1

La place du numérique à l’école relève de la place de l’école dans la société

Début septembre, nous avons été contactés par Hervé Le Crosnier, éditeur de (l’excellente) maison d’édition C&F éditions. Il demandait si nous accepterions d’écrire un court texte sur la façon dont Framasoft avait vécu ses interactions avec le milieu éducatif pendant ce moment très particulier qu’était le confinement (entre le 17 mars et le 11 mai 2020). Ce texte servirait à alimenter l’ouvrage « L’École sans école : ce que le confinement nous apprend sur l’école » à paraître en décembre 2020 chez C&F éditions.

Nous avons déjà énormément écrit et partagé pendant le confinement. Nos quatorze « carnets de bord du confinement » représentaient déjà pas loin de 200 pages (indispensables mèmes inclus). Cependant, il est vrai que nous n’avions évoqué qu’en pointillé nos rapports avec l’école pendant ces deux mois. Quasiment quatre ans jour pour jour après notre « billet de sécession » et à quelques jours de la tenue des États Généraux du Numérique Éducatif, il nous a paru important de prendre un peu de recul et de documenter cette période là, et de mettre à jour notre positionnement.

C’est Pierre-Yves Gosset, co-directeur de l’association, qui s’est chargé de la rédaction du texte qui suit. Réputé pour ses bilans trimestriels de quarante pages, il aura transformé ce qui devait être un « court texte » en un document d’une quinzaine de pages (et encore, il s’est retenu, paraît-il). La raison en est assez simple : pour comprendre les décisions et actions de Framasoft pendant le confinement, il faut non seulement avoir un contexte des relations entre l’association et « l’institution Éducation Nationale » depuis près de vingt ans, mais aussi avoir la possibilité de déployer une pensée qui s’écarte du simple solutionnisme technologique.

La période de confinement aura été, pour Framasoft, comme pour une large partie de l’humanité, une période marquante. Pour nombre d’élèves, elle aura été une période traumatisante. Avant de parler de « continuité pédagogique » ou de « numérique éducatif », qui sont évidemment des sujets importants, il nous semblait important de donner un éclairage certes partiel, mais donnant à la fois une dimension historique et une dimension prospective. Les outils ne sont pas que des outils, comme l’écrivait Stph, un autre membre de Framasoft, dans son billet « Connaître les machines ». L’éducation aux médias et à l’information (EMI), le développement de la littératie numérique sont les véritables enjeux du numérique à l’école. Et la place de l’école – avec ou sans murs –  est le véritable enjeu de notre société.

 


La place du numérique à l’école est à l’image de la place de l’école dans la société.

Télécharger ce texte au format PDF

Histoire

Nous sommes en 2001, dans un lycée de Bobigny. Une professeure de français et un professeur de mathématiques souhaitent expérimenter internet, cette technologie récemment arrivée dans les établissements scolaires. Internet est avant tout un objet technique : il faut avoir le matériel nécessaire (les cartes réseaux n’étaient pas encore la norme ; en France, le wifi n’était utilisé que par quelques poignées de personnes), savoir utiliser ce matériel, savoir se connecter et, surtout, savoir, selon l’expression de l’époque, « surfer en ligne ». Internet est une fenêtre ouverte sur le monde, même si la création de Wikipédia date de janvier de la même année et mettra quelques années à prendre de l’ampleur. C’est aussi un outil d’expression permettant de rendre votre publication potentiellement accessible à toute autre personne connectée. Avoir cette possibilité, en tant qu’enseignant dans un lycée, c’était parcourir des chemins d’expérimentation jusqu’alors peu empruntés : non seulement cela permettait de découvrir ou approfondir l’usage des « Technologies de l’Information et de la Communication », mais plus important encore de partager de l’information, des pratiques, des retours d’expériences entre enseignants.

C’est cette dernière possibilité qui intéresse particulièrement ces deux enseignants. D’abord nommé « Framanet » (pour FRAnçais et MAthématiques sur intraNET, car publié sur le réseau interne du lycée), puis rendu public sur internet, leur site permettait d’expérimenter l’usage pédagogique des nouvelles technologies, en direction notamment des élèves en difficulté à l’entrée en sixième. Au départ simple page du projet Framanet, puis devenue peu à peu une rubrique du site à part entière, la catégorie « Framasoft » listait pour sa part une sélection de logiciels (libres et non-libres) qui pouvaient être utiles aux enseignant⋅es.

Quelques années plus tard, cette rubrique deviendra un site web indépendant (framasoft.net), et une association verra le jour afin de pouvoir gérer collectivement ce modeste commun numérique1
.

Faisant le choix en 2004 de ne référencer que des logiciels libres, par conviction philosophique, politique et pédagogique, l’annuaire Framasoft allait devenir l’une des principales portes d’entrée francophone du logiciel libre.

 

 

Ses rapports avec le monde de l’éducation sont alors encore très forts : l’association est principalement composée d’enseignants ou de personnes proches du monde éducatif, le site est hébergé gracieusement pendant plusieurs années par le Centre de Ressources Informatique de Haute-Savoie (CRI74), les relations avec le pôle logiciels libres du SCÉRÉN2 sont au beau fixe, les enseignants s’emparent du libre et créent de multiples associations (ABULEdu3, Sésamath4, Scidéralle5, etc.). C’est une période extrêmement riche et foisonnante pour le libre à l’école. Évidemment, les solutions de Microsoft sont omniprésentes dans les établissements, et les victoires des partisans du logiciel libre sont rares. Mais il n’en demeure pas moins que la marge de manœuvre laissée aux enseignants est grande, et que les sujets du libre à l’école, des Ressources Éducatives Libres, des licences Creative Commons, etc. ne sont certes pas soutenus par l’institution, mais pas freinés non plus.

Mais au début des années 2010, les frictions se multiplient ; la ligne institutionnelle se durcit, au ministère de l’Éducation nationale comme dans tout le pays. En 2012, des organismes publics comme le CRI74 ferment, mettant de facto à la porte d’internet des projets comme la distribution éducative libre Pingoo, les espaces d’échanges et les manuels libres de mathématiques de l’association Sésamath, ou le site Framasoft.net. Le SCÉRÉN devient Canopée en 2014 et voit son pôle logiciel libre disparaître. De plus en plus de professeurs font remonter auprès de nous les difficultés qu’ils rencontrent pour parler du libre à leur hiérarchie, ou à le mettre en œuvre dans leurs établissements.

Du côté de l’équipe Framasoft, on sent bien que le monde numérique a changé. On installe de moins en moins les logiciels – libres ou pas – sur les disques durs des ordinateurs, mais on les utilise de plus en plus dans les navigateurs web. En parlant de navigateurs web, justement, le logiciel libre vedette Firefox, qui avait atteint 30 % de parts de marché dans le monde en 2010 (son plus haut niveau, provoquant la fin de l’hégémonie d’Internet Explorer et évitant de peu une « Microsoftisation » du web) se prend de plein fouet l’arrivée de Google Chrome. Ce dernier, porté par la puissance de Google, dépassera Firefox en 2 ans à peine et culmine à plus de 65 % de parts de marché en 2020. Google devient alors omniprésent, notamment sur les marchés de la recherche web et du navigateur, mais aussi sur celui des applications web (Google Drive, Google Docs, GMail, etc.) et, bien entendu, des smartphones avec son système Androïd (80 % des parts de marché dans le monde).

L’école, comme le reste de la société, migre donc d’un numérique « logiciel » où les choix étaient très nombreux, et où les marges de manœuvres par établissement relativement larges, à un numérique « serviciel » où le ministère peut bien plus facilement pousser ses préconisations du haut vers le bas et où les enseignants se voient enjoints à utiliser telle ou telle application. Quant au numérique « matériel » ? On voit la multiplication des « TNI » (tableaux blancs interactifs), des plans « 1 élève, 1 tablette », etc. Mais là encore, la puissance de Google, Apple et bien entendu Microsoft ne laissera aucune chance aux initiatives locales et libres, comme le projet TabulEdu6 par exemple.

L’épuisement

À cette époque (2010/2015), Framasoft est une des associations (avec l’April6, l’AFUL7, AbulEdu, Scidéralle et d’autres) qui militent activement pour que le logiciel libre et ses valeurs ne soient pas un impensé dans les pratiques numériques éducatives.

Nous rencontrons à de nombreuses reprises des conseillers, des fonctionnaires, des élus, des chefs d’établissements, et même des secrétaires d’État et des minitres. Nous leur présentons, avec autant d’objectivité que possible, quels sont les avantages, mais aussi les inconvénients du logiciel libre, notamment dans ses processus de développements, souvent éloignés du modèle capitalistique dominant.

Mais, peu à peu, les portes comme les oreilles se ferment. Ce qui compte, ce sont les usages, et uniquement les usages. Peu importe les conséquences d’une dépendance à tel ou tel acteur, tant que le logiciel fait le boulot. L’Éducation nationale veut acheter du logiciel comme on achète des petits pois : sur étagère. Oh évidemment, les enseignants sont invités à « donner leur avis », à « faire remonter leurs besoins », à « co-construire » le logiciel. Mais attention, ces échanges doivent se faire chez l’éditeur. Car il s’agit bien pour ce dernier de profiter de ces retours d’expériences et de l’expertise des enseignants pour améliorer ce qui n’est rien d’autre qu’un produit : le logiciel, leur logiciel. Microsoft a des moyens plus que conséquents. En 2016, Microsoft était la troisième capitalisation boursière mondiale (425 milliards de dollars), derrière… Alphabet/Google (556 Mds$ ) et Apple (582 Mds$ ). En conséquence, on nous demandait, à nous, représentants du milieu du libre, porteurs de valeurs, d’idées, mais aussi de code logiciel de qualité (tels ceux de Firefox, de LibreOffice, de GNU/Linux et de milliers d’autres) de lutter à armes soi-disant égales contre les trois plus grosses entreprises mondiales, aux moyens quasi illimités. Comment lutter pied à pied avec une entreprise qui, du jour au lendemain, peut inviter – tous frais payés – des centaines de personnels de l’éducation de nombreux pays dans un hôtel luxueux en Thaïlande8
, quand nous peinions déjà, en tant qu’association, à payer la facture de notre hébergement web de quelques dizaines d’euros mensuels ? Comment paraître crédible quand Microsoft pouvait inviter des « enseignants innovants »10 dans ses gigantesques locaux d’Issy-les-Moulineaux11 (pardon, son « Campus équipé de Showrooms et de classes immersives »), alors que le local de Framasoft se limitait à 6m² dans un quartier populaire de Lyon ? (rassurez-vous, depuis nous avons multiplié par 3 la surface de nos bureaux.)

Bref, les pas en arrière furent pendant ces années-là bien plus nombreux que les pas en avant.

Progression du libre dans l’Éducation nationale — Allégorie

Mais nous ne désespérions pas. Nous pensions pouvoir de nouveau trouver des interlocuteurs avec qui échanger. Nous estimions nos requêtes raisonnables : 1) faire une place suffisante au logiciel libre à l’école ; 2) libérer quelques heures de formations aux enseignants aux questions de licences (que ça soit pour les logiciels, mais aussi pour leurs productions pédagogiques et les ressources qu’ils pourraient trouver en ligne) ; 3) comprendre et accepter quels étaient les modes du développement d’un logiciel libre (basé sur la contribution des acteurs, et non sur l’acquisition des consommateurs).

Cependant, les institutions françaises étant ce qu’elles sont, nos interlocuteurs disparaissaient d’une année sur l’autre, suite à une élection, une mutation, une mise en retraite, ou au placard. Et la société française, elle, rentrait peu à peu dans l’ère de la start-up nation, de l’ubérisation. En conséquence, nous entendions de plus en plus souvent la petite musique « Le numérique à l’école est un marché, et le logiciel libre est bien utile pour mettre en tension ce marché ». « Mettre en tension », tout est là. Le principal intérêt du logiciel libre n’est plus de donner du pouvoir pédagogique aux enseignants, il n’est plus de pouvoir adapter les logiciels aux besoins spécifiques des élèves, il n’est plus de faciliter l’émancipation par la capacitation, il n’est plus de proposer une force de résistance à la marchandisation de l’école… Il devient juste une variable d’ajustement permettant de négocier à la baisse les prix des logiciels de Microsoft & co. Nous, considérés comme des hippies du numérique, étions devenus un épouvantail qu’on agitait sous le nez d’entreprises multi-milliardaires, leur suggérant : « Si vous ne baissez pas vos prix, on va peut-être préférer du logiciel libre ! ».

L’agacement et la frustration laissèrent peu à peu place à la fatigue, puis à l’épuisement.

La rupture

Cette emprise des géants du numérique sur l’éducation se traduira concrètement, politiquement, en 2015 lorsque la ministre de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche Najat Vallaud Belkacem signera un partenariat avec Microsoft. Pour comprendre en quoi ce partenariat est un camouflet envers les acteurs du Libre, nous pouvons ici simplement citer le communiqué de presse de Microsoft12 :

« 13 millions d’euros seront ainsi investis par Microsoft pour le développement du numérique éducatif : l’accompagnement des enseignants et des cadres de l’éducation, la mise à disposition de plateformes collaboratives, ainsi que l’apprentissage du code informatique. Cette signature s’inscrit dans le prolongement de la visite à Paris de Satya Nadella, CEO de Microsoft, le 9 novembre dernier, et de sa rencontre avec le président de la République, François Hollande. »

Trois choses me semblent importantes ici.

D’abord, il s’agit d’un partenariat décidé au plus haut niveau de l’État. Le patron de la troisième entreprise mondiale rencontre le patron – pardon le président – de la cinquième puissance mondiale, et ils décident de signer un contrat – pardon, un partenariat – concernant plus de dix millions d’élèves. Les raisons pédagogiques présidant au choix de cette entreprise sont-elles rendues publiques ? Non. Y a-t-il eu consultation des enseignants et de la société civile ? Non plus. Difficile à prouver tant la manœuvre fut opaque, mais cela avait le goût amer d’une action de lobbying fort bien orchestrée.

Ensuite, ce partenariat fut signé juste après la grande consultation nationale pour le projet de loi Pour une République Numérique13 porté par la ministre Axelle Lemaire. Cette consultation avait fait ressortir un véritable plébiscite en faveur du logiciel libre dans les administrations publiques et des amendements ont été discutés dans ce sens, même si le Sénat a finalement enterré l’idée. Il n’en demeure pas moins que les défenseurs du logiciel libre ont cru déceler chez nombre d’élus une oreille attentive, surtout du point de vue de la souveraineté numérique. Pourtant, la ministre Najat Vallaud Belkacem a finalement décidé de montrer à quel point l’Éducation nationale ne saurait être réceptive à l’usage des logiciels libre en signant ce partenariat, qui constituait, selon l’analyse par l’April des termes de l’accord, une « mise sous tutelle de l’informatique à l’école » par Microsoft.

Enfin, notez bien qui investit. Est-ce l’État qui achète pour 13 millions d’euros de produits Microsoft ? Non. C’est bien Microsoft, entreprise privée étatsunienne, qui investit 13 millions d’euros dans l’institution publique qui devrait être l’objet du plus de protection : l’Éducation nationale. Nike aurait-il offert pour 13 millions d’euros de paires de chaussures pour les cours de sport ou McDonald’s aurait-il offert pour 13 millions d’euros de burgers pour les cantines, je doute que la ministre s’en serait vantée. Mais comme il ne s’agit « que » de logiciels, tout va bien, il ne s’agit absolument pas d’un pas de géant dans la marchandisation de l’école. Nous avons l’esprit mal placé. Nous voyons le mal partout.

Mais nous ne sommes pas aveugles, et le départ de Mathieu Jandron, nommé en septembre 2015 au plus haut poste « numérique » du Ministère et principal architecte de ce partenariat, ne nous échappera pas : il partira en 2018 travailler chez une autre entreprise du secteur privé, Amazon14.

Les « Revolving doors » : mécanisme décrivant une rotation de personnel entre un rôle de législateur et régulateur, et un poste dans l’industrie affecté par ces mêmes législation et régulation (donc avec suspicion de conflit d’intérêt).,
Source : Grandvgartam, CC BY-SA 3.0, via Wikimedia Commons

 

Au sein de Framasoft, nous sommes atterrés. Et en colère.

Nous écrivons alors un billet intitulé « Pourquoi Framasoft n’ira plus prendre le thé au ministère de l’Éducation nationale »15.

Rédigé principalement par Christophe Masutti, alors co-président de l’association, nous y rappelions notre positionnement à la fois philosophique et politique :

« Une technologie n’est pas neutre, et encore moins celui ou celle qui fait des choix technologiques. Contrairement à l’affirmation de la ministre de l’Éducation Mme Najat Vallaud-Belkacem, une institution publique ne peut pas être “neutre technologiquement”, ou alors elle assume son incompétence technique (ce qui serait grave). En fait, la position de la ministre est un sophisme déjà bien ancien ; c’est celui du Gorgias de Platon qui explique que la rhétorique étant une technique, il n’y en a pas de bon ou de mauvais usage, elle ne serait qu’un moyen. Or, lui oppose Socrate, aucune technique n’est neutre : le principe d’efficacité suppose déjà d’opérer des choix, y compris économiques, pour utiliser une technique plutôt qu’une autre ; la possession d’une technique est déjà en soi une position de pouvoir ; enfin, rappelons l’analyse qu’en faisait Jacques Ellul : la technique est un système autonome qui impose des usages à l’homme qui en retour en devient dépendant. Même s’il est consternant de rappeler de tels fondamentaux à ceux qui nous gouvernent, tout choix technologique suppose donc une forme d’aliénation. En matière de logiciels, censés servir de supports dans l’Éducation nationale pour la diffusion et la production de connaissances pour les enfants, il est donc plus qu’évident que choisir un système plutôt qu’un autre relève d’une stratégie réfléchie et partisane. »

Nous faisions par ailleurs dans cet article une chronologie des interactions entre l’Éducation nationale et le libre plus détaillée que dans le présent texte. Mais sa raison d’être, en dehors d’y exprimer notre colère, était surtout d’annoncer une rupture stratégique dans nos modalités d’actions (un « pivot » aurait-on dit dans la startup nation). Cette rupture se traduisait notamment non seulement par notre volonté de ne plus être dans une démarche active vis-à-vis du ministère (c’est-à-dire de ne plus les interpeller, ni les solliciter du tout), mais aussi en mettant une condition claire à toute discussion que l’institution souhaiterait engager avec nous : à chaque fois qu’un membre de l’institution relativement haut placé (ministère, rectorat, académie, Canopée, etc.) souhaiterait avoir notre avis, notre expertise, ou une intervention de notre part, nous demandions au préalable une prise de position écrite et publique que cet avis, cette expertise, ou cette intervention valait comme volonté de l’institution en question de reconnaître les valeurs portées par le mouvement du logiciel libre (partage, entraide, transparence, co-construction, contribution, etc.). Par ce mécanisme, nous évitions de perdre notre temps, notre énergie, et l’argent de nos donateurs (l’association Framasoft n’étant financée que par les dons, essentiellement de particuliers, et ne percevant aucune subvention).

Dit autrement, nous avons fait sécession, rompu le lien de soumission qui nous liait à l’Éducation nationale, et pris une autre voie, celle de l’éducation populaire.

La sécession

Pendant les années qui suivirent, ce mécanisme fut plutôt efficace. Lorsque nous recevions une sollicitation, nous répondions : « Votre institution est-elle prête, publiquement, à reconnaître les valeurs portées par le mouvement du logiciel libre ? ». La réponse, lorsqu’il y en avait une, était généralement « Non ». Cela réglait le problème pour nous. Inutile de perdre de l’énergie pour servir de caution. Nous renvoyions alors nos interlocuteurs vers des associations de plaidoyers – ce que n’a jamais été Framasoft – telles que l’April ou l’Aful, et nous retournions vaquer à nos occupations.

Car fin 2014, Framasoft avait lancé une campagne intitulée « Dégooglisons Internet »16 qui visait trois objectifs : 1) sensibiliser le plus large public aux dominations techniques, économiques et culturelles des GAFAM ; 2) démontrer que le logiciel libre proposait des solutions efficaces et actionnables à moindre coût et 3) essaimer notre démarche de décentralisation d’internet, afin de ne pas transformer Framasoft en « Google du libre ».

Cette campagne fut un formidable succès. Entre 2015 et 2018, l’association a donné des centaines de conférences et d’interviews alertant sur la toxicité des GAFAM. Elle proposait 30 services libres, éthiques, décentralisés et solidaires (soit quasiment la mise en service d’une plateforme par mois, pendant trois ans !), et impulsait la création d’un collectif nommé CHATONS17 (Collectif des hébergeurs alternatifs transparent ouverts neutres et solidaires) regroupant aujourd’hui plus de 70 structures reprenant la démarche de Framasoft.

Les différents services mis en œuvre accueillaient plus de 500 000 personnes par mois, dont un très grand nombre d’enseignants et d’élèves. Sans aucun soutien de l’administration. Le tout pour un coût dérisoire- : moins de 700 000€ investis sur 3 ans, soit un coût inférieur à celui de la construction d’un seul gymnase scolaire.

Le confinement

Retour au temps présent. Le ministre de l’Éducation nationale, Jean-Michel Blanquer, annonce d’abord le 12 mars que la fermeture des écoles dans le cadre de la pandémie COVID-19 « n’a jamais été envisagée »18. Le 13 mars – le lendemain, donc – le même ministre annonce la fermeture des écoles19, en affirmant que le dispositif « Ma classe à la maison » est prêt et permettra à près d’un million d’enseignants qui n’ont jamais été préparés à cela d’assurer une « continuité pédagogique ». Il affirme aussi «  Je veux qu’aucun élève ne reste sur le bord du chemin.  »

LOL. À peine deux semaines plus tard, le ministre lui-même reconnaît avoir « perdu le contact » avec 5 à 8 % des élèves20. Sur 12 352 000 écoliers, collégiens ou lycéens, cela fait quand même entre 600 000 et un million d’élèves « perdus ». Une broutille.

La raison principale en est la totale impréparation du ministère, qui dans une tradition bien française, a donné ses ordres à ses troupes, pensant sans doute comme le disait de Gaulle que « l’intendance suivra ». Ce ministère complètement hors-sol, avec des directives contredisant régulièrement celles de la veille ne comprend pas ce qui lui arrive. Pourtant, ils étaient en place, ces Espaces Numériques de Travail (et avaient coûté cher). Elles existaient bien, ces applications pédagogiques vendues par les « EdTech ». Alors ? Alors les enseignants n’étaient ni formés ni préparés ; les équipes et les infrastructures techniques étaient sous-dimensionnées. On n’envoie pas un million d’élèves un lundi matin sur un ENT prévu pour n’en accueillir que quelques milliers simultanément. Les élèves – comme les enseignants – étaient sous-équipés. Dans les foyers qui avaient la chance d’avoir un ordinateur et une connexion internet, il fallait bien partager cette machine non seulement entre frères et sœurs, mais aussi avec les parents sommés de télétravailler.

Élèves et profs tentant de rejoindre leur Espace Numérique de Travail pendant le confinement — allégorie
Source : Flickr CC BY-NC-SA

 

La conséquence, c’est que les enseignants les plus à l’aise se sont adaptés. Prenant même parfois conseils auprès des élèves, ils multiplient les groupes WhatsApp, les visio Zoom, les comptes sur Google Classrooms, les discussions sur Discord, etc. Ils s’auto-organisent hors des outils le plus souvent, hors des services proposés par leur propre institution. Comment leur en vouloir ? En tout cas, la position de Framasoft est claire : même si nous ne souhaitons évidemment pas promouvoir les outils des GAFAM, le bien-être psychologique des enfants dans cette forte période de stress passe avant tout. Le chaos dû à l’incurie de l’institution doit être compensé, par tous les moyens. Et si cela signifie échanger par Télégram plutôt que ne pas échanger du tout, eh bien tant pis. Même si cela nous fait mal au cœur, et pas qu’au cœur, de voir les services de GAFAM tant utilisés alors que le logiciel libre propose de véritables alternatives, nous nous refusons de nous ériger en moralisateurs et de rajouter de la culpabilité à la détresse. La santé avant le respect du RGPD.

Pour autant, des outils libres existent ! Notamment ceux proposés par Framasoft. Dès le 13 mars, nous voyons certains services pris d’assaut par des enseignants et leurs classes. Des milliers de Framapads (alternative à Google Docs) sont créés chaque jour ; nous ouvrons jusqu’à 20 000 visioconférences Framatalk en une semaine. Car l’information circule, les enseignants sensibilisés aux questions du RGPD, de la vie privée, ou de la toxicité des GAFAM se passent le mot : rendez-vous sur les services de Framasoft. Le ministère de l’Enseignement supérieur et de la Recherche enverra même une note officielle recommandant nos services à leurs personnels21.

 

Pendant les deux premières semaines de confinement, c’est la folie : nous mettons en pause tous nos projets, et la petite équipe de 9 salariés que nous sommes redirigent tous leurs efforts pour faire en sorte de pouvoir continuer à « faire du lien » entre personnes confinées (qu’il s’agisse de profs, d’élèves ou pas). Nous louons une demi-douzaine de serveurs supplémentaires, nous renforçons les services existants, nous en proposons de nouveaux, nous écrivons des guides de bonnes pratiques22, etc. Nous documentons publiquement notre quotidien dans une série d’articles de confinement, un carnet qui totalisera l’équivalent de plus de 200 pages au final23. Nous dormons peu. Et mal.

Mais rapidement et malgré nos efforts, nous voyons bien que la part du public scolaire dans la proportion de nos utilisateurs explose24. Si nous continuons ainsi, les élèves vont monopoliser nos services, les rendant indisponibles pour les syndicalistes, les associations, l’urgence sociale, les collectifs, les soignants. Nous nous réunissons (virtuellement) et prenons une décision inédite et radicale : nous faisons le choix, difficile pour nous, d’afficher le message suivant sur nos principaux services :

Nous demandons aux personnes relevant de l’Éducation nationale (profs, élèves, personnel administratif) de ne pas utiliser nos services durant le confinement et de demander conseil à leurs référent·es. Nous savons que le ministère de l’Éducation nationale a les moyens, les compétences et la visibilité pour créer les services en ligne nécessaires à son bon fonctionnement durant un confinement. Notre association loi 1901 ne peut pas compenser le manque de préparation et de volonté du ministère. Merci de réserver nos services aux personnes qui n’ont pas les moyens informatiques d’une institution nationale (individus, associations, petites entreprises et coopératives, collectifs, familles, etc.). Le formulaire ci-dessous vous permettra de créer un salon chez un hébergeur éthique aléatoire en qui nous avons confiance.

Suite à ce texte, nous recevons des messages via les médias sociaux ou par contacts privés. Alors que nous nous attendions à nous prendre des insultes, voire des cailloux, les enseignants nous… remercient ! Ils nous expliquent qu’évidemment, cela leur aurait mieux convenu d’utiliser nos services plutôt que ceux des CHATONS, vers qui nous les redirigeons, mais ils comprennent notre position, et soutiennent notre volonté de les appeler à interpeller leur hiérarchie. Évidemment, les tenants de la startup nation, eux, se serviront de notre décision pour décrédibiliser le libre, en disant en substance « Vous voyez : même la plus grosse association du libre francophone n’arrive pas à passer à l’échelle. C’est bien la preuve que seuls les GAFAM sont sérieux ». Bon, à part le fait que nous n’avons jamais eu pour but de « passer à l’échelle », cela ne fait que renforcer notre sentiment que leur façon de penser (basée sur le succès, la croissance, la réussite, le chiffre d’affaires, bref devenir et rester le « premier de cordée ») ne pourra jamais s’adapter à la nôtre qui ne vise ni à la gloire, ni à la pérennité, ni au fait de créer un mouvement de masse, et encore moins au succès financier.

Quelques remerciements de profs (ou pas) reçus pendant le confinement. <3

Ce message d’alerte aura peut-être eu aussi un effet inattendu et non mesurable pour le moment. Un projet interne à la direction du numérique éducatif, nommé « apps.education.fr »25 est rendu public par anticipation fin avril. Prévu initialement pour être annoncé fin 2020, ce projet de la direction du numérique éducatif vise à proposer plusieurs services en ligne (hébergement de blogs, vidéos, documents collaboratifs, etc), basés exclusivement sur du logiciel libre, réservés aux enseignants et élèves. C’est en quelque sorte le pendant de Framasoft, mais mis en place et géré par et pour l’Éducation nationale. Pour nous, c’est (enfin !) le premier signe concret et positif que nous voyons de la part de l’institution depuis des années. Nous y voyons, peut-être par manque d’humilité, le fait que notre discours, nos idées, et surtout notre volonté que les données des élèves soient gérées en interne et non par des tiers – qu’il s’agisse de Microsoft ou de Framasoft – ont peut-être fini par être entendues. L’avenir nous le dira.

Nous serons d’ailleurs contactés par les personnes gérant le service apps.education.fr peu après l’annonce de son lancement. Elles nous proposent de réaliser deux plugins qui permettraient une authentification plus facile des professeurs au sein du logiciel PeerTube, proposé sur plateforme. Nous en discutons au sein de l’association, car une prestation réalisée pour le compte d’un ministère dont nous critiquons une grande partie des décisions depuis plusieurs années pourrait nous mettre en porte-à-faux en délégitimant notre parole. D’autant plus que la DNE pourrait parfaitement solliciter n’importe quelle société informatique pour cette prestation puisque le code de PeerTube est libre et ouvert. Cependant, nous décidons de réaliser ces plugins, essentiellement parce que nous nous sentons en confiance et écoutés par l’équipe de apps.education.fr. Malgré l’urgence, les plugins seront livrés à temps et toutes les parties prenantes seront satisfaites. Ce plugin permet aujourd’hui à l’Éducation nationale d’héberger plus de 22 000 vidéos, sur une trentaine « d’instances PeerTube » (c’est-à-dire des sites web différents, hébergeant chacun le logiciel PeerTube et des vidéos associées)26. Ces instances sont par ailleurs fédérées entre elles. c’est-à-dire que depuis l’instance PeerTube de l’académie de Lyon (8 000 vidéos), il est parfaitement possible, sans changer de site web, de visionner les vidéos des instances de l’académie de Nancy-Metz (2 300 vidéos) ou celles de l’académie de Nantes (458 vidéos). Cette réalisation pourrait laisser penser à une forme de « partenariat public commun »27 mais nous sommes plus circonspects dans l’analyse : ce n’est pas parce que nous constatons un pas en avant dans la bonne direction que nous oublions toutes les bassesses et les dérobades de ces dernières années.

Pendant cette période, nous accompagnons aussi ponctuellement le collectif citoyen « Continuité pédagogique », créé dans l’urgence pour accompagner numériquement les enseignants. Le Framablog publiera leur première communication publique28 et nous leur apporterons avis et conseils. Ce collectif informel, créé spontanément lors de la pandémie, donnera naissance à l’association « Faire École Ensemble »29 qui facilite le soutien citoyen à la communauté éducative pendant l’épidémie de COVID-19.

En parallèle, Framasoft et d’autres membres du collectif CHATONS mettront en place un site web dédié30 permettant de choisir parmi plusieurs services web, indépendamment de l’hébergeur dudit service. Cela nous permettra de répartir la forte charge subie par Framasoft sur les épaules de nombreux « chatons », engagés eux aussi dans une démarche éthique de solidarité et de respect des données personnelles.

 

Site https://entraide.chatons.org.

L’À venir

« Et maintenant ? ». Eh bien maintenant, il serait sans doute bon de se poser la question des enjeux du numérique à l’école.

Pour l’instant, côté ministère, ces enjeux sont les mêmes marronniers depuis des années : il y a le sacro-saint enjeu des usages (qui utilise quels outils et comment ?), celui du rapport à l’écran (l’écran c’est bien mais pas trop), et celui des apports pédagogiques (est-ce que l’élève progresse plus ou moins vite avec telle ou telle application, ou sans ?). Misère ! Comment être plus à côté de la plaque ?

Les débats autour du numérique à l’école relèvent avant tout de la place de l’école dans la société.

Framasoft n’a rien à vendre. Et ne cherche même plus à convaincre les institutions. Même si une proportion non négligeable des membres de l’association sont enseignants, nous ne nous prétendons pas experts en pédagogie. Cependant, cela ne nous empêche pas d’être une force d’interpellation, notamment sur les sujets du numérique. Cela, plutôt que de réitérer une liste de propositions comme nous l’avions déjà fait avec d’autres associations il y a plus de dix ans31, m’amène plutôt à poser quelques questions.

Plutôt que le rapport à l’écran, ne devrait-on pas interroger le rapport à la distance ?

Comment réinventer les liens entre enseignants et élèves, profs et enseignants, mais aussi entre élèves ? La posture de l’enseignant en ligne ne peut pas être la même qu’en classe « physique ». En ligne, les enfants ne sont pas un public captif, cela a ses avantages, mais aussi ses inconvénients. La place des parents, bien plus présents dans cette école hors des murs, bouscule aussi les habitudes des uns et des autres. Les notions de groupes, mais aussi de présence ou d’absence vont ainsi devoir être ré-interrogées.

Un risque que l’on peut déjà identifier est de vouloir inclure dans les outils numériques des dispositifs de surveillance bien trop poussés. Comme tout mécanisme de contrôle, ces traqueurs seront au départ proposés comme facilitant la vie de l’enseignant ou de l’élève (« Camille Dupuis-Morizeau ne s’est pas connectée depuis 4 jours, voulez-vous lui envoyer un rappel automatique ? »), ou des outils de remédiation (par exemple lorsque qu’un élève commet une erreur lors de la réalisation d’un exercice en ligne, et que l’application lui propose des pistes pour corriger son erreur et aboutir à la « bonne » solution). Mais, malgré tous les avantages qu’on peut y voir, c’est probablement ouvrir une boite de Pandore. En effet, une fois mis en place, non seulement le retour en arrière sera très compliqué, mais les risques de surenchère seront inévitables, à coup de prétendue « intelligence artificielle » ou d’algorithmes étudiant de façon détaillée les comportements des utilisateurs de ces plateformes afin de conseiller en permanence des corrections pédagogiques, mais aussi comportementales.

Comme le démontre Christophe Masutti dans son ouvrage Affaires Privées : Aux sources du capitalisme de surveillance32, la surveillance est un corrélat social. Là où cela peut poser problème, c’est lorsqu’on finit par ne plus penser nos relations sociales autrement que par l’automatisation et la technicisation de la surveillance.

« Affaires privées. Aux sources du capitalisme de surveillance, par Christophe Masutti», paru chez C&F éditions. Plus d’informations ici : https://cfeditions.com/masutti/

Qui définira les limites éthiques du périmètre souhaitable de ces mesures ? En amont – c’est-à-dire avant que ces technologies de surveillance ne soient intégrées dans les plateformes éducatives – et non pas en aval. Car aujourd’hui, l’un des principaux arguments des EdTech33 est bien de faciliter le travail de l’enseignant en automatisant cette surveillance. Certes cela donne de beaux graphiques, de jolies courbes, des niveaux d’alerte ou d’attention pour tel ou tel élève. Sauf que rares sont les pédagogues qui comprennent comment fonctionnent ces algorithmes, ou par qui et comment ils sont écrits, ni quels sont les bénéfices que l’entreprise qui les a réalisés escompte. S’ils le savaient, je doute qu’ils regarderaient ces applications avec autant d’appétence.

Cela m’amène à une seconde question.

Le numérique étant, qu’on le veuille ou non, omniprésent : quelle place veut-on donner à l’éducation aux médias et à la littératie numérique ?

La littératie numérique peut se définir comme « la capacité d’un individu à participer à une société qui utilise les technologies de communications numériques dans tous ses domaines d’activité » (Wikipédia34). Cela inclut de nombreuses composantes : la littératie informatique (notamment le rapport à l’ordinateur, qu’il soit de bureau ou de poche), la littératie technologique (posant plutôt le rapport aux enjeux entre technologies et individus ou sociétés), la littératie informationnelle (notamment notre capacité à avoir une analyse critique de la masse d’informations reçue chaque jour, ainsi que notre capacité à chercher – et trouver – l’information pertinente), la littératie communicationnelle (notre capacité à écrire et publier pour un public), etc.

Or, s’il y a bien une chose qu’a pu démontrer la crise de la COVID-19, c’est bien que cette littératie était loin d’être un acquis. Non seulement pour les élèves, qu’on présentait souvent comme des digital natives alors qu’il n’en était rien, mais aussi – et surtout – pour les enseignants.

Alors certes, nous avons bien compris que l’Éducation nationale était en mutation, suite à la pandémie. Notamment Canopée dont le métier historique d’éditeur devient de plus en plus celui de formateur. Mais dans l’ensemble, nous voyons surtout des éléments qui nous donnent à penser que ces formations se feront encore principalement sur des « outils », y compris les outils Framasoft, d’ailleurs. Or, c’est voir le problème par le mauvais bout de la lorgnette. Pour reprendre la métaphore du proverbe bien connu, cela revient certes à donner un poisson aux enseignants formés à tel ou tel outil, et après tout pourquoi pas. Mais ça n’est sûrement pas leur apprendre à pêcher. Tant que les formations au numérique se focaliseront davantage sur les outils, les pratiques, les usages, que sur l’éducation aux technologies en général, et aux médias en particulier, les capacités de littératie numérique stagneront.

Or, il ne s’agit pas d’un impensé au niveau du ministère – du moins je ne le pense pas – mais bien d’une volonté politique. Former aux outils permet de garder le contrôle du public (entre autres parce que ces outils n’ont de cesse d’évoluer, rendant le public dépendant aux formations elles-mêmes). Partager et diffuser ces savoirs auprès des enseignants les rendraient beaucoup, beaucoup, plus autonomes dans leurs pratiques, ce qui poserait de nombreux problèmes non seulement aux lobbyistes des GAFAM, mais aussi à l’institution qui devrait lâcher prise sur la question de la ligne de conduite à tenir sur les enjeux et l’apport des technologies dans notre société.

Cela m’amène à une troisième question.

Quelle est la position du monde enseignant sur la question de la technologie ?

Les outils sont-ils neutres, comme le disait le Gorgias de Platon ? Ou, au contraire, comme Socrate (et Framasoft) reconnaît-on que les technologies générant par nature pouvoir et aliénation, il convient de penser leur place à l’école ? D’autant plus quand elles deviennent aujourd’hui une soi-disant « compétence à acquérir ».

La réponse à cette question n’est pas sans conséquence. Si les enseignants pensent que les outils sont neutres, alors au final seul compte le fait d’acquérir tel savoir, telle compétence ou telle maîtrise de cet outil. Il reste bien sûr une marge de manœuvre pédagogique, et heureusement, mais la réflexion est limitée : j’utilise l’outil parce qu’il me permet d’améliorer la situation dans laquelle je n’ai pas l’outil. Si par contre, le monde éducatif reconnaît le caractère ambivalent des outils (toute technologie est un pharmakon35, c’est-à-dire à la fois remède, poison et bouc-émissaire, disait le philosophe Bernard Stiegler, décédé cet été), alors on ne peut pas uniquement travailler l’aspect positif/remède de ces derniers. Il faut impérativement se poser la question de leurs effets négatifs/poisons, ainsi que la dimension exutoire qu’ils portent en eux.

Or, force est de constater que si ces aspects, qui ne relèvent pas de la vision d’un « solutionnisme technologique », sont parfois abordés dans le débat public – le plus souvent portés par la société civile – cela est rarement le cas au cours de la formation des enseignants, et encore moins face aux élèves. À l’exception des réseaux sociaux, présentés avant tout comme un lieu de désinformation ou de danger (ce qui peut effectivement être le cas), les logiciels, applications, ou technologies numériques ne sont souvent présentées que comme un moyen d’étendre un champ d’action individuel ou collectif, mais rarement comme un instrument à double tranchant.

Pourtant, même rapidement formés à cette question, je pense que les enseignants parviendraient rapidement à identifier les valeurs du logiciel libre – « liberté, égalité, fraternité » – et à les mettre en regard de celles des logiciels dits privateurs : aliénation, discrimination, marchandisation.

J’en viens donc à une quatrième question.

L’école doit-elle rester un espace sanctuarisé vis-à-vis de la marchandisation ?

Si oui, comment accepter et justifier l’emprise de certaines entreprises du numérique dont les logos se retrouvent sur chaque machine, et dont la manipulation des produits (les fameux « usages et pratiques ») sont ni plus ni moins qu’enseignés et imposés à des millions d’élèves chaque année ?

Cela n’est d’ailleurs pas sans poser la question des inégalités face au numérique. Pendant le confinement, seules les personnes (profs, élèves ou parents) qui disposaient à la fois d’une connexion internet, de matériels adéquats, des savoirs nécessaires, et de conditions adaptées (par exemple une chambre ou un bureau au calme) ont réellement pu expérimenter ce qu’était « l’école confinée ».

Cela me conduit à une dernière question, récurrente et qui peut sonner triviale, mais qui demeure la plus importante à mon sens :

L’école doit-elle accompagner les élèves à faire société ? Ou doit-elle exclusivement les préparer à un emploi ?

Le rôle de l’école semble bien d’être, au moins sur le papier, de former des citoyens éclairés, critiques et créatifs36.

Cependant, comme l’indique Nico Hirtt dans son ouvrage L’école prostituée : L’offensive des entreprises sur l’enseignement37, le numérique à l’école peut alors servir de cheval de Troie afin de faciliter l’introduction de concepts néo-libéraux tels que « l’employabilité ».

Vouloir familiariser les élèves aux nouveaux supports numériques, favoriser l’éducation à distance sont des objectifs tout à fait légitimes, ce sont les conditions dans lesquelles ces transformations s’effectuent qui sont contestables. En s’alliant avec le privé, l’État permet aux industriels de contribuer aux décisions dans le domaine des programmes interactifs (introduire des marques…), d’intervenir dans la gestion des écoles (promouvoir la sélection), de favoriser des enseignements discriminatifs (reconnaissance de diplômes en ligne payants, services éducatifs payants, etc.). L’État, en réduisant ses impératifs éducatifs aux impératifs du marché du travail et notamment technologique, risque ainsi de provoquer une dévalorisation de la connaissance et l’ exacerbation d’une école à deux vitesses. 38

Il semblerait bien qu’on ne puisse avoir ni de société libérée, ni d’école délivrée, sans logiciel libre.

Je demeure en tout cas persuadé que ce n’est qu’en répondant à des questions de ce type, et surtout en affirmant publiquement et collectivement la place de l’école dans la société, que nous pourrons apprendre à articuler l’école et le numérique, et que l’institution pourra se dépêtrer d’une vision « solutionniste » ne servant que des intérêts privés et non l’intérêt général.

 

 

Pierre-Yves Gosset, co-directeur et délégué général de l’association Framasoft (texte sous licence Creative Commons BY39)

Image d’illustration : école Arménienne équipée d’ordinateurs du projet (libre) One Laptop Per Child

 

Télécharger ce texte au format PDF

 


1 – Il est à noter que la partie « TICE et Français » de Framanet donnera pour sa part naissance au site weblettres.net, actuellement l’un des principaux portails de l’enseignement des lettres en France.

2 – Le SCÉRÉN (Services Culture, Éditions, Ressources pour l’Éducation Nationale) est le réseau national composé du Centre national de documentation pédagogique (CNDP), des 31 Centres régionaux de documentation pédagogique et de leurs centres départementaux et locaux. Son pôle « logiciels libres », coordonné par Jean-Pierre Archambault, fut créé en 2002. Il disparaîtra autour de 2014, lorsque le SCÉRÉN se « modernisera » et deviendra le réseau Canopée.

3https://abuledu-fr.org

4https://www.sesamath.net/

5http://scideralle.org/

6https://www.ryxeo.com/les-tablettes-tabuledu/

7https://april.org

8https://aful.org

9 – Le « Microsoft Innovative Teacher Awards de 2008 » par exemple a eu lieu à Bangkok

https://web.archive.org/web/20121203043808/http://www.schoolnet.org.za/itf/2008_ITA_Flier.pdf.

Officiellement, 5 enseignants français étaient invités. (voir : https://framablog.org/2008/02/19/forum-des-enseignants-innovants-suite-et-fin/). Ce genre d’événements est organisé régulièrement depuis des décennies par Microsoft, qui se construit ainsi un réseau de soutiens. Même si rien n’est contractualisé, les participants à de telles rencontres sont « en dette » auprès de l’entreprise qui les a invitée. C’est la logique profonde du « don et contre-don » qui cimente les partenariats.

10 – https://framablog.org/2008/02/18/forum-enseignants-innovants-microsoft-partenaire/.

11https://framablog.org/2014/09/30/microsoft-education-logiciel-libre-video/.

12https://news.microsoft.com/fr-fr/2015/11/30/numerique-a-l-ecole-microsoft-france-renforce-son-partenariat-avec-le-ministere-de-l-education-nationale/.

13https://fr.wikipedia.org/wiki/Loi_pour_une_R%C3%A9publique_num%C3%A9rique.

14 – http://www.cafepedagogique.net/lexpresso/Pages/2018/04/05042018Article636585093683659445.aspx.

15 – https://framablog.org/2016/11/25/pourquoi-framasoft-nira-plus-prendre-le-the-au-ministere-de-leducation-nationale/#fn4.

16 – https://degooglisons-internet.org.

17 – https://chatons.org.

18 – https://www.francetvinfo.fr/sante/maladie/coronavirus/coronavirus-la-fermeture-totale-de-toutes-les-ecoles-jamais-envisagee-assure-le-ministre-de-l-education_3862803.html.

19 – https://www.franceinter.fr/emissions/l-invite-de-7h50/l-invite-de-7h50-13-mars-2020.

20 – https://www.rtl.fr/actu/debats-societe/coronavirus-l-education-nationale-a-perdu-le-contact-avec-5-a-8-des-eleves-dit-blanquer-7800338180.

21 – Dans le « ¨lan de continuité pédagogique », on peut lire : « Parmi les actions possibles : […] Travail collaboratif en ligne : par exemple, solutions libres de type https://framasoft.org/ ou

cloud (ex : OneDrive ou Google Drive) qui permettent de travailler en groupe à distance pour une création d’un texte/dissertation/présentation collaborative. ». (http://people.irisa.fr/Martin.Quinson/Fiches-PlanContinuite%CC%81Pe%CC%81dagogique.pdf). Une assertion devenue quelques semaines plus tard suite aux protestations de Framasoft : « Du côté des logiciels libres l’association Framasoft propose de nombreux services dont la plupart sont malheureusement victimes de leurs succès mais propose presque toujours des liens vers des solutions alternatives portées par des hébergeurs éthiques comme l’association Chatons (https://chatons.org/). » (https://services.dgesip.fr/fichiers/PlanContinuitePedagogiqueDGESIP_19052020.pdf)

22 – https://framasoft.frama.io/teletravail/.

23 – https://framablog.org/tag/log/.

24 – Dans le thread Twitter du 21 mars 2020, j’expliquais : « Le truc, c’est qu’avec le coronavirus, on est passé du jour au lendemain de 100 paniers/j à 140. Ca pique déjà, pour nous. Mais on a vu les profs se retourner vers nous en disant « Vous pouvez nous fournir 1800 paniers /j ? ». La réponse est « non ». A titre perso, je paie des impôts pour que le MEN fournisse des pratiques, des lieux, du matériel ET des services aux enseignants et aux élèves. A part envoyer mes collègues au burnout, ça n’a aucun sens d’accueillir les enseignant⋅es en ce moment. On ne pourra pas fournir. » https://twitter.com/pyg/status/1241410351436005377.

25 – https://apps.education.fr.

26 – Pour mettre à jour ce calcul, aller sur https://instances.joinpeertube.org/instances et dans le champ de recherche, filtrer avec les mots clés « education » ou « ac- ».

27 – https://politiquesdescommuns.cc/outils/partenariat-public-communs.

28 – https://framablog.org/2020/03/18/une-mobilisation-citoyenne-pour-la-continuite-pedagogique/.

29 – https://faire-ecole.org/.

30 – https://entraide.chatons.org.

31 – http://scideralle.org/spip.php?page=article&id_article=597.

32 – https://cfeditions.com/masutti/.

33 – https://fr.wikipedia.org/wiki/Technologies_de_l’%C3%A9ducation. Il est intéressant de noter qu’en France, la « EdTech » représente clairement le secteur marchand des technologies de l’éducation, notamment les start-up de ce domaine, alors que dans d’autres pays les EdTech regroupent plutôt un champ disciplinaire visant à rapprocher apprenants, enseignants, et nouvelles technologies. Ce champ est, en France, identifié sous l’acronyme « TICE » (Technologies de l’Information et de la Communication appliquées à l’Éducation).

34 – https://fr.wikipedia.org/wiki/Littératie_numérique.

35 – http://arsindustrialis.org/pharmakon.

36 – Lire notamment les précoccupations des signataires de « L’appel de la société civile francophone contre la marchandisation de l’école » : http://nevendezpasleducation.org/.

37 – https://www.laicite.be/publication/lecole-prostituee/.

38 – Zetlaoui Tiphaine. « L’école prostituée de Nico Hirtt », In: Quaderni, n°48, Automne 2002. Le risque : les choix technopolitiques.p. 127-130.

39 – https://creativecommons.org/licenses/by-sa/4.0/deed.fr.




Prédation de nos données de santé : SantéNathon ne lâche pas l’affaire

Les conséquences des stratégies économiques et technologiques d’un État peuvent parfois prendre des tournures très concrètes. En matière de données de santé des citoyens, beaucoup pouvaient penser que l’humanisme des professionnels de santé pouvait suffire pour protéger les données de santé des citoyens, dans le respect du secret médical. Mais la pression concurrentielle et l’éthique font rarement bon ménage.

En novembre 2019, nous avions confié les colonnes de ce blog au collectif Interhop qui promeut l’usage des logiciels libres et de l’open source en santé. Il fait partie du collectif SantéNathon qui a lancé une démarche de recours à l’encontre du projet très discuté du Health Data Hub, une plateforme nationale de données de santé dont l’opérateur choisi par les autorités est l’entreprise Microsoft. À l’heure où le Privacy Shield est tombé, à l’heure du RGPD, à l’heure où la « souveraineté numérique » n’est plus seulement un sujet stratégique mais aussi sécuritaire, nous confions de nouveau ces colonnes pour un point d’étape sur les enjeux et les actions en cours.


Plateforme Nationale des Données de Santé

À l’occasion d’une audience prévue au Conseil d’État ce 08 octobre 2020, cette petite vidéo a été tournée devant les locaux d’une entreprise bien connue.

Le Health Data Hub Centralise les données de santé chez Microsoft. Le collectif SantéNathon, issu du monde informatique et de la santé, s’oppose à la centralisation chez Microsoft Azure des données de santé de plus de 67 millions de personnes. Un recours déposé au Conseil d’État demande l’application de la décision de la plus haute juridiction européenne qui s’alarmait de l’accès sans limitation des services de renseignement américains aux données hébergées par les GAFAM.

La genèse du projet Health Data Hub

Tout commence en janvier 2016 avec la loi de modernisation du système de santé. Le Système national des données de santé (SNDS) est créé. Initialement il est limité aux données médico-administratives et met à disposition des données individuelles de santé issues de 3 bases de données :

  • Les données de la carte vitale,
  • Les données de la tarification des établissements de santé,
  • Les données statistiques relatives aux causes médicales de décès.

En juillet 2019, la loi élargit considérablement le SNDS et crée le Health Data Hub ou Plateforme des Données de Santé — PDS. La CNIL s’alarme du changement de paradigme engendré : « Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui vise à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ».

En plus du SNDS historique voici à titre d’exemples les bases qui doivent être hébergées au sein de la PDS :

  • la base OSCOUR : base de données relative aux passages aux urgences en France. Pour chaque patient admis aux urgences, elle recueille les éléments suivants : code postal de résidence, date de naissance, sexe, date et heure d’entrée et de sortie, durée de passage, mode d’entrée, provenance, mode de transport, classification de gravité, diagnostic principal et associés, mode de sortie, destination pour les patients mutés ou transférés.
  • le Registre France Greffe de Moelle : données permettant d’étudier le parcours de soin entre l’annonce du don et le don de Moëlle.
  • Base des 500 000 angioplasties : données permettant d’étudier l’impact des stents dans la vie réelle.
  • la cohorte I-Share : données permettant d’analyser la santé des étudiants.
  • SIVIC : données nationales de suivi de la prise en charge de patients hospitalisés COVID19 (depuis mars 2020).
  • STOIC : bases de données de scanners thoraciques issus de plusieurs centres ainsi que des données cliniques.
  • COVID TELE : formulaires d’orientation concernant la COVID19 issues d’application en santé et outils de télémédecine.

Cette liste est loin d’être exhaustive ; les données de cabinets de médecins généralistes, des hôpitaux, des laboratoires, d’imagerie doivent aussi remplir cette plateforme. Toutes ces bases seront centralisées et liées (on parle d’appariement) pour former le catalogue de données de la PDS.

Vives inquiétudes quant au choix de Microsoft Azure

Le 10 décembre 2019, l’alerte est lancée. Dans une tribune parue dans Le Monde, un collectif initié par des professionnels du secteur de santé et de l’informatique médicale s’inquiète. En effet, la PDS qui regroupe l’ensemble des données de santé de plus de 67 millions de personnes sera hébergée chez Microsoft Azure, le cloud du géant américain. Ces données constituent la part la plus sensible des données à caractère personnel car elles sont protégées par le secret médical.

Progressivement, ce collectif évolue. Il s’appelle maintenant SanteNathon.org. C’est une rencontre inédite de 18 personnes physiques et morales issues :

  • de l’industrie du logiciel libre :
    • Conseil National du Logiciel Libre (CNLL)
    • Ploss Auvergne-Rhône-Alpes
    • SoLibre
    • NEXEDI
  • des associations de patients et de volontaires :
    • Association Constances
    • Association les “Actupiennes”
    • Association Française des Hémophiles
    • Mme Marie Citrini, représentante des Usages des Hôpitaux de Paris
  • des associations de professionnels de santé :
    • Syndicat National des Jeunes Médecins Généralistes (SNJMG)
    • Syndicat de la Médecine Générale (SMG)
    • Union Française pour une Médecine Libre (UFML)
    • M. Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes).
  • d’ingénieurs :
    • l’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens (UFMICT-CGT)
    • l’Union Générale des Ingénieurs, Cadres et Techniciens (UGICT-CGT)
    • l’Association interHop
    • Monsieur Bernard Fallery, professeur émérite en systèmes d’information
  • d’organisations de la société civile :
    • L’Observatoire de la transparence dans les politiques du médicament
    • Le Syndicat National des Journalistes (SNJ)

Ce collectif dénonce le choix de Microsoft essentiellement à cause de l’absence d’appel d’offre et des effets de l’extraterritorialité du droit américain. En effet Microsoft est soumis au CLOUD Act qui permet aux autorités américaines de mettre la main sur des données détenues par des entreprises américaines même si les données sont hébergées dans l’Union Européenne.

Pire encore la Cour de Justice de l’Union Européenne a récemment révélé que les renseignements américains n’ont aucune limitation quant à l’utilisation des données des Européen⋅ne⋅s. En ce sens, elle a invalidé l’accord facilitant le transfert des données entre les USA et l’Union Européenne, le “Privacy Shield” ou « Bouclier de Protection des Données ».

Menacée directement par les conséquences de cette décision qui rend illicites tous les transferts de données en dehors des frontières de l’Union, Facebook fait pression sur l’Union Européenne. Elle menace de stopper ses services d’ici la fin de l’année.

Le bras de fer entre les États-Unis et l’Union Européenne est engagé. Nos données de santé ne doivent pas être prises en otage. Le collectif SantéNathon se bat pour une recherche garante du secret médical et protectrice de nos données.

Les actions initiées par le collectif SantéNathon

Un premier recours a été déposé le 28 mai 2020 devant le Conseil d’Etat. La juge concluait à plusieurs irrégularités dans le traitement des données sur la plateforme et des risques majeurs pour les droits et libertés fondamentales. Cependant, le Conseil d’État considérait, qu’au moment du jugement, la société Microsoft intégrait la liste des organisations ayant adhéré au « Bouclier de protection des données ». Le transfert des données était donc licite. Ce n’est plus le cas aujourd’hui !

Les parties requérantes ont donc déposé un nouveau référé liberté. Elles demandent par conséquent au Conseil d’État de prendre la mesure de l’invalidation du “Privacy Shield” et des risques en matière de respect de la vie privée. En ce sens, elles sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub.

Elles font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants.

Une audience au Conseil d’État est donc prévue le 8 octobre 2020…

— Collectif SantéNathon

 


Image d’en-tête : Luis Jiménez Aranda — La sala del hospital en la visita del médico en jefe (1889). Wikipédia.

 

 




Écran bleu de la… santé

Si vous pensiez que la crise du COVID était l’occasion d’une pause dans la déferlante des politiques de santé… disons, discutables… vous vous trompiez lourdement (et on vous invite à lire La stratégie du choc de Naomi Klein).

Aujourd’hui, notre gribouilleur Gee nous cause de la « Plateforme » (aussi nommée Health Data Hub), une nouvelle porte ouverte aux GAFAM sur nos données de santé…

Sources :

Crédit : Gee (Creative Commons By-Sa)




Hold-up sur les données de santé. Patients et soignants unissons-nous

L’Association Interhop.org est une initiative de professionnels de santé spécialisés dans l’usage et la gestion des données de santé, ainsi que la recherche en machine learning dans de multiples domaines médicaux. Aujourd’hui, en leur donnant la parole sur ce blog, nous publions à la fois une alerte et une présentation de leur initiative.

En effet, promouvant un usage éthique, solidaire et intelligent des données de santé, Interhop s’interroge au sujet du récent projet Health Data Hub annoncé par le gouvernement français pour le 1er décembre prochain. Devons-nous sacrifier le bon usage des données de santé sur l’autel de la « valorisation » et sous l’œil bienveillant de Microsoft ? Tout comme dans l’Éducation Nationale des milliers d’enseignants tentent chaque jour de ne pas laisser le cerveaux de nos enfants en proie au logiciels fermés et addictifs, il nous appartient à tous de ne pas laisser nos données de santé à la merci de la recherche de la rentabilité au mépris de l’éthique et de la science.

Hold-up sur les données de santé, patients et soignants unissons-nous

Par Interhop.org

La plateforme nationale des données de santé ou Health Data Hub, pour les plus américains d’entre nous, doit voir le jour d’ici la fin de l’année. Il s’agit d’un projet qui, selon le Ministère de la Santé, vise à « favoriser l’utilisation et multiplier les possibilités d’exploitation des données de santé » en créant notamment « une plateforme technologique de mise à disposition des données de santé ».

Or, à la lecture du rapport d’étude qui en détermine les contours, le projet n’est pas sans rappeler de mauvais souvenirs. Vous rappelez-vous, par exemple, du contexte conduisant à la création de la CNIL (Commission nationale de l’informatique et des libertés) en 1978 en France ? L’affaire a éclaté en mars 1974, dans les pages du journal Le Monde. Il s’agissait de la tentative plus ou moins contrecarrée du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) visant à créer une banque de données de tous les citoyens français en interconnectant les bases de plusieurs institutions grâce à un numéro unique d’identification du citoyen : le numéro de Sécurité Sociale.

Ce scandale n’était pourtant pas inédit, et il ne fut pas le dernier… À travers l’histoire, toutes les tentatives montrent que la centralisation des données correspond à la fois à un besoin de gouvernement et de rentabilité tout en entamant toujours un peu plus le respect de nos vies privées et la liberté. L’histoire de la CNIL est jalonnée d’exemples. Quant aux motifs, ils relèvent toujours d’une très mauvaise habitude, celle de (faire) croire que la centralisation d’un maximum d’informations permet de les valoriser au mieux, par la « magie » de l’informatique, et donc d’être source de « progrès » grâce aux « entreprises innovantes ».

Concernant le « Health Data Hub », il s’agit d’un point d’accès unique à l’ensemble du Système National des Données de Santé (SNDS) issu de la solidarité nationale (cabinets de médecins généralistes, pharmacies, hôpitaux, Dossier Médical Partagé, registres divers et variés…). L’évènement semble si important qu’il a même été annoncé par le Président Macron en mars 2018. Par ailleurs, il est important de pointer que le SNDS avait été épinglé pour l´obsolescence de son système de chiffrement en 2017 par la CNIL.

De plus, l’infrastructure technique du Health Data Hub est dépendante de Microsoft Azure. Et ce point à lui seul soulève de grandes problématiques d’ordre éthique et réglementaire.

Alors que le Règlement Général sur la Protection des Données (RGPD) protège les citoyens européens d’un envoi de leurs données en dehors du territoire européen, la loi Américaine (Cloud Act) permet de contraindre tout fournisseur de service américain à transférer aux autorités les données qu’il héberge, que celles-ci soient stockées aux États-Unis ou à l’étranger.

Entre les deux textes, lequel aura le dernier mot ?

Les citoyens et patients français sont donc soumis à un risque fort de rupture du secret professionnel. La symbolique est vertigineuse puisque l’on parle d’un reniement du millénaire serment d’Hippocrate.

Le risque sanitaire d’une telle démarche est énorme. Les patients acceptent de se faire soigner dans les hôpitaux français et ils ont confiance dans ce système. La perte de confiance est difficilement réparable et risque d’être désastreuse en terme de santé publique.

C’est sous couvert de l’expertise et du « progrès » que le pouvoir choisit le Health Data Hub, solution centralisatrice, alors même que des solutions fédérées peuvent d’ores et déjà mutualiser les données de santé des citoyens Français et permettre des recherches de pointe. Bien que les hôpitaux français et leurs chercheurs œuvrent dans les règles de l’art depuis des années, il apparaît subitement que les données de santé ne sauraient être mieux valorisées que sous l’égide d’un système central, rassemblant un maximum de données, surveillant les flux et dont la gestion ne saurait être mieux maîtrisée qu’avec l’aide d’un géant de l’informatique : Microsoft.

Il est à noter que d’une part, il n’a jamais été démontré que le développement d’un bon algorithme (méthode générale pour résoudre un type de problèmes) nécessite une grande quantité de données, et que d’autre part, on attend toujours les essais cliniques qui démontreraient les bénéfices d’une application sur la santé des patients.

Pour aller plus loin, le réseau d’éducation populaire Framasoft, créé en 2001 et consacré principalement au développement de logiciels libres, veut montrer qu’il est possible d’impacter le monde en faisant et en décentralisant. C’est cette voie qu’il faut suivre.

La loi pour une République numérique fournit un cadre légal parfait pour initier des collaborations et du partage. La diffusion libre du savoir s’inscrit totalement dans la mission de service publique des hôpitaux telle qu’imaginée il y a des décennies par le Conseil National de la Résistance, puis par Ambroise Croizat lors de la création de la Sécurité Sociale.

On ne s’étonne pas que le site Médiapart ait alerté le 22 novembre dernier sur les conditions de l’exploitation des données de santé. Il est rappelé à juste titre que si la CNIL s’inquiète ouvertement à ce sujet, c’est surtout quant à la finalité de l’exploitation des données. Or, la récente Loi Santé a fait disparaître le motif d’intérêt scientifique pour ne garder que celui de l’intérêt général…

Quant à la confidentialité des données, confier cette responsabilité à une entreprise américaine semble être une grande erreur tant la ré-identification d’une personne sur la base du recoupement de données médicales anonymisées est en réalité plutôt simple, comme le montre un article récent dans Nature.

Ainsi, aujourd’hui en France se développe toute une stratégie visant à valoriser les données publiques de santé, en permettant à des entreprises (non seulement des start-up du secteur médical, mais aussi des assureurs, par exemple) d’y avoir accès, dans la droite ligne d’une idéologie de la privatisation des communs. En plus, dans le cas de Microsoft, il s’agit de les héberger, et de conditionner les technologies employées. Quant aux promesses scientifiques, elles disparaissent derrière des boîtes noires d’algorithmes plus ou moins fiables ou, disons plutôt, derrière les discours qui sous le « noble » prétexte de guérir le cancer, cherchent en fait à lever des fonds.

Humour

Quelles sont les alternatives ?

Le monde médical et hospitalier est loin de plier entièrement sous le poids des injonctions.

Depuis plusieurs années, les hôpitaux s’organisent avec la création d’Entrepôts de Données de Santé (EDS). Ceux-ci visent à collecter l’ensemble des données des dossiers des patients pour promouvoir une recherche éthique en santé. Par exemple, le projet eHop a réussi à fédérer plusieurs hôpitaux de la Région Grand Ouest (Angers, Brest, Nantes, Poitiers, Rennes, Tours). Le partage en réseau au sein des hôpitaux est au cœur de ce projet.

Par aller plus loin dans le partage, les professionnels dans les hôpitaux français reprennent l’initiative de Framasoft et l’appliquent au domaine de la santé. Ils ont donc créé Interhop.org, association loi 1901 pour promouvoir l’interopérabilité et « le libre » en santé.

Pourquoi interopérer ?

L’interopérabilité des systèmes informatisés est le moteur du partage des connaissances et des compétences ainsi que le moyen de lutter contre l’emprisonnement technologique. En santé, l’interopérabilité est gage de la reproductibilité de la recherche, du partage et de la comparaison des pratiques pour une recherche performante et transparente.

L’interopérabilité est effective grâce aux standards ouverts d’échange définis pour la santé (OMOP et FHIR).

Pourquoi décentraliser ?

Comme dans le cas des logiciels libres, la décentralisation est non seulement une alternative mais aussi un gage d’efficacité dans le machine learning (ou « apprentissage automatique »), l’objectif visé étant de rendre la machine ou l’ordinateur capable d’apporter des solutions à des problèmes compliqués, par le traitement d’une quantité astronomique d’informations.

La décentralisation associée à l’apprentissage fédéré permet de promouvoir la recherche en santé en préservant, d’une part la confidentialité des données, d’autre part la sécurité de leur stockage. Cette technique permet de faire voyager les algorithmes dans chaque centre partenaire sans mobiliser les données. La décentralisation maintient localement les compétences (ingénieurs, soignants) nécessaires à la qualification des données de santé.

Pourquoi partager ?

La solidarité, le partage et l’entraide entre les différents acteurs d’Interhop.org sont les valeurs centrales de l’association. Au même titre qu’Internet est un bien commun, le savoir en informatique médical doit être disponible et accessible à tous. Interhop.org veut promouvoir la dimension éthique particulière que reflète l’ouverture de l’innovation dans le domaine médical et veut prendre des mesures actives pour empêcher la privatisation de la médecine.

Les membres d’Interhop.org s’engagent à partager librement plateforme technique d’analyse big data, algorithmes et logiciels produits par les membres. Les standards ouverts d’échange sont les moyens exclusifs par lesquels ils travaillent et exposent leurs travaux dans le milieu de la santé. Les centres hospitaliers au sein d’Interhop.org décident de se coordonner pour faciliter et agir en synergie.

Pourquoi soigner librement?

L’interconnexion entre le soin et la recherche est de plus en plus forte. Les technologies développées au sein des hôpitaux sont facilement disponibles pour le patient.

L’Association Interhop.org veut prévenir les risques de vassalisation aux géants du numériques en facilitant la recherche pour une santé toujours améliorée. L’expertise des centres hospitaliers sur leurs données, dans la compréhension des modèles et de l’utilisation des nouvelles technologies au chevet des patients, est très importante. Le tissu d’enseignants-chercheurs est majeur. Ainsi en promouvant le Libre, les membres d’Interhop.org s’engagent pour une santé innovante, locale, à faible coût et protectrice de l’intérêt général.

Les données de santé sont tout à la fois le bien accessible et propre à chaque patient et le patrimoine inaliénable et transparent de la collectivité. Il est important de garder la main sur les technologies employées. Cela passe par des solutions qui privilégient l’interopérabilité et le logiciel libre mais aussi le contrôle des contenus par les patients.

—-

Image d’en-tête : Hippocrate refusant les présents d’Artaxerxès, par Girodet, 1792 (Wikimedia).




Aujourd’hui, les licences suffisent-elles ?

Frank Karlitschek est un développeur de logiciel libre, un entrepreneur et un militant pour le respect de la vie privée. Il a fondé les projets Nextcloud et ownCloud et il est également impliqué dans plusieurs autres projets de logiciels libres.

Il a publié le Manifeste des données utilisateurs dont nous avons tout récemment publié une traduction et il présente régulièrement des conférences. Il a pris la peine de résumer l’une d’elles qui porte sur les limites des licences libres et open source dans l’environnement numérique d’aujourd’hui.

Source : Open source is more than licenses

Traduction Framalang : swifter, goofy, Julien / Sphinx, Damien , Tykayn, Fabrice, Côme

L’open source, c’est plus que des licences

par Frank Karlitschek

Photo par Nextcloud (CC BY 3.0 via Wikimedia Commons)

Il y a quelques semaines, j’ai eu l’honneur de prononcer une conférence introductive aux Open Source Awards d’Édimbourg. J’ai décidé d’aborder un sujet dont je voulais parler depuis un bon bout de temps sans en avoir eu l’occasion jusqu’alors. Ma conférence n’a pas été filmée mais plusieurs personnes m’ont demandé d’en faire une synthèse. J’ai donc décidé de prendre un peu de mon temps libre dans un avion pour en faire un résumé dans le billet qui suit.

J’ai commencé à utiliser des ordinateurs et à écrire des logiciels au début des années 80 quand j’avais 10 ans. C’est à la même l’époque que Richard Stallman a écrit les 4 libertés, lancé le projet GNU, fondé la FSF et créé la GPL. Son idée était que les utilisateurs et les développeurs devraient avoir le contrôle de leur propre ordinateur, ce qui nécessite des logiciels libres. À l’époque, l’expérience informatique se résumait à un ordinateur personnel devant vous et, avec un peu de chance, les logiciels libres et open source qui s’y trouvaient.

L’équation était :

(matériel personnel) + (logiciel libre)

= (liberté numérique)

Depuis, le monde de l’informatique a changé et beaucoup évolué. Nous avons à présent accès à Internet partout, nous avons des ordinateurs dans les voitures, les télévisions, les montres et tous les autres appareils de l’Internet des Objets. Nous sommes en pleine révolution du tout mobile. Nous avons le Cloud computing (le fameux « nuage ») où le stockage des données et la puissance informatique sont partagés entre plusieurs Data centers (centre de données) possédés et contrôlés par plusieurs groupes et organisations à travers le monde. Nous avons un système de brevets très fort, les DRM, la signature de code et autres outils de cryptographie, les logiciels devenus des services, du matériel propriétaire, des réseaux sociaux et la puissance de l’effet réseau.

Dans son ensemble, le monde a beaucoup changé depuis les années 80. La majorité de la communauté du logiciel libre et de l’open source continue de se concentrer sur les licences logicielles. Je me demande si nous ne perdons pas une vue d’ensemble en limitant le mouvement du logiciel libre et open source aux seules questions des licences.

Richard Stallman souhaitait contrôler son ordinateur. Voyons la situation sur quelques-unes des grandes questions actuelles sur le contrôle numérique :

Facebook

Ces derniers temps, Facebook est sous le feu de nombreuses critiques : que ce soit les innombrables atteintes à la vie privée des utilisateurs, l’implication dans le truquage d’élections, le déclenchement d’un génocide en Birmanie, l’affaiblissement de la démocratie et beaucoup d’autres faits. Voyons si le logiciel libre pourrait résoudre ce problème :

Si Facebook publiait demain son code comme un logiciel libre et open source, notre communauté serait aux anges. Nous avons gagné ! Mais cela résoudrait-il pour autant un seul de ces problèmes ? Je ne peux pas exécuter Facebook sur mon ordinateur car je n’ai pas une grappe de serveurs Facebook. Quand bien même j’y arriverais, je serais bien isolé en étant le seul utilisateur. Donc le logiciel libre est important et génial mais il ne fournit pas de liberté ni de contrôle aux utilisateurs dans le cas de Facebook. Il faut plus que des licences libres.

Microsoft

J’entends de nombreuses personnes de la communauté du logiciel libre et open source se faire les chantres d’un Microsoft qui serait désormais respectable. Microsoft a changé sous la direction de son dernier PDG et ce n’est plus l’Empire du Mal. Ils intègrent désormais un noyau Linux dans Windows 10 et fournissent de nombreux outils libres et open source dans leurs conteneurs Linux sur le cloud Azure. Je pense qu’il s’agit là d’un véritable pas dans la bonne direction mais leurs solutions cloud bénéficient toujours de l’emprise la plus importante pour un éditeur : Windows 10 n’est pas gratuit et ne vous laisse pas de liberté. En réalité, aucun modèle économique open source n’est présent chez eux. Ils ne font qu’utiliser Linux et l’open source. Donc le fait que davantage de logiciels de l’écosystème Microsoft soient disponibles sous des licences libres ne donne pas pour autant davantage de libertés aux utilisateurs.

L’apprentissage automatique

L’apprentissage automatique est une nouvelle technologie importante qui peut être utilisée pour beaucoup de choses, qui vont de la reconnaissance d’images à celle de la voix en passant par les voitures autonomes. Ce qui est intéressant, c’est que le matériel et le logiciel seuls sont inutiles. Pour que l’apprentissage fonctionne, il faut des données pour ajuster l’algorithme. Ces données sont souvent l’ingrédient secret et très précieux nécessaire à une utilisation efficace de l’apprentissage automatique. Plus concrètement, si demain Tesla décidait de publier tous ses logiciels en tant que logiciels libres et que vous achetiez une Tesla pour avoir accès au matériel, vous ne seriez toujours pas en mesure d’étudier, de construire et d’améliorer la fonctionnalité de la voiture autonome. Vous auriez besoin des millions d’heures d’enregistrement vidéo et de données de conducteur pour rendre efficace votre réseau de neurones. En somme, le logiciel libre seul ne suffit pas à donner le contrôle aux utilisateurs.

5G

Le monde occidental débat beaucoup de la confiance à accorder à l’infrastructure de la 5G. Que savons-nous de la présence de portes dérobées dans les antennes-relais si elles sont achetées à Huawei ou à d’autres entreprises chinoises ? La communauté du logiciel libre et open source répond qu’il faudrait que le logiciel soit distribué sous une licence libre. Mais pouvons-nous vraiment vérifier que le code qui s’exécute sur cette infrastructure est le même que le code source mis à disposition ? Il faudrait pour cela avoir des compilations reproductibles, accéder aux clés de signature et de chiffrement du code ; l’infrastructure devrait récupérer les mises à jour logicielles depuis notre serveur de mise à jour et pas depuis celui du fabricant. La licence logicielle est importante mais elle ne vous donne pas un contrôle total et la pleine liberté.

Android

Android est un système d’exploitation mobile très populaire au sein de la communauté du logiciel libre. En effet, ce système est distribué sous une licence libre. Je connais de nombreux militants libristes qui utilisent une version personnalisée d’Android sur leur téléphone et n’installent que des logiciels libres depuis des plateformes telles que F-Droid. Malheureusement, 99 % des utilisateurs lambda ne bénéficient pas de ces libertés car leur téléphone ne peut pas être déverrouillé, car ils n’ont pas les connaissances techniques pour le faire ou car ils utilisent des logiciels uniquement disponibles sur le PlayStore de Google. Les utilisateurs sont piégés dans le monopole du fournisseur. Ainsi, le fait que le cœur d’Android est un logiciel libre ne donne pas réellement de liberté à 99 % de ses utilisateurs.

Finalement, quelle conclusion ?

Je pense que la communauté du logiciel libre et open source concernée par les 4 libertés de Stallman, le contrôle de sa vie numérique et la liberté des utilisateurs, doit étendre son champ d’action. Les licences libres sont nécessaires mais elles sont loin d’être encore suffisantes pour préserver la liberté des utilisateurs et leur garantir un contrôle de leur vie numérique.

La recette (matériel personnel) + (logiciel libre) = (liberté numérique) n’est plus valide.

Il faut davantage d’ingrédients. J’espère que la communauté du logiciel libre peut se réformer et le fera, pour traiter davantage de problématiques que les seules licences. Plus que jamais, le monde a besoin de personnes qui se battent pour les droits numériques et les libertés des utilisateurs.

symboles reliés par des opérateurs comme une équation : ordinateur + nuage open source + nuage de data + point d’inetrrogation = digital freedom
Image d’illustration de l’auteur pour ses diapos de conférence

 

 




Windows 10 : plongée en eaux troubles

Vous avez sans doute remarqué que lorsque les médias grand public évoquent les entreprises dominantes du numérique on entend « les GAFA » et on a tendance à oublier le M de Microsoft. Et pourtant…On sait depuis longtemps à quel point Microsoft piste ses utilisateurs, mais des mesures précises faisaient défaut. Le bref article que Framalang vous propose évoque les données d’une analyse approfondie de tout ce que Windows 10 envoie vers ses serveurs pratiquement à l’insu de ses utilisateurs…

Article original : 534 Ways that Windows 10 Tracks You – From German Cyber Intelligence

Traduction Framalang : Khrys, goofy, draenog, Sphinx

Selon les services allemands de cybersécurité, Windows 10 vous surveille de 534 façons

par Derek Zimmer

L’Office fédéral de la sécurité des technologies de l’information (ou BSI) a publié un rapport 9 (PDF, 3,4 Mo) qui détaille les centaines de façons dont Windows 10 piste les utilisateurs, et montre qu’à moins d’avoir la version Entreprise de Windows, les multiples paramètres de confidentialité ne font pratiquement aucune différence.


Seules les versions Entreprise peuvent les arrêter

Les versions normales de Windows ont seulement trois niveaux différents de télémétrie. Le BSI a trouvé qu’entre la version Basic et la version Full on passe de 503 à 534 procédés de surveillance. La seule véritable réduction de télémétrie vient des versions Entreprise de Windows qui peuvent utiliser un réglage supplémentaire de « sécurité » pour leur télémétrie qui réduit le nombre de traqueurs actifs à 13.

C’est la première investigation approfondie dans les processus et dans la base de registre de Windows pour la télémétrie

L’analyse est très détaillée, et cartographie le système Event Tracing for Windows (ETW), la manière dont Windows enregistre les données de télémétrie, comment et quand ces données sont envoyées aux serveurs de Microsoft, ainsi que la différence entre les différents niveaux de paramétrage de la télémétrie.

Cette analyse va jusqu’à montrer où sont contrôlés les réglages pour modifier individuellement les composants d’enregistrement dans la base de registre de Windows, et comment ils initialisent Windows.

Voici quelques faits intéressants issus de ce document :

• Windows envoie vos données vers les serveurs Microsoft toutes les 30 minutes ;
• La taille des données enregistrées équivaut à 12 à 16 Ko par heure sur un ordinateur inactif (ce qui, pour donner une idée, représente chaque jour à peu près le volume de données d’un petit roman comme Le Vieil homme et la mer d’Hemingway) ;
• Il envoie des informations à sept endroits différents, y compris l’Irlande, le Wyoming et la petite ville de Boston en Virginie.
C’est la première « plongée en eaux profondes » que je voie où sont énumérés tous les enregistrements, ainsi que les endroits où va le trafic et à quelle fréquence.
Logiquement l’étape suivante consiste à découvrir ce qui figure dans ces 300 Ko de données quotidiennes. J’aimerais aussi savoir à quel point l’utilisation de Windows Media Player, Edge et les autres applications intégrées influe sur l’empreinte laissée par les données, ainsi que le nombre d’éléments actifs d’enregistrement.

Difficile de se prémunir

Au sein des communautés dédiées à l’administration des systèmes ou à la vie privée, la télémétrie Windows est l’objet de nombreuses discussions et il existe plusieurs guides sur les méthodes qui permettent de la désactiver complètement.

Comme toujours, la meilleure défense consiste à ne pas utiliser Windows. La deuxième meilleure défense semble être d’utiliser la version de Windows pour les entreprises où l’on peut désactiver la télémétrie d’une manière officielle. La troisième est d’essayer de la bloquer en changeant les paramètres et clefs de registre ainsi qu’en modifiant vos pare-feux (en dehors de Windows, parce que le pare-feu Windows ignorera les filtres qui bloquent les IP liées à la télémétrie Microsoft) ; en sachant que tout sera réactivé à chaque mise à jour majeure de Windows.

À propos de Derek Zimmer
Derek est cryptanalyste, expert en sécurité et militant pour la protection de la vie privée. Fort de douze années d’expérience en sécurité et six années d’expérience en design et implémentation de systèmes respectant la vie privée, il a fondé le Open Source Technology Improvement Fund (OSTIF, Fond d’Amélioration des Technologies Open Source) qui vise à créer et améliorer les solutions de sécurité open source par de l’audit, du bug bounty, ainsi que par la collecte et la gestion de ressources.




Un jeune libriste part à l’asso des mauvaises habitudes

Neil vient de finir un stage d’étudiant au terme duquel il a réussi à faire adopter des outils libres à une association. Il livre ici le récit de ses tribulations, c’est amusant et édifiant…

On aimerait bien qu’il y en ait beaucoup comme lui pour s’engager de façon aussi déterminée et efficace. Nous espérons entamer une série d’interviews de libristes qui comme lui sont particulièrement impliqué⋅e⋅s dans la diffusion des valeurs et des pratiques libristes.


avatar de Neil, un pigeon sur la tête
Avatar de Neil, image d’après Tunaniverse

Bonjour à tous,

N’ayant encore qu’assez peu d’expérience dans le domaine du libre et s’agissant de mon premier article sur Internet, je sollicite votre bienveillance et vous invite à me signaler toute éventuelle erreur ou mauvais usage des termes dans cet article.

Contexte

Les études

Avant de commencer, un peu de background. J’ai 20 ans et je suis en première année de BTS SIO (branche SLAM), formation post-bac orientée sur l’informatique de gestion et le développement d’applications.

Au bout d’un mois dans cette filière, j’ai senti qu’elle n’était pas pour moi en constatant notamment un retard assez grave dans les notions du référentiel. Mais pour des raisons financières (bourses, appartement, etc.) j’ai dû finir mon année, ce qui implique l’obligation de trouver un stage d’un mois en juin.

Le choix de l’association

J’ai donc choisi une association que je vais appeler Ciné-Asso, qui propose des tarifs réduits pour des séances au cinéma pour les établissements scolaires et ses adhérents. Ses responsables disaient avoir besoin de retravailler leur système d’information.

C’était pour moi une chance que de pouvoir mettre mes connaissances à disposition d’une association, ce qui m’attirait bien plus que les stages choisis par mes camarades de classe (stage en banque, en dépannage/réparation informatique, au supermarché, en startup French Tech qui développe sous WinDev10. Choix judicieux que de choisir un stage WinDev en BTS SIO : WinDev fait partie des logiciels étudiés et utilisés tout comme WordPress, Microsoft Visio, Win’Design, PC Wizard 2015 et plein d’autres. (Vous comprenez pourquoi je n’aime pas cette filière ?)

Et je préférais travailler pour une asso en rapport avec l’art et la culture. Le choix était donc déjà fait.

Un peu de technique

En ce qui concerne les outils utilisés, mon ordinateur tourne sous Debian Buster (prerelease) depuis Janvier 2018. Je code exclusivement sous Vim, mon éditeur préféré. Pour le développement web, j’utilise Apache et MariaDB côté serveur (en local, donc sur mon propre poste). J’utilise souvent MySQL Workbench (la version sous licence GPL par Oracle) pour éditer la BDD, sinon en CLI. Je travaille tout le temps avec draw.io (licence Apache), un logiciel vraiment pratique pour réaliser des schémas en tous genres, des cartes mentales aux modèles relationnels. Je m’estime par ailleurs libriste et refuse, lorsque la situation le permet, de travailler avec des logiciels propriétaires. Vous allez voir que défendre ses valeurs n’est pas facile…

Tâches assignées

Principalement deux tâches me seront confiées durant ce stage d’un mois :

  • Retravailler le site web de Ciné-Asso Leur site web tournait sous une très ancienne version de Joomla ! et franchement, ce n’était pas beau à voir. Bref, un site des années 2006. Ma mission sera de développer un site vitrine pour le remplacer, avec une gestion d’évènements planifiés (de séances de films, en l’occurrence) pour l’association. Cela inclut évidemment la formation des bénévoles à l’outil ;
  • Retravailler la base de données, reconstruire la base de données utilisée pour enregistrer les adhérents et les donateurs de l’asso. La base de données actuelle a été créée il y a 10 ans sous Access 2003 (si ce n’est 98…) et elle est encore utilisée jusqu’à présent. La base n’est pas relationnelle alors qu’elle devrait l’être. Résultat : 35 champs dans une table avec les adhérents et donateurs mélangés, des doublons, des couples sur un seul enregistrement et de sérieuses limites. Je vais donc devoir créer une nouvelle base, migrer toutes les données et former les bénévoles.

Le tout, donc, en un mois, avec la contrainte personnelle de n’utiliser que des logiciels libres.

capture de la liste des entrées de la base de données ancienne
La base d’adhérents au départ…

Présentation de Ciné-Asso

Je vais donc vous présenter brièvement l’équipe de Ciné-Asso. De faux noms leur seront attribués afin de préserver leur anonymat.

M. Touron est le président de l’association. Un esprit juste et logique.

Mme Nougat est la trésorière et celle que je dois convaincre. Elle est très réticente à l’intégration de mon travail au sein de l’asso. Elle sera aussi l’une des principales utilisatrices du logiciel de gestion de base de données. J’ai donc intérêt à faire du bon travail afin de satisfaire ses attentes.

M. Réglisse s’occupe de la communication auprès des adhérents. Il utilise tout le temps l’outil informatique dans son travail, pas toujours comme il le faudrait.

Mme Caramel est une jeune bénévole qui soutient mes idées. Elle s’occupe principalement du site web.

M. Calisson est un bénévole octogénaire et maintient la base de données Access. C’est un autodidacte de l’informatique. Il racontait fièrement qu’il avait programmé en COBOL pour le gouvernement à une époque désormais révolue.

M. Prunelle est un prestataire de services extérieur à l’association et jouera un rôle crucial.

Une réunion est organisée entre deux ou trois bénévoles et moi deux fois par semaine afin de présenter l’avancée de mon travail et de m’ajuster à la demande. En dehors des réunions, je travaille en autonomie.

Un détail important à relever : aucun membre de Ciné-Asso n’est assez compétent en informatique pour s’occuper du côté technique du site après mon départ.

Le site web

J’ai consacré les 15 premiers jours à la réalisation du site web. Et parmi tous les CMS possibles, j’ai choisi… Allez, devinez… WordPress.
Vous avez le droit de jeter vos tomates pourries ; mais je n’avais aucune expérience, ni avec Drupal, ni avec Joomla! et je n’avais clairement pas le temps de tester les solutions (rappelons que j’ai seulement 15 jours pour finaliser le site, formations incluses). De plus, je connaissais déjà bien WordPress pour l’avoir utilisé par le passé. Et croyez-moi, j’ai regretté de ne pas avoir été assez curieux, car ces 15 jours mêlèrent ennuis et souffrance.

Le décor

On commence par le design. J’ai choisi la version gratuite d’un thème qui leur plaisait bien. Je leur conçois une jolie bannière d’en-tête (avec GIMP, bien évidemment). Au final, j’ai dû la refaire 16 fois dans une réunion de 4 heures pour satisfaire aux demandes de M. Touron, président. Mais passons. J’ai dû bidouiller le CSS afin de convenir à leurs attentes, au risque de tout casser à la prochaine mise à jour. En guise de solution, je leur ai demandé de tout mettre à jour, sauf le thème.
C’est sale, ça contourne le problème, mais je ne vois pas d’autre option dans le temps imparti ; de plus, les thèmes souffrent rarement d’une faille de sécurité. J’ai donc jugé le pari suffisamment sûr.
Travailler sur WordPress n’est pas jouissif. Ça me servira de leçon pour mes stages futurs.

Les plugins

Je choisis le plugin WP Theater pour programmer les séances de cinéma.
Évidemment, les fonctions les plus intéressantes sont payantes. Je me contente des fonctions de base et réussis à convenir à leurs demandes. M. Touron m’a proposé d’acheter la version payante du plugin, mais j’ai insisté en disant que n’était pas nécessaire et que pour le prix de la fonctionnalité, ça relevait plutôt de l’escroquerie.

Les deux semaines s’écoulèrent (trop) paisiblement avec quelques ajustements par-ci par-là. La formation fut terminée en une après-midi. L’intéressée, Mme Caramel, appréciait l’interface conviviale du logiciel.

Choses vues

En un mois, j’ai appris à connaître les membres de l’association : leur personnalité, leur empathie et surtout, leur usage de l’outil informatique. J’ai tout de même quelques anecdotes qui font peur.

M. Réglisse et Micro$oft Office

J’apprends que l’un des membres de l’association, M. Réglisse, utilise MS Office 2003 pour travailler sur les documents de l’asso. Malheureusement, ce logiciel de Micro$oft n’arrive plus à exporter en PDF sur son poste, pour une raison inconnue (tout autant à lui qu’à moi). Sans compter que Office 2003 ne lit pas les nouveaux formats MS Office (depuis 2007 : xlsx, docx, etc.) ni les formats libres (odt…). Et ainsi, à chaque fois que M. Réglisse souhaite lire ou éditer un fichier incompatible, il envoie ce fichier par mail à sa collègue qui le convertit en PDF (à l’aide d’Apache OpenOffice) et qui lui renvoie par mail, et ce depuis longtemps.
Il fallait quand même que je me retienne de sourire en écoutant ça.
On me demande conseil.
En bon libriste, j’explique que le logiciel est trop vieux et qu’il faut passer à LibreOffice gratuitement ou acheter le pack Office tous les 3 ans, en insistant bien sur la première option.
« Oui, mais j’ai déjà essayé, ça marche pas, y’a des bugs et c’est pas toujours compatible… » Finalement, j’ai réussi à le convaincre. Ça a changé un peu la mise en forme de ses fichiers et il ne s’est pas gêné de me faire remarquer qu’un pixel dépassait par-ci par-là, mais il devrait s’en satisfaire pour le moment.

Vive le libre !

M. Réglisse et le mailing

Dans les aventures de M. Réglisse, j’ai aussi celle où il souhaite envoyer une newsletter à tous les adhérents de l’association. Il ouvre sa base Access 2003, et demande au logiciel de lui donner tous les mails des membres de l’asso. Il ouvre Thunderbird en parallèle, crée un nouveau groupe… et ajoute tous les mails en les réécrivant un par un à la main ! On m’explique que c’était parce que certains mails peuvent avoir été entrés dans la base de données avec des erreurs (une virgule au lieu d’un point, par exemple…) et que copier coller pose alors des problèmes… Car la base de données ne détecte pas les erreurs de saisie…

Je promets à M. Réglisse que le mailing sera beaucoup plus facile avec ma solution.

La réunion à mi-chemin

Les réunions furent assez régulières avec moi au sein de l’asso, mais celle-ci fut de très loin la plus importante. Je rencontre M. Prunelle, expert en informatique, retraité. Il s’agit d’un prestataire de services extérieur à l’association, contacté par Mme Nougat dans l’idée de contrôler mon travail et de m’aiguiller. Pour la première fois, M. Calisson, mainteneur de la base de données, est présent. M. Prunelle commence donc par parler de son parcours ; il a fondé une entreprise d’informatique pendant sa jeunesse et a déjà programmé en COBOL et en assembleur, raconte-t-il avec nostalgie.

M. Prunelle joue un rôle crucial : il s’engage à maintenir mon travail à mon départ en tant que bénévole si le projet correspond à ses attentes. Il s’agit donc d’une personne avec laquelle je devrais collaborer.

Les deux premières heures

On parle beaucoup du site web. Je l’ai présenté, il était déjà globalement fini, prêt à être basculé en production. M. Prunelle approuve mon choix du CMS WordPress et raconte qu’il a de l’expérience avec. On discute des quelques bidouillages sur le CSS (peu nombreux mais hélas impératifs conformément aux demandes).
Mon code étant commenté et mes modifications légères et peu nombreuses, il les approuve et se propose même de les maintenir si ça casse après une mise à jour. Super, ça m’arrache une épine du pied !

Les deux dernières heures

J’aborde le sujet de la base de données. Il faut savoir que la trésorière, Mme Nougat, s’oppose assez fortement au fait que je travaille sur la BDD. Elle souhaite que je me consacre pleinement au site et veut plutôt confier la base à un intervenant extérieur aux frais de l’association. C’est d’ailleurs pour cela qu’elle a fait appel à M. Prunelle…

J’explique mon projet. Un intranet maison, développé from scratch, une BDD relationnelle. Le tout fait à la main. J’avais déjà préparé un schéma relationnel que je lui montre.

« Ta base m’a l’air bien, relationnelle, tout bien comme il faut, c’est du bon travail. Par contre, je ne suis pas trop d’accord avec ta solution pour l’hébergement de la base de données, Maria DB… Je connais de nom mais ce n’est pas très utilisé dans le domaine professionnel… »

Il sort son cahier. Puis son stylo. Je le remarque alors… Un stylo rose fluo, avec le fameux logo de WINDEV dessus. Gulp. Je sais ce qui m’attend.

M. Prunelle me demande alors d’aller voir sur une page cachée d’un site web sur lequel il avait récemment travaillé. Il m’épelle l’adresse, quelque chose du genre « xalex-xpert.com/xalex_expert ».
S’affiche alors une vieille interface de connexion sans TLS, et je reconnais rapidement WEBDEV, de la même boîte. Je fais la moue. J’explique alors que je ne souhaite travailler qu’avec des logiciels libres, par éthique. Un sourire en coin s’affiche sur le visage de M. Prunelle :

« Ha ha ha, moi aussi, quand j’avais ton âge, j’étais un rebelle et je votais à gauche ! Mais aujourd’hui sur le marché du travail, dans un contexte professionnel de l’industrie informatique, jamais je ne me permettrais de présenter une verrue de Linux chez un client ! »

Hein ? L’industrie professionnelle de l’informatique ? Le marché du travail ? Qui a parlé de Linux ? Une verrue ?
La rébellion gauchiste ? Ce n’est pas un #MercrediFiction ni une exagération. C’est mot pour mot ce qu’il m’a dit. Je suis resté bouche bée pendant quelques secondes avant de passer à l’offensive en défendant mes arguments.

Et là, tout de suite, la grosse condescendance. En puissance. Limite, s’il m’avait versé un coulis de caca sur la tête, ça aurait été plus respectueux.

« Non mais de toute façon voilà, c’est comme ça qu’on débute, on fait tous des erreurs, on progresse ensuite, moi j’en ai vu, c’est pas le premier, je sais comment ça se passe »

Et alors évidemment Mme Nougat s’incruste et en rajoute une couche…

« Moi je pense qu’on a la chance d’avoir un professionnel parmi nous, M. Prunelle sait ce qu’il faut faire. Quand on est jeune, on ne connaît pas le marché du travail, on ne sait pas comment bien faire les choses pour répondre aux demandes du client, c’est normal »

(Allez-y, pissez-moi dessus encore, j’aime ça.) Mais avant que je ne me fasse totalement recaler, M. Touron et Mme Caramel interviennent au moment opportun et insistent pour me laisser une chance. Ouf, c’est sauvé. Par contre, du coup, inutile de compter sur lui pour maintenir ma « verrue de Linux ». Plus qu’à me débrouiller tout seul.

Résultat, les deux solutions seront proposées au conseil d’administration et c’est le conseil qui tranchera. J’ai intérêt à bien faire le boulot.

La veille technologique, ou comment j’ai changé d’avis

Ok, j’ai donc 15 jours pour réaliser une solution convaincante à partir de rien, migrer la solution actuelle vers la mienne et enfin former les nouveaux utilisateurs… Bon, j’ai des bouts de code de prêts pour ça, je suis assez expérimenté en PHP pour me débrouiller comme un grand. Mais 15 jours…

État des lieux

Tout d’abord, le lendemain de la réunion, M. Calisson (mainteneur octogénaire de la BDD) s’est présenté à moi. Il a fait l’effort de se déplacer dans les locaux pour me proposer personnellement son aide.
Face à une telle bienveillance, je ne pouvais refuser. Il m’a donné une documentation utilisateur d’une vingtaine de pages (datant de quelques années), très détaillée, qui m’a beaucoup appris. Il a ensuite pris le temps de m’expliquer chaque détail flou de la base actuelle et décrit les attentes particulières de Mme Nougat, qui attend d’être convaincue par ma solution.

Il n’était pas obligé de faire tout ça et je lui en suis grandement reconnaissant. Avant de le rencontrer, je pensais que ça allait être un esprit conservateur qui considère que sa solution (une table, 35 champs, rappelons-le) est la meilleure de toutes… et je me suis bien trompé. Comme quoi, le code ne fait pas le développeur…

À l’aide, Mastodon !

Dans le doute, je fais appel au réseau des réseaux. Et dans la panade, je fais appel au Fediverse.

Appel à l’aide sur Mastodon…Voyez tous les conseils reçus suite à ma demande !

 

Amis, camarades, connaissances, merci à vous. Vous avez été d’un précieux soutien dans cette situation difficile, vous m’avez aiguillé quand M. Prunelle m’avait lâché. Je savais que je pouvais compter sur vous ! Et j’ai attentivement écouté vos conseils.

Alors que choisir ?

Je peux dire beaucoup de mal (à tort et à raison) de mes professeurs de BTS SIO, mais c’est l’un d’eux qui m’a conseillé Galette en premier (en l’occurrence, ce professeur revendique des valeurs libristes mais enseigne WinDev et Win’Design aux élèves, ironiquement. Il enseigne Merise aussi, en 2018. Mais passons !)

Galette est un CMS libre de gestion d’adhérents pour les associations, inscrit sur Framalibre, l’annuaire contributif où j’aurais dû chercher en premier. Le logiciel a été créé en 2004 et est toujours maintenu à l’heure actuelle via des mises à jour régulières. Il est utilisé par des dizaines d’associations et reste un choix à considérer pour un déploiement rapide et efficace.

La Fediverse m’ayant conseillé (entre autres) Galette, j’ai décidé de m’y intéresser de plus près. Je connaissais déjà Galette (de nom seulement) avant que mon professeur m’en parle, mais tout écrire de soi-même avait l’air tellement plus amusant…

Et la solution avait l’air vraiment sympa. Il m’a fallu quelques jours pour m’assurer qu’elle collait bien au cahier des charges de Mme Nougat, mais tout avait l’air d’aller comme il faut. Et comme je n’ai plus le temps, il vaut mieux choisir cette option plutôt que de partir de zéro et rendre un travail insatisfaisant ou incomplet.

Partons donc pour Galette !

Galette

Abordons un peu l’aspect technique. La formation WordPress et quelques autres tâches ayant un peu débordé sur le planning, il me reste 10 jours pour déployer la solution et former les utilisateurs.

Le cahier des charges

Je rencontre un problème. Le cahier des charges n’est pas respecté sur un point : les statistiques. L’asso a besoin de stats assez précises pour la comptabilité et Galette ne fournit que deux ou trois pauvres camemberts. Galette tournant sous PHP, je prends la décision d’écrire un plugin.

Le plugin

C’est ce qui va prendre le plus de temps. Je travaille dans un environnement avec lequel je ne suis pas familier du tout, même si c’est du PHP, car je n’ai jamais touché à des frameworks PHP ni utilisé une API conçue pour des plugins. Ma première rencontre avec Zend Framework se passe… mal. Très mal, au point où j’interroge directement la base de données avec des requêtes en dur pour faire le boulot.
J’aurais aimé apprendre comment m’en servir, mais « je n’ai pas le temps ». Bon, j’ai moins d’excuses pour le switch à 90 cases avec des requêtes SQL et les 80 lignes de HTML dans un string… Mais chut…

Blague à part, je commence à être vraiment à la bourre. Plus que quelques jours de stage déjà, et c’est fini. Je me débrouille comme je peux pour coder quelque chose qui fonctionne. Qui a parlé de maintenabilité ?
Le prochain qui passera derrière moi sera probablement un stagiaire de BTS SIO, ça lui fera les pieds 🙂 (Il va me retrouver et me tuer pour avoir écrit ça, et je ferai moins le malin quand je tomberai sur un cas similaire. Bon au moins, j’ai mis plein de commentaires)

La demande de dernière minute

J’ai présenté le plugin de stats à Mme Nougat et il a fallu s’adapter à une demande de dernière minute. Totalement justifiée cela dit, ça faciliterait grandement la comptabilité. Il s’agit encore de stats.
J’applique des quickfixes sur le code dégueulasse que j’ai pondu juste avant. Il me reste trois jours. (Comment ça, ce n’est pas une excuse ? Au moins ça fonctionne !)

Bon allez, on plie ça vite fait et on passe à l’importation, qui n’est même pas commencée !

Préparation pour la migration

Un peu plus de technique.
La base de données est sous forme de fichier. MDB (Access), format propriétaire. Elle pèse 8.5 Mo. J’ai des frissons dans le dos. J’utilise le paquet mdb-tools pour convertir la structure et les données en requêtes SQL et je crée une nouvelle DB en local (MariaDB) et j’importe le tout.
Vive le libre.

Voilà la table à 35 champs… Ma première tâche va être de séparer les entrées des couples (M. et Mme) qui ont été enregistrés en une seule entrée.
Sur le coup, LibreOffice Calc est mon ami. J’importe tous les enregistrements où Sexe=« M. et Mme » et je les sépare à coups de Chercher/Remplacer. Une fois le boulot fini, j’importe tous les autres adhérents enregistrés dans la base jusque là sur le tableur, c’est plus facile que sur Workbench. Et nous y voilà, un total de 1275 lignes.

La grande migration

Allez, c’est parti. Je saisis 1275 adhérents à la main, depuis l’interface de Galette.

Bien sûr que non. Vous croyez vraiment que j’allais faire ça manuellement ?
Je me remémore ce que disait l’un de mes professeurs de BTS SIO :

« Un développeur, c’est un branleur. Une quiche molle. Alors à un m’eng donné, il faut savoir optimiser son traitemeng ou on va se retrouver avec une KYRIELLE de travail à faire. »

Il reste 2 jours. Comptant un jour de formation et d’installation du logiciel, j’ai 24 heures pour réaliser la migration. Admettons que je prenne trois minutes par entrée (adhérent + contribution). (1275 x 3) / 60= 63h45 de travail. C’est hors limites !

La seule solution est donc d’automatiser le tout. Mais il ne s’agit pas d’un simple INSERT INTO dans une table, hélas. Galette utilise un système de champs dynamiques qui permet d’avoir des champs personnalisés par l’association. Il les gère d’ailleurs assez mal : lorsqu’on supprime un adhérent ou une contribution, les champs dynamiques associés ne se suppriment pas avec. Encore un bug à signaler, tiens. Mais passons.

Formatage des données

Je commence par ajouter un adhérent et une cotisation annuelle pour ce dernier et j’identifie dans la BDD les tables mises à jour. Il y en a trois : galette_adherents, galette_cotisations et galette_dynamic_fields.

Ensuite, ça reste quand même assez trivial. J’identifie à quoi correspondent les champs dans les tables et je prépare mes inputs selon mes besoins. Je n’oublie pas de m’adapter au logiciel. Exemple, Galette interdit les adresses mail dupliquées dans la BDD. Je supprime tous les duplicatas depuis LibreOffice avant de commencer quoi que ce soit. Puis vient le plus
pénible. Le formatage des inputs. LibreOffice est pratique pour ça, mais je préfère tellement Vim qui s’avère bien plus efficace quand on a l’habitude du logiciel.

Vérification des données

Je vérifie encore mes inputs. Les erreurs les plus courantes :
– Doubles espaces (un coup de regex et c’est fini)
– Accents dans les adresses mail
– Virgules à la place de points un peu partout
– Formatage pas toujours standardisé du numéro de téléphone… J’étale le champ adresse, unique jusque là, sur deux lignes. C’est long et pénible, un bon travail de stagiaire. Par superstition, j’enlève les guillemets placés inutilement dans les adresses physiques.
– Au passage, je découvre des adresses Yahoo, AOL, Cegetel, Alice, Wanadoo, Neuf et même quelques .gouv.*.
Ça fait un peu peur.

– Le champ galette_adherents.login_adh contient des caractères aléatoires servant d’identifiant pour l’adhérent. L’asso n’utilise pas cette fonctionnalité, mais pour ne pas contrarier Galette, je vais insérer des caractères aléatoires dedans : SUBSTRING(MD5(RAND()) FROM 1 FOR 15)
Ce n’est pas censé être un identifiant hexadécimal, mais ce n’est pas grave.

Enfin, je prends soin de distinguer les champs vides des champs NULL. On peut maudire SQL pour ça, je suppose.

Je termine la migration le 28 juin au soir, soit 24 heures avant la fin du stage. La journée de demain commencera à 09h00.

Déploiement de la solution

Ah oui, à ne pas oublier. Avant de former les utilisateurs, il faut d’abord déployer Galette sur leur réseau (en intranet). Je choisis l’utilisation de XAMPP sur l’un de leurs postes Windows.
Je configure le serveur DHCP de leur box pour que l’IP du poste en question soit fixe. Ma méthode est probablement discutable mais je ne vois pas d’autre option possible, surtout qu’héberger Galette sur le “cloud” ne leur aurait pas servi car ils ne travaillent sur la BDD qu’en local. Enfin, je déploie Galette, j’exporte la BDD depuis mon poste et je l’importe sur le leur. Je transfère aussi les fichiers de mon plugin. Évidemment, l’opération ne s’est pas déroulée sans accroc – surtout sur des postes Windows. J’ai perdu une à deux heures dans la migration.

L’imprévu fatidique

En formant l’une des deux bénévoles, on s’aperçoit ensemble que de nombreuses données de l’ancienne base sont erronées depuis quelques mois (suite à une maintenance de M. Calisson) et que ces erreurs ont été (évidemment) reportées sur la nouvelle base. Nous arrivons à une conclusion terrifiante : il faut repasser manuellement derrière chacune des 1275 adhésions à partir des bordereaux d’adhésion, conservés par précaution. Cette opération nous a coûté 4 à 5 heures. La bénévole a eu la gentillesse de m’apporter une pizza pour que je puisse finir mon travail d’esclave le plus vite possible sans sortir du bureau.

fig.1 Travailler en équipe pour résoudre un problème. La théorie.

fig.2 Travailler en équipe pour résoudre un problème. La réalité.

La formation

Vous imaginez qu’il ne me reste plus beaucoup de temps pour former les utilisateurs. La première bénévole était assez familière avec l’informatique, mais la deuxième ne l’était pas du tout – au contraire, elle détestait l’informatique. J’ai dû abréger beaucoup de points que je préciserai dans une documentation utilisateur à rédiger après mon départ. Ce fut très laborieux, mais l’essentiel a été vu. Il est 18h00, mon stage se termine et ma mission avec. Je remercie M. Touron qui m’offre une gratification de stage de 150 euros.

Le suivi

Le libre, c’est bien, mais quand il est encadré et suivi, c’est mieux. Le site web de l’association est hébergé par la Ligue de l’Enseignement, ce qui leur permet de profiter de tarifs très préférentiels. J’ai pu rencontrer l’un de leurs membres avec M. Touron dans le cadre de la migration du site de Joomla ! vers WordPress.
Ce monsieur, aux antipodes de M. Prunelle, était clairement fâché de mon choix de WordPress, en disant que les webmasters oublient souvent de mettre à jour le CMS et qu’il est généralement considéré comme une usine à gaz trouée par des failles de sécurité. Je ne peux qu’être d’accord avec lui sur ces points-là, malheureusement.
M. Touron aborde finalement la question de la gestion de la base de données (Galette, donc) et ce monsieur semble non seulement connaître le CMS, mais exprime sa satisfaction quant au choix d’un logiciel libre. Quand je lui ai dit que ce choix était par éthique, nous sommes rapidement partis dans une discussion libriste mentionnant La Quadrature du Net, l’April, Framasoft, les RMLL 2018 qui approchent à grands pas…

C’était ma première discussion avec un libriste dans la vraie vie et elle ne pouvait pas tomber à un meilleur timing. La personne idéale pour reprendre le projet était déjà trouvée, je peux dormir sur mes deux oreilles !

Ressenti personnel

Cet article est déjà beaucoup trop long, mais je tiens à exprimer mon ressenti sur ce stage. La rencontre avec M. Prunelle fut très parlante pour moi : j’ai réalisé à quel point les esprits peuvent être conservateurs dans le domaine de l’informatique.

Être libriste, c’est avant tout avoir des convictions que l’on défend au quotidien. Je ne m’attendais pas à entrer en conflit d’éthique avec qui que ce soit pendant ce stage, tout comme je ne m’attendais pas à rencontrer des personnes défendant les mêmes valeurs que moi. C’est aussi inciter les utilisateurs moins familiers vis-à-vis de l’outil informatique à découvrir les outils libres, faire face à leurs réticences dues à la peur de l’inconnu, à leur habitude d’utiliser des outils propriétaires et parfois, à leur manque de confiance en votre personne au prétexte de votre jeune âge et de votre supposé manque d’expérience.

Ce stage fut un véritable combat au nom de l’éthique et de mes propres convictions, mais il fut aussi porteur d’espoir : les libristes sont plus nombreux que je ne le pensais, et mon déplacement à mon tout premier meeting (les RMLL 2018) va probablement m’aider à mieux connaître (et sympathiser !) avec les différentes communautés et me permettre de définir plus précisément mon parcours professionnel en vue, dans l’idéal, d’un métier dans ce domaine.

Vive le libre !

@Neil@shelter.moe




Décodons le discours anti-chiffrement

La secrétaire d’État à l’Intérieur du Royaume-Uni demandait fin juillet aux entreprises du numérique de renoncer au chiffrement de bout en bout. Aral Balkan a vivement réagi à ses propos.

L’intérêt de son analyse sans concessions n’est ni anecdotique ni limité au Royaume-Uni. Il s’agit bien de décoder le discours contre le chiffrement dont on abreuve les médias majeurs, que ce soit outre-Manche ou ici même en France, comme presque partout ailleurs en Europe. Un discours qui repose sur le terrorisme comme épouvantail et sur Internet comme bouc-émissaire. Alors que s’empilent des lois répressives qui rendent légale une surveillance de tous de plus en plus intrusive, sans pour autant hélas éradiquer le terrorisme, il est urgent de dénoncer avec force et publiquement la manipulation des esprits par le discours sécuritaire. Il en va de notre liberté.

Ce travail qu’assument courageusement des associations comme la Quadrature du Net et que nous devons tous soutenir est ici plutôt bien mené par Aral Balkan qui « traduit » les déclarations de la ministre pour ce qu’elles signifient réellement : l’appel à la collusion entre le capitalisme de surveillance et le contrôle étatique de la vie de chacun.

Article original paru sur le blog d’Aral Balkan : Decrypting Amber Rudd
Traduction Framalang : hello, mo, FranBAG, goofy, Éric, Bromind, Lumibd, audionuma, karlmo, Todd

 

[EDIT] Décidément Amber Rudd est toujours prête à récidiver, comme le montre ce tout récent article de Numérama

où elle déclare en substance qu’elle n’a pas besoin de connaître les technologies comme le chiffrement pour… les interdire !

 

Amber Rudd entre les lignes

par Aral Balkan

Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc) viennent de créer le Forum Internet Global Contre le Terrorisme et Amber Rudd, la ministre de l’Intérieur britannique, leur demande de renoncer discrètement à assurer le chiffrement de bout en bout de leurs produits. Ne croyez plus un traître mot de ce que ces entreprises racontent sur le chiffrement de bout en bout ou le respect de la vie privée sur leurs plateformes.
PS : WhatsApp appartient à Facebook.

Amber Rudd : « les discussions entre les entreprises IT et le gouvernement… doivent rester confidentielles. » Crédit photo : The Independent

Ruddement fouineuse


La tribune sur le chiffrement qu’Amber Rudd a fait paraître dans le Telegraph (article en anglais, payant) est tellement tordue qu’elle a de quoi donner le vertige à une boule de billard. Il est évident que Rudd (célèbre pour avoir un jour confondu le concept cryptographique de hachage avec les hashtags) est tout sauf naïve sur ce sujet. Elle est mal intentionnée.

Ce n’est pas qu’elle ne comprenne pas les maths ou le fonctionnement de la cryptographie. C’est plutôt qu’elle (et le gouvernement britannique avec elle) est déterminée à priver les citoyens britanniques du droit humain fondamental à la protection de la vie privée et qu’elle cherche à mettre en place un État surveillance. Ce n’est malheureusement pas un cas isolé, comme en témoignent les récentes déclarations de Theresa May, de la Chancelière allemande Angela Merkel et d’Emmanuel Macron en faveur d’une régulation similaire à l’échelle européenne, voire mondiale.

Étant donné l’importance de ce qui est en jeu (rien moins que l’intégrité de la personne à l’ère numérique et l’avenir de la démocratie en Europe), je voudrais prendre un moment pour disséquer son article et y répondre point par point.

Petit spoiler pour ceux qui manquent de temps : la partie la plus inquiétante de son article est la deuxième, dans laquelle elle révèle qu’elle a créé le Forum Internet Global Contre le Terrorisme avec Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.), et qu’elle leur a demandé de supprimer le chiffrement de bout en bout de leurs produits (souvenez vous que c’est Facebook qui détient WhatsApp) sans prévenir personne. Cela a de graves conséquences sur ce que l’on peut attendre de la protection contre la surveillance étatique sur ces plateformes. Si vous n’avez pas le temps de tout lire, n’hésitez pas à sauter directement à la partie II.

 

Partie I : entente public-privé ; surveillance de masse et contrôle traditionnel.


Amber commence par poser une équivalence entre la lutte contre la propagande publique en ligne des organisations terroristes et la nécessité d’accéder aux communications privées de la population dans son ensemble. Elle prône aussi la surveillance de masse, dont nous savons qu’elle est inefficace, et reste étrangement silencieuse sur la police de proximité, dont nous savons qu’elle est efficace.

Rudd : Nous ne cherchons pas à interdire le chiffrement, mais si nous sommes dans l’impossibilité de voir ce que préparent les terroristes, cela met en danger notre sécurité.

Traduction : Nous voulons interdire le chiffrement parce que si nous le faisons nous serons mieux armés pour attraper les terroristes.

Par où commencer ? Faut-il rappeler qu’on court plus de risques de mourir en tombant de son lit qu’en tombant sur un terroriste ? Ou que la surveillance de masse (ce que Rudd demande) est totalement inapte à enrayer le terrorisme ? (Après tout, quand on cherche une aiguille, une plus grosse botte de foin est la dernière chose dont on ait besoin.)

Voici ce qu’en pense Bruce Schneier, un expert reconnu en cryptologie :

En raison de la très faible occurrence des attaques terroristes, les faux positifs submergent complètement le système, quel qu’en soit le degré de précision. Et quand je dis « complètement », je n’exagère pas : pour chacun des complots terroristes détectés par le système, si tant est qu’il en découvre jamais, des millions de gens seront accusés à tort.

Si vous n’êtes toujours pas convaincu et pensez que le gouvernement britannique devrait avoir le droit d’espionner tout un chacun, ne vous inquiétez pas : il le fait déjà. Il a le pouvoir de contraindre les entreprises IT à introduire des portes dérobées dans tous les moyens de communication grâce à l’Investigatory Powers Act (d’abord connu sous le nom de projet de loi IP et plus familièrement appelé charte des fouineurs). Peut-être n’avez-vous jamais entendu parler de cette loi car elle est passée relativement inaperçue et n’a pas suscité d’opposition dans les rangs du parti travailliste.

Toujours est-il que vos droits sont déjà passés à la trappe. Amber Rudd s’occupe maintenant de désamorcer vos réactions pour le jour où ils décideront d’appliquer les droits qu’ils ont déjà.

Rudd : Les terribles attentats terroristes de cette année confirment que les terroristes utilisent les plateformes Internet pour répandre leur détestable idéologie et planifier des attaques.

Traduction : Nous voulons faire d’internet un bouc émissaire, en faire la source de nos problèmes avec le terrorisme.

Internet n’est pas la cause sous-jacente du terrorisme. Selon Emily Dreyfuss dans Wired, « les experts s’accordent à dire que l’internet ne génère pas de terrorisme et contribue même assez peu aux phénomènes de radicalisation. »

Emily explique :

Les chercheurs spécialisés dans le terrorisme ont remarqué que la violence en Europe et au Royaume-Uni suit un schéma classique. Cela peut donner des clés aux gouvernements pour contrer le problème, à condition d’allouer les crédits et les ressources là où ils sont le plus utiles. La plupart des djihadistes européens sont de jeunes musulmans, souvent masculins, vivant dans des quartiers pauvres défavorisés où le taux de chômage est élevé. Ils sont souvent de la deuxième ou troisième génération de migrants, issus de pays où ils n’ont jamais vécu ; ils ne sont pas bien intégrés dans la société ; quand ils ne sont pas au chômage, leur niveau d’éducation est faible. Leurs vies sont dépourvues de sens, de but.

Rudd déroule son argument :

Rudd : Le numérique est présent dans quasi tous les complots que nous mettons au jour. En ligne, vous pouvez trouver en un clic de souris votre propre set du « parfait petit djihadiste. » Les recruteurs de Daesh (État islamique) déploient leurs tentacules jusque dans les ordinateurs portables des chambres de garçons (et, de plus en plus souvent, celles des filles), dans nos villes et nos cités, d’un bout à l’autre du pays. Les fournisseurs d’extrémisme de droite abreuvent la planète de leur marque de haine sans jamais avoir à sortir de chez eux.

Tous les exemples qui précèdent concernent des informations publiques librement accessibles en ligne. Pas besoin de portes dérobées, pas besoin de fragiliser le chiffrement pour que les services judiciaires y aient accès. Tout l’intérêt, justement, c’est qu’elles soient faciles à trouver et à lire. La propagande n’aurait pas beaucoup d’intérêt si elle restait cachée.

Rudd : On ne saurait sous-estimer l’ampleur du phénomène.

Traduction : Il est impossible d’exagérer davantage l’ampleur du phénomène.

Vous vous souvenez qu’on court davantage de risques de mourir en tombant de son lit qu’en tombant aux mains d’un terroriste ? Tout est dit.

Rudd : Avant d’abattre des innocents sur Westminster Bridge et de poignarder l’agent de police Keith Palmer, Khalid Masood aurait regardé des vidéos extrémistes.

Premièrement, l’article du Telegraph dont Amber Rudd fournit le lien ne fait nulle part mention de vidéos extrémistes que Khalid Masood aurait regardées (que ce soit en ligne, sur le Web, grâce à un quelconque service chiffré, ni où que ce soit d’autre). Peut-être Rudd s’imaginait-elle que personne ne le lirait pour vérifier. À vrai dire, en cherchant sur le Web, je n’ai pas pu trouver un seul article qui mentionne des vidéos extrémistes visionnées par Khalid Massood. Et même si c’était le cas, ce ne serait qu’un exemple de plus de contenu public auquel le gouvernement a accès sans l’aide de portes dérobées et sans compromettre le chiffrement.

Ce que j’ai découvert, en revanche, c’est que Masood « était dans le collimateur du MI5 pour « extrémisme violent », mais n’était pas considéré comme une menace par les services de sécurité. » Voici donc un exemple parfait s’il en est : l’érosion des droits de tout un chacun dans notre société, sous l’effet de la surveillance de masse, n’aurait en rien contribué à son arrestation. Les services de renseignement le connaissaient déjà, mais ne le jugeaient pas menaçant.

Et ce n’est pas la première fois. D’après un article publié en 2015 dans The Conversation :

On se heurte régulièrement au problème de l’analyse et de la hiérarchisation des informations déjà amassées. Il n’est plus rare d’apprendre qu’un terroriste était déjà connu des services de police et de renseignement. C’était le cas des kamikazes du 7 juillet 2005 à Londres, Mohammed Siddique Khan et Shezhad Tanweer, et de certains des présumés coupables des attentats de Paris, Brahim Abdeslam, Omar Ismail Mostefai et Samy Amimour.

Plus récemment, les cinq terroristes qui ont perpétré les attentats de Londres et Manchester étaient tous « connus de la police ou des services de sécurité. » L’un d’entre eux apparaissait dans un documentaire de Channel 4 où il déployait un drapeau de l’État islamique. On nous rebat les oreilles de l’expression « passé à travers les mailles du filet. » Peut-être devrions-nous nous occuper de resserrer les mailles du filet et de mettre au point de meilleures méthodes pour examiner ce qu’il contient au lieu de chercher à fabriquer un plus grand filet.

Rudd : Daesh prétend avoir ouvert 11000 nouveaux comptes sur les réseaux sociaux durant le seul mois de mai dernier. Notre analyse montre que trois quarts des récits de propagande de Daesh sont partagés dans les trois heures qui suivent leur publication – une heure de moins qu’il y a un an.

Une fois encore, ce sont des comptes publics. Utilisés à des fins de propagande. Les messages ne sont pas chiffrés et les portes dérobées ne seraient d’aucun secours.

Rudd : Souvent, les terroristes trouvent leur public avant que nous ayons le temps de réagir.

Alors cessez de sabrer les budgets de la police locale. Investissez dans la police de proximité – dont on sait qu’elle obtient des résultats – et vous aurez une chance de changer la donne. Ce n’est pas le chiffrement qui pose problème en l’occurrence, mais bien la politique d’austérité délétère de votre gouvernement qui a plongé les forces de police locales dans un « état critique » :

Les forces de l’ordre ont du mal à gérer le nombre de suspects recherchés. Le HMIC (NDLT : police des polices anglaise) s’est rendu compte que 67000 suspects recherchés n’avaient pas été enregistrés dans le PNC (Police National Computer, le fichier national de la police). En outre, à la date d’août 2017, le PNC comptait 45960 suspects, où figurent pêle-mêle ceux qui sont recherchés pour terrorisme, pour meurtre et pour viol.

Au lieu de se concentrer là-dessus, Amber cherche à détourner notre attention sur le Grand Méchant Internet. Quand on parle du loup…

Rudd : L’ennemi connecté est rapide. Il est impitoyable. Il cible les faibles et les laissés-pour-compte. Il utilise le meilleur de l’innovation à des fins on ne peut plus maléfiques.

Grandiloquence ! Hyperbole ! Sensationnalisme !

Tremblez… tremblez de peur

(Non merci, sans façon.)

Rudd : C’est pour cela que j’ai réuni les entreprises IT en mars : pour commencer à réfléchir à la façon de renverser la vapeur. Elles comprennent les enjeux.

De quelles entreprises Internet s’agit-il, Amber ? Serait-ce par hasard celles qui suivent, analysent et monnaient déjà nos moindres faits et gestes ? Les mêmes qui, jour après jour, sapent notre droit à la vie privée ? Un peu, qu’elles comprennent les enjeux ! C’est leur business. Pour reprendre la fameuse analyse de Bruce Schneier : « La NSA ne s’est pas tout à coup réveillée en se disant « On n’a qu’à espionner tout le monde ». Ils ont regardé autour d’eux et se sont dit : « Waouh, il y a des entreprises qui fliquent tout le monde. Il faut qu’on récupère une copie des données. » »

Votre problème, Amber, c’est que ces entreprises n’ont pas envie de partager toutes leurs données et analyses avec vous. Leurs systèmes sont même en partie conçus pour éviter d’avoir à le faire, même si elles le voulaient : certaines données ne leur sont tout simplement pas accessibles (chez Apple, dont le business model est différent de Google et Facebook, les systèmes sont connus pour être conçus de cette façon quand la technologie le permet, mais l’entreprise a démontré récemment qu’elle est capable de livrer la vie privée de ses utilisateurs en pâture pour satisfaire la demande d’un gouvernement répressif.)

Ne vous méprenez pas, Google et Facebook (pour prendre deux des plus gros siphonneurs de données perso) se contrefichent de notre vie privée, tout autant que Rudd. Mais ce que réclame Amber, c’est de pouvoir taper gratuitement dans leur butin (et le butin, pour eux, ce sont nos données). Ils n’apprécient pas forcément, mais on les a déjà vus s’en accommoder s’il le faut.

Ce qui est plus grave, c’est que la requête de Rudd exclut l’existence même de services qui cherchent vraiment à protéger notre vie privée : les outils de communication chiffrée de bout en bout comme Signal, par exemple ; ou les outils de communication décentralisés comme Tox.chat.

Plus grave encore, peut-être : si le gouvernement britannique arrive à ses fins et met en œuvre les pouvoirs qui lui sont déjà conférés par l’Investigatory Powers Act, cela fermera la porte à ceux d’entre nous qui veulent construire des systèmes décentralisés, respectueux de la vie privée, interopérables, libres et ouverts, parce que de tels systèmes deviendront illégaux. Or l’avenir de la démocratie à l’ère numérique en dépend.

Rudd : Grâce au travail accompli avec la cellule anti-terroriste du gouvernement, nous avons pu dépublier 280000 documents à caractère terroriste depuis 2010 et fermer des millions de comptes.

Ok, donc, si je comprends bien, Amber, ce que vous nous expliquez, c’est que les mesures que vous prenez en collaboration avec les entreprises IT pour lutter contre la propagande publique des organisations terroristes fonctionnent bien. Le tout sans le moindre besoin de compromettre le chiffrement ou d’implémenter des portes dérobées dans les systèmes de communication. Mais continuez donc comme ça !

Rudd : Mais il y a bien plus à faire. Voilà pourquoi, lors de la réunion de mars dernier, les entreprises IT les plus puissantes de la planète se sont portées volontaires pour créer le Forum Internet Global Contre le Terrorisme.

Les multinationales n’ont pas à fliquer les citoyens du monde, ce n’est pas leur rôle. Elles aimeraient bien amasser encore plus de données et de renseignements sur la population mondiale, légitimer les structures de surveillance déjà en place et exercer un contrôle encore plus grand. Ça va sans dire. Mais c’est cet avenir que nous devons à tout prix éviter.

Sous prétexte de nous préserver d’un risque statistiquement négligeable, ce qui est envisagé est un panoptique mondial sans précédent. Dans un tel système, nous pourrons dire adieu à nos libertés individuelles (la liberté de parole, le droit à la vie privée…) et à notre démocratie.

Rudd : Le Forum se réunit aujourd’hui pour la première fois et je suis dans la Silicon Valley pour y assister.

Non seulement vous plaidez pour que les entreprises privées s’acoquinent avec les gouvernements pour jouer un rôle actif dans le flicage des citoyens ordinaires, mais vous faites appel à des entreprises américaines, ce qui revient à donner un sceau d’approbation officiel à l’implication d’entreprises étrangères dans le flicage des citoyens britanniques. (Merkel et Macron ont l’intention de saper les droits des citoyens européens de la même façon si on les laisse faire.)

Rudd : Les entreprises IT veulent aller plus vite et plus loin dans la mise au point de solutions technologiques susceptibles d’identifier, de faire disparaître, d’endiguer la diffusion de contenus extrémistes.

Soit ! Mais ça ne nécessite toujours pas de portes dérobées ni de chiffrement moins performant. Encore une fois, il s’agit de contenus publics.

Il faudrait un jour prendre le temps de débattre beaucoup plus longuement de qui est habilité à décréter qu’un contenu est extrémiste, et de ce qui arrive quand les algorithmes se plantent et stigmatisent quelqu’un à tort comme auteur de propos extrémistes en laissant sous-entendre que cette personne est extrémiste alors qu’elle ne l’est pas.

À l’heure actuelle, ce sont des entreprises américaines qui définissent ce qui est acceptable ou pas sur Internet. Et le problème est bien plus vaste que ça : il nous manque une sphère publique numérique, puisque les Facebook et autres Google de la planète sont des espaces privés (pas publics) – ce sont des centres commerciaux, pas des parcs publics.

Ce que nous devrions faire, c’est financer la création d’espaces publics en ligne, encourager la souveraineté individuelle, promouvoir un usage équitable du bien commun. Vous, Madame Rudd, vous êtes bien sûr à des années-lumière de ce genre d’initiatives, mais au moment où je vous parle, certains d’entre nous travaillons à créer un monde aux antipodes de celui que vous appelez de vos vœux.

Rudd : Leur attitude mérite félicitations mais ils doivent également savoir que nous leur demanderons des comptes. Cependant notre défi ne se limite pas à cela. Car au-delà des contenus pernicieux auxquels tout le monde a accès, il y a ceux que nous ne voyons pas, ceux qui sont chiffrés.

Ah, nous y voilà ! Après avoir consacré la moitié de l’article au combat victorieux du gouvernement contre l’expansion en ligne de la propagande publique des organisations terroristes, Rudd passe à son dada : la nécessité d’espionner les communications privées en ligne de chaque citoyen pour garantir notre sécurité.

Partie II : la guerre contre le chiffrement de bout en bout avec la complicité de Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.)


C’est là qu’il faut prendre un siège si vous êtes sujet au vertige car Mme Rudd va faire mieux qu’un derviche tourneur. Elle va également lâcher une bombe qui aura de graves répercussions sur votre vie privée si vous êtes adeptes des services fournis par Facebook, Microsoft, Twitter ou YouTube (Google/Alphabet, Inc.)

Rudd : le chiffrement joue un rôle fondamental dans la protection de tout un chacun en ligne. C’est un élément essentiel de la croissance de l’économie numérique et de la fourniture de services publics en ligne.

Parfaitement, Amber. La discussion devrait s’arrêter là. Il n’y a pas de « mais » qui tienne.

Mais …

Rudd : Mais, comme beaucoup d’autres technologies efficaces, les services de chiffrement sont utilisés et détournés par une petite minorité d’utilisateurs.

Oui, et donc ?

Rudd : Il existe un enjeu particulier autour de ce qu’on appelle le « chiffrement de bout en bout » qui interdit même au fournisseur de service d’accéder au contenu d’une communication.

Le chiffrement de bout en bout a aussi un autre nom : le seul qui protège votre vie privée à l’heure actuelle (au moins à court terme, jusqu’à ce que la puissance de calcul soit démultipliée de façon exponentielle ou que de nouvelles vulnérabilités soient découvertes dans les algorithmes de chiffrement).

Incidemment, l’autre garant important de la vie privée, dont on parle rarement, est la décentralisation. Plus nos données privées échappent aux silos de centralisation, plus le coût de la surveillance de masse augmente – exactement comme avec le chiffrement.

Rudd : Que ce soit bien clair : le gouvernement soutient le chiffrement fort et n’a pas l’intention d’interdire le chiffrement de bout en bout.

Ah bon, alors est-ce qu’on peut en rester là et rentrer chez nous maintenant … ?

Rudd : Mais l’impossibilité d’accéder aux données chiffrées dans certains cas ciblés et bien particuliers (même avec un mandat signé par un ministre et un haut magistrat) constitue un obstacle de taille dans la lutte anti-terroriste et la traduction en justice des criminels.

Oui, mais c’est la vie. On ne peut pas avoir le beurre et l’argent du beurre.

Rudd : Je sais que certains vont soutenir qu’on ne peut pas avoir le beurre et l’argent du beurre, que si un système est chiffré de bout en bout, il est à jamais impossible d’accéder au contenu d’une communication. C’est peut-être vrai en théorie. Mais la réalité est différente.

Vrai en théorie ? Mme Rudd, c’est vrai en théorie, en pratique, ici sur Terre, sur la Lune et dans l’espace. C’est vrai, point final.

« Mais la réalité est différente », ce doit être la glorieuse tentative d’Amber Rudd pour battre le premier ministre australien, Malcolm Turnbull, dans la course aux âneries sur le chiffrement . M. Turnbull a en effet récemment fait remarquer que « les lois mathématiques sont tout à fait estimables, mais que la seule loi qui s’applique en Australie est la loi australienne. »

Turnbull et Rudd, bien sûr, suivent la même partition. C’est aussi celle que suivent May, Merkel et Macron. Et, après sa remarque illogique, Turnbull a laissé entendre de quelle musique il s’agit quand il a ajouté : « Nous cherchons à nous assurer de leur soutien. » (« leur », en l’occurrence, fait référence aux entreprises IT).

Rudd développe son idée dans le paragraphe qui suit :

Rudd : Dans la vraie vie, la plupart des gens sont prêts à troquer la parfaite inviolabilité de leurs données contre une certaine facilité d’utilisation et un large éventail de fonctionnalités. Il ne s’agit donc pas de demander aux entreprises de compromettre le chiffrement ou de créer de prétendues « portes dérobées ». Qui utilise WhatsApp parce qu’il est chiffré de bout en bout ? On l’utilise plutôt que parce que c’est un moyen incroyablement convivial et bon marché de rester en contact avec les amis et la famille. Les entreprises font constamment des compromis entre la sécurité et la « facilité d’utilisation » et c’est là que nos experts trouvent des marges de manœuvres possibles.

Traduction : Ce que nous voulons, c’est que les entreprises n’aient pas recours au chiffrement de bout en bout.

Voilà donc la pierre angulaire de l’argumentaire de Rudd : les entreprises IT devraient décider d’elles-mêmes de compromettre la sécurité et la protection de la vie privée de leurs usagers, en n’implémentant pas le chiffrement de bout en bout. Et, pour faire bonne mesure, détourner l’attention des gens en créant des services pratiques et divertissants.

Inutile de préciser que ce n’est pas très loin de ce que font aujourd’hui les entreprises de la Silicon Valley qui exploitent les données des gens. En fait, ce que dit Rudd aux entreprises comme Facebook et Google, c’est : « Hé, vous appâtez déjà les gens avec des services gratuits pour pouvoir leur soutirer des données. Continuez, mais faites en sorte que nous aussi, nous puissions accéder à la fois aux métadonnées et aux contenus de leurs communications. Ne vous inquiétez pas, ils ne s’en apercevront pas, comme ils ne se rendent pas compte aujourd’hui que vous leur offrez des bonbons pour mieux les espionner. »

De même, l’argument de l’indispensable « compromis entre la sécurité et la facilité d’utilisation » relève d’un choix fallacieux. Une nouvelle génération d’apps sécurisées et respectueuses de la vie privée, comme Signal, prouvent qu’un tel compromis n’est pas nécessaire. En fait c’est Rudd, ici, qui perpétue ce mythe à dessein et incite les entreprises IT à s’en servir pour justifier leur décision d’exposer leurs usagers à la surveillance gouvernementale.

Pas besoin de réfléchir bien longtemps pour se rendre compte que l’argumentation d’Amber s’écroule d’elle-même. Elle demande « Qui utilise WhatsApp parce que c’est chiffré de bout en bout et non parce que c’est un moyen incroyablement convivial et bon marché de rester en contact avec les amis et la famille ? » Retournons-lui la question : « Qui s’abstient d’utiliser WhatsApp aujourd’hui sous prétexte que le chiffrement de bout en bout le rendrait moins convivial ? » (Et, tant que nous y sommes, n’oublions pas que Facebook, propriétaire de Whatsapp, fait son beurre en récoltant le plus d’informations possible sur vous et en exploitant cet aperçu de votre vie privée pour satisfaire son avidité financière et ses objectifs politiques. N’oublions pas non plus que les métadonnées – interlocuteurs, fréquence et horaires des appels – ne sont pas chiffrées dans WhatsApp, que WhatsApp partage ses données avec Facebook et que votre profil de conversation et votre numéro de téléphone sont liés à votre compte Facebook.`

Rudd : Donc, nous avons le choix. Mais ces choix seront le fruit de discussions réfléchies entre les entreprises IT et le gouvernement – et ils doivent rester confidentiels.

Traduction : Quand les entreprises supprimeront le chiffrement de bout en bout de leurs produits, nous ne souhaitons pas qu’elles en avertissent leurs usagers.

Voilà qui devrait vous faire froid dans le dos.

Les services dont Amber Rudd parle (comme WhatsApp) sont des applications propriétaires dont le code source est privé. Cela signifie que même d’autres programmeurs n’ont aucune idée précise de ce que font ces services (même si certaines techniques de rétro-ingénierie permettent d’essayer de le découvrir). Si la plupart des gens font confiance au chiffrement de bout en bout de WhatsApp c’est qu’un cryptographe très respecté du nom de Moxie Marlinspike l’a implémenté et nous a dit qu’il n’y avait pas de problème. Or, le problème avec les applications, c’est qu’elles peuvent être modifiées en un clin d’œil… et qu’elles le sont. WhatsApp peut très bien supprimer le chiffrement de bout en bout de ses outils demain sans nous en avertir et nous n’en saurons rien. En fait, c’est précisément ce que demande Amber Rudd à Facebook et compagnie.

À la lumière de ces informations, il y a donc deux choses à faire :

Regardez quelles entreprises participent au Forum Internet Global Contre le Terrorisme et cessez de croire un traître mot de ce qu’elles disent sur le chiffrement et les garanties de protection de la vie privée qu’offrent leurs produits. Ces entreprises sont Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.)

Les experts en sécurité informatique ne doivent pas se porter garants du chiffrement de bout en bout de ces produits sauf s’ils peuvent s’engager à vérifier individuellement chaque nouvelle version exécutable. Pour limiter la casse, les individus comme Moxie Marlinspike, qui a pu se porter garant d’entreprises comme Facebook et WhatsApp, doivent publiquement prendre leurs distances par rapport à ces entreprises et les empêcher de devenir complices de la surveillance gouvernementale. Il suffit d’une seule compilation de code pour supprimer discrètement le chiffrement de bout en bout, et c’est exactement ce que souhaite Amber Rudd.

Rudd : Ce qu’il faut bien comprendre c’est qu’il ne s’agit pas de compromettre la sécurité en général.

Ces actions compromettraient totalement la vie privée et la sécurité des militants et des groupes les plus vulnérables de la société.

Rudd : Il s’agit travailler ensemble pour que, dans des circonstances bien particulières, nos services de renseignement soient en mesure d’obtenir plus d’informations sur les agissements en ligne de grands criminels et de terroristes.

Une fois encore, ni la suppression du chiffrement de bout en bout ni la mise en place de portes dérobées ne sont nécessaires pour combattre le terrorisme. Si Rudd veut arrêter des terroristes, elle devrait plutôt cesser de raboter le budget de la police de proximité, le seul moyen qui ait fait ses preuves. Je me demande si Rudd se rend seulement compte qu’en appelant à la suppression du chiffrement de bout en bout dans les outils de communications en ligne, ce qu’elle fait en réalité, c’est exposer le contenu des communications de tout un chacun à la surveillance continue par – au minimum – les fournisseurs et les hébergeurs de ces services. Sans parler du fait que ces communications peuvent être manipulées par d’autres acteurs peu recommandables, y compris des gouvernements étrangers ennemis.

Rudd : Parer à cette menace à tous les niveaux relève de la responsabilité conjointe des gouvernements et des entreprises. Et nous avons un intérêt commun : nous voulons protéger nos citoyens et ne voulons pas que certaines plateformes puissent servir à planifier des attaques contre eux. La réunion du Forum qui a lieu aujourd’hui est un premier pas dans la réalisation de cette mission.

Je n’ai rien de plus à ajouter, pas plus que Rudd.

Pour conclure, je préfère insister sur ce que j’ai déjà dit :

Ce que souhaite Amber Rudd ne vous apportera pas plus de sécurité. Ça ne vous protégera pas des terroristes. Ça permettra aux gouvernements d’espionner plus facilement les militants et les minorités. Ça compromettra la sécurité de tous et aura des effets glaçants, dont la destruction du peu de démocratie qui nous reste. Ça nous conduira tout droit à un État Surveillance et à un panoptique mondial, tels que l’humanité n’en a jamais encore connu.

Quant aux entreprises membres du Forum Internet Global Contre le Terrorisme (Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.) – il faudrait être fou pour croire ce qu’elles disent du chiffrement de bout en bout sur leur plateformes ou des fonctionnalités « vie privée » de leurs apps. Vu ce qu’a dit Amber Rudd, sachez désormais que le chiffrement de bout en bout dont elles se targuent aujourd’hui peut être désactivé et compromis à tout moment lors d’une prochaine mise à jour, et que vous n’en serez pas informés.

C’est particulièrement préoccupant pour WhatsApp, de Facebook, dont certains recommandent fréquemment l’usage aux militants.

Vu ce qu’a dit Amber Rudd et ce que nous savons à présent du Forum Internet Global Contre le Terrorisme, continuer à recommander WhatsApp comme moyen de communication sécurisé à des militants et à d’autres groupes vulnérables est profondément irresponsable et menace directement le bien-être, voire peut-être la vie, de ces gens.

P.S. Merci pour ce beau travail, Amber. Espèce de marionnette !

(Un grand merci, non ironique cette fois, à Laura Kalbag pour sa relecture méticuleuse et ses corrections.)

 

À propos de l’auteur

Aral Balkan est militant, designer et développeur. Il représente ⅓ de Ind.ie, une petite entreprise sociale œuvrant à la justice sociale à l’ère du numérique.

Contacter Aral Balkan

Email (pour les questions urgentes, merci de mettre laura@ind.ie en CC)

Clé publique (94E9AA31)

Mastodon.ar.al
Twitter