorisme), soutenons La Quadrature, des Exégètes, etc. et mobilisons-nous à leurs côtés.

Est-ce que tu regrettes qu’il n’y ait pas davantage d’implication militante-politique chez la plupart des gens qui bossent dans le numérique ?

Oui. Du coup, c’est digital partout, numérique nulle part. J’ai vraiment l’impression d’être projetée dans les années où je devais prévoir deux identités distinctes pour parler science et pour parler politique. Aujourd’hui, ce non-engagement des scientifiques leur vaut des politiques publiques de recherche totalement désastreuses, des gens qui nient le changement climatique à la tête du ministère de la recherche aux USA, etc. Le souci est là, désolée si je radote, mais : si on n’est pas acteur, on est spectateur et faut pas venir couiner après.

Quel est le lectorat que vise ton livre : le grand public, les journalistes, la communauté de la sécurité informatique… ? Est-ce que je vais tout comprendre ?

Il y a un bout pour chacun. Bon, le grand public est une illusion, au même titre que la sempiternelle Mme Michu ou que sais-je. Cette catégorie a autant d’existence que « la ménagère de moins de 50 ans » dans le ciblage publicitaire de TF1. J’ai aussi gardé mon style : je parle comme j’écris et j’écris comme je parle, je crois que ça rend la lecture moins pénible, enfin j’espère.

Les non-sachants de la technique ne sont pas des sous-humains. Si on veut travailler pour le bien de tous, il faut arrêter de vouloir que tout le monde voie et vive le monde comme on veut. Vous préférez que votre voisin utilise Ubuntu/Debian/Fedora en ayant la moitié de sa domotique braillant sur Internet et en risquant un choc anaphylactique face au premier script kiddie qui pwn son frigo connecté pour déconner, ou bien que les personnes utilisent des outils de façon plus sensible et en connaissance des risques ? Perso, à choisir, je préfère la 2^e option, elle m’a l’air plus durable et contribue – je crois – à réduire la quantité globale d’âneries techniques qui nous guettent. Parce que la sécurité du réseau est celle de son maillon le plus faible. Et on est un réseau, en fait.

Je pense que chacun y trouvera des choses à se mettre sous la dent : une lecture moins anxiogène et plus détaillée de certains événements, une vision plus analytique, des contextualisations et une piqûre de rappel que les clicodromes et les certifs ne sont pas l’alpha et l’oméga de la sécurité, etc. Les retours que je commence à avoir, de la part de gens très techniques aussi, me confortent dans cette idée.

Tu rejoins la position d’Aeris qui a fait un peu de bruit en disant : « On brandit en permanence le logiciel libre à bout de bras comme étant THE solution(…). Alors que cette propriété n’apporte en réalité plus aucune protection. » ?

Je l’ai même référencé, c’est dire 🙂

Plus largement, j’ai été très vite très frustrée par le fait que les libertés fournies par le logiciel libre ignorent totalement … ben tout le reste. Il a fallu attendre des années pour que le discours autour du logiciel englobe aussi les données, les contenus éducatifs, les publications scientifiques, etc. Il n’y a pas de synthèse et les voix qui appellent à une vision plus systémique, donc à des approches moins techno-solutionnistes, sont très rares. La réflexion d’Aeris est une tentative appréciable et nécessaire de coup de pied dans la fourmilière, ne la laissons pas péricliter.

Qu’est-ce qui est le plus énervant pour toi : les journalistes qui débitent des approximations, voire des bêtises, ou bien les responsables de la sécu en entreprise qui sont parfois peu compétents ?

Les deux. Mais je pense que de nombreux journalistes prennent conscience d’ignorer des choses et viennent demander de l’aide. C’est encourageant 🙂 Quant aux RSSI… il y a de très gros problèmes dans les politiques de recrutement pour ces postes, mais gardons ce troll cette discussion pour une prochaine fois.

L’un de tes titres est un poil pessimiste : « on n’est pas sorti de l’auberge ». C’est foutu, « ils » ont gagné ?

« Ils » gagneront tant qu’on continue à s’acharner à perdre.

Je suis un utilisateur ordinaire d’Internet (chez Framasoft, on dit : un DuMo pour faire référence à la famille Dupuis-Morizeau), est-ce que j’ai un intérêt quelconque à aller sur le darkweb ? Et si j’y vais, qu’est-ce que je risque ?

Je ne sais pas. Je suis une utilisatrice ordinaire des transports en commun, est-ce que j’ai un intérêt quelconque à aller en banlieue ? L’analogie m’est soufflée par cet excellent article.

Mais bon, j’ai assez spoilé, alors je ne dirai qu’une chose : GOTO chapitre 3 de mon livre, il ne parle que de ça. 😉

On a noté un clin d’œil à Framasoft dans ton livre, merci. Tu nous kiffes ?

Grave. 🙂

Mais alors pourquoi tu n’as pas publié ton bouquin chez Framabook ?

Parce que ce n’est pas à « nous » que je m’adresse . La famille Michu, la famille DuMo, bref, « les gens » quoi, ont des canaux d’information parallèles, voire orthogonaux à ceux que nous avons. Je ne veux pas prêcher des convaincus, même si je sais très bien que les sachants de la technique apprendront beaucoup de choses en me lisant. Ce n’est pas de la vantardise, ce sont des retours de personnes qui m’ont lue avant la publication, qui ont fait la relecture ou qui ont déjà fini le bouquin. Pour parler à autrui, il faut le rencontrer. Donc, sortir de chez nous !

D’ailleurs, j’en profite pour râler sur ces appellations ignares auxquelles je cède parfois aussi : Mme/la famille Michu, la famille DuMo ou, pire, le déshumanisant et préféré de nombreux libristes qu’est « les gens ». Ce sont d’autres humains et on ne peut pas se plaindre qu’ils ne veulent pas s’intéresser à nos sujets super-méga-trop-bien en les traitant d’imbéciles. On est toujours les gens de quelqu’un (dixit Goofy que je cite en l’état parce qu’il a raison).

Tu déclares dans un Pouet(*) récent : « …à chaque fois que le sujet revient sur le tapis, je me pose la même question : devrait-on continuer à décentraliser (== multiplier de très nombreuses structures petites, agiles *et* potentiellement fragiles) ou clusteriser davantage pour faire contrepoids ? Je n’ai pas de réponse pour l’instant… » Est-ce que tu es sceptique sur une initiative comme celle des CHATONS, qui vise justement à décentraliser ?

Ce n’est pas une question de scepticisme à l’égard de [insérer nom de techno/asso/initiative chérie ici].

Prenons un exemple annexe : l’anarchisme comme mode d’organisation politique. Fondamentalement, c’est le système le plus sain, le plus participatif, le moins infantilisant et le plus porteur de libertés qui soit (attention, je parle en ayant en tête les écrits des théoriciens de l’anarchisme, pas les interprétations de pacotille de pseudo-philosophes de comptoir qu’on nous sert à longueur de journée et qui font qu’on a envie de se pendre tellement ça pue l’ignorance crasse).

Il y a cependant différents problèmes qui ont cristallisé depuis que ce type d’organisation a été théorisé. Et celui qui m’apparaît comme le plus significatif et le moins abordé est la démographie. Faire une organisation collégiale, avec des délégués tournants, ça va quand on est 100, 10 000 ou même 1 million. Quand on est 7 milliards, ça commence à être très délicat. Les inégalités n’ont pas disparu, bien au contraire, et continuent à se transmettre aux générations. Les faibles et vulnérables le demeurent, au mieux.

Résultat des courses : il y a une vision élitiste – et que je trouve extrêmement méprisante – qui consiste à dire qu’il faut d’abord éduquer « les gens » avant de les laisser s’impliquer. Le problème avec la morale, c’est que c’est toujours celle des autres. Alors, le coup de « je décide ce qui constitue une personne civiquement acceptable d’après mon propre système de valeurs qui est le plus mieux bien de l’univers du monde » est constitutif du problème, pas une solution. Passer outre ou, pire, occulter les questions de gouvernance collective est dangereux : c’est, sous prétexte que machin n’est pas assez bien pour nous, créer d’autres fossés.

Pour revenir à la question de départ donc, je suis une grande fan de la décentralisation en ce qu’elle permet des fonctionnements plus sains et responsabilisants. Ce qui me manque est une organisation rigoureuse, une stratégie. Ou probablement il y en a une, mais elle n’est pas clairement définie. Ou probablement, notre détestation du « management » et de la « communication » font qu’on s’imagine faire du bazaar durable ? Le souci est que, de ce que j’ai vu par ex. au CCC, pour que le bazaar marche, y a une p*tain de cathédrale derrière (rappel : « L’anarchie est la plus haute expression de l’ordre. »). La rigueur d’une organisation n’est pas un gros mot. Est-on prêt-es à s’y astreindre ? Je ne sais pas.

Après, j’ai une propension non-négligeable à me faire des nœuds au cerveau et à aimer ça. Ptet que je m’en fais inutilement ici… mais sans débat régulier et des échanges plus ouverts, comment savoir ?

Le dernier mot est pour toi, comme d’hab sur le Framablog…

Le tact dans l’audace, c’est savoir jusqu’où on peut aller trop loin. Beaucoup sont passionné⋅e⋅s par les questions et les enjeux du numérique, tellement passionné⋅e⋅s que leurs comportements peuvent devenir pénibles. Je pense aux micro-agressions quotidiennes, aux vacheries envoyées à la tronche de certain⋅e⋅s et au sexisme ordinaire. Beaucoup sont épuisés de ces attitudes-là. Il ne s’agit pas de se vivre en Bisounours, mais de faire preuve de tact et de respect. Celles et ceux qui s’échinent à porter une bonne et raisonnable parole publiquement ont déjà assez à faire avec toutes les incivilités et l’hostilité ambiantes, ils n’ont pas besoin de votre mauvaise humeur et manque de tact.

Pensez-y au prochain pouet/tweet/mail/commentaire IRC.

Pour en savoir plus : http://www.face-cachee-internet.fr/
Pour rencontrer Rayna à la librairie de Bookynette

(*)Pour retrouver les Pouets de Malicia Rogue sur le réseau social libre et fédéré Mastodon

Ça y est, à force de parler de surveillance généralisée, des révélations de Snowden, de la NSA, ça a fini par arriver.

Au début, c’est juste une activité suspecte sur les disques d’un serveur.

Luc, notre admin-sys paranoïaque, reçoit une alerte. Nous avons un serveur, Marge, qui surconsomme. Ça crépite comme quand le mouvement Nuit Debout utilisait massivement nos services pour s’organiser.

Il demande à Pouhiou de prévenir les utilisateurs via les réseaux sociaux et met le service en panne. C’est Framadate, l’un de nos framachins les plus utilisés. J’aime autant vous dire qu’il ne l’arrête pas de gaîté de cœur ! Il s’attend à voir grimper les tickets au support, alors il prévient JosephK et Framartin que ça va chauffer, et il poste une demande d’aide sur la liste asso, des fois que des bénévoles aient un peu de temps pour aider. Genma répond que c’est pas le moment, qu’il est en pleine conférence. Pyg est dans un train, quelque part dans une zone sans réseau.

Luc détecte l’origine de l’activité suspecte et remonte la piste, comme au cinéma. Voilà que ça le mène de l’autre côté de l’Atlantique. Pas de doute, il y a un petit malin de chez l’Oncle Sam qui essaie d’en savoir plus sur les Frenchies qui veulent un-google-ify the Internets. Ça fait un moment qu’ils nous tournent autour, ceux-là.

Depuis que Pouhiou a donné sa conférence en anglais au FOSDEM, ils ont l’œil sur nous. Tant qu’on faisait les marioles dans la langue de Molière, ça leur en touchait une sans faire bouger l’autre, aux Ricains, mais là ils commencent à nous prendre au sérieux. Évidemment, l’autre détecte vite qu’il est repéré et tente d’effacer ses traces. Mais c’est à Framasky qu’il a à faire !

Avec un coup de main de nos hackers maison, le barbouze au menton carré est vite démasqué. On a tout : son IP, son identité, et sa photo dans l’annuaire de sa High School, quand il était capitaine de l’équipe de crosse et que les cheerleaders se battaient pour lui rouler une pelle. On sait même qu’il est entré au service informatique de la NSA juste après la blessure au genou qui a mis fin à sa carrière de sportif professionnel. Ah ah, y’a pas que vous qui savez croiser des données, et nous on fait ça à l’eau claire, on n’est pas dopés au beurre de cacahuètes !

Alors voilà ce qu’on vous propose : puisqu’ils viennent nous chercher, eh bien il est temps d’organiser la riposte.

Contre l’ennemi, utilisons ses propres armes.

C’est une mission de framacolibris un peu spéciale que nous mettons en place. Vous les hackers, vous les libristes, vous les anonymes, vous les gentils pirates, et même vous les Dupuis-Morizeau, nous vous attendons en masse pour lancer un déluge de uns et de zéros sur les serveurs de nos amis les espions. Finis les beaux discours, finie l’éducation populaire, finis les framaservices de substitution, il est temps que les chatons montrent leurs crocs et aiguisent leurs griffes !

Vous êtes avec nous ? Vous êtes prêt-e-s à en découdre ? Inscrivez-vous sur le forum des framacolibris et faites votre présentation en insérant le mot de passe de l’opération : « #P0I55ON_d_4VRIL».

Non, nous n’allons vous parler de fibres (quoique). C’est du transit d’Internet que nous allons parler. Ou plutôt, nous allons laisser Stéphane Bortzmeyer en parler.

Son article nous a séduits, aussi bien par la thématique abordée (on ne se refait pas, quand les GAFAM menacent l’avenir d’Internet, on aime bien que ce soit dit 😃) que par son aspect didactique, truffé d’hyperliens permettant à tout un chacun de le comprendre. Nous le reproduisons ici, avec son aimable permission et celle de la licence (libre, bien sûr) de l’article, la GFDL et avec quelques photos en plus (dont un chaton, je viens de dire qu’on ne se refaisait pas 😁).

Stéphane Bortzmeyer est bien connu du milieu technique pour ses articles sur les RFC (Request For Comments) et autres articles techniques plutôt que pour des textes à destination de la famille Dupuis-Morizeau mais ses fiches de lecture pourraient bien les intéresser.

Le transit Internet est-il vraiment mort ?

À la réunion APRICOT / APNIC du 20 février au 2 mars, à Hô-Chi-Minh-Ville, Geoff Huston a fait un exposé remarqué, au titre provocateur, « The death of transit ». A-t-il raison de prédire la fin du transit Internet ? Et pourquoi est-ce une question importante ?

Deux petits mots de terminologie, d’abord, s’inscrivant dans l’histoire. L’Internet avait été conçu comme un réseau connectant des acteurs relativement égaux (par exemple, des universités), via une épine dorsale partagée (comme NSFnet). Avec le temps, plusieurs de ces épines dorsales sont apparues, l’accès depuis la maison, l’association ou la petite entreprise est devenu plus fréquent, et un modèle de séparation entre les FAI et les transitaires est apparu. Dans ce modèle, le client se connecte à un FAI. Mais comment est-ce que les FAI se connectent entre eux, pour que Alice puisse échanger avec Bob, bien qu’ils soient clients de FAI différents ? Il y a deux solutions, le peering et le transit. Le premier est l’échange de trafic (en général gratuitement et informellement) entre des pairs (donc plus ou moins de taille comparable), le second est l’achat de connectivité IP, depuis un FAI vers un transitaire. Ces transitaires forment donc (ou formaient) l’épine dorsale de l’Internet. Le modèle de l’Internet a été un immense succès, au grand dam des opérateurs téléphoniques traditionnels et des experts officiels qui avaient toujours proclamé que cela ne marcherait jamais.

Mais une autre évolution s’est produite. Les utilisateurs ne se connectent pas à l’Internet pour le plaisir de faire des ping et des traceroute, ils veulent communiquer, donc échanger (des textes, des images, des vidéos…). À l’origine, l’idée était que l’échange se ferait directement entre les utilisateurs, ou sinon entre des serveurs proches des utilisateurs (ceux de leur réseau local). Le trafic serait donc à peu près symétrique, dans un échange pair-à-pair. Mais les choses ne se passent pas toujours comme ça. Aujourd’hui, il est de plus en plus fréquent que les communications entre utilisateurs soient médiées (oui, ce verbe est dans le Wiktionnaire) par des grands opérateurs qui ne sont pas des opérateurs de télécommunication, pas des transitaires, mais des « plates-formes » comme les GAFA (Google, Apple, Facebook, Amazon). La communication entre utilisateurs n’est plus pair-à-pair mais passe par un intermédiaire. (On peut parler d’un Minitel 2.0.)

Bon, mais quel rapport avec l’avenir de l’Internet ? Mes lect·eur·rice·s sont très cultivé·e·s et savent bien que le Web, ce n’est pas l’Internet, et que le fait que deux utilisateurs de Gmail passent par Gmail pour communiquer alors qu’ils sont à 100 mètres l’un de l’autre n’est pas une propriété de l’Internet. (Les ministres et la plupart des journalistes n’ont pas encore compris cela, mais ça viendra). L’Internet continue à fonctionner comme avant et on peut toujours faire du BitTorrent, et se connecter en SSH avec un Raspberry Pi situé à l’autre bout de la planète (notez qu’il s’agit de l’Internet en général : dans la quasi-totalité des aéroports et des hôtels, de nombreux protocoles sont interdits. Et ces malhonnêtes osent prétendre qu’ils fournissent un « accès Internet »).

C’est là qu’on en arrive à l’exposé de Huston. Il note d’abord que les sites Web qui ne sont pas déjà chez un GAFA sont souvent hébergés sur un CDN [un réseau de diffusion de contenu, Note du Framablog]. Ensuite, il fait remarquer que les GAFA, comme les CDN, bâtissent de plus en plus leur propre interconnexion. À ses débuts, Google était une entreprise comme une autre, qui achetait sa connectivité Internet à un fournisseur. Aujourd’hui, Google pose ses propres fibres optiques (ou achète des lambdas) et peere avec les FAI : encore un peu et Google n’aura plus besoin de transit du tout. Si tous les GAFA et tous les CDN en font autant (et la plupart sont déjà bien engagés dans cette voie), que deviendra le transit ? Qui pourra encore gagner sa vie en en vendant ? Et si le transit disparaît, l’architecture de l’Internet aura bien été modifiée, par l’action de la minitélisation du Web. (Je résume beaucoup, je vous invite à lire l’exposé de Huston vous-même.)

Notez que Huston n’est pas le premier à pointer du doigt cette évolution. Plusieurs articles moins flamboyants l’avaient déjà fait, comme les déjà anciens « The flattening internet topology: natural evolution, unsightly barnacles or contrived collapse? » ou « Internet Inter-Domain Traffic ». Mais Huston réussit toujours mieux à capter l’attention et à résumer de manière percutante un problème complexe.

Alors, si Huston a raison, quelles seront les conséquences de la disparition du transit ? Huston note qu’une telle disparition pourrait rendre inutile le système d’adressage mondial (déjà très mal en point avec l’épuisement des adresses IPv4 et la prévalence du NAT), voire le système de nommage mondial que fournit le DNS. Le pair-à-pair, déjà diabolisé sur ordre de l’industrie du divertissement, pourrait devenir très difficile, voire impossible. Aujourd’hui, même si 95 % des utilisateurs ne se servaient que des GAFA, rien n’empêche les autres de faire ce qu’ils veulent en pair-à-pair. Demain, est-ce que ce sera toujours le cas ?

Mais est-ce que Huston a raison de prédire la mort du transit ? D’abord, je précise que je suis de ceux qui ne croient pas à la fatalité : ce sont les humains qui façonnent l’histoire et les choses peuvent changer. Décrire la réalité, c’est bien, mais il faut toujours se rappeler que c’est nous qui la faisons, cette réalité, et que nous pouvons changer. Essayons de voir si les choses ont déjà changé. Huston aime bien provoquer, pour réveiller son auditoire. Mais il faut bien distinguer l’apparence et la réalité.

Les observateurs légers croient que tout l’Internet est à leur image. Comme eux-mêmes ne se servent que de Gmail et de Facebook, ils expliquent gravement en passant à la télé que l’Internet, c’est Google et Facebook. Mais c’est loin d’être la totalité des usages. Des tas d’autres usages sont présents, par exemple dans l’échange de données entre entreprises (y compris via d’innombrables types de VPN qui transportent leurs données… sur Internet), les SCADA, BitTorrent, la recherche scientifique et ses pétaoctets de données, les réseaux spécialisés comme LoRa, les chaînes de blocs, et ces usages ne passent pas par les GAFA.

Peut-on quantifier ces usages, pour dire par exemple, qu’ils sont « minoritaires » ou bien « un détail » ? Ce n’est pas facile car il faudrait se mettre d’accord sur une métrique. Si on prend le nombre d’octets, c’est évidemment la vidéo qui domine et, à cause du poids de YouTube, on peut arriver à la conclusion que seuls les GAFA comptent. Mais d’autres critères sont possibles, quoique plus difficiles à évaluer (le poids financier, par exemple : un message d’une entreprise à une autre pour un contrat de centaines de milliers d’euros pèse moins d’octets qu’une vidéo de chat, mais représente bien plus d’argent ; ou bien le critère de l’utilité sociale). Bref, les opérateurs de transit sont loin d’être inutiles. L’Internet n’est pas encore réduit à un Minitel (ou à une télévision, l’exemple que prend Huston qui, en bon australien, ne connaît pas ce fleuron de la technologie française.)

Merci à Antoine Fressancourt, Jérôme Nicolle, Pierre Beyssac, Raphaël Maunier, Olivier Perret, Clément Cavadore et Radu-Adrian Feurdean pour leurs remarques intéressantes. Aucune de ces conversations avec eux n’est passée par un GAFA.

Cet article est distribué sous les termes de la licence GFDL

Stéphane Bortzmeyer

Crédits :

• Internet map 1024, Matt Britt, CC-BY 2.5
• Minitel, Nicolas Nova, CC-BY 2.0
• Grey fur kitten, Vadim B, CC0

La création d’un site web depuis votre compte Framagit est beaucoup plus souple, et c’est une belle victoire pour le libre !

Qu’est‐ce que GitLab Pages ?

À l’instar des pages Github, les pages GitLab permettent à toute personne possédant un dépôt sur une instance de GitLab de créer un site Web via un générateur de site statique (Jekyll, Middleman, Hexo, Hugo, Pelican…) et de l’héberger sur l’infrastructure dudit GitLab.

La compilation du site est effectuée lors du push vers le dépôt GitLab, via le système d’intégration continue de GitLab, puis le résultat est publié à l’endroit idoine pour être accessible via le Web. Il est possible d’utiliser un nom de domaine personnel (il n’est pas obligatoire d’utiliser une adresse du style https://username.gitlab.io), ainsi qu’un certificat personnel.

Et ça sert ?

Oui !

Les pages GitHub sont très souvent utilisées par les développeurs pour fournir une page de présentation de leurs projets, même les plus gros : Ruby on Rails, Django, React…

Les pages GitLab sont donc susceptibles d’être tout autant utilisées que les pages GitHub. La demande est là.

Mais on avait pas déjà un truc comme ça ?

Tout à fait ! J’avais créé Fs Pages pour fournir un service similaire mais plus limité que les Gitlab Pages car Gitlab ne souhaitait pas les intégrer à leur édition communautaire.

Il était possible de publier un site statique via Fs Pages mais la génération du site devait se faire avant de pousser le code : point de génération automatique. De plus, il n’était pas possible d’utiliser un nom de domaine personnel. Votre site statique répondait uniquement via l’adresse https://votre_utilisateur.frama.io.

Le long chemin de la libération

Nous n’allons pas refaire l’historique complet de la libération des Gitlab Pages, surtout que celui-ci est disponible sur LinuxFr. Mais un petit résumé succinct ne fera pas de mal.

Tout a commencé par un tweet de votre serviteur demandant à Gitlab s’il était envisageable d’avoir les Gitlab Pages dans l’édition communautaire de Gitlab (pas la peine de chercher les tweets en question, j’ai fermé mon compte twitter). Gitlab a ouvert un ticket pour discuter de cela.

Gitlab a exposé au fil du temps trois arguments :

• seules les fonctionnalités utiles aux instances de moins de 100 utilisateurs peuvent aller dans l’édition communautaire (et pour eux, cela n’était pas le cas de Gitlab Pages)
• https://gitlab.com, qui utilise la version entreprise — donc avec les Gitlab Pages — est libre d’utilisation pour tout un chacun, et contrairement à Github, les dépôts privés sont gratuits
• les Gitlab Pages sont une fonctionnalité qui ajoute une réelle plus-value à l’édition entreprise : comment vendre leur produit si une des fonctionnalités majeures est déjà dans l’édition communautaire ?

Il est à noter que Gitlab nous a proposé d’utiliser la version entreprise avec un rabais, ce qui est tout à leur honneur, mais comme nous ne souhaitons utiliser que du logiciel libre, nous avons décliné (évidemment 😀)

La communauté a fait valoir que Gitlab Pages n’intéressait pas que les grandes instances, qu’utiliser https://gitlab.com ou Github revenait au même puisque cela équivaut à utiliser du logiciel propriétaire, proposa un financement participatif pour financer la libération et enfin avança que les Gitlab Pages feraient une bonne publicité à Gitlab, les développeurs utilisant de plus en plus fréquemment ce genre de solution pour héberger leurs sites ou leurs blogs. Et même si j’ai horreur de cet argument de notoriété, force m’est d’avouer qu’il a su faire mouche (ainsi que les plus de 100 « 👍 » du ticket) : la libération fut annoncée peu de temps après celui-ci !

En tout, la discussion a duré près de onze mois. Les échanges furent cordiaux et la communauté, opiniâtre, a su faire valoir ses arguments.

Bref, une bien belle victoire pour le libre qui voit là un logiciel apprécié se doter d’une nouvelle fonctionnalité très attendue !

Bon, et maintenant ?

Depuis la mise à jour de Framagit du 2 mars dernier, toute personne possédant un dépôt sur Framagit peut, via les Gitlab Pages, créer et héberger un site sur notre infrastructure, que ce soit en sous-domaine de frama.io (comme moi 😊) ou avec un domaine privé (auquel cas il faudra faire pointer un enregistrement DNS vers les IPs de frama.io : 144.76.206.44 et 2a01:4f8:200:1302::44 ou créer un enregistrement DNS de type CNAME vers frama.io.), avec ou sans certificat.

La documentation de Gitlab sur l’utilisation des Gitlab Pages (en anglais) est très complète et propose même un grand nombre de modèles sur lesquels vous baser. D’Hugo à Pelican en passant par des pages statiques développées à la main, il y en a pour tous les goûts !

Il n’y a que deux ombres au tableau :

• l’utilisation de certificats Let’s Encrypt n’est pas aisée mais un ticket est ouvert chez Gitlab pour intégrer directement Let’s Encrypt aux Gitlab Pages
• il n’y a pas de redirection automatique vers la version sécurisée (https) de votre site, quand bien même vous fourniriez un certificat ou que vous utilisiez un sous-domaine de frama.io (ce qui vous fournit automatiquement une version https de votre site grâce à notre achat d’un certificat wildcard (certificat valant pour le domaine et tous ses sous-domaines)). Un ticket est cependant ouvert chez Gitlab à ce sujet. En attendant, pour rediriger vos visiteurs vers la version https de votre site, vous pouvez néanmoins inclure ce petit bout de JavaScript dans vos pages :

  <script>
  var loc = window.location.href+'';
  if (loc.indexOf('http://')==0){
      window.location.href = loc.replace('http://','https://');
  }
  </script>

Le framablog n’étant pas un blog technique, nous ne étendrons pas plus sur les ficelles de Gitlab Pages : on va laisser ça pour notre site dédié à la documentation de nos services.

Au 20 mars, nous sommes déjà 31 (oui, bon, ok, sur 7 560 utilisateurs, ça fait peu) à avoir commencé à bidouiller sur les Gitlab Pages de Framagit (contre 53 quand nous proposions FsPages). Continuez comme ça ! 🙂

Crédits image :

• Logo Framasoft : © JosephK, CC-BY-SA
• Logo Gitlab : © Gitlab, CC-BY-NC-SA 4.0
• Arithmetic symbols : Domaine public
• Love Heart : Domaine public

Alors que la France s’apprête à accueillir le Sommet mondial du Partenariat pour un Gouvernement Ouvert, plusieurs associations pointent les contradictions du gouvernement. Certaines ne s’y rendront pas.

Bilan du gouvernement ouvert à la française (9 pages), co-signé par les associations et collectifs suivants : April, BLOOM, DemocracyOS France, Fais ta loi, Framasoft, La Quadrature du Net, Ligue des Droits de l’Homme, Regards Citoyens, République citoyenne, SavoirsCom1.

Derrière un apparent « dialogue avec la société civile », la France est loin d’être une démocratie exemplaire

Le « gouvernement ouvert » est une nouvelle manière de collaborer entre les acteurs publics et la société civile, pour trouver des solutions conjointes aux grands défis auxquels les démocraties font face : les droits humains, la préservation de l’environnement, la lutte contre la corruption, l’accès pour tous à la connaissance, etc.

Soixante-dix pays se sont engagés dans cette démarche en adhérant au Partenariat pour un Gouvernement Ouvert (PGO), qui exige de chaque État la conception et la mise en œuvre d’un Plan d’action national, en collaboration étroite avec la société civile.

La France a adhéré au Partenariat pour un Gouvernement Ouvert en avril 2014, et publié son premier Plan d’action national en juillet 2015. Depuis octobre 2016, le gouvernement français co-préside le PGO, avec l’association américaine WRI (World Resource Institute) et la France accueille le Sommet mondial du PGO à Paris, du 7 au 9 décembre 2016, présenté comme la « COP 21 de la démocratie ».

En tant que « pays des droits de l’Homme », nation co-présidente et hôte du Sommet mondial du PGO, on pourrait attendre de la France qu’elle donne l’exemple en matière de gouvernement ouvert.

Hélas, à ce jour, les actes n’ont pas été à la hauteur des annonces, y compris dans les trois domaines que la France elle-même considère prioritaires (1. Climat et développement durable ; 2. Transparence, intégrité et lutte contre la corruption ; 3. Construction de biens communs numériques) et ce, malgré l’autosatisfaction affichée du gouvernement. Pire, certaines décisions et pratiques, à rebours du progrès démocratique promu par le Partenariat pour un gouvernement ouvert, font régresser la France et la conduisent sur un chemin dangereux.

Les associations signataires de ce communiqué dressent un bilan critique et demandent au gouvernement et aux parlementaires de revoir certains choix qui s’avèrent radicalement incompatibles avec l’intérêt général et l’esprit du PGO, et de mettre enfin en cohérence leurs paroles et leurs actes.

Lire le bilan complet (9 pages).

Les co-signataires

L’April est la principale association de promotion et de défense du logiciel libre dans l’espace francophone. La mobilisation de ses bénévoles et de son équipe de permanents lui permet de mener des actions nombreuses et variées en faveur des libertés informatiques.

BLOOM, Fondée en 2005 par Claire Nouvian, BLOOM est entièrement dévouée aux océans et à ceux qui en vivent. Sa mission est d’œuvrer pour le bien commun en mettant en œuvre un pacte durable entre l’homme et la mer.

DemocracyOS France est une association qui promeut l’usage d’une plateforme web open source permettant de prendre des décisions de manière transparente et collective.

Fais Ta Loi est un collectif qui a pour but d’aider les publics les plus éloignés du débat démocratique à faire entendre leur voix au Parlement.

Framasoft est un réseau dédié à la promotion du « libre » en général et du logiciel libre en particulier.

Ligue des Droits de l’Homme : agit pour la défense des droits et libertés, de toutes et de tous. Elle s’intéresse à la citoyenneté sociale et propose des mesures pour une démocratie forte et vivante, en France et en Europe.

La Quadrature du Net : La Quadrature du Net est une association de défense des droits et libertés des citoyens sur Internet.

Regards Citoyens est un collectif transpartisan né en 2009 qui promeut la transparence démocratique et l’ouverture des données publiques pour alimenter le débat politique. Il est a l’initiative d’une douzaine d’initiatives dont NosDeputés.fr et LaFabriqueDeLaLoi.fr.

République citoyenne est une association, créée en 2013, qui a pour but de stimuler l’esprit critique des citoyens sur les questions démocratiques et notamment sur le gouvernement ouvert.

SavoirsCom1 est un collectif dédié à la défense de politiques publiques en faveur des Communs de la connaissance.

Crédit image : Marie-Lan Nguyen (CC BY 2.0)

1) Tu ne consultes pas une page Internet, tu la copies

Un site web, c’est pas une espèce de journal qu’on aurait mis dans le pays magique d’internet pour que ton navigateur aille le consulter comme tu consulterais le quotidien de ton jour de naissance à la médiathèque du coin.

Pour voir une page web, ton navigateur la copie sur ton ordi. Les textes, les images, les sons : tout ce que tu vois ou entends sur ton écran a été copié sur ton ordinateur (vilain pirate !)

Un ordinateur est un photocopieur dont la trieuse serait une méga fourmilière qui peut faire plein de trucs. La bonne nouvelle, c’est que copier permet de multiplier, que ça ne vole rien à personne, parce que si je te copie un fichier tu l’as toujours.

• La BD « Les Ordinateurs sont des cons » sur GriseBouille
• La chanson « Copier n’est pas voler » sur YouTube

2) Mon navigateur web ne cuisine pas la même page web que le tien.

Sérieux, imagine qu’une page web, c’est une recette de cuisine :

Mettez un titre en gros, en gris et en gras.

Réduisez l’image afin qu’elle fasse un quart de la colonne d’affichage, réservez.

Placez le texte, agrémenté d’une jolie police, aligné à gauche, puis l’image à droite.

Servez chaud.

Le navigateur web (Firefox, Chrome, Safari, Internet Explorer…), c’est le cuisinier. Il va télécharger les ingrédients, et suivre la recette. T’as déjà vu quand on donne la même recette avec les mêmes ingrédients à 4 cuisiniers différents ? Ben ouais, c’est comme dans Top Chef, ça fait 4 plats qui sont pas vraiment pareils.

Surtout quand les assiettes ne sont pas de la même taille (genre l’écran de ton téléphone et celui de ton ordi…) et que pour cuire l’un utilise le four et l’autre un micro-ondes (je te laisse trouver une correspondance métaphorique dans ton esprit, tu peux y arriver, je crois en toi :p !).

Bref : l’article que tu lis aura peu de chance d’avoir la même gueule pour toi et la personne à qui tu le feras passer 😉

• Préfère Firefox si t’as pas envie de filer tes données à Google-Chrome, Apple-Safari ou Microsoft-Edge
• Ou sinon Chromium c’est Chrome sans du Google dedans 😉

3) Le streaming n’existe pas

Nope. Le streaming, c’est du téléchargement qui s’efface au fur et à mesure. Parce qu’un ordinateur est une machine à copier.

Le streaming, c’est du téléchargement que tu ne peux (ou ne sais) pas récupérer, donc tu downloades une vidéo ou un son mais juste pour une seule fois, et si tu veux en profiter à nouveau, il faut encore les télécharger et donc encombrer les tuyaux d’internet.

Tu vois les précieux mégas du forfait data de ton téléphone qui te ruinent chaque mois ? Ce sont des textes, images sons, vidéos et informations qui viennent jusqu’à ton ordi (ordinateur ou ordiphone, hein, c’est pareil). La taille de ces mégas, c’est un peu les litres d’eau que tu récupères au robinet d’internet.

Regarder ou écouter deux fois le même truc en streaming, sur YouTube ou Soundcloud par exemple, c’est comme si tu prenais deux fois le même verre d’eau au robinet.

• Les meilleurs logiciels pour télécharger en pair-à-pair (et décongestionner les tuyaux d’internet)
• 30 sites de torrents aux contenus libres et légaux (en anglais)

4) Quand tu regardes une page web, elle te regarde aussi.

Mon livre ne me dit pas de le sortir du tiroir de la table de nuit. Il ne sait pas où je suis lorsque je le lis, quand je m’arrête, quand je saute des pages ni vers quel chapitre, quand je le quitte et si c’est pour aller lire un autre livre.

Sur Internet, les tuyaux vont dans les deux sens. Une page web sait déjà plein de choses sur toi juste lorsque tu cliques dessus et la vois s’afficher. Elle sait où tu te trouves, parce qu’elle connaît l’adresse de la box internet à laquelle tu t’es connecté. Elle sait combien de temps tu restes. Quand est-ce que tu cliques sur une autre page du même site. Quand et où tu t’en vas.

Netflix, par exemple, est une application web, donc un site web hyper complexe, genre QI d’intello plus plus plus. Netflix sait quel type de film tu préfères voir lors de tes soirées d’insomnie. À partir de quel épisode tu accroches vraiment à la saison d’une série. Ils doivent même pouvoir déterminer quand tu fais ta pause pipi !

Ouaip : Internet te regarde juste pour pouvoir fonctionner, et souvent plus. Ne t’y trompe pas : il prend des notes sur toi.

• Pour équiper ton cuisinier-navigateur d’outils contre l’espionnage publicitaire, suis le guide !
• Surfe anonyme avec le navigateur Tor

5) Pas besoin d’un compte Facebook/Google/etc pour qu’ils aient un dossier sur toi.

Si Internet peut te regarder, ceux qui y gagnent le plus d’argent ont les moyens d’en profiter (logique : ils peuvent se payer les meilleurs spécialistes !)

Tu vois le petit bouton « like » (ou « tweet » ou « +1 » ou…) sur tous les articles web que tu lis ? Ces petits boutons sont des espions, des trous de serrures. Ils donnent à Facebook (ou Twitter ou Google ou…) toutes les infos sur toi dont on parlait juste au dessus. Si tu n’as pas de compte, qu’ils n’ont pas ton nom, ils mettront cela sur l’adresse de ta machine. Le pire, c’est que cela fonctionne aussi avec des choses que tu vois moins (les polices d’écriture fournies par Google et très utilisées par les sites, les framework javascript, les vidéos YouTube incrustées sur un blog…)

Une immense majorité de sites utilisent aussi « Google Analytics » pour analyser tes comportements et mieux savoir quelles pages web marchent bien et comment. Mais du coup, ces infos ne sont pas données qu’à la personne qui a fait le site web : Google les récupère au passage. Là où ça devient marrant, c’est quand on se demande qui décide qu’un site marche « bien » ? C’est quoi ce « bien » ? C’est bien pour qui…?

Oui : avec le blog rank comme avec la YouTube money, Google décide souvent de comment nous devons créer nos contenus.

• Voici 98 choses que Facebook sait sur toi par Anguille sous Roche.
• Découvre les infos que Google a sur toi (compte Google nécessaire -_-…)

6) Un email est une carte postale

On a tendance à comparer les emails (et les SMS) à des lettres, le truc sous enveloppe. Sauf que non : c’est une carte postale. Tout le monde (la poste, le centre de tri, ceux qui gèrent le train ou l’avion, l’autre centre de tri, le facteur…), tous ces gens peuvent lire ton message. J’ai même des pros qui me disent que c’est carrément un poster affiché sur tous les murs de ces intermédiaires, puisque pour transiter par leurs ordis, ton email se… copie. Oui, même si c’est une photo de tes parties intimes…

Si tu veux une enveloppe, il faut chiffrer tes emails (ou tes sms).

Gamin, j’adorais déchiffrer les messages codés dans la page jeux du journal de Mickey. Y’avait une phrase faite d’étoiles, carrés, et autre symboles, et je devais deviner que l’étoile c’est la lettre A, le cœur la lettre B, etc. Lorsque j’avais trouvé toutes les correspondances c’était le sésame magique : j’avais trouvé la clé pour déchiffrer la phrase dans la mystérieuse bulle de Mickey.

Imagine la même chose version calculatrice boostée aux amphètes. C’est ça, le chiffrement. Une petit logiciel prend ton email/SMS, applique la clé des correspondances bizarres pour le chiffrer en un brouillard de symboles, et l’envoie à ton pote. Comme vos logiciels se sont déjà échangé les clés, ton pote peut le déchiffrer. Mais comme il est le seul à avoir la clé, lui seul peut le déchiffrer.

Ben ça, ça te fait une enveloppe en plomb que même le regard laser de Superman il peut pas passer au travers pour lire ta lettre.

• Comment chiffrer ses e-mails avec Open-PGP
• Comment chiffrer très simplement ses appels et SMS avec Signal

7) Le cloud, c’est l’ordinateur d’un autre.

Mettre sur le cloud ses fichiers (icloud), ses emails (gmail), ses outils (Office365)… c’est les mettre sur l’ordinateur d’Apple, de Google, de Microsoft.

Alors OK, on parle pas d’un petit PC qui prend la poussière, hein. On parle d’une grosse ferme de serveurs, de milliers d’ordinateurs qui chauffent tellement que des climatiseurs tournent à fond.

Mais c’est le même principe : un serveur, c’est un ordinateur-serviteur en mode Igor, qui est tout le temps allumé, qu’on a enchaîné au plus gros tuyau internet possible. Dès qu’on lui demande une page web, un fichier, un email, une application… on le fouette et il doit répondre au plus vite « Ouiiiiii, Mestre ! »

Tout le truc est de savoir si tu fais confiance aux Igors de savants fous dont le but est de devenir les plus riches et les maîtres du monde, ou au petit Igor du gentil nerd du coin… Voire si tu te paierais pas le luxe d’avoir ton propre Igor, ton propre serveur à la maison.

• Utilise les services de Dégooglisons Internet, les Igors de Framasoft…
• …encore mieux : trouve un gentil Igor près de chez toi avec les CHATONS…
• …encore plus mieux : crée ton propre Igor avec Yunohost / La Brique Internet !

8) Facebook est plus fort que ma volonté.

Ouais, je suis faible. J’ai, encore aujourd’hui, le réflexe « je clique sur facebook entre deux trucs à faire ». Ou Twitter. Ou Tumblr. Ou l’autre truc à la con, OSEF, c’est pareil.

Cinq minutes plus tard, je finis dans état de semi zombie, à scroller de la mollette en voyant mon mur défiler des informations devant mes yeux hypnotisés. Je finis par faire ce qu’on attend de moi : cliquer sur un titre putassier, liker, retwetter une notification et répondre à des trucs dont je n’aurais rien à foutre si une vague connaissance venait m’en parler dans un bar.

Ce n’est pas que je manque de volonté : c’est juste que Facebook (et ses collègues de bureau) m’ont bien étudié. Enfin, ils ont plus étudié l’humain que moi, mais pas de bol : j’en fais partie. Du coup ils ont construit leurs sites, leurs applications, etc. de façon à me piéger, à ce que je reste là (afin de bouffer leur pub), et à ce que j’y retourne.

Ces techniques de design qui hackent notre esprit (genre le « scroll infini », le « bandit manchot des notifications » et les « titres clickbait » dont je parle juste au dessus) sont volontaires, étudiées et documentées. Elles utilisent simplement des failles de notre esprit (subconscient, inconscient, biais cognitifs… je laisse les scientifiques définir tout cela) qui court-circuitent nos volontés. Ce n’est pas en croyant qu’on est maître de soi-même qu’on l’est vraiment. C’est souvent le contraire : le code fait la loi jusque dans nos esprits.

Bref, je suis faible, parce que je suis humain, et donc je suis pas le seul. Et ça, les géants du web l’ont bien compris.

• Comment est-ce que le code, c’est la loi.
• Un ex « Philosophe-produit » de chez Google explique comment des millions d’heures de nos vies nous sont volées
• Comment la technologie pirate l’esprit des gens, l’article originel en Anglais de Tristan Harris

9) Internet est ce que j’en ferai

Si je veux voir d’autres choses dans ma vie numérique, j’ai le choix : attendre que les autres le fassent jusqu’à ce que des toiles d’araignées collent mes phalanges aux touches de mon clavier, en mode squelette… ou bien je peux bouger mes doigts.

Alors ouais, j’ai pas appris à conduire en vingt heures de cours, j’ai raté plein de gâteaux avant de m’acheter les bons ustensiles et la première écharpe que j’ai faite avait pleins de trous. Mais aujourd’hui, je sais conduire, faire des pâtisseries pas dégueu et même me tricoter un pull.

Ben créer et diffuser des contenus sur Internet, c’est pareil, ça s’apprend. On trouve même facilement les infos et les outils sur Internet (dont des cours de tricot !).

Une fois qu’on sait, on peut proposer autre chose : c’est la mode des articles courts, creux et aux titres putassiers ? Tiens, et si je gardais le coup du titre pour faire un top, mais cette fois-ci dans un article blog long, dense, et condensant une tonne de sujets épars…?

Oh, wait.

• Zeste de savoir, un site pour apprendre et partager de tout.
• OpenClassrooms, un site pour se former au numérique

10) C’est pas la fin du monde, juste le début.

Quand on voit à quel point on a perdu la maîtrise de l’informatique, de nos vies numériques, de notre capacité à simplement imaginer comment on pourrait faire autrement… y’a de quoi déprimer.

Mais avant que tu demandes à ce qu’on t’apporte une corde, une pierre et une rivière, regarde juste un truc : le numérique est une révolution toute jeune dans notre Histoire. C’est comme quand tu découvres le chocolat, le maquillage, ou une fucking nouvelle série qui déboîte : tu t’en fous plein la gueule.

Sociétalement, on vient de se gaver d’ordinateurs (jusqu’à en mettre dans nos poches, ouais, de vrais ordis avec option téléphone !) et de numérique, et là les plus gros marchands de chocolat/maquillage/séries se sont gavés sur notre dos en nous fourguant un truc sucré, gras et qui nous laisse parfois l’estomac au bord des lèvres.

Mais on commence tout juste, et il est encore temps d’apprendre à devenir gourmet, à savoir se maquiller avec finesse, et même à écrire une fan fiction autour de cette nouvelle série.

Il est temps de revenir vers une informatique-amie, à échelle humaine, vers un outil que l’on maîtrise nous ! (et pas l’inverse, parce que moi j’aime pas que mon lave-linge me donne des ordres, nanmého !)

Des gens plus intelligents et spécialistes que moi m’ont dit qu’avec le trio « logiciel libres + chiffrement + services décentralisés », on tenait une bonne piste. J’ai tendance à les croire, et si ça te botte, tu peux venir explorer cette voie avec nous. Cela ne nous empêchera pas d’en cheminer d’autres, ensemble et en même temps, car nous avons un vaste territoire à découvrir.

Alors, t’es prêt pour la terra incognita ?

• Lire Surveillance:// de Tristan Nitot
• Lire Numérique, reprendre le contrôle, ouvrage collectif chez Framabook

Les quelques conseils qui suivent sont élémentaires et relèvent du bon sens plus que de la technique. Ils doivent cependant être répétés sans cesse tant il nous est facile de passer outre et de négliger ce qui peut pourtant nous rendre un fier service…

Saviez-vous que Mozilla dispose d’une équipe et d’un site Internet Citizen qui publie de semaine en semaine des conseils pour que chacun puisse agir et « Protéger la plus vaste ressource globale partagée » ? C’est sur ce portail que j’ai choisi l’article de M.J. Kelly, à la suite duquel vous trouverez quelques pistes pour aller plus loin. Mais avant d’installer un VPN, de chiffrer notre disque dur ou de créer un nœud Tor, si nous commencions par sécuriser nos mots de passe ?

Devez-vous vraiment masquer votre webcam ?

Source : Should you cover your webcam?

par M.J. Kelly

Lorsque les médias nous ont révélé que des personnalités comme le PDG de Facebook Mark Zuckerberg et le directeur du FBI James Comey masquaient leurs webcams, nous avons été amenés à nous demander si nous ne devrions pas tous en faire autant. Mettre un post-it ou un bout de sparadrap sur la caméra peut vous donner l’impression que vous gardez le contrôle en vous protégeant contre l’espionnage d’un pirate. C’est vrai, tant que votre webcam est masquée, on ne peut pas vous voir, mais est-ce une protection efficace pour votre sécurité ?

Marshall Erwin, responsable du département Vie privée et confidentialité chez Mozilla, répond : « — pas tant que ça… »

Masquer votre webcam pourrait en réalité aggraver la situation, précise Erwin. Les pirates pourraient encore vous écouter en utilisant le microphone, par exemple. Si vous avez masqué la caméra et ne voyez pas le voyant lumineux à côté de la lentille, vous ne saurez pas que le pirate a activé la caméra et vous écoute.

Erwin souligne également que votre webcam peut être compromise par d’autres moyens, comme le piratage des appels vidéo, appelé piggybacking⁽¹⁾. Masquer votre webcam n’est pas une défense parfaite.

Avant de la débrancher carrément, il existe de meilleures solutions que de lui coller un pansement ou de la jeter à la poubelle. Vous pouvez faire preuve d’astuce et vous protéger des intrusions de sécurité avant qu’elles ne surviennent

Voici quoi faire :

• Choisissez des mots de passe forts. Que ce soit pour votre box chez vous ou pour vos comptes sur les réseaux sociaux, choisir des mots de passe robustes est votre meilleure protection contre toutes sortes de menaces sur le Web. C’est avec de bonnes pratiques de sécurité comme celle-là qu’il sera plus difficile de compromettre les appareils que vous utilisez, au passage votre webcam sera protégée elle aussi.
• Méfiez-vous des liens. Des délinquants utilisent toute sortes d’astuces pour accéder à vos ordinateurs, Ils vous envoient entre autres des liens qui ont l’air inoffensifs. Ils recèlent en réalité des logiciels malveillants ou des virus qui sont ensuite les vecteurs de corruption de votre ordinateur. Si un lien ou un téléchargement ne vous semble pas tout à fait sûr, il ne l’est probablement pas. Vérifiez que tous les logiciels que vous installez proviennent de sources fiables et ne cliquez pas à tout-va sur des ressources qui paraissent vaguement suspectes, même si vous pensez en connaître l’origine.
• Installez un système de sécurité. Les logiciels antivirus ne vous protégeront pas contre toutes les menaces mais c’est un bon début. Si vous installez un dispositif de sécurité, maintenez-le à jour et utilisez-le pour analyser régulièrement la sécurité de vos appareils. Des entreprises spécialisées gagnent leur vie en combattant les menaces, pour que vous n’ayez pas à le faire.
• Faites appel à un spécialiste. Si vous pensez que votre webcam a été compromise, c’est-à-dire piratée, vérifiez avec un professionnel expérimenté en informatique pour savoir comment faire. Soyez conscient-e qu’il va vous falloir déployer beaucoup de patience pour que votre appareil soit remis en état.

En définitive, vous n’avez pas vraiment de raisons d’avoir peur d’utiliser des webcams. Elles ne représentent qu’un petit élément parmi une foule de technologies web qui rendent Internet dynamique et plaisant. Restez conscient-e de la possibilité d’avoir une webcam piratée, mais faites preuve de bon sens. Mettez un cache sur votre webcam (une gommette, un postit™, un autocollant avec un chat…) si ça vous fait plaisir, mais ne vous figurez pas que vous tenez là une solution radicale.

Efforcez-vous surtout d’agir en citoyen.ne du numérique avisé.e et conscient.e de sa sécurité en ligne, que la caméra soit ou non activée.

Vous voudrez sûrement aller plus loin :

• D’autres conseils et astuces pour maîtriser la confidentialité de vos données personnelles, sur le site de Mozilla
• Le livre //:Surveillance de Tristan Nitot qui conjugue de façon accessible à tous analyse des risques et recommandations utiles
• L’excellent petit Guide d’hygiène numérique (lien direct vers le .pdf) de l’ami Genma, qui ne demande qu’à être complété ou amélioré sur le Framagit.

(1) Voyez l’entrée Piggybacking du glossaire en français du site panoptinet.com

Nous l’avions annoncé en février dernier sur le Framablog, nous travaillons depuis quelques mois à faire émerger le Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires… bref : les CHATONS.

Le succès de la campagne Dégooglisons Internet a démontré, à l’ère post-Snowden, un intérêt réel du public pour des services web respectueux de vos données et basés sur du logiciel libre. Le problème, c’est que si les « Frama-bidules » deviennent la réponse par défaut à cette demande, alors nous créerons ce que nous combattons : une centralisation des utilisateurs, une concentration des données aussi dangereuse que douteuse.

Or, nous sommes loin d’être les premiers à proposer de telles solutions. Et de nombreuses associations, SCOP, initiatives, etc. sont prêtes à rejoindre un mouvement de décentralisation pour créer des services mutualisés dans un internet de la proximité et de la confiance. De là, il n’y avait qu’un pas à faire pour créer un collectif des hébergeurs proposant de remettre des valeurs et de l’humain dans vos mails, fichiers, partages et collaborations.

Concrètement, que sont les CHATONS ?

Le plus simple, c’est d’aller voir sur le site web chatons.org. Ce site, c’est avant tout une carte vous montrant où sont les hébergeurs de services les plus proches de chez vous, ce qu’ils proposent (du pad, du framadate, du mail etc.) et sous quelles conditions (adhésion, service payant, etc.).

CHATONS, c’est donc un collectif regroupant ces hébergeurs éthiques, libres et loyaux (que l’on nommera… « chatons » !).

L’avantage c’est que chacun de ces chatons s’est engagé sur une charte et un manifeste communs, qui vous garantissent entre autres :

• l’utilisation de logiciels libres (et autant que possible la contribution ^^) ;
• aucun profilage publicitaire (pas de pub autre que mécénat et sponsoring) ;
• le respect de vos données (droit d’accès, interopérabilité, non-transmission à des tiers) ;
• la transparence (sur la technique comme sur les finances) ;
• la neutralité (aucune surveillance ni censure en amont) ;
• le chiffrement (dès et tant que possible).

Au-delà de l’aspect utilisateur, le fait d’initier ce collectif permettra une solidarité entre ses membres pour échanger sur des aspects techniques, juridiques, d’éducation populaire… et ainsi de faciliter la création de nouveaux chatons près de chez vous !

Comme nous l’expliquions en février dernier, les objectifs du collectif sont multiples : rassembler, mutualiser, décentraliser, donner de la visibilité, fédérer, essaimer, partager… Autant dire que l’ambition est grande.

Voyez chaque chaton comme une AMAP (Association pour le Maintien de l’Agriculture Paysanne), sauf qu’au lieu d’un panier de légumes fourni par un agriculteur, il s’agit de services en ligne fournis par un hébergeur de proximité. Et comme avec une AMAP, vous pouvez rencontrer l’agriculteur/hébergeur, et même partager un verre avec lui 🙂

La première portée

La première portée compte 21 membres, dont 14 sont déjà actifs. Parmi ces derniers, vous trouverez notamment des chatons ouverts à tous et couvrant la France entière, comme La Mère Zaclys ou L’Autre.net. Mais aussi des chatons plus « locaux » comme Infini (Brest), Assodev-Marsnet (Marseille) ou G3L (Valence). Certains sont des associations, comme Alolise (Saint-Étienne), d’autres des entreprises, comme IndieHosters. Certains sont de taille conséquente, comme Framasoft (qui dépasse le million de visites par mois), et d’autres ne servent qu’un public bien plus restreint comme roflcopter.fr (Toulouse).

Et les 7 autres ? Ils sont tout simplement en gestation !

D’ailleurs, parmi ceux-là, Framasoft va accompagner trois d’entre eux :

• Le mouvement Colibris, qui est un mouvement humaniste et écologiste, qui souhaite « sortir de Google ». Une sensibilisation des acteurs du mouvement Colibris permettra de toucher une population sensible aux questions du bien commun et du « faire ensemble ».
• Le collectif « Bertel Numérique », situé sur la lointaine île de la Réunion (lointaine pour nous qui grelottons en métropole ^^), a ceci de particulier qu’il associe la volonté d’un grand réseau d’éducation populaire (les CÉMÉA) et les compétences d’une petite entreprise locale spécialisée dans le logiciel libre. La mission du collectif est bien évidemment de proposer de l’hébergement local (pourquoi faire parcourir 18 000 km à un email si c’est pour écrire à son voisin de bureau ?)
• La Fédération Française des Motards en Colère est, avouons-le, un (futur) chaton atypique, puisque sa mission semble bien éloignée des questions informatiques ! En fait, la fédération a toujours eu très à cœur la protection de la vie privée de ses adhérent-e-s, mais doutait d’avoir les compétences en interne pour gérer un certain nombre de services. À nous de lui prouver que c’est possible !

Évidemment, tous les chatons en gestation pourront profiter de l’aide des membres du collectif, sur la base du bon vieux principe « Si tu ne sais pas, demande. Si tu sais, partage ». Framasoft prêtera juste une attention particulière à ces trois-là, vous tiendra informés par des billets de blog réguliers indiquant l’avancement de ces projets, sans masquer les inévitables difficultés rencontrées, afin que ces expériences croisées puissent servir à tou-te-s.

Par ailleurs, nous annoncerons régulièrement de nouvelles « portées » sur ce blog, afin que chacun puisse trouver chaton à son pied 🙂

Des « chapéros » pour fêter ça !

Pour fêter l’événement, plusieurs chatons ont souhaité organiser un (ch)apéro dans leur ville.

Vous pourrez donc retrouver des chatons à :

• Paris : le mercredi 12 octobre 2016 de 19h00 à 22h30,
• Lyon : le mercredi 12 octobre 2016 de 19h00 à 21h00,
• Brest : le vendredi 14 octobre 2016 de 18h30 à 22h00,
• Marseille : le vendredi 21 octobre 2016 de 18h30 à 22h00.

Comme tout cela est très spontané et mouvant, il est conseillé de se référer directement à l’agenda du libre, avec le tag chatons.

Les CHATONS version 1.0 !

Alors voilà, ce mercredi 12 octobre, nous annonçons donc la naissance des CHATONS. Bien entendu, le projet est encore jeune, et de nombreux CHATONS sont encore en cours de création : c’est un travail sur le long terme avant que d’arriver à avoir un maillage géographique complet ;).

Si vous êtes simple utilisatrice ou utilisateur de services, ne vous attendez donc pas à une révolution aujourd’hui : il s’agit juste de l’annonce officielle du collectif. Ce sont en quelque sorte les premiers mètres d’un marathon qui durera probablement plusieurs années. Ne soyez donc pas frustré-e-s de ne pas trouver LE chaton correspondant à vos besoins. Cela viendra !

Si nous avons appelé de nos vœux la création de ce collectif, Framasoft est et ne restera qu’un chaton parmi les autres : c’est le collectif (et lui seul) qui gérera son fonctionnement et son avenir.

Pour tout vous avouer, nous envisageons ce collectif comme un logiciel libre : c’est une proposition qui évoluera selon les décisions de sa communauté de contributeurs, une espèce de v.1 ouverte aux participations, contributions, échanges…

Ainsi, le collectif est géré comme un projet logiciel, en utilisant une liste de diffusion et une plateforme de développement logiciel, sur laquelle sont rédigés et « patchés » les documents fondateurs du collectif. C’est aussi grâce à cet outil que vous pouvez suivre l’évolution des propositions (ou en faire de nouvelles vous-mêmes). Et si vous n’êtes pas satisfait-e de son fonctionnement, vous pourrez tout simplement forker le projet, et monter votre propre collectif ou fédération avec vos règles, sans pour autant devoir repartir de zéro.

Différentes extensions sont d’ores et déjà prévues, comme la fabrication d’un Mooc pour apprendre à maîtriser les différents aspects de la création d’un chaton (enjeux, aspects juridiques, aspects techniques), et bien évidemment une internationalisation. Nos amis québécois de FACiL nous ont déjà rejoints, des chatons belges et suisses devraient apparaître sous peu sur la carte, et d’autres pays se sont montrés intéressés (Espagne, Italie, Pays-Bas, Allemagne, etc.). Mais ne mettons pas les matous avant les chatons : il nous faut déjà sortir de notre panière !

Si nous nous adressions à des informaticien-ne-s, nous pourrions dire qu’aujourd’hui est le premier commit du projet CHATONS, et qu’il comporte nécessairement des bugs, mais que – ensemble – nous le ferons évoluer dans le temps, de version en version, jusqu’à ce qu’il remplisse son objectif : permettre à celles et ceux qui le souhaitent de pouvoir quitter les services centralisateurs.

Car pour reprendre ce que nous disions il y a quelques mois, et qui reste toujours valable :

Face à ce mouvement de concentration, qui pourrait bien transformer Internet en Googleternet ou Facebookternet, nous ne voyons qu’une seule voie (si vous en avez d’autres à proposer, on prend !) : décentraliser Internet en faisant en sorte qu’il demeure tel qu’il a été conçu. Neutre. Ouvert. Interopérable. Libre.

Si nous voulons une économie qui soit aussi sociale et solidaire, il va nous falloir un internet qui soit aussi social et solidaire. Et cela passera entre autre par une diversité d’acteurs indépendants proposant des services web libres, éthiques et respectueux de vos données, décentralisés et solidaires.

Pour aller plus loin :

• découvrir Les CHATONS,
• l’espace de travail et de développement : le Manifeste, la Charte, l’espace participatif,
• l’article fondateur,
• pour se détendre, le générateur de logos.