Un jeune libriste part à l’asso des mauvaises habitudes

Neil vient de finir un stage d’étudiant au terme duquel il a réussi à faire adopter des outils libres à une association. Il livre ici le récit de ses tribulations, c’est amusant et édifiant…

On aimerait bien qu’il y en ait beaucoup comme lui pour s’engager de façon aussi déterminée et efficace. Nous espérons entamer une série d’interviews de libristes qui comme lui sont particulièrement impliqué⋅e⋅s dans la diffusion des valeurs et des pratiques libristes.


avatar de Neil, un pigeon sur la tête
Avatar de Neil, image d’après Tunaniverse

Bonjour à tous,

N’ayant encore qu’assez peu d’expérience dans le domaine du libre et s’agissant de mon premier article sur Internet, je sollicite votre bienveillance et vous invite à me signaler toute éventuelle erreur ou mauvais usage des termes dans cet article.

Contexte

Les études

Avant de commencer, un peu de background. J’ai 20 ans et je suis en première année de BTS SIO (branche SLAM), formation post-bac orientée sur l’informatique de gestion et le développement d’applications.

Au bout d’un mois dans cette filière, j’ai senti qu’elle n’était pas pour moi en constatant notamment un retard assez grave dans les notions du référentiel. Mais pour des raisons financières (bourses, appartement, etc.) j’ai dû finir mon année, ce qui implique l’obligation de trouver un stage d’un mois en juin.

Le choix de l’association

J’ai donc choisi une association que je vais appeler Ciné-Asso, qui propose des tarifs réduits pour des séances au cinéma pour les établissements scolaires et ses adhérents. Ses responsables disaient avoir besoin de retravailler leur système d’information.

C’était pour moi une chance que de pouvoir mettre mes connaissances à disposition d’une association, ce qui m’attirait bien plus que les stages choisis par mes camarades de classe (stage en banque, en dépannage/réparation informatique, au supermarché, en startup French Tech qui développe sous WinDev1. Choix judicieux que de choisir un stage WinDev en BTS SIO : WinDev fait partie des logiciels étudiés et utilisés tout comme WordPress, Microsoft Visio, Win’Design, PC Wizard 2015 et plein d’autres. (Vous comprenez pourquoi je n’aime pas cette filière ?)

Et je préférais travailler pour une asso en rapport avec l’art et la culture. Le choix était donc déjà fait.

Un peu de technique

En ce qui concerne les outils utilisés, mon ordinateur tourne sous Debian Buster (prerelease) depuis Janvier 2018. Je code exclusivement sous Vim, mon éditeur préféré. Pour le développement web, j’utilise Apache et MariaDB côté serveur (en local, donc sur mon propre poste). J’utilise souvent MySQL Workbench (la version sous licence GPL par Oracle) pour éditer la BDD, sinon en CLI. Je travaille tout le temps avec draw.io (licence Apache), un logiciel vraiment pratique pour réaliser des schémas en tous genres, des cartes mentales aux modèles relationnels. Je m’estime par ailleurs libriste et refuse, lorsque la situation le permet, de travailler avec des logiciels propriétaires. Vous allez voir que défendre ses valeurs n’est pas facile…

Tâches assignées

Principalement deux tâches me seront confiées durant ce stage d’un mois :

  • Retravailler le site web de Ciné-Asso Leur site web tournait sous une très ancienne version de Joomla ! et franchement, ce n’était pas beau à voir. Bref, un site des années 2006. Ma mission sera de développer un site vitrine pour le remplacer, avec une gestion d’évènements planifiés (de séances de films, en l’occurrence) pour l’association. Cela inclut évidemment la formation des bénévoles à l’outil ;
  • Retravailler la base de données, reconstruire la base de données utilisée pour enregistrer les adhérents et les donateurs de l’asso. La base de données actuelle a été créée il y a 10 ans sous Access 2003 (si ce n’est 98…) et elle est encore utilisée jusqu’à présent. La base n’est pas relationnelle alors qu’elle devrait l’être. Résultat : 35 champs dans une table avec les adhérents et donateurs mélangés, des doublons, des couples sur un seul enregistrement et de sérieuses limites. Je vais donc devoir créer une nouvelle base, migrer toutes les données et former les bénévoles.

Le tout, donc, en un mois, avec la contrainte personnelle de n’utiliser que des logiciels libres.

capture de la liste des entrées de la base de données ancienne
La base d’adhérents au départ…

Présentation de Ciné-Asso

Je vais donc vous présenter brièvement l’équipe de Ciné-Asso. De faux noms leur seront attribués afin de préserver leur anonymat.

M. Touron est le président de l’association. Un esprit juste et logique.

Mme Nougat est la trésorière et celle que je dois convaincre. Elle est très réticente à l’intégration de mon travail au sein de l’asso. Elle sera aussi l’une des principales utilisatrices du logiciel de gestion de base de données. J’ai donc intérêt à faire du bon travail afin de satisfaire ses attentes.

M. Réglisse s’occupe de la communication auprès des adhérents. Il utilise tout le temps l’outil informatique dans son travail, pas toujours comme il le faudrait.

Mme Caramel est une jeune bénévole qui soutient mes idées. Elle s’occupe principalement du site web.

M. Calisson est un bénévole octogénaire et maintient la base de données Access. C’est un autodidacte de l’informatique. Il racontait fièrement qu’il avait programmé en COBOL pour le gouvernement à une époque désormais révolue.

M. Prunelle est un prestataire de services extérieur à l’association et jouera un rôle crucial.

Une réunion est organisée entre deux ou trois bénévoles et moi deux fois par semaine afin de présenter l’avancée de mon travail et de m’ajuster à la demande. En dehors des réunions, je travaille en autonomie.

Un détail important à relever : aucun membre de Ciné-Asso n’est assez compétent en informatique pour s’occuper du côté technique du site après mon départ.

Le site web

J’ai consacré les 15 premiers jours à la réalisation du site web. Et parmi tous les CMS possibles, j’ai choisi… Allez, devinez… WordPress.
Vous avez le droit de jeter vos tomates pourries ; mais je n’avais aucune expérience, ni avec Drupal, ni avec Joomla! et je n’avais clairement pas le temps de tester les solutions (rappelons que j’ai seulement 15 jours pour finaliser le site, formations incluses). De plus, je connaissais déjà bien WordPress pour l’avoir utilisé par le passé. Et croyez-moi, j’ai regretté de ne pas avoir été assez curieux, car ces 15 jours mêlèrent ennuis et souffrance.

Le décor

On commence par le design. J’ai choisi la version gratuite d’un thème qui leur plaisait bien. Je leur conçois une jolie bannière d’en-tête (avec GIMP, bien évidemment). Au final, j’ai dû la refaire 16 fois dans une réunion de 4 heures pour satisfaire aux demandes de M. Touron, président. Mais passons. J’ai dû bidouiller le CSS afin de convenir à leurs attentes, au risque de tout casser à la prochaine mise à jour. En guise de solution, je leur ai demandé de tout mettre à jour, sauf le thème.
C’est sale, ça contourne le problème, mais je ne vois pas d’autre option dans le temps imparti ; de plus, les thèmes souffrent rarement d’une faille de sécurité. J’ai donc jugé le pari suffisamment sûr.
Travailler sur WordPress n’est pas jouissif. Ça me servira de leçon pour mes stages futurs.

Les plugins

Je choisis le plugin WP Theater pour programmer les séances de cinéma.
Évidemment, les fonctions les plus intéressantes sont payantes. Je me contente des fonctions de base et réussis à convenir à leurs demandes. M. Touron m’a proposé d’acheter la version payante du plugin, mais j’ai insisté en disant que n’était pas nécessaire et que pour le prix de la fonctionnalité, ça relevait plutôt de l’escroquerie.

Les deux semaines s’écoulèrent (trop) paisiblement avec quelques ajustements par-ci par-là. La formation fut terminée en une après-midi. L’intéressée, Mme Caramel, appréciait l’interface conviviale du logiciel.

Choses vues

En un mois, j’ai appris à connaître les membres de l’association : leur personnalité, leur empathie et surtout, leur usage de l’outil informatique. J’ai tout de même quelques anecdotes qui font peur.

M. Réglisse et Micro$oft Office

J’apprends que l’un des membres de l’association, M. Réglisse, utilise MS Office 2003 pour travailler sur les documents de l’asso. Malheureusement, ce logiciel de Micro$oft n’arrive plus à exporter en PDF sur son poste, pour une raison inconnue (tout autant à lui qu’à moi). Sans compter que Office 2003 ne lit pas les nouveaux formats MS Office (depuis 2007 : xlsx, docx, etc.) ni les formats libres (odt…). Et ainsi, à chaque fois que M. Réglisse souhaite lire ou éditer un fichier incompatible, il envoie ce fichier par mail à sa collègue qui le convertit en PDF (à l’aide d’Apache OpenOffice) et qui lui renvoie par mail, et ce depuis longtemps.
Il fallait quand même que je me retienne de sourire en écoutant ça.
On me demande conseil.
En bon libriste, j’explique que le logiciel est trop vieux et qu’il faut passer à LibreOffice gratuitement ou acheter le pack Office tous les 3 ans, en insistant bien sur la première option.
« Oui, mais j’ai déjà essayé, ça marche pas, y’a des bugs et c’est pas toujours compatible… » Finalement, j’ai réussi à le convaincre. Ça a changé un peu la mise en forme de ses fichiers et il ne s’est pas gêné de me faire remarquer qu’un pixel dépassait par-ci par-là, mais il devrait s’en satisfaire pour le moment.

Vive le libre !

M. Réglisse et le mailing

Dans les aventures de M. Réglisse, j’ai aussi celle où il souhaite envoyer une newsletter à tous les adhérents de l’association. Il ouvre sa base Access 2003, et demande au logiciel de lui donner tous les mails des membres de l’asso. Il ouvre Thunderbird en parallèle, crée un nouveau groupe… et ajoute tous les mails en les réécrivant un par un à la main ! On m’explique que c’était parce que certains mails peuvent avoir été entrés dans la base de données avec des erreurs (une virgule au lieu d’un point, par exemple…) et que copier coller pose alors des problèmes… Car la base de données ne détecte pas les erreurs de saisie…

Je promets à M. Réglisse que le mailing sera beaucoup plus facile avec ma solution.

La réunion à mi-chemin

Les réunions furent assez régulières avec moi au sein de l’asso, mais celle-ci fut de très loin la plus importante. Je rencontre M. Prunelle, expert en informatique, retraité. Il s’agit d’un prestataire de services extérieur à l’association, contacté par Mme Nougat dans l’idée de contrôler mon travail et de m’aiguiller. Pour la première fois, M. Calisson, mainteneur de la base de données, est présent. M. Prunelle commence donc par parler de son parcours ; il a fondé une entreprise d’informatique pendant sa jeunesse et a déjà programmé en COBOL et en assembleur, raconte-t-il avec nostalgie.

M. Prunelle joue un rôle crucial : il s’engage à maintenir mon travail à mon départ en tant que bénévole si le projet correspond à ses attentes. Il s’agit donc d’une personne avec laquelle je devrais collaborer.

Les deux premières heures

On parle beaucoup du site web. Je l’ai présenté, il était déjà globalement fini, prêt à être basculé en production. M. Prunelle approuve mon choix du CMS WordPress et raconte qu’il a de l’expérience avec. On discute des quelques bidouillages sur le CSS (peu nombreux mais hélas impératifs conformément aux demandes).
Mon code étant commenté et mes modifications légères et peu nombreuses, il les approuve et se propose même de les maintenir si ça casse après une mise à jour. Super, ça m’arrache une épine du pied !

Les deux dernières heures

J’aborde le sujet de la base de données. Il faut savoir que la trésorière, Mme Nougat, s’oppose assez fortement au fait que je travaille sur la BDD. Elle souhaite que je me consacre pleinement au site et veut plutôt confier la base à un intervenant extérieur aux frais de l’association. C’est d’ailleurs pour cela qu’elle a fait appel à M. Prunelle…

J’explique mon projet. Un intranet maison, développé from scratch, une BDD relationnelle. Le tout fait à la main. J’avais déjà préparé un schéma relationnel que je lui montre.

« Ta base m’a l’air bien, relationnelle, tout bien comme il faut, c’est du bon travail. Par contre, je ne suis pas trop d’accord avec ta solution pour l’hébergement de la base de données, Maria DB… Je connais de nom mais ce n’est pas très utilisé dans le domaine professionnel… »

Il sort son cahier. Puis son stylo. Je le remarque alors… Un stylo rose fluo, avec le fameux logo de WINDEV dessus. Gulp. Je sais ce qui m’attend.

M. Prunelle me demande alors d’aller voir sur une page cachée d’un site web sur lequel il avait récemment travaillé. Il m’épelle l’adresse, quelque chose du genre « xalex-xpert.com/xalex_expert ».
S’affiche alors une vieille interface de connexion sans TLS, et je reconnais rapidement WEBDEV, de la même boîte. Je fais la moue. J’explique alors que je ne souhaite travailler qu’avec des logiciels libres, par éthique. Un sourire en coin s’affiche sur le visage de M. Prunelle :

« Ha ha ha, moi aussi, quand j’avais ton âge, j’étais un rebelle et je votais à gauche ! Mais aujourd’hui sur le marché du travail, dans un contexte professionnel de l’industrie informatique, jamais je ne me permettrais de présenter une verrue de Linux chez un client ! »

Hein ? L’industrie professionnelle de l’informatique ? Le marché du travail ? Qui a parlé de Linux ? Une verrue ?
La rébellion gauchiste ? Ce n’est pas un #MercrediFiction ni une exagération. C’est mot pour mot ce qu’il m’a dit. Je suis resté bouche bée pendant quelques secondes avant de passer à l’offensive en défendant mes arguments.

Et là, tout de suite, la grosse condescendance. En puissance. Limite, s’il m’avait versé un coulis de caca sur la tête, ça aurait été plus respectueux.

« Non mais de toute façon voilà, c’est comme ça qu’on débute, on fait tous des erreurs, on progresse ensuite, moi j’en ai vu, c’est pas le premier, je sais comment ça se passe »

Et alors évidemment Mme Nougat s’incruste et en rajoute une couche…

« Moi je pense qu’on a la chance d’avoir un professionnel parmi nous, M. Prunelle sait ce qu’il faut faire. Quand on est jeune, on ne connaît pas le marché du travail, on ne sait pas comment bien faire les choses pour répondre aux demandes du client, c’est normal »

(Allez-y, pissez-moi dessus encore, j’aime ça.) Mais avant que je ne me fasse totalement recaler, M. Touron et Mme Caramel interviennent au moment opportun et insistent pour me laisser une chance. Ouf, c’est sauvé. Par contre, du coup, inutile de compter sur lui pour maintenir ma « verrue de Linux ». Plus qu’à me débrouiller tout seul.

Résultat, les deux solutions seront proposées au conseil d’administration et c’est le conseil qui tranchera. J’ai intérêt à bien faire le boulot.

La veille technologique, ou comment j’ai changé d’avis

Ok, j’ai donc 15 jours pour réaliser une solution convaincante à partir de rien, migrer la solution actuelle vers la mienne et enfin former les nouveaux utilisateurs… Bon, j’ai des bouts de code de prêts pour ça, je suis assez expérimenté en PHP pour me débrouiller comme un grand. Mais 15 jours…

État des lieux

Tout d’abord, le lendemain de la réunion, M. Calisson (mainteneur octogénaire de la BDD) s’est présenté à moi. Il a fait l’effort de se déplacer dans les locaux pour me proposer personnellement son aide.
Face à une telle bienveillance, je ne pouvais refuser. Il m’a donné une documentation utilisateur d’une vingtaine de pages (datant de quelques années), très détaillée, qui m’a beaucoup appris. Il a ensuite pris le temps de m’expliquer chaque détail flou de la base actuelle et décrit les attentes particulières de Mme Nougat, qui attend d’être convaincue par ma solution.

Il n’était pas obligé de faire tout ça et je lui en suis grandement reconnaissant. Avant de le rencontrer, je pensais que ça allait être un esprit conservateur qui considère que sa solution (une table, 35 champs, rappelons-le) est la meilleure de toutes… et je me suis bien trompé. Comme quoi, le code ne fait pas le développeur…

À l’aide, Mastodon !

Dans le doute, je fais appel au réseau des réseaux. Et dans la panade, je fais appel au Fediverse.

Appel à l’aide sur Mastodon…Voyez tous les conseils reçus suite à ma demande !

 

Amis, camarades, connaissances, merci à vous. Vous avez été d’un précieux soutien dans cette situation difficile, vous m’avez aiguillé quand M. Prunelle m’avait lâché. Je savais que je pouvais compter sur vous ! Et j’ai attentivement écouté vos conseils.

Alors que choisir ?

Je peux dire beaucoup de mal (à tort et à raison) de mes professeurs de BTS SIO, mais c’est l’un d’eux qui m’a conseillé Galette en premier (en l’occurrence, ce professeur revendique des valeurs libristes mais enseigne WinDev et Win’Design aux élèves, ironiquement. Il enseigne Merise aussi, en 2018. Mais passons !)

Galette est un CMS libre de gestion d’adhérents pour les associations, inscrit sur Framalibre, l’annuaire contributif où j’aurais dû chercher en premier. Le logiciel a été créé en 2004 et est toujours maintenu à l’heure actuelle via des mises à jour régulières. Il est utilisé par des dizaines d’associations et reste un choix à considérer pour un déploiement rapide et efficace.

La Fediverse m’ayant conseillé (entre autres) Galette, j’ai décidé de m’y intéresser de plus près. Je connaissais déjà Galette (de nom seulement) avant que mon professeur m’en parle, mais tout écrire de soi-même avait l’air tellement plus amusant…

Et la solution avait l’air vraiment sympa. Il m’a fallu quelques jours pour m’assurer qu’elle collait bien au cahier des charges de Mme Nougat, mais tout avait l’air d’aller comme il faut. Et comme je n’ai plus le temps, il vaut mieux choisir cette option plutôt que de partir de zéro et rendre un travail insatisfaisant ou incomplet.

Partons donc pour Galette !

Galette

Abordons un peu l’aspect technique. La formation WordPress et quelques autres tâches ayant un peu débordé sur le planning, il me reste 10 jours pour déployer la solution et former les utilisateurs.

Le cahier des charges

Je rencontre un problème. Le cahier des charges n’est pas respecté sur un point : les statistiques. L’asso a besoin de stats assez précises pour la comptabilité et Galette ne fournit que deux ou trois pauvres camemberts. Galette tournant sous PHP, je prends la décision d’écrire un plugin.

Le plugin

C’est ce qui va prendre le plus de temps. Je travaille dans un environnement avec lequel je ne suis pas familier du tout, même si c’est du PHP, car je n’ai jamais touché à des frameworks PHP ni utilisé une API conçue pour des plugins. Ma première rencontre avec Zend Framework se passe… mal. Très mal, au point où j’interroge directement la base de données avec des requêtes en dur pour faire le boulot.
J’aurais aimé apprendre comment m’en servir, mais « je n’ai pas le temps ». Bon, j’ai moins d’excuses pour le switch à 90 cases avec des requêtes SQL et les 80 lignes de HTML dans un string… Mais chut…

Blague à part, je commence à être vraiment à la bourre. Plus que quelques jours de stage déjà, et c’est fini. Je me débrouille comme je peux pour coder quelque chose qui fonctionne. Qui a parlé de maintenabilité ?
Le prochain qui passera derrière moi sera probablement un stagiaire de BTS SIO, ça lui fera les pieds 🙂 (Il va me retrouver et me tuer pour avoir écrit ça, et je ferai moins le malin quand je tomberai sur un cas similaire. Bon au moins, j’ai mis plein de commentaires)

La demande de dernière minute

J’ai présenté le plugin de stats à Mme Nougat et il a fallu s’adapter à une demande de dernière minute. Totalement justifiée cela dit, ça faciliterait grandement la comptabilité. Il s’agit encore de stats.
J’applique des quickfixes sur le code dégueulasse que j’ai pondu juste avant. Il me reste trois jours. (Comment ça, ce n’est pas une excuse ? Au moins ça fonctionne !)

Bon allez, on plie ça vite fait et on passe à l’importation, qui n’est même pas commencée !

Préparation pour la migration

Un peu plus de technique.
La base de données est sous forme de fichier. MDB (Access), format propriétaire. Elle pèse 8.5 Mo. J’ai des frissons dans le dos. J’utilise le paquet mdb-tools pour convertir la structure et les données en requêtes SQL et je crée une nouvelle DB en local (MariaDB) et j’importe le tout.
Vive le libre.

Voilà la table à 35 champs… Ma première tâche va être de séparer les entrées des couples (M. et Mme) qui ont été enregistrés en une seule entrée.
Sur le coup, LibreOffice Calc est mon ami. J’importe tous les enregistrements où Sexe=« M. et Mme » et je les sépare à coups de Chercher/Remplacer. Une fois le boulot fini, j’importe tous les autres adhérents enregistrés dans la base jusque là sur le tableur, c’est plus facile que sur Workbench. Et nous y voilà, un total de 1275 lignes.

La grande migration

Allez, c’est parti. Je saisis 1275 adhérents à la main, depuis l’interface de Galette.

Bien sûr que non. Vous croyez vraiment que j’allais faire ça manuellement ?
Je me remémore ce que disait l’un de mes professeurs de BTS SIO :

« Un développeur, c’est un branleur. Une quiche molle. Alors à un m’eng donné, il faut savoir optimiser son traitemeng ou on va se retrouver avec une KYRIELLE de travail à faire. »

Il reste 2 jours. Comptant un jour de formation et d’installation du logiciel, j’ai 24 heures pour réaliser la migration. Admettons que je prenne trois minutes par entrée (adhérent + contribution). (1275 x 3) / 60= 63h45 de travail. C’est hors limites !

La seule solution est donc d’automatiser le tout. Mais il ne s’agit pas d’un simple INSERT INTO dans une table, hélas. Galette utilise un système de champs dynamiques qui permet d’avoir des champs personnalisés par l’association. Il les gère d’ailleurs assez mal : lorsqu’on supprime un adhérent ou une contribution, les champs dynamiques associés ne se suppriment pas avec. Encore un bug à signaler, tiens. Mais passons.

Formatage des données

Je commence par ajouter un adhérent et une cotisation annuelle pour ce dernier et j’identifie dans la BDD les tables mises à jour. Il y en a trois : galette_adherents, galette_cotisations et galette_dynamic_fields.

Ensuite, ça reste quand même assez trivial. J’identifie à quoi correspondent les champs dans les tables et je prépare mes inputs selon mes besoins. Je n’oublie pas de m’adapter au logiciel. Exemple, Galette interdit les adresses mail dupliquées dans la BDD. Je supprime tous les duplicatas depuis LibreOffice avant de commencer quoi que ce soit. Puis vient le plus
pénible. Le formatage des inputs. LibreOffice est pratique pour ça, mais je préfère tellement Vim qui s’avère bien plus efficace quand on a l’habitude du logiciel.

Vérification des données

Je vérifie encore mes inputs. Les erreurs les plus courantes :
– Doubles espaces (un coup de regex et c’est fini)
– Accents dans les adresses mail
– Virgules à la place de points un peu partout
– Formatage pas toujours standardisé du numéro de téléphone… J’étale le champ adresse, unique jusque là, sur deux lignes. C’est long et pénible, un bon travail de stagiaire. Par superstition, j’enlève les guillemets placés inutilement dans les adresses physiques.
– Au passage, je découvre des adresses Yahoo, AOL, Cegetel, Alice, Wanadoo, Neuf et même quelques .gouv.*.
Ça fait un peu peur.

– Le champ galette_adherents.login_adh contient des caractères aléatoires servant d’identifiant pour l’adhérent. L’asso n’utilise pas cette fonctionnalité, mais pour ne pas contrarier Galette, je vais insérer des caractères aléatoires dedans : SUBSTRING(MD5(RAND()) FROM 1 FOR 15)
Ce n’est pas censé être un identifiant hexadécimal, mais ce n’est pas grave.

Enfin, je prends soin de distinguer les champs vides des champs NULL. On peut maudire SQL pour ça, je suppose.

Je termine la migration le 28 juin au soir, soit 24 heures avant la fin du stage. La journée de demain commencera à 09h00.

Déploiement de la solution

Ah oui, à ne pas oublier. Avant de former les utilisateurs, il faut d’abord déployer Galette sur leur réseau (en intranet). Je choisis l’utilisation de XAMPP sur l’un de leurs postes Windows.
Je configure le serveur DHCP de leur box pour que l’IP du poste en question soit fixe. Ma méthode est probablement discutable mais je ne vois pas d’autre option possible, surtout qu’héberger Galette sur le “cloud” ne leur aurait pas servi car ils ne travaillent sur la BDD qu’en local. Enfin, je déploie Galette, j’exporte la BDD depuis mon poste et je l’importe sur le leur. Je transfère aussi les fichiers de mon plugin. Évidemment, l’opération ne s’est pas déroulée sans accroc – surtout sur des postes Windows. J’ai perdu une à deux heures dans la migration.

L’imprévu fatidique

En formant l’une des deux bénévoles, on s’aperçoit ensemble que de nombreuses données de l’ancienne base sont erronées depuis quelques mois (suite à une maintenance de M. Calisson) et que ces erreurs ont été (évidemment) reportées sur la nouvelle base. Nous arrivons à une conclusion terrifiante : il faut repasser manuellement derrière chacune des 1275 adhésions à partir des bordereaux d’adhésion, conservés par précaution. Cette opération nous a coûté 4 à 5 heures. La bénévole a eu la gentillesse de m’apporter une pizza pour que je puisse finir mon travail d’esclave le plus vite possible sans sortir du bureau.

fig.1 Travailler en équipe pour résoudre un problème. La théorie.

fig.2 Travailler en équipe pour résoudre un problème. La réalité.

La formation

Vous imaginez qu’il ne me reste plus beaucoup de temps pour former les utilisateurs. La première bénévole était assez familière avec l’informatique, mais la deuxième ne l’était pas du tout – au contraire, elle détestait l’informatique. J’ai dû abréger beaucoup de points que je préciserai dans une documentation utilisateur à rédiger après mon départ. Ce fut très laborieux, mais l’essentiel a été vu. Il est 18h00, mon stage se termine et ma mission avec. Je remercie M. Touron qui m’offre une gratification de stage de 150 euros.

Le suivi

Le libre, c’est bien, mais quand il est encadré et suivi, c’est mieux. Le site web de l’association est hébergé par la Ligue de l’Enseignement, ce qui leur permet de profiter de tarifs très préférentiels. J’ai pu rencontrer l’un de leurs membres avec M. Touron dans le cadre de la migration du site de Joomla ! vers WordPress.
Ce monsieur, aux antipodes de M. Prunelle, était clairement fâché de mon choix de WordPress, en disant que les webmasters oublient souvent de mettre à jour le CMS et qu’il est généralement considéré comme une usine à gaz trouée par des failles de sécurité. Je ne peux qu’être d’accord avec lui sur ces points-là, malheureusement.
M. Touron aborde finalement la question de la gestion de la base de données (Galette, donc) et ce monsieur semble non seulement connaître le CMS, mais exprime sa satisfaction quant au choix d’un logiciel libre. Quand je lui ai dit que ce choix était par éthique, nous sommes rapidement partis dans une discussion libriste mentionnant La Quadrature du Net, l’April, Framasoft, les RMLL 2018 qui approchent à grands pas…

C’était ma première discussion avec un libriste dans la vraie vie et elle ne pouvait pas tomber à un meilleur timing. La personne idéale pour reprendre le projet était déjà trouvée, je peux dormir sur mes deux oreilles !

Ressenti personnel

Cet article est déjà beaucoup trop long, mais je tiens à exprimer mon ressenti sur ce stage. La rencontre avec M. Prunelle fut très parlante pour moi : j’ai réalisé à quel point les esprits peuvent être conservateurs dans le domaine de l’informatique.

Être libriste, c’est avant tout avoir des convictions que l’on défend au quotidien. Je ne m’attendais pas à entrer en conflit d’éthique avec qui que ce soit pendant ce stage, tout comme je ne m’attendais pas à rencontrer des personnes défendant les mêmes valeurs que moi. C’est aussi inciter les utilisateurs moins familiers vis-à-vis de l’outil informatique à découvrir les outils libres, faire face à leurs réticences dues à la peur de l’inconnu, à leur habitude d’utiliser des outils propriétaires et parfois, à leur manque de confiance en votre personne au prétexte de votre jeune âge et de votre supposé manque d’expérience.

Ce stage fut un véritable combat au nom de l’éthique et de mes propres convictions, mais il fut aussi porteur d’espoir : les libristes sont plus nombreux que je ne le pensais, et mon déplacement à mon tout premier meeting (les RMLL 2018) va probablement m’aider à mieux connaître (et sympathiser !) avec les différentes communautés et me permettre de définir plus précisément mon parcours professionnel en vue, dans l’idéal, d’un métier dans ce domaine.

Vive le libre !

@Neil@shelter.moe




Décodons le discours anti-chiffrement

La secrétaire d’État à l’Intérieur du Royaume-Uni demandait fin juillet aux entreprises du numérique de renoncer au chiffrement de bout en bout. Aral Balkan a vivement réagi à ses propos.

L’intérêt de son analyse sans concessions n’est ni anecdotique ni limité au Royaume-Uni. Il s’agit bien de décoder le discours contre le chiffrement dont on abreuve les médias majeurs, que ce soit outre-Manche ou ici même en France, comme presque partout ailleurs en Europe. Un discours qui repose sur le terrorisme comme épouvantail et sur Internet comme bouc-émissaire. Alors que s’empilent des lois répressives qui rendent légale une surveillance de tous de plus en plus intrusive, sans pour autant hélas éradiquer le terrorisme, il est urgent de dénoncer avec force et publiquement la manipulation des esprits par le discours sécuritaire. Il en va de notre liberté.

Ce travail qu’assument courageusement des associations comme la Quadrature du Net et que nous devons tous soutenir est ici plutôt bien mené par Aral Balkan qui « traduit » les déclarations de la ministre pour ce qu’elles signifient réellement : l’appel à la collusion entre le capitalisme de surveillance et le contrôle étatique de la vie de chacun.

Article original paru sur le blog d’Aral Balkan : Decrypting Amber Rudd
Traduction Framalang : hello, mo, FranBAG, goofy, Éric, Bromind, Lumibd, audionuma, karlmo, Todd

 

[EDIT] Décidément Amber Rudd est toujours prête à récidiver, comme le montre ce tout récent article de Numérama

où elle déclare en substance qu’elle n’a pas besoin de connaître les technologies comme le chiffrement pour… les interdire !

 

Amber Rudd entre les lignes

par Aral Balkan

Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc) viennent de créer le Forum Internet Global Contre le Terrorisme et Amber Rudd, la ministre de l’Intérieur britannique, leur demande de renoncer discrètement à assurer le chiffrement de bout en bout de leurs produits. Ne croyez plus un traître mot de ce que ces entreprises racontent sur le chiffrement de bout en bout ou le respect de la vie privée sur leurs plateformes.
PS : WhatsApp appartient à Facebook.

Amber Rudd : « les discussions entre les entreprises IT et le gouvernement… doivent rester confidentielles. » Crédit photo : The Independent

Ruddement fouineuse


La tribune sur le chiffrement qu’Amber Rudd a fait paraître dans le Telegraph (article en anglais, payant) est tellement tordue qu’elle a de quoi donner le vertige à une boule de billard. Il est évident que Rudd (célèbre pour avoir un jour confondu le concept cryptographique de hachage avec les hashtags) est tout sauf naïve sur ce sujet. Elle est mal intentionnée.

Ce n’est pas qu’elle ne comprenne pas les maths ou le fonctionnement de la cryptographie. C’est plutôt qu’elle (et le gouvernement britannique avec elle) est déterminée à priver les citoyens britanniques du droit humain fondamental à la protection de la vie privée et qu’elle cherche à mettre en place un État surveillance. Ce n’est malheureusement pas un cas isolé, comme en témoignent les récentes déclarations de Theresa May, de la Chancelière allemande Angela Merkel et d’Emmanuel Macron en faveur d’une régulation similaire à l’échelle européenne, voire mondiale.

Étant donné l’importance de ce qui est en jeu (rien moins que l’intégrité de la personne à l’ère numérique et l’avenir de la démocratie en Europe), je voudrais prendre un moment pour disséquer son article et y répondre point par point.

Petit spoiler pour ceux qui manquent de temps : la partie la plus inquiétante de son article est la deuxième, dans laquelle elle révèle qu’elle a créé le Forum Internet Global Contre le Terrorisme avec Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.), et qu’elle leur a demandé de supprimer le chiffrement de bout en bout de leurs produits (souvenez vous que c’est Facebook qui détient WhatsApp) sans prévenir personne. Cela a de graves conséquences sur ce que l’on peut attendre de la protection contre la surveillance étatique sur ces plateformes. Si vous n’avez pas le temps de tout lire, n’hésitez pas à sauter directement à la partie II.

 

Partie I : entente public-privé ; surveillance de masse et contrôle traditionnel.


Amber commence par poser une équivalence entre la lutte contre la propagande publique en ligne des organisations terroristes et la nécessité d’accéder aux communications privées de la population dans son ensemble. Elle prône aussi la surveillance de masse, dont nous savons qu’elle est inefficace, et reste étrangement silencieuse sur la police de proximité, dont nous savons qu’elle est efficace.

Rudd : Nous ne cherchons pas à interdire le chiffrement, mais si nous sommes dans l’impossibilité de voir ce que préparent les terroristes, cela met en danger notre sécurité.

Traduction : Nous voulons interdire le chiffrement parce que si nous le faisons nous serons mieux armés pour attraper les terroristes.

Par où commencer ? Faut-il rappeler qu’on court plus de risques de mourir en tombant de son lit qu’en tombant sur un terroriste ? Ou que la surveillance de masse (ce que Rudd demande) est totalement inapte à enrayer le terrorisme ? (Après tout, quand on cherche une aiguille, une plus grosse botte de foin est la dernière chose dont on ait besoin.)

Voici ce qu’en pense Bruce Schneier, un expert reconnu en cryptologie :

En raison de la très faible occurrence des attaques terroristes, les faux positifs submergent complètement le système, quel qu’en soit le degré de précision. Et quand je dis « complètement », je n’exagère pas : pour chacun des complots terroristes détectés par le système, si tant est qu’il en découvre jamais, des millions de gens seront accusés à tort.

Si vous n’êtes toujours pas convaincu et pensez que le gouvernement britannique devrait avoir le droit d’espionner tout un chacun, ne vous inquiétez pas : il le fait déjà. Il a le pouvoir de contraindre les entreprises IT à introduire des portes dérobées dans tous les moyens de communication grâce à l’Investigatory Powers Act (d’abord connu sous le nom de projet de loi IP et plus familièrement appelé charte des fouineurs). Peut-être n’avez-vous jamais entendu parler de cette loi car elle est passée relativement inaperçue et n’a pas suscité d’opposition dans les rangs du parti travailliste.

Toujours est-il que vos droits sont déjà passés à la trappe. Amber Rudd s’occupe maintenant de désamorcer vos réactions pour le jour où ils décideront d’appliquer les droits qu’ils ont déjà.

Rudd : Les terribles attentats terroristes de cette année confirment que les terroristes utilisent les plateformes Internet pour répandre leur détestable idéologie et planifier des attaques.

Traduction : Nous voulons faire d’internet un bouc émissaire, en faire la source de nos problèmes avec le terrorisme.

Internet n’est pas la cause sous-jacente du terrorisme. Selon Emily Dreyfuss dans Wired, « les experts s’accordent à dire que l’internet ne génère pas de terrorisme et contribue même assez peu aux phénomènes de radicalisation. »

Emily explique :

Les chercheurs spécialisés dans le terrorisme ont remarqué que la violence en Europe et au Royaume-Uni suit un schéma classique. Cela peut donner des clés aux gouvernements pour contrer le problème, à condition d’allouer les crédits et les ressources là où ils sont le plus utiles. La plupart des djihadistes européens sont de jeunes musulmans, souvent masculins, vivant dans des quartiers pauvres défavorisés où le taux de chômage est élevé. Ils sont souvent de la deuxième ou troisième génération de migrants, issus de pays où ils n’ont jamais vécu ; ils ne sont pas bien intégrés dans la société ; quand ils ne sont pas au chômage, leur niveau d’éducation est faible. Leurs vies sont dépourvues de sens, de but.

Rudd déroule son argument :

Rudd : Le numérique est présent dans quasi tous les complots que nous mettons au jour. En ligne, vous pouvez trouver en un clic de souris votre propre set du « parfait petit djihadiste. » Les recruteurs de Daesh (État islamique) déploient leurs tentacules jusque dans les ordinateurs portables des chambres de garçons (et, de plus en plus souvent, celles des filles), dans nos villes et nos cités, d’un bout à l’autre du pays. Les fournisseurs d’extrémisme de droite abreuvent la planète de leur marque de haine sans jamais avoir à sortir de chez eux.

Tous les exemples qui précèdent concernent des informations publiques librement accessibles en ligne. Pas besoin de portes dérobées, pas besoin de fragiliser le chiffrement pour que les services judiciaires y aient accès. Tout l’intérêt, justement, c’est qu’elles soient faciles à trouver et à lire. La propagande n’aurait pas beaucoup d’intérêt si elle restait cachée.

Rudd : On ne saurait sous-estimer l’ampleur du phénomène.

Traduction : Il est impossible d’exagérer davantage l’ampleur du phénomène.

Vous vous souvenez qu’on court davantage de risques de mourir en tombant de son lit qu’en tombant aux mains d’un terroriste ? Tout est dit.

Rudd : Avant d’abattre des innocents sur Westminster Bridge et de poignarder l’agent de police Keith Palmer, Khalid Masood aurait regardé des vidéos extrémistes.

Premièrement, l’article du Telegraph dont Amber Rudd fournit le lien ne fait nulle part mention de vidéos extrémistes que Khalid Masood aurait regardées (que ce soit en ligne, sur le Web, grâce à un quelconque service chiffré, ni où que ce soit d’autre). Peut-être Rudd s’imaginait-elle que personne ne le lirait pour vérifier. À vrai dire, en cherchant sur le Web, je n’ai pas pu trouver un seul article qui mentionne des vidéos extrémistes visionnées par Khalid Massood. Et même si c’était le cas, ce ne serait qu’un exemple de plus de contenu public auquel le gouvernement a accès sans l’aide de portes dérobées et sans compromettre le chiffrement.

Ce que j’ai découvert, en revanche, c’est que Masood « était dans le collimateur du MI5 pour « extrémisme violent », mais n’était pas considéré comme une menace par les services de sécurité. » Voici donc un exemple parfait s’il en est : l’érosion des droits de tout un chacun dans notre société, sous l’effet de la surveillance de masse, n’aurait en rien contribué à son arrestation. Les services de renseignement le connaissaient déjà, mais ne le jugeaient pas menaçant.

Et ce n’est pas la première fois. D’après un article publié en 2015 dans The Conversation :

On se heurte régulièrement au problème de l’analyse et de la hiérarchisation des informations déjà amassées. Il n’est plus rare d’apprendre qu’un terroriste était déjà connu des services de police et de renseignement. C’était le cas des kamikazes du 7 juillet 2005 à Londres, Mohammed Siddique Khan et Shezhad Tanweer, et de certains des présumés coupables des attentats de Paris, Brahim Abdeslam, Omar Ismail Mostefai et Samy Amimour.

Plus récemment, les cinq terroristes qui ont perpétré les attentats de Londres et Manchester étaient tous « connus de la police ou des services de sécurité. » L’un d’entre eux apparaissait dans un documentaire de Channel 4 où il déployait un drapeau de l’État islamique. On nous rebat les oreilles de l’expression « passé à travers les mailles du filet. » Peut-être devrions-nous nous occuper de resserrer les mailles du filet et de mettre au point de meilleures méthodes pour examiner ce qu’il contient au lieu de chercher à fabriquer un plus grand filet.

Rudd : Daesh prétend avoir ouvert 11000 nouveaux comptes sur les réseaux sociaux durant le seul mois de mai dernier. Notre analyse montre que trois quarts des récits de propagande de Daesh sont partagés dans les trois heures qui suivent leur publication – une heure de moins qu’il y a un an.

Une fois encore, ce sont des comptes publics. Utilisés à des fins de propagande. Les messages ne sont pas chiffrés et les portes dérobées ne seraient d’aucun secours.

Rudd : Souvent, les terroristes trouvent leur public avant que nous ayons le temps de réagir.

Alors cessez de sabrer les budgets de la police locale. Investissez dans la police de proximité – dont on sait qu’elle obtient des résultats – et vous aurez une chance de changer la donne. Ce n’est pas le chiffrement qui pose problème en l’occurrence, mais bien la politique d’austérité délétère de votre gouvernement qui a plongé les forces de police locales dans un « état critique » :

Les forces de l’ordre ont du mal à gérer le nombre de suspects recherchés. Le HMIC (NDLT : police des polices anglaise) s’est rendu compte que 67000 suspects recherchés n’avaient pas été enregistrés dans le PNC (Police National Computer, le fichier national de la police). En outre, à la date d’août 2017, le PNC comptait 45960 suspects, où figurent pêle-mêle ceux qui sont recherchés pour terrorisme, pour meurtre et pour viol.

Au lieu de se concentrer là-dessus, Amber cherche à détourner notre attention sur le Grand Méchant Internet. Quand on parle du loup…

Rudd : L’ennemi connecté est rapide. Il est impitoyable. Il cible les faibles et les laissés-pour-compte. Il utilise le meilleur de l’innovation à des fins on ne peut plus maléfiques.

Grandiloquence ! Hyperbole ! Sensationnalisme !

Tremblez… tremblez de peur

(Non merci, sans façon.)

Rudd : C’est pour cela que j’ai réuni les entreprises IT en mars : pour commencer à réfléchir à la façon de renverser la vapeur. Elles comprennent les enjeux.

De quelles entreprises Internet s’agit-il, Amber ? Serait-ce par hasard celles qui suivent, analysent et monnaient déjà nos moindres faits et gestes ? Les mêmes qui, jour après jour, sapent notre droit à la vie privée ? Un peu, qu’elles comprennent les enjeux ! C’est leur business. Pour reprendre la fameuse analyse de Bruce Schneier : « La NSA ne s’est pas tout à coup réveillée en se disant « On n’a qu’à espionner tout le monde ». Ils ont regardé autour d’eux et se sont dit : « Waouh, il y a des entreprises qui fliquent tout le monde. Il faut qu’on récupère une copie des données. » »

Votre problème, Amber, c’est que ces entreprises n’ont pas envie de partager toutes leurs données et analyses avec vous. Leurs systèmes sont même en partie conçus pour éviter d’avoir à le faire, même si elles le voulaient : certaines données ne leur sont tout simplement pas accessibles (chez Apple, dont le business model est différent de Google et Facebook, les systèmes sont connus pour être conçus de cette façon quand la technologie le permet, mais l’entreprise a démontré récemment qu’elle est capable de livrer la vie privée de ses utilisateurs en pâture pour satisfaire la demande d’un gouvernement répressif.)

Ne vous méprenez pas, Google et Facebook (pour prendre deux des plus gros siphonneurs de données perso) se contrefichent de notre vie privée, tout autant que Rudd. Mais ce que réclame Amber, c’est de pouvoir taper gratuitement dans leur butin (et le butin, pour eux, ce sont nos données). Ils n’apprécient pas forcément, mais on les a déjà vus s’en accommoder s’il le faut.

Ce qui est plus grave, c’est que la requête de Rudd exclut l’existence même de services qui cherchent vraiment à protéger notre vie privée : les outils de communication chiffrée de bout en bout comme Signal, par exemple ; ou les outils de communication décentralisés comme Tox.chat.

Plus grave encore, peut-être : si le gouvernement britannique arrive à ses fins et met en œuvre les pouvoirs qui lui sont déjà conférés par l’Investigatory Powers Act, cela fermera la porte à ceux d’entre nous qui veulent construire des systèmes décentralisés, respectueux de la vie privée, interopérables, libres et ouverts, parce que de tels systèmes deviendront illégaux. Or l’avenir de la démocratie à l’ère numérique en dépend.

Rudd : Grâce au travail accompli avec la cellule anti-terroriste du gouvernement, nous avons pu dépublier 280000 documents à caractère terroriste depuis 2010 et fermer des millions de comptes.

Ok, donc, si je comprends bien, Amber, ce que vous nous expliquez, c’est que les mesures que vous prenez en collaboration avec les entreprises IT pour lutter contre la propagande publique des organisations terroristes fonctionnent bien. Le tout sans le moindre besoin de compromettre le chiffrement ou d’implémenter des portes dérobées dans les systèmes de communication. Mais continuez donc comme ça !

Rudd : Mais il y a bien plus à faire. Voilà pourquoi, lors de la réunion de mars dernier, les entreprises IT les plus puissantes de la planète se sont portées volontaires pour créer le Forum Internet Global Contre le Terrorisme.

Les multinationales n’ont pas à fliquer les citoyens du monde, ce n’est pas leur rôle. Elles aimeraient bien amasser encore plus de données et de renseignements sur la population mondiale, légitimer les structures de surveillance déjà en place et exercer un contrôle encore plus grand. Ça va sans dire. Mais c’est cet avenir que nous devons à tout prix éviter.

Sous prétexte de nous préserver d’un risque statistiquement négligeable, ce qui est envisagé est un panoptique mondial sans précédent. Dans un tel système, nous pourrons dire adieu à nos libertés individuelles (la liberté de parole, le droit à la vie privée…) et à notre démocratie.

Rudd : Le Forum se réunit aujourd’hui pour la première fois et je suis dans la Silicon Valley pour y assister.

Non seulement vous plaidez pour que les entreprises privées s’acoquinent avec les gouvernements pour jouer un rôle actif dans le flicage des citoyens ordinaires, mais vous faites appel à des entreprises américaines, ce qui revient à donner un sceau d’approbation officiel à l’implication d’entreprises étrangères dans le flicage des citoyens britanniques. (Merkel et Macron ont l’intention de saper les droits des citoyens européens de la même façon si on les laisse faire.)

Rudd : Les entreprises IT veulent aller plus vite et plus loin dans la mise au point de solutions technologiques susceptibles d’identifier, de faire disparaître, d’endiguer la diffusion de contenus extrémistes.

Soit ! Mais ça ne nécessite toujours pas de portes dérobées ni de chiffrement moins performant. Encore une fois, il s’agit de contenus publics.

Il faudrait un jour prendre le temps de débattre beaucoup plus longuement de qui est habilité à décréter qu’un contenu est extrémiste, et de ce qui arrive quand les algorithmes se plantent et stigmatisent quelqu’un à tort comme auteur de propos extrémistes en laissant sous-entendre que cette personne est extrémiste alors qu’elle ne l’est pas.

À l’heure actuelle, ce sont des entreprises américaines qui définissent ce qui est acceptable ou pas sur Internet. Et le problème est bien plus vaste que ça : il nous manque une sphère publique numérique, puisque les Facebook et autres Google de la planète sont des espaces privés (pas publics) – ce sont des centres commerciaux, pas des parcs publics.

Ce que nous devrions faire, c’est financer la création d’espaces publics en ligne, encourager la souveraineté individuelle, promouvoir un usage équitable du bien commun. Vous, Madame Rudd, vous êtes bien sûr à des années-lumière de ce genre d’initiatives, mais au moment où je vous parle, certains d’entre nous travaillons à créer un monde aux antipodes de celui que vous appelez de vos vœux.

Rudd : Leur attitude mérite félicitations mais ils doivent également savoir que nous leur demanderons des comptes. Cependant notre défi ne se limite pas à cela. Car au-delà des contenus pernicieux auxquels tout le monde a accès, il y a ceux que nous ne voyons pas, ceux qui sont chiffrés.

Ah, nous y voilà ! Après avoir consacré la moitié de l’article au combat victorieux du gouvernement contre l’expansion en ligne de la propagande publique des organisations terroristes, Rudd passe à son dada : la nécessité d’espionner les communications privées en ligne de chaque citoyen pour garantir notre sécurité.

Partie II : la guerre contre le chiffrement de bout en bout avec la complicité de Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.)


C’est là qu’il faut prendre un siège si vous êtes sujet au vertige car Mme Rudd va faire mieux qu’un derviche tourneur. Elle va également lâcher une bombe qui aura de graves répercussions sur votre vie privée si vous êtes adeptes des services fournis par Facebook, Microsoft, Twitter ou YouTube (Google/Alphabet, Inc.)

Rudd : le chiffrement joue un rôle fondamental dans la protection de tout un chacun en ligne. C’est un élément essentiel de la croissance de l’économie numérique et de la fourniture de services publics en ligne.

Parfaitement, Amber. La discussion devrait s’arrêter là. Il n’y a pas de « mais » qui tienne.

Mais …

Rudd : Mais, comme beaucoup d’autres technologies efficaces, les services de chiffrement sont utilisés et détournés par une petite minorité d’utilisateurs.

Oui, et donc ?

Rudd : Il existe un enjeu particulier autour de ce qu’on appelle le « chiffrement de bout en bout » qui interdit même au fournisseur de service d’accéder au contenu d’une communication.

Le chiffrement de bout en bout a aussi un autre nom : le seul qui protège votre vie privée à l’heure actuelle (au moins à court terme, jusqu’à ce que la puissance de calcul soit démultipliée de façon exponentielle ou que de nouvelles vulnérabilités soient découvertes dans les algorithmes de chiffrement).

Incidemment, l’autre garant important de la vie privée, dont on parle rarement, est la décentralisation. Plus nos données privées échappent aux silos de centralisation, plus le coût de la surveillance de masse augmente – exactement comme avec le chiffrement.

Rudd : Que ce soit bien clair : le gouvernement soutient le chiffrement fort et n’a pas l’intention d’interdire le chiffrement de bout en bout.

Ah bon, alors est-ce qu’on peut en rester là et rentrer chez nous maintenant … ?

Rudd : Mais l’impossibilité d’accéder aux données chiffrées dans certains cas ciblés et bien particuliers (même avec un mandat signé par un ministre et un haut magistrat) constitue un obstacle de taille dans la lutte anti-terroriste et la traduction en justice des criminels.

Oui, mais c’est la vie. On ne peut pas avoir le beurre et l’argent du beurre.

Rudd : Je sais que certains vont soutenir qu’on ne peut pas avoir le beurre et l’argent du beurre, que si un système est chiffré de bout en bout, il est à jamais impossible d’accéder au contenu d’une communication. C’est peut-être vrai en théorie. Mais la réalité est différente.

Vrai en théorie ? Mme Rudd, c’est vrai en théorie, en pratique, ici sur Terre, sur la Lune et dans l’espace. C’est vrai, point final.

« Mais la réalité est différente », ce doit être la glorieuse tentative d’Amber Rudd pour battre le premier ministre australien, Malcolm Turnbull, dans la course aux âneries sur le chiffrement . M. Turnbull a en effet récemment fait remarquer que « les lois mathématiques sont tout à fait estimables, mais que la seule loi qui s’applique en Australie est la loi australienne. »

Turnbull et Rudd, bien sûr, suivent la même partition. C’est aussi celle que suivent May, Merkel et Macron. Et, après sa remarque illogique, Turnbull a laissé entendre de quelle musique il s’agit quand il a ajouté : « Nous cherchons à nous assurer de leur soutien. » (« leur », en l’occurrence, fait référence aux entreprises IT).

Rudd développe son idée dans le paragraphe qui suit :

Rudd : Dans la vraie vie, la plupart des gens sont prêts à troquer la parfaite inviolabilité de leurs données contre une certaine facilité d’utilisation et un large éventail de fonctionnalités. Il ne s’agit donc pas de demander aux entreprises de compromettre le chiffrement ou de créer de prétendues « portes dérobées ». Qui utilise WhatsApp parce qu’il est chiffré de bout en bout ? On l’utilise plutôt que parce que c’est un moyen incroyablement convivial et bon marché de rester en contact avec les amis et la famille. Les entreprises font constamment des compromis entre la sécurité et la « facilité d’utilisation » et c’est là que nos experts trouvent des marges de manœuvres possibles.

Traduction : Ce que nous voulons, c’est que les entreprises n’aient pas recours au chiffrement de bout en bout.

Voilà donc la pierre angulaire de l’argumentaire de Rudd : les entreprises IT devraient décider d’elles-mêmes de compromettre la sécurité et la protection de la vie privée de leurs usagers, en n’implémentant pas le chiffrement de bout en bout. Et, pour faire bonne mesure, détourner l’attention des gens en créant des services pratiques et divertissants.

Inutile de préciser que ce n’est pas très loin de ce que font aujourd’hui les entreprises de la Silicon Valley qui exploitent les données des gens. En fait, ce que dit Rudd aux entreprises comme Facebook et Google, c’est : « Hé, vous appâtez déjà les gens avec des services gratuits pour pouvoir leur soutirer des données. Continuez, mais faites en sorte que nous aussi, nous puissions accéder à la fois aux métadonnées et aux contenus de leurs communications. Ne vous inquiétez pas, ils ne s’en apercevront pas, comme ils ne se rendent pas compte aujourd’hui que vous leur offrez des bonbons pour mieux les espionner. »

De même, l’argument de l’indispensable « compromis entre la sécurité et la facilité d’utilisation » relève d’un choix fallacieux. Une nouvelle génération d’apps sécurisées et respectueuses de la vie privée, comme Signal, prouvent qu’un tel compromis n’est pas nécessaire. En fait c’est Rudd, ici, qui perpétue ce mythe à dessein et incite les entreprises IT à s’en servir pour justifier leur décision d’exposer leurs usagers à la surveillance gouvernementale.

Pas besoin de réfléchir bien longtemps pour se rendre compte que l’argumentation d’Amber s’écroule d’elle-même. Elle demande « Qui utilise WhatsApp parce que c’est chiffré de bout en bout et non parce que c’est un moyen incroyablement convivial et bon marché de rester en contact avec les amis et la famille ? » Retournons-lui la question : « Qui s’abstient d’utiliser WhatsApp aujourd’hui sous prétexte que le chiffrement de bout en bout le rendrait moins convivial ? » (Et, tant que nous y sommes, n’oublions pas que Facebook, propriétaire de Whatsapp, fait son beurre en récoltant le plus d’informations possible sur vous et en exploitant cet aperçu de votre vie privée pour satisfaire son avidité financière et ses objectifs politiques. N’oublions pas non plus que les métadonnées – interlocuteurs, fréquence et horaires des appels – ne sont pas chiffrées dans WhatsApp, que WhatsApp partage ses données avec Facebook et que votre profil de conversation et votre numéro de téléphone sont liés à votre compte Facebook.`

Rudd : Donc, nous avons le choix. Mais ces choix seront le fruit de discussions réfléchies entre les entreprises IT et le gouvernement – et ils doivent rester confidentiels.

Traduction : Quand les entreprises supprimeront le chiffrement de bout en bout de leurs produits, nous ne souhaitons pas qu’elles en avertissent leurs usagers.

Voilà qui devrait vous faire froid dans le dos.

Les services dont Amber Rudd parle (comme WhatsApp) sont des applications propriétaires dont le code source est privé. Cela signifie que même d’autres programmeurs n’ont aucune idée précise de ce que font ces services (même si certaines techniques de rétro-ingénierie permettent d’essayer de le découvrir). Si la plupart des gens font confiance au chiffrement de bout en bout de WhatsApp c’est qu’un cryptographe très respecté du nom de Moxie Marlinspike l’a implémenté et nous a dit qu’il n’y avait pas de problème. Or, le problème avec les applications, c’est qu’elles peuvent être modifiées en un clin d’œil… et qu’elles le sont. WhatsApp peut très bien supprimer le chiffrement de bout en bout de ses outils demain sans nous en avertir et nous n’en saurons rien. En fait, c’est précisément ce que demande Amber Rudd à Facebook et compagnie.

À la lumière de ces informations, il y a donc deux choses à faire :

Regardez quelles entreprises participent au Forum Internet Global Contre le Terrorisme et cessez de croire un traître mot de ce qu’elles disent sur le chiffrement et les garanties de protection de la vie privée qu’offrent leurs produits. Ces entreprises sont Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.)

Les experts en sécurité informatique ne doivent pas se porter garants du chiffrement de bout en bout de ces produits sauf s’ils peuvent s’engager à vérifier individuellement chaque nouvelle version exécutable. Pour limiter la casse, les individus comme Moxie Marlinspike, qui a pu se porter garant d’entreprises comme Facebook et WhatsApp, doivent publiquement prendre leurs distances par rapport à ces entreprises et les empêcher de devenir complices de la surveillance gouvernementale. Il suffit d’une seule compilation de code pour supprimer discrètement le chiffrement de bout en bout, et c’est exactement ce que souhaite Amber Rudd.

Rudd : Ce qu’il faut bien comprendre c’est qu’il ne s’agit pas de compromettre la sécurité en général.

Ces actions compromettraient totalement la vie privée et la sécurité des militants et des groupes les plus vulnérables de la société.

Rudd : Il s’agit travailler ensemble pour que, dans des circonstances bien particulières, nos services de renseignement soient en mesure d’obtenir plus d’informations sur les agissements en ligne de grands criminels et de terroristes.

Une fois encore, ni la suppression du chiffrement de bout en bout ni la mise en place de portes dérobées ne sont nécessaires pour combattre le terrorisme. Si Rudd veut arrêter des terroristes, elle devrait plutôt cesser de raboter le budget de la police de proximité, le seul moyen qui ait fait ses preuves. Je me demande si Rudd se rend seulement compte qu’en appelant à la suppression du chiffrement de bout en bout dans les outils de communications en ligne, ce qu’elle fait en réalité, c’est exposer le contenu des communications de tout un chacun à la surveillance continue par – au minimum – les fournisseurs et les hébergeurs de ces services. Sans parler du fait que ces communications peuvent être manipulées par d’autres acteurs peu recommandables, y compris des gouvernements étrangers ennemis.

Rudd : Parer à cette menace à tous les niveaux relève de la responsabilité conjointe des gouvernements et des entreprises. Et nous avons un intérêt commun : nous voulons protéger nos citoyens et ne voulons pas que certaines plateformes puissent servir à planifier des attaques contre eux. La réunion du Forum qui a lieu aujourd’hui est un premier pas dans la réalisation de cette mission.

Je n’ai rien de plus à ajouter, pas plus que Rudd.

Pour conclure, je préfère insister sur ce que j’ai déjà dit :

Ce que souhaite Amber Rudd ne vous apportera pas plus de sécurité. Ça ne vous protégera pas des terroristes. Ça permettra aux gouvernements d’espionner plus facilement les militants et les minorités. Ça compromettra la sécurité de tous et aura des effets glaçants, dont la destruction du peu de démocratie qui nous reste. Ça nous conduira tout droit à un État Surveillance et à un panoptique mondial, tels que l’humanité n’en a jamais encore connu.

Quant aux entreprises membres du Forum Internet Global Contre le Terrorisme (Facebook, Microsoft, Twitter et YouTube (Google/Alphabet, Inc.) – il faudrait être fou pour croire ce qu’elles disent du chiffrement de bout en bout sur leur plateformes ou des fonctionnalités « vie privée » de leurs apps. Vu ce qu’a dit Amber Rudd, sachez désormais que le chiffrement de bout en bout dont elles se targuent aujourd’hui peut être désactivé et compromis à tout moment lors d’une prochaine mise à jour, et que vous n’en serez pas informés.

C’est particulièrement préoccupant pour WhatsApp, de Facebook, dont certains recommandent fréquemment l’usage aux militants.

Vu ce qu’a dit Amber Rudd et ce que nous savons à présent du Forum Internet Global Contre le Terrorisme, continuer à recommander WhatsApp comme moyen de communication sécurisé à des militants et à d’autres groupes vulnérables est profondément irresponsable et menace directement le bien-être, voire peut-être la vie, de ces gens.

P.S. Merci pour ce beau travail, Amber. Espèce de marionnette !

(Un grand merci, non ironique cette fois, à Laura Kalbag pour sa relecture méticuleuse et ses corrections.)

 

À propos de l’auteur

Aral Balkan est militant, designer et développeur. Il représente ⅓ de Ind.ie, une petite entreprise sociale œuvrant à la justice sociale à l’ère du numérique.

Contacter Aral Balkan

Email (pour les questions urgentes, merci de mettre laura@ind.ie en CC)

Clé publique (94E9AA31)

Mastodon.ar.al
Twitter




(se) Dégoogliser en toute facilité

Lundi, nous vous annoncions la refonte du site Dégooglisons Internet. Aujourd’hui, nous vous proposons un petit tour des co-propriétaires (ben oui : il est sous licence CC-By-SA !), afin que vous puissiez encore mieux vous emparer de cet outil pour vous dégoogliser, et dégoogliser votre entourage.

Les GAFAM, au bûcheeeeeeer !

Le site Dégooglisons Internet a servi, durant trois ans, à présenter une campagne d’information, d’actions, d’intentions de Framasoft tout en proposant un portail d’accès aux services qui venaient s’ajouter aux conquêtes de la communauté libriste.

Maintenant que nous avons conclu cette campagne, il va remplir une fonction unique : faciliter l’adoption de services éthiques, respectueux de ces données personnelles qui décrivent nos vies numériques. En trois ans, nous avons fait bien plus qu’héberger des services, et il était grand temps de vous présenter tout cela de manière claire et facile d’accès.

Dès l’accueil, nous vous invitons à faire feu des GAFAM (les géants du web que sont Google, Apple, Facebook, Amazon et Microsoft) en expliquant en trois bulles la problématique à laquelle nous essayons de répondre.

Bien vite, on arrive au cœur de la proposition : les services. Si vous ne pouvez pas les essayer, comment pourrez-vous les adopter ? Nous vous invitons donc à trouver le service que vous cherchez suivant deux entrées possibles (on y reviendra !)

Néanmoins, tester des services n’est qu’une première étape, et nous vous proposons ensuite d’aller plus loin :

Seulement voilà, vous pouvez aussi vous poser des questions sur les raisons d’une telle démarche. C’est même très sain, puisque c’est ainsi que peut naître la confiance (ou la défiance, d’ailleurs) : ce sentiment qui nous pousse à confier nos données, nos vies numériques, à un hébergeur. Nous exposons donc :

Tout ceci est, et demeure, une aventure collaborative. Nous prenons donc le temps d’expliquer :

Un espace final est réservé aux médias qui ont parlé de cette aventure, avec un lien vers notre espace médias, que chacun·e peut librement visiter et utiliser.

Chacun·e peut trouver service à son pied

Nous avons décidé de présenter de deux manières différentes les 32 services qui sont actuellement à votre disposition, car tout le monde ne cherche pas de la même manière.

La première démarche, lorsque l’on cherche selon un besoin précis, correspond à cette partie de la page d’accueil :

Cela vous mènera vers une toute nouvelle page où les services sont classés selon les usages, avec une barre de recherche pour mieux vous aider à trouver celui qui correspond à vos attentes :

La deuxième démarche consiste à chercher un service alternatif au service propriétaire que l’on utilise et que l’on connaît.

Ici vous retrouverez d’abord la fameuse carte Dégooglisons, où il vous suffit de cliquer sur le camp romain du service qui vous intéresse pour en découvrir une alternative.

Mais il n’y a pas que les « Framachins » dans la vie. Très vite, vous trouverez en dessous de cette carte une liste bien plus complète d’alternatives en tous genres pour se dégoogliser plus complètement. Cette liste est inspirée de l’excellent site Prism-Break, un site à garder dans ses marque-pages !

Un exemple, totalement au hasard, pour les alternatives à l’email ;)

À vous de dégoogliser !

Vous l’avez saisi, l’idée du site degooglisons-internet.org, c’est qu’il vous soit utile. Que ce soit pour trouver des alternatives qui vous sont nécessaires, ou pour aider votre entourage à se dégoogliser, c’est désormais à vous de vous en emparer.

D’ailleurs, n’hésitez pas à aller visiter l’espace médias, qui s’est enrichi d’une fresque racontant ces trois années de Dégooglisons, ainsi que des dessins de Péhä, aux côtés de nombreux autres visuels libres… et à partager dans vos réseaux !

Nous espérons, sincèrement, que la refonte de ce site vous simplifiera la dégooglisation et même (soyons folles et fous) la vie !

 

Pour aller plus loin

Bienvenue au banquet concluant Dégooglisons Internet, par Péhä (CC-By)




Dégooglisons Internet : c’est la fin du début !

Rassurez-vous : hors de question de fermer les services ni de s’arrêter en si bon chemin ! Seulement voilà : en octobre 2014, nous annoncions nous lancer dans la campagne Dégooglisons Internet pour les 3 années à venir.

3 ans plus tard, il est temps de conclure ce chapitre… pour mieux continuer cette histoire commune.

Nous étions jeunes et flou·e·s !

Nous en avons déjà parlé, le succès de la campagne Dégooglisons Internet nous a pris par surprise.

Nous nous lancions dans un pari flou, non pas celui de remplacer Google et consorts (il n’en a jamais été question, même s’il nous a fallu le préciser à chaque fois, à cause d’un titre trop accrocheur), mais celui de sensibiliser qui voulait l’entendre à un enjeu sociétal qui nous inquiète encore aujourd’hui : la captation des données numériques qui décrivent nos vies (rien de moins) par quelques grands acteurs privés, les trop fameux GAFAM (pour qui découvre tout cela, on parle de Google, Apple, Facebook, Amazon et Microsoft) et tous les prédateurs qui ne rêvent que de prendre leur place et qui un jour ou l’autre leur tailleront des croupières.

Cliquez sur l’image pour lire la BD « La rentrée des GAFAM », par Simon « Gee » Giraudot.

 

Pour cela, nous souhaitions démontrer que le logiciel libre est une alternative éthique et pratique, en proposant sur trois ans la mise en ligne de 30 services alternatifs à ceux des GAFAM, tous issus du logiciel libre. L’idée de cette démonstration, dans nos têtes, était simple :

Venez tester les services chez nous, utilisez-les tant que vous n’avez pas d’autre solution, puis voguez vers votre indépendance numérique en cherchant un hébergement mutualisé, en les hébergeant pour votre asso/école/syndicat/entreprise/etc. ou carrément en auto-hébergeant vos services web chez vous !

Sur le papier ça paraissait simple, comme allant de soi. Bon OK, c’était déjà un sacré défi, mais un défi naïf. Car nous n’avions pas prévu ni l’engouement de votre côté ni la complexité de proposer un tel parcours… Bref, nous nous sommes confrontés à la réalité.

C’est en dégooglisant qu’on devient dégooglisons

Nous avons eu la chance qu’une telle proposition (que d’autres ont pu faire avant nous et à leur manière, la mère zaclys, lautre.net, infini.fr, etc.) arrive à un moment et d’une façon qui a su parler à un public bien plus large que le petit monde libriste, tout en étant saluée par ce dernier.

Sauf qu’un grand coup de bol implique de grandes responsabilités : avec près d’une centaine de rencontres par an (publiques et/ou privées), que ce soit dans des conférences, des ateliers, des stands, des festivals, des partenariats… Nous avons appris et compris de nombreuses choses :

  • Proposer un service fonctionne mieux dans les conditions de la confiance (transparence sur les Conditions Générales d’Utilisation et le modèle économique, réputation, jusqu’à cet affreux nommage des Frama-trucs, qui rassure mais que même nous on n’en peut plus !) ;
  • Proposer ne suffit pas, il faut accompagner la transition vers un service libre, avec des tutoriaux, des exemples d’utilisation, un peu de bidouille esthétique – car nous ne sommes ni ergonomes, ni designers – des ateliers… et des réponses à vos questions. Donc beaucoup, beaucoup, beaucoup de support ;
  • Notre proposition deviendrait contre-productive et centraliserait vos vies numériques si nous ne nous lancions pas, en parallèle, dans les projets qui vous permettront à terme de sortir de Framasoft pour aller vers l’indépendance numérique (parce que les tutos « comment faire la même chose sur vos serveurs » , c’est bien… et ça ne suffit pas).

Nous avons donc passé trois ans à écouter, à chercher et à comprendre ce que signifiait Dégoogliser Internet. Dégoogliser, c’est :

  • tester, choisir, adapter et proposer des services web alternatifs et les maintenir en place et à jour ;
  • et en même temps soutenir les personnes et communautés qui créent les logiciels derrière ces alternatives (la plupart du temps, ce n’est pas nous !!!) ;
  • et en même temps accompagner ces alternatives de documentations, tutoriels, exemples ;
  • et en même temps répondre aux invitations, aller à votre rencontre, faire des conférences et ateliers, communiquer sans cesse ;
  • et en même temps rester à votre écoute et répondre à vos questions aussi nombreuses que variées ;
  • et en même temps mettre en place les fondations vers des hébergements locaux et mutualités (comme les CHATONS, un collectif « d’AMAP du numérique ») ou vers l’auto-hébergement (en consacrant du temps salarié de développement au projet YUNOHOST) ;
  • et en même temps poursuivre une veille sur les nouvelles trouvailles des GAFAM pour mieux vous en informer, ainsi que sur ces personnes formidables qui cherchent à mieux cerner les dangers pour nos vies et nos sociétés;
  • et en même temps vous donner la parole pour mettre en lumière vos projets et initiatives ;
  • et en même temps ne pas oublier de vous demander votre soutien, car ce sont vos dons qui assurent notre budget pour continuer ;
  • et en même temps boire des coups, avec ou sans alcool modération (non parce qu’on va pas faire tout ça dans la tristesse, non plus, hein !).

Ce que l’on retient de ces trois années…

…c’est qu’il est temps d’arrêter. Non pas d’arrêter de Dégoogliser (c’est loin d’être fini : on vous prépare plein de belles choses !), mais d’arrêter de le faire comme ça, à une telle cadence. Il y a dans ces trois ans un aspect publish or perish, « sors un service ou finis aux oubliettes » , qui ne convient pas à l’attention et au soin que l’on veut apporter à nos propositions.

Jusqu’à présent, cette cadence nous a servi à proposer 32 alternatives, un ensemble sérieux et solide, mais continuer ainsi pourrait desservir tout le monde.

Certes, il serait possible de transformer Framasoft en entreprise, de faire une levée de fonds de quelques millions d’euros, d’en profiter pour faire un « séminaire de team building » aux Bahamas (ouais, on a besoin de repos ^^) et de… perdre notre identité et nos valeurs. Ce n’est clairement pas notre choix. En trois ans, notre association est passée de 2 à 7 permanent·e·s (avec environ 35 membres), et même si cette croissance pose déjà de nombreux soucis, nous sommes fier·e·s de rester cette bande de potes qui caractérise l’association Framasoft, et de ne pas nous prendre au sérieux (tout en faisant les choses le plus sérieusement possible).

Ce que l’on retient, aussi, c’est que la problématique des silos de données centralisés par quelques monopoles mérite une réponse bien plus complexe et complète que simplement proposer « 32 services alternatifs ». Nous pourrions continuer et faire grimper les enchères : « 42… 42 sur ma gauche, 53, ah ! 69 services ! Qui dit mieux ? », mais à quoi bon si on n’inscrit pas cette réponse dans un ensemble d’outils et de projets pensés différemment de ce « GAFAM way of life » qui nous est vendu avec chaque Google Home qui nous écoute, avec chaque iPhone qui nous dévisage, et avec tous ces autres projets ubérisants ?

Cliquez pour découvrir comment un récent épisode de South Park a trollé les foyers possédant un Google Home, un Amazon Echo ou Siri sur ses produits Apple.
Image : © Comedy Central

Ce que l’on retient, enfin, c’est que nombre de personnes (qui ne s’intéressent pas spécialement à l’informatique ni au Libre) partagent, parfois sans le savoir, les valeurs du Libre. Ce sont des membres d’associations, de fédérations, des gens de l’Économie Sociale et Solidaire, de l’éducation populaire, du personnel enseignant, encadrant, formateur. Ce sont des personnes impliquées dans une vie locale, dans des MJC, des tiers-lieux, des locaux syndicaux, des espaces de co-working et des maisons associatives. Ce sont des personnes à même de comprendre, intégrer et partager ces valeurs autour d’elles et de nous enseigner leurs valeurs, connaissances et savoirs en retour.

Le plus souvent : c’est vous.

 

« OK, mais il est où mon Framamail ? »

Alors voilà, touchant du doigt la fin des 3 années annoncées, c’est l’occasion de faire le bilan (on vous prépare une belle infographie afin de raconter cela) et de prendre un peu de recul pour chercher quelle suite donner à cette aventure. Car c’est loin d’être fini : si nous avons bel et bien dégooglisé trente services, c’est que nous en avons rajouté en cours de route, et certains ne sont pas (encore) là…

Toi aussi, joue avec Framasoft au jeu des 7… 12… au jeu des plein de différences ! (Cartes « Dégooglisons Internet » 2014 et 2016, par Gee.)

 

Nous allons vous décevoir tout de suite : nous n’allons pas proposer de Framamail, tout du moins pas sous la forme que vous imaginez. L’e-mail est une technologie à la fois simple (dans sa conception) et extrêmement complexe (dans sa maintenance parmi le champ de mines que sont les SPAM et les règles imposées par les géants du web). C’est d’autant plus complexe si vous avez un grand nombre de boîtes mail à gérer (et ouvrir un Framamail, c’est risquer d’avoir 10 000 inscriptions dès la première semaine -_-…)

Nous sommes dans l’exemple typique de ce que l’on décrivait juste avant : si on ouvre un Framamail, et si on ne veut pas de pannes de plus de deux heures sur un outil aussi sensible, il nous faut embaucher deux administratrices système et un technicien support à plein temps juste pour ce service. Ce qui peut se financer par vos dons… mais au détriment des autres services et projets ; ou en faisant de vous des clients-consommateurs (alors que, depuis le début, nous cherchons à prendre chacun de nos échanges avec vous comme autant de contributions à cette aventure commune).

Heureusement, il existe d’autres pistes à explorer… pour l’email tout comme pour les alternatives à YouTube, Change.org, MeetUp, Blogger qu’il nous reste à rayer de la carte !

Bienvenue au banquet de Dégooglisons !

Bienvenue au banquet concluant Dégooglisons Internet, par Péhä (CC-By)

 

Il est donc temps de clore cet album, de sortir des gauloiseries en vous invitant à aiguiser vos canines sur les GAFAM… Nous en profitons pour remercier l’illustrateur Péhä de cette magnifique image qui nous permet de conclure en beauté ces trois années d’expérimentations en commun.

Nous vous proposons, dès aujourd’hui, une refonte complète du site Dégooglisons Internet visant à répondre au plus vite à vos attentes. C’est un peu la v1, la première mouture finie de ce portail, après trois années de gestation. Nous espérons que vous aurez encore plus de facilité à partager ce site pour Dégoogliser votre entourage.

Cette conclusion est pour nous l’opportunité d’avoir une pensée emplie de gratitude et de datalove pour toutes les personnes, les communautés, les bénévoles, les donatrices, les salariés, les passionnées, les partageurs, les contributrices… bref, pour cette foultitude qui a rendu cela possible.

Chaque fin d’album est surtout l’occasion de tourner la page, afin d’ouvrir un nouveau chapitre… Promis, ceci n’est que le début, on en reparle d’ici quelques semaines.

Merci, vraiment, du fond de nos petits cœurs de libristes, et à très vite,

L’équipe de Framasoft.




Comment j’ai quitté Google et plaqué Microsoft


En 2015, après une longue période d’hésitation, j’ai sauté le pas. J’ai décidé que Google, Facebook ou encore Microsoft seraient pour moi des connaissances lointaines, et non des compagnons de route.

On a du mal à croire qu’il soit possible d’envisager sérieusement une telle transformation sans se couper du monde et du confort que nous offre le Web. Pourtant, ça l’est.

Nous sommes en juillet 2017. Ça fait deux ans. J’ai mes repères, mes marques et aucune sensation de manque. Lorsque je choisis de faire une entorse à mes principes et d’utiliser Google, ou de démarrer mon PC sous Windows, c’est une option ; j’ai toujours le choix. Je crois que c’est ça, l’idée : avoir le choix. La décentralisation, ce n’est pas juste quitter le navire : c’est choisir sur lequel on embarque en connaissance de cause.

Depuis 2015, alors que la moitié du marché des smartphones est contrôlé par Google et son système d’exploitation Android, que tout le monde connaît GMail, utilise Google Docs, se localise avec Google Maps et partage des choses sur Google+ (lol nope), je n’utilise pas tout cela. Ou plutôt, je n’utilise plus.

Bon, OK, j’ai une chaîne YouTube, donc je mets des vidéos en ligne. Promis, c’est tout. Vous verrez plus bas que même pour gérer mes abonnements YouTube, je me passe de compte Google !

Ni pour mes recherches. Ni pour mes mails. Ni pour partager des photos avec mes ami⋅e⋅s ou pour héberger une page web. Ni pour me géolocaliser. Ni pour faire fonctionner mon smartphone.

Depuis 2015, et quand Skype est le moyen le plus commun de discuter en audio/vidéo, quand choisir un ordinateur se résume à choisir entre Microsoft ou Apple, qu’on utilise le pack Office, voire qu’on est aventureux et qu’on a investi dans un Windows Phone (désolé), je n’utilise pas Microsoft. Ou plutôt, je n’utilise plus. Et même si les hipsters et les web-designers (sont-ce les mêmes personnes ?) investissent dans du matériel Apple, moi, je n’ai jamais touché à ça.

Alors je me suis dit que peut-être, ça vous intéresserait de savoir COMMENT j’ai pu réussir sans faire une syncope. Et comment j’ai découvert des alternatives qui me respectent et ne me traitent pas comme une donnée à vendre.

Allez, ferme Hangout, Messenger, Skype, Whatsapp, viens t’asseoir près du feu, et prends le temps de me lire, un peu. Ouais, je te tutoie, on n’est pas bien, là, entre internautes ?

Chapitre 1 : Pourquoi ?

Normalement, je dialogue avec un mec lambda qui a la critique facile dans mes articles, mais ici, c’est le Framablog ; il faut un peu de prestance. Ce sera donc Jean-Michel Pouetpouet qui prendra la parole. Donc, introducing Jean-Michel Pouetpouet :

« Haha, cocasse, cet individu se prend pour plus grand qu’il n’est et ose chapitrer son contenu tel un véritable auteur »

Oui, c’est plus cool que de mettre juste un « 1. ». Il y a beaucoup à dire, et faire juste un énorme pavé, c’est pas terrible. Puis j’ai l’âme littéraire.

Ce que je pense important de signaler dans ce retour d’expérience, c’est que j’ai longtemps été très Googlophile. Très content d’utiliser leurs outils. C’est joli, c’est simple, c’est très chouette, et tout le monde utilise les mêmes. Et quand on me disait, au détour d’une conversation sur le logiciel libre : « mais Google te surveille, Google est méchant, Google est tout vilain pas beau ! »

Je répondais : « Et il va en faire quoi, de mes données, Google ? Je m’en fous. »

J’étais un membre de la team #RienÀCacher et fier de l’être. Quand je m’étais demandé ce qui se faisait d’autre, j’étais allé sur le site de Framasoft (c’était il y a fort longtemps) et j’avais soupiré « pfeuh, c’est pas terrible comme même ». J’écris « comme même » afin de me ridiculiser efficacement, merci de ne pas commenter à ce sujet.

Puis un jour, au détour d’une Assemblée Nationale, j’ai entendu parler de surveillance généralisée par des boîtes noires. On en a tou⋅te⋅s, je pense, entendu parler.

« Nom d’une pipe, mais ceci n’a aucun lien avec la dégooglisation ! »

Tut-tut. C’est moi qui raconte. Et tu vas voir que si, ça a à voir ; du moins, dans mon esprit de jeune chèvre numérique.

Parce que quand j’ai entendu parler de ça, je me suis dit « mince, j’ai pas envie qu’on voie tout ce que je fais sous prétexte que trois clampins ont un pet au casque ». D’un seul coup, mon « rien à cacher » venait de s’effriter. Et il s’est ensuite effondré tel un tunnel mal foutu sous une montagne coréenne dans un film de Kim Seong-hun.

Mes certitudes sur la vie privée en ligne, allégorie

Dans ma tête, une alarme pleine de poussière s’est mise à hurler, une ampoule à moitié grillée a viré au rouge, et je me suis soudain inquiété de ma vie privée en ligne.

J’ai commencé à voir, la sueur au front, circuler des alertes de La Quadrature du Net concernant le danger potentiel que représenterait un tel dispositif d’espionnage massif. Et j’ai fini par tomber sur plusieurs conférences. Plein de conférences. Dont la fameuse « sexe, alcool et vie privée » : une merveille.

Après cela, deux conclusions :

  • La vie privée, c’est important et on la laisse facilement nous échapper ;
  • Les grandes entreprises qui ont mainmise sur ta vie privée, c’est pas tip top caviar.

Mais d’abord, avant de parler Google ou Facebook, il me fallait fuir le flicage étatique automatisé. Alors j’ai acheté une Brique Internet (powered by le génial système d’auto-hébergement YunoHost) et j’ai adhéré à l’association Aquilenet.

Brique Internet
Une Brique Internet dans son milieu naturel

Aquilenet, c’est un FAI (Fournisseur d’Accès à Internet) géré par des copains qui n’ont rien de mieux à faire que d’aider les gens à avoir accès à un Internet neutre, propre. J’ai donc souscrit à un VPN chez eux (chez nous, devrais-je maintenant dire). Pour avoir une protection contre les boîtes noires qui squatteront un jour (peut-être, vu comme ça avance vite) chez SFR, Free, Bouygues, Orange, et voudront savoir ce que je fais.

« Mais bon », me suis-je dit, « c’est très cool, mais ça n’empêche pas Google et Facebook de me renifler le derrière tout ça ».

Et j’ai entrepris la terrible, l’effroyable, l’inimaginable, la mythique, l’inaccessible… DéGooglisation.

Chapitre 2 : Poser les bases – Linux, Firefox, Searx

2.1/ Microsoft, l’OS privateur

Étrangement, le plus simple, c’était de dire au revoir à Microsoft.

Se dire que son système entier est couvert de trous (aka backdoors) pour laisser rentrer quiconque Microsoft veut bien laisser entrer, ce n’est pas agréable. Savoir que la nouvelle version gratuite qu’il te propose est bourrée de trackers, c’est pas mieux.

Pour bien comprendre, imagine que ton ordinateur soit comme un appartement.

Donc, on te vend un appartement sans serrure. On te dit « eh, vous pouvez en faire installer une si vous le voulez, mais alors, il faudra faire appel à une entreprise ».

Option n°1 : je n’ai pas besoin de serrure

« Je m’en fiche. J’ai confiance, et je sais quand je pars et comment je pars. Personne ne voudra entrer chez moi. »

Vraiment, est-ce qu’on peut croire une seconde à cette phrase ? Tu y vas au feeling ? Y a pas de raison que quelqu’un ne veuille entrer ? Tu partiras au travail ou en vacances le cœur léger ?

Option n°2 : je fais poser une serrure par un serrurier qui met un point d’honneur à ne pas me laisser voir son intervention

« Hop, me voilà protégé ! »

Et s’il garde un double de la clé ?
S’il décide de faire une copie de la clé et de l’envoyer à quelqu’un qui veut entrer chez vous sur simple demande ?

Elle fait quoi exactement cette serrure ?

Elle ferme vraiment ma porte ?

Option n°3 : je connais un gars très cool, il fabrique la serrure, me montre comment il la fait, et me prouve qu’il n’a pas de double de ma clé

« Je connais ma serrure, je connais ma clé, et je sais combien il en existe »

Ok, c’est super ça ! Dommage : je l’ai fait dans un appartement dont les murs sont en papier mâché. En plus, j’ai une fenêtre pétée, tout le monde peut rentrer. J’avais pas vu quand j’ai pris l’appart’. Bon, je rappelle mon pote, faut inspecter tout l’appartement et faire les travaux qui s’imposent.

Option n°4 : et si je prenais un appartement où tout est clean et sous contrôle ?

Ah, bah de suite, on se sent mieux. Et c’est ça l’intérêt d’un système d’exploitation (OS) libre. Parce que c’est bien sympa, Microsoft, mais concrètement, c’est eux qui ont tout mis en place. Et quand on veut voir comment c’est fait, s’il y a un vice caché, c’est non. C’est leur business, ça les regarde.

Alors pourquoi leur faire confiance ? La solution, c’est le logiciel libre : tout le monde peut trifouiller dedans et voir si c’est correct.

Comme point d’entrée Ubuntu (et surtout ses variantes) est un OS très simple d’accès, et qui ne demande pas de connaissances formidables d’un point de vue technique.

« Huées depuis mon manoir ! Ubuntu n’est pas libre, il utilise des drivers propriétaires, et de surcroît, l’ensemble est produit par Canonical ! Moi, Jean-Michel Pouetpouet, j’utilise uniquement FreeBSD, ce qui me permet d’avoir une pilosité soyeuse ! »

C’est super cool, mais FreeBSD, c’est pas vraiment l’accessibilité garantie et la compatibilité parfaite avec le monde extérieur (mais ça a plein d’avantages, ne me tuez pas, s’il vous plaît). Ubuntu, c’est grand public, et tout public. C’est fait pour, excusez-les du peu !

Dans la majorité des cas, il suffit d’une installation bien faite et tout ronronne. Le plus compliqué, c’est finalement de se dire : « allez, hop, j’y vais ».

En 2016, je jouais à League of Legends et à Hearthstone sur mon PC sous Linux. Je n’y joue plus parce que je ne joue plus. Mais j’y regarde les même lives que les autres, visite les mêmes sites web.

Et j’utilise mutt pour avoir moi aussi une pilosité soyeuse.

« Comme quoi, vous n’êtes finalement qu’un traître à vos valeurs ! Vous faites l’apologie du terrorisme du logiciel propriétaire, vous faites des trous dans votre coffre fort, quelle honte, quel scandale, démission ! »

J’entendais moins ce type de commentaires concernant Pokémon Go qui envoie des données à Nintendo. Comme quoi, les compromis, ça n’est pas que mon apanage.

Soit, je passerai sur ces menus détails ! Mais pourriez-vous cesser de tergiverser en toute véhémence avec un individu dont l’existence est factice ?

Non.

Une fois sous Ubuntu, le nom de mes logiciels change. Leur interface aussi. Et oui, il faut le temps de s’habituer. Mais qui ne s’est pas senti désemparé devant Windows 8.1 et son absence de bureau ? Un peu de temps d’adaptation. Et c’est tout.

Bureau Xubuntu
On est pas bien, là ? (Xubuntu 17.04) [Fond d’écran par Lewisdowsett]
Certes, parfois, la compatibilité n’est pas au rendez-vous. Soit on se bat, soit on se résout à faire un dual-boot (deux systèmes d’exploitation installés) sur son ordinateur, soit on virtualise (l’OS dans l’OS). C’est ce que j’ai fait : j’ai un Windows qui prend un tiers de mon disque dur, tout formaté et tout vide ou presque.

Ce filet de sécurité en place, la majorité du travail doit être fait sous Linux. Une fois qu’on en a l’habitude, un retour sous Windows n’est même plus tentant.

2.2/ La recherche : fondamental

Google, en premier lieu, c’est quoi ?

Un moteur de recherche. Un moteur de recherche qui sait absolument tout sur ce que je cherche. Parce que j’utilise un compte. Avec un historique. Parce qu’il utilise des trackers. Parce qu’il retient mon IP.

On parle donc d’une entreprise qui sait qui je suis, ce que je cherche, sur quoi je clique. Une entreprise qui détermine ma personnalité pour vendre le résultat à des régies publicitaires.

Non, désolé, ça ne me convient pas. Je n’ai pas envie qu’une entreprise puisse me profiler à tel point qu’elle sache si j’ai le VIH avant que j’en sois informé. Qu’elle sache que je déménage. Que je cherche un emploi. Où. Si je suis célibataire ou non. Depuis quand. Quel animal de compagnie j’ai chez moi. Qui est ma famille. Quels sont mes goûts.

Ah non, vraiment, une seule entité, privée, capitaliste, qui vit de la vente de pub, et qui me connaît aussi bien, ça ne me plaît pas.

« Et quelle fut ta réponse à cette situation ? »

J’utilise Bing.

« ?! *fait tomber son monocle dans sa tasse de thé* »

Non, pas du tout.

J’utilisais au départ Startpage. Le principe est simple : ce moteur de recherches ne garde aucune donnée, et envoie la recherche à Google avant d’afficher le résultat.

La différence est énorme. Google sait que Startpage a fait une recherche. Mais il ne sait pas QUI a utilisé Startpage. Il ne sait pas QUI je suis, juste ce que je cherche. Google ne peut plus me profiler, et moi, j’ai mes résultats.

Et voilà, je n’utilise plus Google Search. Juste comme ça. Pouf.

Maintenant, j’utilise Searx, hébergé sur les serveurs d’Aquilenet. Parce que c’est encore mieux.

Searx @Aquilenet
On searx et on trouve !

Il existe aussi Framabee qui utilise également Searx, ou encore Qwant (mais c’est pas du libre, et c’est une entreprise, alors j’aime moins).

À noter que cette étape n’est pas du tout dure à franchir : nombreux sont celleux qui utilisent Ecosia au lieu de Google, ou Duck Duck Go, et ne se sentent pas gênés dans leur recherche quotidienne de recettes de crêpes.

2.3/ Navigateur web et add-ons

Je naviguais avec Google Chrome. Comme beaucoup de monde (en dehors des admirateurs d’Internet Explorer, dont je ne comprendrai jamais les tendances auto-mutilatoires).

Je suis donc passé sous Firefox, et avec lui, j’ai ajouté pléthore d’extensions orientées vers la protection de la vie privée.

La liste (ou une bonne partie de celle-ci) est disponible sur le blog d’Aeris, que je vais donc citer en coupant allègrement dans le tas (l’article : https://blog.imirhil.fr/2015/12/08/extensions-vie-privee.html) :

Au-revoir-UTM est une extension très simple qui va virer automatiquement les balises « utm » laissées par les régies publicitaires ou trackers pour savoir d’où vous venez lors de l’accès au contenu.

 

Decentraleyes remplace à la volée les contenus que vous auriez normalement dû aller chercher sur des CDN centralisés et généralement très enclins à violer votre vie privée, tels Google, CloudFlare, Akamai et j’en passe.

 

Disconnect supprime tout le contenu traçant comme le contenu publicitaire, les outils d’analyse de trafic et les boutons sociaux.

 

HTTPS Everywhere force votre navigateur à utiliser les versions HTTPS (donc chiffrés) des sites web que vous consultez, même si vous cliquez sur un lien HTTP (en clair).

 

Pure URL, nettoie vos URL du contenu traçant.

 

uBlock Origin, qu’on ne présente plus, un super bloqueur de publicité et de traqueurs, juste un must-have.

 

Blender est une extension qui va tricher sur l’identité de votre navigateur, pour tenter de le faire passer pour celui le plus utilisé à l’heure actuelle, et ainsi se noyer dans la masse.

 

Smart Referer permet de masquer son référent. En effet, par défaut, votre navigateur envoie au serveur l’URL du site duquel vous venez. L’extension permet de remplacer cette valeur par l’URL du site sur lequel on va, voire carrément de supprimer l’information.

 

uMatrix est THE extension ultime pour la protection de sa vie privée sur Internet. Elle va en effet bloquer tout appel externe au site visité, vous protégeant de tout le pistage ambiant du net.

uMatrix
uMatrix : filtre par type de contenu et par domaine !

Une fois qu’on est à l’aise avec ça, on a déjà un meilleur contrôle de sa présence en ligne et des traces qu’on laisse.

Chapitre 3 : OK Google, déGooglise-toi

3.1 : Google Docs, Google Sheets, Google machins, le pack, quoi.

Il n’y a rien de plus simple que de se débarrasser de Google Docs. Des outils d’aussi bonne qualité sont disponibles chez Framasoft. Rien à installer (sauf si vous souhaitez héberger vous-même le contenu), accessible à tout le monde. Et en plus, depuis quelques temps, il y a Framaestro, le Google Drive de Framasoft. Tout comme Google. Sauf que…

… Bah c’est Framasoft, quoi. Si c’est la première fois que vous entendez ce nom, déjà : bienvenue. Ensuite, Framasoft ne va pas faire attention à vos données. Ou plutôt si, mais au sens de « les protéger ». Il s’agit de bénévoles qui souhaitent proposer des outils de qualité ; Framasoft s’en fiche de ce que vous saisissez dans vos documents. Et ne s’en approprie pas les droits ; Google, oui.

Pour trouver l’outil qu’il vous faut, rendez-vous simplement sur https://degooglisons-internet.org/alternatives et choisissez la ligne correspondant à l’outil Google dont vous souhaitez vous débarrasser.

3.2 : Google Maps / Google Street View

Google Maps peut être aisément remplacé par Open Street Map. Sur votre smartphone, l’application OSMAnd~ fait très bien son travail.

Pour Google Street View, Open Street Maps a lancé Open Street Cam. L’idée est tout bonnement GÉ-NIALE : on a pas les moyens de faire se promener une « OSM Car » ? Alors les utilisateurs seront l’OSM Car !

Lorsque vous prenez votre voiture, vous activez l’application (https://github.com/openstreetcam/android/ ou https://play.google.com/store/apps/details?id=com.telenav.streetview) et celle-ci prend des photos à intervalles réguliers en les géolocalisant ! Et voici comment on fait du Street View libre, communautaire et participatif !

3.3 : Picasa, Dropbox, Wetransfer

Moins utilisés que mes précédents amis mais tout de même existants, ces outils de stockage en ligne d’images ou de fichiers sont tenus par des entreprises en lesquels on ne peut pas avoir confiance.

Les services d’hébergement de fichiers ne manquent pas. Et ceux que je vais proposer ici n’ont pas mainmise sur vos fichiers.

Ça n’a l’air de rien comme ça, mais une entreprise qui peut regarder vos fichiers, est-ce que ce n’est pas problématique ? Lui avez-vous donné l’autorisation de s’introduire ainsi dans vos échanges de données ?

Pour les albums, au revoir Picasa, préférez Piwigo.

Pour un simple partage d’image(s), pourquoi pas Framapic ou Lutim ?

Pour stocker vos fichiers et les envoyer, dégagez WeTransfer de là et choisissez plutôt Framadrop. Abandonnez votre Dropbox, et rendez-vous sur un Nextcloud installé chez un pote ou une asso (ou directement chez vous ?) !

Les alternatives sont là, et sont bien plus diverses. La seule nuance, c’est que vous ne les connaissez pas, et n’avez pas le réflexe de les chercher.

Dans mon cas, ayant une Brique (je vous ai dit que j’avais une Brique ?), j’utilise Jirafeau pour héberger mes images, Nextcloud pour le reste. Ça me va très bien, et au moins, ça reste chez moi.

3.4 : Discuter en instantané

Rendez-vous sur Jabber (XMPP). Skype ne vous respecte pas, Hangout non plus. Messenger ? Pfeuh-cebook ! La messagerie directe de Twitter ? Ne comptez pas trop protéger vos données là-dessus non plus. Whatsapp ? C’est encore Facebook derrière !

Au lieu d’installer Google Hangouts et d’utiliser votre compte Google, installez Xabber ou Conversation sur votre téléphone et créez un compte Jabber. Vous voici à utiliser XMPP, le même protocole que derrière Hangout ou Messenger, mais sans la méchante boîte qui vit de publicité ciblée et de vente de données personnelles.

Au lieu d’utiliser Skype, pourquoi pas Tox ? Ou en ligne, vous pouvez utiliser Vroom, et même Framatalk !

J’ai un peu de mal à conseiller Telegram car récemment, la sécurité qu’il promet a été remise en question, et qu’il s’agit toujours d’une entreprise qui peut vouloir jouer avec vos données.

3.5 : GMail

On attaque le côté le plus effrayant : les e-mails. Je ne sais pas pour vous, mais moi, je n’imaginais pas pouvoir dire au revoir à mon GMail.

Cela faisait 5 ans que TOUS mes échanges se faisaient par son biais. Que tous mes comptes, sur tous les sites où j’étais inscrit, connaissaient cet e-mail comme étant le mien.

En réalité… je me suis rendu compte que mes mails déjà envoyés étaient sacrifiables, et que ceux déjà lus l’étaient également. Je me suis rendu compte que je recevais plus de spam et de newsletters (auxquelles je n’étais pas forcément inscrit) que de nouvelles de mes proches.

Et puis surtout, bon sang : Google lisait mes mails. Une entreprise lisait ma correspondance privée pour mieux me connaître. Pour mieux me profiler. Pour me vendre à des régies publicitaires. Non, ce n’est pas acceptable.

Étant alors devenu membre d’un FAI associatif, je lui ai confié mes mails. Mais avant cela, j’avais prévu de me tourner vers Protonmail. C’est certes une entreprise, mais vos messages sont chiffrés, et il n’est pas possible (dans le cas où c’est bien fait ;)) pour l’entreprise de lire vos mails. Contrairement à Google qui lit bien tout ce qu’il veut.

J’y reviens, mais… De la publicité ciblée à partir de vos échanges privés. Comment peut-on accepter ça ?

Protonmail est un service qui m’a l’air fiable. Ça reste néanmoins une entreprise, dont le code est partiellement consultable. Si vous souhaitez abandonner Google, c’est une alternative viable.

Envoyez un mail à tous vos contacts, mettez (ou non) en place une réponse automatique Google indiquant « voici ma nouvelle adresse e-mail », et changez votre adresse e-mail sur tous les sites la connaissant. Après tout, vous l’aviez peut-être fait avec votre adresse @aol.fr ou @wanadoo.fr sans vous interroger plus longtemps sur ce changement.

En consultant ses mails GMail de temps en temps, on peut en voir un qui s’est perdu et indiquer la bonne adresse e-mail à laquelle écrire.

Vous verrez, contrairement à ce qu’on croit, c’est simple, rapide, et on ne rencontre quasiment aucun obstacle.

Je ne sais pas si je vous ai dit que j’avais une brique Internet chez moi, d’ailleurs ; mais du coup, maintenant, elle héberge aussi une partie de mes e-mails (je jongle entre les adresses). Vous imaginez ? Ces mails sont stockés directement dans un petit boîtier posé par terre chez moi. Nulle part ailleurs !

3.6 : YouTube

Je poste des vidéos sur YouTube, étant vidéaste. Bon, OK. Mais je n’ai pas pour autant envie d’utiliser un compte Google le reste du temps. Et je ne voulais évidemment pas perdre mes abonnements.

La solution à cela ? L’oublié flux RSS. Comme quand on suivait les blogs, tu te rappelles ?

Google propose de récupérer tous ses abonnements YouTube au format .opml. Avec cette solution, on peut être notifié des sorties par un simple lecteur de flux RSS.

Pour celleux qui n’auraient pas connu ou utilisé RSS à l’époque où c’était la star d’Internet, il s’agit, en gros, d’abonnement à des sites/blogs. Dès qu’un nouvel article paraît, vous le recevez sur votre lecteur de flux RSS, où se rassemblent vos abonnements.

J’ai donc installé FreshRSS sur ma Brique (vous saviez que j’avais une brique ?), et y ai importé ce fameux fichier .opml. J’en ai profité pour ajouter Chroma, qui sort sur Dailymotion (eh ouais : on peut croiser les flux !). Et j’ai une sorte de boîte mail de mes abonnements vidéo ! C’est beau, non ?

Des abonnements YouTube sans compte YouTube <3

J’y ai ajouté un plugin nommé « FreshRSS-Youtube » qui me permet d’ouvrir les vidéos YouTube directement dans mon lecteur RSS. Donc j’ai un YouTube sans compte, avec juste mes abonnements, le tout chez moi.

Histoire de simplifier tout ça, j’ai développé une extension Firefox qui permet de s’abonner plus facilement à une chaîne en RSS. Il est disponible ici

Récupérer un flux RSS avec RSS-Tube !

3.7 : Android

Ton smartphone est sous Android ? Chouette. Mais Android utilise en permanence des services Google. Pour te géolocaliser, pour faire fonctionner tes applications, pour t’entendre quand tu chuchotes sous la couette un « OK, Google ».

Au début, j’ai été dérouté par cette prise de conscience. Alors j’ai simplement abandonné l’idée d’avoir un smartphone. J’ai acheté un téléphone tout pourri-pourrave pour quelques 30€ qui envoyait des SMS, recevait des MMS quand il était de bonne humeur, et téléphonait. C’était tout. Il y avait aussi le pire appareil photo qu’on ait vu depuis 2005.

Puis, un jour, au hasard d’une rencontre, on m’a parlé de Replicant. J’ai regardé, et j’ai constaté que ce n’était malheureusement pas compatible avec le Samsung Galaxy S3 Mini que j’avais abandonné précédemment.

Le hasard a fait le reste.

Un jour, j’ai commandé un t-shirt chez la Free Software Foundation Europe et reçu un papier « Free your Android ! » dans le colis.

En allant sur leur site, j’ai pu découvrir CyanogenMod (devenu maintenant LineageOS). Un Android, mais sans Google, créé par la communauté pour la communauté. Comme d’habitude, tout n’est pas tout blanc, mais c’est toujours mieux que rien.

Je l’ai installé (en suivant simplement des tutos, rien d’incroyable), installé F-Droid (qui remplace Google Play) pour télécharger les applications dont j’avais besoin, et j’installe directement les fichiers .apk comme on installe un .exe sur son Windows ou un .deb sur son Ubuntu.

CyanogenMod
Mon téléphone sous CyanogenMod 13

Conclusion

Bravo. Si vous êtes arrivé jusque là sans tricher, vous avez le droit de vous féliciter. J’espère que vous n’avez pas trouvé le temps trop long !

Courage, plus que quelques lignes. Les dernières pensées.

Au final, ce qui ressort de mon expérience, c’est que me préparer psychologiquement à quitter Google et Microsoft m’a pris plus de temps que pour m’en passer réellement, trouver des alternatives, et m’y faire.

On n’a pas besoin d’eux. Les alternatives existent, sont nombreuses, variées, et nous respectent pour ce que nous sommes : des êtres humains, avec des droits, qui souhaitons simplement utiliser Internet pour notre plaisir personnel quotidien.

Je pense que j’ai oublié plein de choses. Je pense que de nouveaux outils grandissent chaque jour et attendent qu’on les découvre.

En parallèle de tout ça, j’ai appris beaucoup sur l’auto-hébergement. J’ai aussi beaucoup appris sur l’anonymat, sur le chiffrement, sur le fonctionnement d’Internet. J’ai rejoint une association formidable, et en m’intéressant à la technique et au numérique, j’ai fait des rencontres nombreuses et toutes plus géniales les unes que les autres.

Je vous ai dit que quand j’ai commencé tout ça, je ne savais pas faire autre chose qu’un « apt-get install » sous GNU/Linux ? Que j’avais une peur bleue du code (malgré ma formation dans ce domaine) ?

Maintenant, j’en fais, j’en lis, et j’en redemande.

Mon Internet est propre. Ma vie privée, si elle n’est pas à l’abri, reçoit le maximum que je peux lui donner. Je vis d’outils décentralisés et d’auto-hébergement.

DÉGOOGLISONS L’INTERNET.

With Datalove,
Korbak <3




Addictions en série

Gouvernements européens, il est temps de chasser le colon Microsoft

Une enquête réalisée par un consortium de neuf journalistes européens met à jour les risques qui dérivent de la dépendance des gouvernements à Microsoft — aucun n’est indemne…

Même si çà et là des efforts sont notés pour migrer vers des solutions open source voire libres, l’adversaire est impitoyable et utilise un arsenal bien rodé.

Combien faudra-t-il encore de telles enquêtes pour provoquer une prise de conscience et pour que les décisions nécessaires soient prises et mises en œuvre ?

 

Traducteurs : PasDePanique, Paul, dominix, Asta, Luc, MO, lyn., Jérochat, simon, LP, Opsylac, Paul, Hello, Mika + 5 anonymes

L’addiction de l’Europe à Microsoft, un énorme risque pour la sécurité

Nous vous proposons ici une traduction de l’article paru dans Der Tagesspiegel, qui correspond à une partie de l’enquête menée par neuf journalistes européens dans leurs pays respectifs sur les relations entre Microsoft et les institutions publiques, chacun traitant de la situation particulière dans son pays (voir les différents articles déjà publiés ici). L’hebdomadaire Marianne a publié l’article de de Leila Minano dans son édition du 19 mai sur la situation française, intitulé Microsoft : menace sur la sécurité de l’État.

Le 13 mai 2017

par Crina Boros, Wojciech Ciesla, Elisa Simantke, Ingeborg Eliassen, Leila Minano, Nikolas Leontopoulos, Maria Maggiore, Paulo Pena et Harald Schumann

Le Parlement européen de Strasbourg – Photo par Frédéric Chateaux (CC BY-SA 2.0)

 

Le 12 mai 2017, des hackeurs ont frappé plus d’une centaine de pays à l’aide d’un outil volé à la NSA, en ciblant des vulnérabilités des logiciels Microsoft. Les attaques ont infecté uniquement des appareils fonctionnant avec le système d’exploitation Windows. Parmi les victimes, on compte plusieurs organismes publics, par exemple les hôpitaux du NHS (National Health Service, Service national de santé) au Royaume-Uni. Investigate Europe a passé des mois à enquêter sur l’extrême dépendance des pays européens envers Microsoft et les risques que cela implique pour la sécurité. Lisez notre enquête complète.

Nota bene : cet article est une traduction de la version anglaise d’un billet d’Investigate Europe publiée le 13 mai 2017. Pour savoir dans quelles publications de presse, pays et langues le billet est disponible, veuillez consulter cette page.

En général, lorsque le conseil municipal de Munich se réunit, ça n’intéresse pas grand-monde en dehors du périmètre de la ville. Mais en ce jour de février, tout est différent. Dans le grand hall du magnifique hôtel de ville néogothique, tous les sièges réservés à la presse et aux spectateurs sont occupés. Ceux qui n’ont pas trouvé de place se tiennent debout dans les allées. Des membres du conseil rapportent qu’ils ont reçu des courriels et des demandes de médias en provenance de toute l’Allemagne et de toute l’Europe.

Et pourtant l’événement semble purement technique. Pendant dix ans, des experts ont travaillé à migrer le système informatique de la ville vers des logiciels libres et ouverts. Les coûteux logiciels de l’entreprise américaine Microsoft ne sont désormais plus utilisés qu’exceptionnellement. Cela n’a pas seulement permis à la ville d’économiser plusieurs millions d’euros de frais de licences, mais a aussi rendu le système plus sûr – « un franc succès », ainsi que l’annonçaient en 2014 les responsables politiques de la ville. Mais, aujourd’hui, le maire, Dieter Reiter, et sa grande coalition rassemblant le Parti Social-Démocrate (SPD), de centre-gauche, et l’Union Chrétienne Sociale (CSU), de centre-droit, souhaitent ramener chez Microsoft les 24 000 ordinateurs de la ville.

Les débats sont animés. M Reiter et ses sympathisants ne réussissent pas à donner d’arguments convaincants – ni à dire combien pourrait coûter la transition. La décision est donc reportée. Le chef du groupe parlementaire des Verts, Florian Roth, est agacé : « Cela ne semble être rien de plus qu’un jeu de pouvoir politique, dit-il, mais un jeu à haut risque ». Il ajoute en guise d’avertissement : « Voulons-nous vraiment rendre notre administration éternellement dépendante du monopole de l’américain Microsoft ? »

Dans toute l’Europe, les systèmes informatiques des administrations publiques reposent sur les programmes de Microsoft

Le problème n’est absolument pas exagéré et ne se limite pas à Munich. Dans l’Europe entière, de la Finlande au Portugal, de l’Irlande à la Grèce, les technologies informatiques dans les administrations publiques reposent sur les programmes de l’éditeur de logiciels états-unien. Et puisque les systèmes numériques continuent à grandir et à prendre de plus en plus d’importance, les États deviennent de plus en plus dépendants de cette unique entreprise. La Commission européenne a même admis qu’elle était « concrètement captive de Microsoft ».

Quelles sont les conséquences de ce lock-in, comme on l’appelle dans le jargon technique, qui nous attache à un seul fournisseur ? Et comment les gouvernements peuvent-ils gérer cela ? L’équipe de journalistes d’Investigate Europe s’est lancée pendant trois mois dans une mission d’exploration pour établir des faits et interviewer des économistes, des responsables informatiques, des experts en sécurité et des politiciens dans douze pays européens, ainsi qu’à la Commission et au Parlement européens. Les résultats sont inquiétants.

La dépendance des États envers Microsoft :

  • engendre des coûts en hausse constante et bloque le progrès technique au sein des autorités publiques ;
  • contourne systématiquement les lois européennes en matière de passation des marchés et de règles de concurrence ;
  • introduit une influence politique étouffante de la part de cette entreprise ;
  • crée pour les systèmes informatiques étatiques, ainsi que pour les données de leurs citoyens, un grand risque technique et de sécurité politique.

Microsoft n’a souhaité répondre à aucune des questions d’Investigate Europe sur ces sujets. Et les personnels qui travaillent au sein des services informatiques des administrations savent pourquoi.

« De nombreuses administrations publiques sont tellement dépendantes de cet unique fournisseur qu’elles n’ont plus aucune liberté quand il s’agit de choisir un logiciel. Cela signifie que les États européens risquent de perdre le contrôle sur leurs propres infrastructures informatiques », avertit l’ingénieur informaticien et avocat Martin Schallbruch. Jusqu’à 2016, il était directeur du département des nouvelles technologies et de la cybersécurité au ministère de l’Intérieur fédéral allemand. Schallbruch n’est que trop familier de cette situation précaire. Si on voulait écarter ce danger et « basculer vers une architecture numérique indépendante, cela demanderait d’énormes investissements », déclare ce responsable informatique expérimenté, qui mène désormais des recherches au sein de l’école de commerce de Berlin ESMT.

Le problème n’est pas seulement grave, il est aussi complexe. Au cœur des enjeux se trouve le modèle économique de Microsoft. Le géant des logiciels, basé à Redmond dans l’État de Washington aux États-Unis, vend ses logiciels, en particulier le système d’exploitation Windows et les programmes de bureautique tels que Word, Excel, Powerpoint et Outlook, en tant que produits sous licence. Dans le métier, on qualifie ce type de logiciel de « propriétaire », ce qui signifie qu’il interdit à tout concurrent d’utiliser ses propres logiciels pour interpréter correctement les données encodées par les programmes de Microsoft. Concrètement, ce seront, par exemple, des titres, des tableaux ou des dates dont les données de mise en forme ou en page seront modifiées ou perdues.

C’est là la clé du monopole global de Microsoft – un business de rêve aussi ! Année après année, ce sont ainsi quelques 50 milliards de dollars que la multinationale empoche sous la forme de redevances de licences qui ne couvrent rien d’autre que la distribution de copies de ses programmes. Et parce que vos collègues, vos relations commerciales ou personnelles utilisent des fichiers Microsoft, cela paraît logique de faire de même, même si cela engage des frais, encore et toujours. La plupart des utilisateurs d’ordinateurs Apple, eux aussi, continuent d’acheter la suite Microsoft Office.

Les autorités administratives à la merci de Microsoft

Les administrateurs des services informatiques de l’État sont parfaitement avertis de cet état de fait. Cette monoculture présente de sérieux désavantages. Dans d’autres secteurs, le développement logiciel adhère depuis longtemps à un principe complètement différent. Google ou Siemens, par exemple, travaillent en priorité avec des programmes dits open source, en d’autres termes des programmes dont le code est partagé librement. Dans ce cadre, n’importe quel programmeur ou entreprise peut utiliser le code, à la condition que le dernier arrivé mette chaque amélioration qu’il apporte au code à la disposition de tous. Cela signifie que les entreprises ne peuvent pas gagner d’argent en vendant ce genre de logiciel. Mais, dans le même temps, elles bénéficient du travail des programmeurs du monde entier sans avoir à les rémunérer.

Quels que soient les produits, de la centrale électrique à l’appareil de radiographie, Siemens a besoin d’un ensemble étendu de logiciels. « Or, 90 % d’entre eux réalisent des tâches de pure routine », explique Karsten Gerloff, informaticien du service concerné au sein de l’entreprise. « Pour cela, nous utilisons bien sûr des solutions open source ». L’entreprise utilise du « code propriétaire » uniquement pour des fonctionnalités précises, propres aux machines de Siemens. Si tous les logiciels devaient être mis au point par des équipes de l’entreprise, « ce sont 1 000 programmeurs de plus que nous devrions employer et nous ne serions plus compétitifs », indique M. Gerloff.

Le recours à la créativité d’une masse de cerveaux de par le monde engendre une dynamique bien plus forte que celui qui serait restreint aux seuls cerveaux d’une entreprise. C’est pourquoi « l’open source est maintenant la norme dans le domaine scientifique et économique » pour Matthias Kirschner, président de la Free Software Foundation Europe (FSFE), qui plaide pour une plus grande autonomie dans l’usage des technologies de l’information. Cela s’applique autant aux smartphones qu’aux superordinateurs, systèmes de commande des machines ou serveurs web. L’ancien modèle du monopole ne concerne plus que les logiciels d’ordinateurs de bureau et les suites bureautiques.

Il n’en reste pas moins que les administrations publiques s’appuient toujours sur ce vieux monopole, et pas uniquement pour la bureautique. Il existe des milliers d’applications dont seules les autorités ont l’usage. Qu’il s’agisse d’augmenter les impôts, de payer les retraites ou de calculer le coût de la collecte des déchets, que ce soit dans la police, à la sécurité sociale ou dans les services de l’urbanisme, pour quasiment chaque service que rend l’État, il existe un logiciel opérationnel spécifiquement conçu pour cette tâche. Or, parce que le système d’exploitation Windows est utilisé partout, la plupart de ces « applications spécifiques » reposent sur ce système, mettant les autorités à la merci de son éditeur.

On a vu jusqu’où cela pouvait aller quand, à la fin de l’année 2014, Microsoft a cessé de fournir des mises à jour de sécurité pour Windows XP. Du jour au lendemain, des services publics partout en Europe se sont vus contraints de souscrire des contrats de service onéreux avec Microsoft afin de s’assurer que l’entreprise continuerait de colmater les failles de sécurité de son vieux système d’exploitation. Le gouvernement britannique a ainsi déboursé 6,5 millions de livres afin de disposer d’une année supplémentaire pour migrer ses ordinateurs vers Windows 7. Les Pays-Bas, ainsi que les länder allemands de Basse-Saxe et de Berlin, ont, eux aussi, payé plusieurs millions d’euros pour disposer d’un délai. « Il s’est passé la même chose dans toute l’Europe », confirme un expert de la Commission européenne. Et cela risque de se reproduire, vu que dans trois ans, c’en sera terminé des mises à jour de Windows 7.

La Commission européenne n’écoute pas ses propres experts

Dans le même temps, les États prennent du retard à cause du verrouillage de Microsoft. « Il n’existe pas de preuves formelles de ceci actuellement, mais il est logique de supposer que la dépendance envers un fournisseur unique ralentit le progrès technique dans le secteur public », prévient Dietmar Harhoff, directeur de l’institut Max-Planck pour l’innovation et la concurrence à Munich. Par exemple, si les municipalités pouvaient développer leurs centaines d’applications dédiées sur la base de programmes open source, chaque innovation pourrait être immédiatement utilisée par les services d’autres villes sans coût supplémentaire. « Ce potentiel est énorme pour le secteur public », selon D. Harhoff.

Dès 2012, la Commission européenne avait, par conséquent, lancé un programme au nom évocateur : « Contre le verrouillage ». L’idée était que les futurs appels d’offres publics portant sur l’achat de technologies informatiques et de logiciels ne comporteraient plus la mention explicite de noms d’entreprises et de technologies « propriétaires » de ces dernières. À la place, les administrations publiques devaient s’astreindre à demander le recours à des « normes ouvertes » accessibles à l’ensemble des fabricants et éditeurs logiciels. Ce faisant, le monopole de Microsoft disparaîtrait au fil du temps dans la mesure où les problèmes de compatibilité ne se poseraient plus : les fichiers pourraient être lus par des logiciels concurrents, et cela sans perte de données. Si tous les services administratifs publics utilisaient les mêmes formats ouverts, on économiserait le prix des licences. « Les normes ouvertes créent de la concurrence, mènent à l’innovation et font économiser de l’argent », expliquait la commissaire à la Concurrence d’alors, Nellie Kroes. Selon ses experts, « le manque de concurrence » dans le secteur informatique et télécoms « coûte à lui seul 1,1 milliards d’euros par an au secteur public ».

Mais l’inertie des bureaucrates de l’État a eu raison des bonnes intentions, et l’initiative n’a abouti à rien. Pourtant, la législation européenne définit désormais des règles précises. Les administrations publiques nationales sont tenues de passer par des appels d’offres européens pour toute commande dont le montant excède 135 000 euros. Pour les autres organismes publics, cette règle s’applique pour des montants supérieurs à 209 000 euros. Quand ils achètent des logiciels standards pour leurs administrations, les gouvernements des États membres, comme un seul homme, passent outre la loi en vigueur et privilégient le fournisseur habituel Microsoft.

La mise en concurrence remplacée par de curieuses procédures

Une curieuse façon de procéder. Sans passer d’appel d’offres publics, les administrations négocient des réductions avec l’entreprise états-unienne et concluent des contrats-cadres sur cette base. Tous les groupements publics peuvent ensuite en profiter. Dans les offres ultérieures, ils cherchent uniquement des revendeurs qui leur vendront des licences Microsoft selon ces conditions. Il n’y a de facto aucune concurrence pour ces contrats publics.

En Allemagne aussi. En 2015, le ministère de l’Intérieur a convenu de nouvelles « conditions contractuelles » avec la filiale irlandaise de Microsoft, d’où la firme conduit ses affaires européennes pour optimiser ses impôts. Les rabais identifiés dans le nouvel accord peuvent être utilisés par tous les pouvoirs publics, du ministère fédéral jusqu’à la petite municipalité. La ville de Dortmund a ainsi passé un appel d’offres, par exemple pour trouver un « distributeur pour le contrat BMI de licences Microsoft en volume ».

« C’est comme si l’État publiait une offre pour acheter des voitures, mais uniquement de revendeurs Volkswagen », se moque l’avocat néerlandais Matthieu Paapst, dont le doctorat à l’Université de Groningen a porté sur l’achat de logiciels dans le secteur public. Sa conclusion : « Se fournir en produits Microsoft, pour une administration publique, sans passer d’appel d’offres ouverts, viole la législation européenne en vigueur ». En vérité, selon l’avocat, la Commission européenne devrait engager des poursuites contre ce phénomène. L’unique raison pour laquelle elle s’en garde bien, c’est qu’elle n’applique pas elle-même les recommandations.

En effet, la Commission européenne a un contrat exclusif avec Microsoft, valable pour toutes les institutions de l’UE – elle ignore de ce fait les recommandations de ses propres experts. C’est aussi « parfaitement légal » se défend Gertrud Ingestad, qui est responsable de la Direction générale pour l’Informatique (DG Digit), dans une interview à Investigate Europe. Il n’y aurait « pas d’autres possibilités » de garantir la continuité du travail de l’Union européenne. Et, dans ce cas, la législation permet explicitement le recours à une « procédure de négociation » non publique. Mais ce n’est pas exact : cette exception est explicitement valable « seulement quand il n’existe pas d’alternative raisonnable ou de solution de remplacement », selon l’article 32 du livret de recommandations de l’UE. Et c’est justement ce que la Directrice générale G. Ingestad et ses collègues ne peuvent pas prouver. Il existe des alternatives viables.

Le général italien Camillo Sileo, par exemple, a beaucoup à dire sur ce sujet. Ce militaire, qui travaille au ministère de la Défense, à Rome, reçoit dans une petite bibliothèque. Là, un sourire aux lèvres, d’une voix douce, il parle de son projet comme d’une affaire mineure. Pourtant, il est à la tête d’une opération peu commune, voire révolutionnaire, l’opération «Libre Défense ». Son objectif est de migrer les quelques 100 000 ordinateurs de l’armée italienne vers des logiciels open source. « Nous avons constaté que les deux types de logiciels sont capables de satisfaire de la même façon nos besoins », explique le général. « Voyez par vous-même », dit-il en montrant à l’écran la première page d’une étude récente du ministère. « Ici, vous avez un fichier Microsoft Word », dit-il avant de cliquer, « Et, ici, la version open source LibreOffice. Le logo, le titre, la structure, tout est là. Aucune différence, » dit-il, radieux. «La migration permettra une économie de 28 millions d’euros d’ici 2020 », a prévu le général. Par temps de crise en Italie, l’armée, elle aussi, doit faire des économies.

Le fait est que si la migration s’est déroulée sans accroc jusqu’ici, c’est grâce à une solide planification, selon le général. Le logiciel libre de remplacement peut satisfaire tous les besoins, mais il se manipule différemment et les utilisateurs doivent donc être formés. Pour cela, des volontaires de l’association « LibreItalia » ont formé des personnels de tous les services de l’armée devenus à leur tour formateurs et conseillers pour former leurs collègues. Ainsi, il y aura bientôt assez d’experts dans tous les services de l’armée. « Bien communiquer est un préalable à la réussite du projet », précise le général Sileo. « Si les gens comprennent l’objectif du changement, ils sont capables de surmonter toutes leurs résistances mentales ». Il n’a pas encore été décidé si l’armée migrera aussi son système d’exploitation un jour,  pour être totalement indépendante de Microsoft, mais la question sera examinée de très près », accorde le général Sileo.

La gendarmerie nationale française, l’une des deux forces de police nationales, a déjà mené à bien une opération de migration démarrée dès 2005. Aujourd’hui, 72 000 ordinateurs de la gendarmerie nationale sont équipés d’une version particularisée du système d’exploitation Linux, avec LibreOffice comme application principale. La gendarmerie affirme que l’économie réalisée depuis le début du projet s’élevait en 2014 à quelques 20 millions d’euros. Précisons que jusqu’à cette année-là, la migration s’était déroulée pratiquement dans le secret. « La migration vers Linux pourrait  être vue par Microsoft comme une menace de son monopole », peut-on lire dans une note interne obtenue par Investigate Europe. Cela aurait pu « déclencher des actions visant à discréditer cette politique de la gendarmerie ». C’est pour cette raison que la migration s’est effectuée « sans publicité » jusqu’au moment où le processus est devenu irréversible.

Les institutions mettent la pression sur ceux qui se désengagent

Ces précautions étaient fondées. Encore aujourd’hui, 12 ans après le lancement du projet, la direction de la gendarmerie est sous « pression permanente » pour faire marche arrière, rapporte un membre de l’équipe du département Informatique et Télécom du ministère de l’Intérieur à Paris, qui ne souhaite pas être nommé de peur de représailles. « Chaque jour de fonctionnement du système est une gifle pour notre administration qui maintient que seul Microsoft fonctionne correctement » dit-il.

Le bras de fer entre le ministère de tutelle et les partisans de Linux au sein de la gendarmerie est confirmé par une lettre du ministre, d’avril 2016, qu’Investigate Europe a eue entre les mains. Dans cette lettre, le ministre demande aux fonctionnaires responsables de la gendarmerie un retour définitif et intégral à Windows – prescription dont la direction de la police n’a pas tenu compte jusqu’à présent. Interrogé sur la question, un porte-parole faisait savoir « avec regret » qu’il était dans « l’incapacité de fournir une explication ». En parallèle, cependant, il écrivait de façon clairement subversive que la migration vers le logiciel libre « se passait en douceur et pour longtemps ». « Nous avons choisi Linux parce que le rapport coût/bénéfice est meilleur et, au final, nous gagnons en indépendance».

Ce conflit est caractéristique de ce que vivent partout les pionniers d’une émancipation vis-à-vis du monopole. Partout en Europe, il y a eu et il y a des centaines d’administrations et de municipalités qui ont migré ou tentent de migrer vers des logiciels open source : que ce soit l’administration des retraites de l’État en Suède, les écoles de Jaworzno en Pologne, les services municipaux de la ville de Rome, l’arrondissement de Camden à Londres, la grande ville de Nantes en France, le gouvernement de la communauté autonome d’Estrémadure en Espagne ou encore la ville de Vieira do Minho au Portugal. Ces projets sont à ce jour autant d’îlots perdus dans l’océan Microsoft. Pour cette raison, nombreux sont ceux qui subissent régulièrement des pressions pour rentrer dans le rang, parce que les produits et les lobbyistes de Microsoft sont omniprésents et peuvent créer de nouveaux ennuis.

Des lobbyistes à l’œuvre au sein des ministères

Dans le différend concernant l’administration municipale de Munich, ce qui se passe en coulisses est aussi un élément à prendre en considération. Dans cette ville, le maire centre-gauche SPD a besoin des voix du centre-droit CSU. Or, ce dernier est étroitement lié à l’entreprise étasunienne. Dorothee Belz, par exemple, vice-présidente chez Microsoft Europe jusqu’en 2015, fait partie du comité exécutif du conseil économique du parti conservateur.

Des épisodes identiques « d’allers-retours » se constatent partout en Europe. En Italie, un ancien directeur chez Microsoft pilote aujourd’hui la « transformation numérique » des affaires de la ville de Milan. Au Portugal, c’est un cadre de Microsoft qui a organisé la campagne pour l’élection du président conservateur. Plus de six cadres et directeurs ont des liens étroits avec des ministres et des politiciens. Dans le même temps, des techniciens de Microsoft travaillent directement dans les services informatiques des administrations. Au moins cinq d’entre eux possèdent une adresse électronique qui les identifie comme s’ils faisaient partie du personnel administratif, ce qui leur permet de « faire leur travail de lobbying pour Microsoft à l’intérieur de l’administration », affirme un fonctionnaire à Investigate Europe. En Allemagne aussi, l’accès aux ordinateurs du gouvernement est largement ouvert. Il existe plusieurs milliers d’experts dans les centres informatiques du gouvernement, y compris des personnels de Microsoft et ses partenaires, indique l’ex-responsable informatique du gouvernement fédéral, Martin Schallbruch.

Microsoft peut également instrumentaliser sans restriction les écoles et les universités à des fins marketing. Les écoliers et les enseignants reçoivent en général les produits Microsoft gratuitement, de sorte que les enfants grandissent sans rien connaître d’autre. La stratégie veut qu’après leurs études ils payeront des frais de licence pendant le reste de leur existence. « Une telle méthode est un classique du modèle « crack », utilisé dans le trafic de drogue », explique Rufus Pollock du Centre pour la propriété Intellectuelle et les lois de l’information (CIPIL) à l’Université de Cambridge. Les produits sont gratuits jusqu’à ce que les utilisateurs soient rendus accros.
Cela démontre que les gouvernements européens approuvent tacitement leur propre dépendance envers Microsoft. Ainsi que le formule Anna Strezynska, ministre polonaise du numérique : « Oui, nous sommes dépendants, mais je pense que c’est raisonnable ».
Cela signifie aussi que ces décideurs exposent leurs pays et leurs citoyens à d’innombrables risques de sécurité, tant techniques que politiques.

Ce n’est pas un hasard si les attaques informatiques majeures qui, ces dernières années, ont pris pour cible des institutions de l’État comme le Bundestag allemand ou encore la Commission et le Parlement européens, ont systématiquement exploité des failles de sécurité des logiciels Microsoft. La suite bureautique de Microsoft, notamment, et les fichiers qu’elle permet de créer, sont une des portes d’entrée privilégiée par les hackeurs, selon le rapport 2011 du Bureau fédéral allemand pour la Sécurité des technologies de l’information (BSI). D’après ce rapport, la moitié des attaques ciblées avait pour origine des documents infectés de type Microsoft, tels les fichiers « .docx », dans lesquels les hackeurs avaient dissimulé leur logiciel malveillant. « La particulière complexité de ces fichiers facilite la tâche des hackeurs », affirment les experts du BSI. Ces fichiers contiennent bien plus de code que nécessaire, ne serait-ce que pour empêcher d’autres logiciels de les lire facilement. « Ce constat est toujours d’actualité, confirme Joachim Wagner, porte-parole du BSI. Le format des fichiers Microsoft est bien plus complexe que celui des logiciels open source, ce qui augmente d’autant la « surface d’attaque» de la cible pour les hackeurs ».

Italo Vignoli, un des experts qui travaillent sur le logiciel libre LibreOffice, l’a testé pour Investigate Europe avec un simple texte de 5 500 caractères. Sous la version courante de Microsoft Word, le code du fichier couvre 390 pages. Par comparaison, le format libre OpenDocumentText ne fait que onze pages.

Les programmes de Microsoft sont confus et vulnérables

La particulière vulnérabilité des logiciels de bureautique de Microsoft se voit au nombre de failles de sécurité. « Aux États-Unis, le National Institute for Standards and Technology (NIST, Institut national des normes et de la technologie) a repéré 188 nouvelles failles dans la suite Microsoft Office au cours des trois années précédant le mois d’avril 2017. Les trois quarts de ces failles font partie de la catégorie des failles les plus graves. Sur la même période, on n’a découvert que onze failles dans LibreOffice. D’après M. Vignoli, cela n’a rien à voir avec le fait que LibreOffice est moins répandu. Simplement, malgré tous leurs efforts, même les meilleurs experts n’ont pu dénicher d’autres failles dans LibreOffice.

Cela n’a rien de surprenant. N’importe quel utilisateur chevronné peut contrôler le code source de LibreOffice. Pour l’un des meilleurs experts européens, Michael Waidner, directeur de l’institut Fraunhofer pour la sécurité des technologies de l’information, c’est la clef de voûte : « Si l’Union européenne ou un État entend vraiment préserver sa souveraineté, il doit être en mesure de vérifier que ses matériels informatiques et ses logiciels font bien ce qu’ils sont censés faire et rien d’autre, explique-t-il. Cela ne revient pas à dire que l’Europe doit devenir autonome. « Mais nous devons faire en sorte que nos experts aient accès à toute l’information requise pour tester les logiciels là où la sécurité est en jeu. Il est essentiel d’avoir accès au code source », exige l’expert. Sans cela, affirme-t-il, il ne peut y avoir de « souveraineté numérique ».

Or, c’est précisément ce que Microsoft refuse de fournir. L’entreprise a créé un « centre de la transparence», à Bruxelles, où les représentants gouvernementaux sont invités à inspecter le code source. Mais le BSI allemand juge la proposition insuffisante. « Microsoft doit satisfaire à un éventail complet de prérequis techniques pour créer un climat de confiance », a expliqué le BSI au magazine spécialisé C’t. Or Microsoft n’autorise même pas les experts à conserver leurs notes écrites et exige la signature d’un accord de non-divulgation, a confirmé un expert de la BSI à Investigate Europe.
Même si une inspection du code était possible, les conclusions en seraient probablement obsolètes dès la mise à jour suivante. En outre, le risque que représentent les produits Microsoft n’est pas seulement technique, il est aussi politique.

Déclasser l’Europe au rang de colonie numérique

L’entreprise est soumise aux lois des États-Unis. Cela signifie qu’à tout moment l’administration de ce pays peut la forcer à collaborer afin d’accéder aux données des citoyens et des pouvoirs publics d’autres pays. Pour satisfaire cet objectif, il existe ce qu’on appelle « la lettre du renseignement » dans la loi américaine, autorisant des tribunaux secrets à délivrer de telles instructions, avec obligation de se taire sous peine de poursuites légales. Les révélations de l’ancien agent Edward Snowden ont montré que les services de renseignement américain font un usage démesuré de leurs pouvoirs. Les documents qu’il a publiés révèlent que Microsoft coopère étroitement avec les services secrets de la NSA.

Un document de la NSA du 8 mars 2013 explique avec force détails que Microsoft a ouvert aux autorités américaines l’accès à ses services dans le nuage (cloud), autrement dit aux dispositifs de stockage de données auxquels recourent un nombre grandissant d’organisations privées, mais aussi publiques, qui confient ainsi à un prestataire externe leurs données informatiques par souci d’économiser sur les coûts de leur informatique interne. Les documents de Snowden ont aussi révélé que la NSA utilise une cyber-arme, Regin, en collaboration avec ses partenaires britanniques pour espionner la Commission et le Parlement européens via une faille de sécurité du programme Windows.

Wikileaks a publié des documents secrets qui prouvent que ce n’était pas un cas isolé. Ils montrent que la CIA a même développé un véritable arsenal de logiciels malveillants (malwares) ciblant exclusivement les logiciels de Windows. La NSA n’est pas en reste, un de ses outils exploitant, ainsi que l’a révélé récemment le groupe de hackeurs Shadow Brokers, quatre failles de sécurité du système d’exploitation Windows inconnues jusqu’alors (vulnérabilités Jour Zéro).

De fait, l’utilisation de produits Microsoft par les institutions de l’État « n’est plus compatible avec un État de droit », affirme le juriste et député Vert du Parlement européen Jan Philipp Albrecht. Beaucoup le considèrent comme le père de la loi européenne sur la protection des données. Albrecht précise qu’il y a pléthore de données individuelles stockées dans des ordinateurs appartenant à l’État, tels les montants acquittés pour les impôts, l’état de santé, les fichiers de police et les données sociales. « Cependant, les institutions ne peuvent garantir la confidentialité de ces données tant qu’elles travaillent avec des logiciels dont elles n’ont pas le contrôle », prévient Albrecht. Il va falloir changer cela, sous peine de « transformer l’Europe en une colonie numérique ».

M. Albrecht n’est pas le seul à exprimer ce genre d’opinion. En 2014, après les révélations d’E. Snowden, une grande majorité du Parlement européen appelait les États membres de l’UE à s’unir pour « développer des compétences-clés autonomes dans le domaine des technologies de l’information », qui devraient « être basées sur des standards ouverts et des logiciels open source », de manière à pouvoir « être testées ».

Un an plus tard, le Parlement nouvellement élu appelait à nouveau à l’adoption d’« une stratégie européenne pour l’indépendance du secteur des technologies de l’information ». Il indiquait aussi comment cela pouvait être acté : il est important d’établir « un code source publiquement accessible comme critère de sélection obligatoire dans toutes les procédures d’attribution des technologies de l’information du secteur public », ainsi que le préconisait l’expert en sécurité Michael Waidner.

 

Si l’open source devenait la norme obligatoire pour le développement logiciel, « les acteurs européens deviendraient immédiatement compétitifs ».

Si cela se faisait, M. Albrecht pense qu’il y aurait un effet sur les technologies de l’information « semblable à celui du projet Airbus ». De la même manière que l’Europe s’est autrefois affranchie de Boeing, elle pourrait s’affranchir aujourd’hui de sa dépendance à Microsoft, et cela pour un coût bien moindre, pense-t-il ; si l’open source devenait la norme obligatoire pour le développement logiciel, « les acteurs européens deviendraient immédiatement compétitifs, affirme Albrecht. Après tout, ajoute-t-il, les solutions alternatives sont développées depuis longtemps ».

Pourtant, aujourd’hui encore, les gouvernements européens s’avèrent incapables de chiffrer le montant du tribut versé au « seigneur » des licences de Redmond, aux États-Unis. De la Norvège au Portugal, la réponse des administrations compétentes aux demandes d’information d’Investigate Europe a invariablement été qu’il n’existe pas de statistiques en la matière. En Allemagne, le bureau des achats du ministère fédéral de l’Intérieur a précisé ne pouvoir fournir qu’une « estimation » des dépenses en licences Microsoft des autorités fédérales. Dix semaines après la demande, le bureau n’était toujours pas en mesure de fournir ces données.

Pierre Audoin Consultants, société spécialisée dans l’analyse des marchés IT, estime que, globalement, en Europe, Microsoft a tiré près de 2 milliards d’euros de revenus de ses opérations avec le secteur public pour l’exercice fiscal 2015-16. Cela voudrait dire que ce sont au moins 20 milliards d’euros de recettes fiscales européennes qui partent vers l’entreprise étasunienne tous les dix ans,  assurément assez pour que l’Europe développe sa propre industrie du logiciel.

Jusqu’à présent, les dirigeants européens ne veulent rien entendre d’un « projet Airbus » pour le secteur des technologies de l’information. Andrus Ansip, commissaire européen au marché unique du numérique ne veut même pas en parler. Son directeur de cabinet, Roberto Viola, botte en touche en déclarant que ce n’est pas là leur principal souci

Les entreprises américaines de l’Internet, de leur côté, n’ont pas besoin d’un dessin. Que se soit Facebook, Google ou Amazon, leurs infrastructures informatiques fonctionnent exclusivement avec des logiciels libres à en croire leurs porte-paroles. C’est le seul moyen qu’elles ont de se protéger. C’est bien aussi l’intention des dirigeants chinois, qui ont commencé à se libérer du monopole de Microsoft après le scandale de la NSA.

Sous l’égide de l’Académie nationale d’ingénierie chinoise, un système d’exploitation ouvert, Neokylin, a été développé, accompagné de sa suite bureautique. L’opération de « déwindowsisation », comme l’appelle le professeur Ni Guangang, chef du projet, concernera au premier chef les secteurs les plus sensibles en termes de sécurité. C’est pourquoi l’usage de programmes libres/ouverts est en train de devenir obligatoire pour les militaires, l’administration d’État et le secteur financier. L’opération devrait se terminer en 2020.
La Chine prend le chemin de l’indépendance. Que fait l’Europe pendant ce temps-là ?

photo par Leonid Mamachenkov (CC BY 2.0)

Cet article est une traduction de la version anglaise d’un billet d’Investigate Europe publiée le 13 mai 2017. Pour savoir dans quelles publications de presse, pays et langues le billet est disponible, veuillez consulter la page suivante.

 




Framaslides : reprenez en main votre Power, Point !

Pour le meilleur ou pour le pire, les diaporamas, slides et autres présentations font partie de notre quotidien. Quitte à devoir en faire et en voir, seul·e ou en groupe, autant disposer d’un outil en ligne pratique et respectueux de nos vies numériques, non ?

Ceci n’est pas un Powerpoint®

Commençons par un point vocabulaire : demander un diaporama en prononçant les mots « Tu me fais un Powerpoint ? » c’est un peu comme si on disait « Tu me fais un Subway ? » lorsqu’on veut un sandwich. Non seulement on fait de la pub gratos à une marque (si encore Microsoft vous payait…) ; mais en plus on court le risque de se polluer les cerveaux en apprenant à nos subconscients que sandwich = Subway.

Et puis il faut être francs, le format de documents .ppt ou .pptx (utilisé par Microsoft pour enchaîner vos diaporamas à leur logiciel Powerpoint), ben c’est une plaie. Un format fermé, difficilement compatible avec d’autres logiciels, et dépassé. Et cher, en plus, si vous voulez l’utiliser en ligne avec la suite « Office 365 »…

10 € par mois pour avoir le droit de vous filer mes données ?
C’est payant et je suis quand même le produit ?
Microsoft, vous êtes des génies.

 

Car aujourd’hui, les langages qui permettent de faire des sites web (le HTML, bien sûr, mais aussi ses copaings CSS et Javascript), permettent de produire et de lire hyper facilement des présentations (même complexes), sans toucher à une seule ligne de code, sans installer de logiciel ni d’application, juste à l’intérieur de nos navigateurs web.

C’est justement, ce que permet le logiciel libre Strut. C’est donc à ce logiciel que nous avons contribué afin qu’il ait toutes les fonctionnalités dont nous rêvions pour mieux vous proposer Framaslides !

Framaslides présenté en une framaslide !

Nous pourrions énumérer les fonctionnalités qu’offre Strut : formatage de texte et choix de couleurs, intégration d’images, vidéos, sites web et formes, transitions, etc. Mais le plus simple, c’est encore de vous les montrer, non ?

Cliquez sur le cadre ci dessous et naviguez grâce aux flèches droite et gauche (ou haut et bas) de votre clavier ;).

Cliquez, puis faites défiler les slides avec ↑ ↓ → ←

Déjà, vous allez nous dire, c’est beau (et on vous remercie de nous le dire). Oui. Le seul souci c’est que Struts a été conçu comme un logiciel « perso ». On l’installe sur son ordinateur ou sur un coin de serveur (une brique inter.net, par exemple), on l’utilise, et il enregistre notre ou nos présentation(s) dans le cache de notre navigateur web. Mais si on change d’ordinateur, de navigateur, ou si on nettoie l’historique et le cache de son navigateur web, pfuiiit ! Tout est perdu !

Tout ceci est normal : Strut a été conçu comme cela, et il faut rendre grâce à Matt Crinklaw-Vogt, son développeur, pour le travail fourni. En revanche, si vous voulons que ce logiciel ait de nouvelles fonctionnalités permettant d’autres utilisations, on fait comme tout·e libriste qui se respecte : on se relève les manches et on contribue au code 😉 !

Framaslides, un service collaboratif

Nous avons donc demandé à Thomas (que nous avons embauché suite à son stage où il a mené à bien Framagenda) de relever le défi ! Un peu comme une liste au père Noël, qui s’allonge au fur et à mesure que la date approche…

Thomas, face à ces demandes…

Dis, Thomas, ce serait pas génial si on pouvait…

  • … enregistrer ses diaporamas en ligne ?
  • … du coup envoyer nos images à Framaslides ?
  • … pour ça il me faut un compte, non ? Tu nous fais le gestionnaire de compte ?
  • … ben alors il nous permettra de gérer nos présentations ?
  • … genre de créer un lien public pour celle-ci ?
  • … ou de proposer celle-là comme modèle ?
  • … ah mais j’aime pas ce que j’ai changé, tu peux nous faire un système de révisions, hein, hein ?
  • … obah si on peut revenir en arrière, ce serait bien de pouvoir collaborer ensemble, s’te plééééé ???

Et le plus beau, c’est que le résultat est là. Autour de l’outil d’édition de présentations qu’offre Strut, Thomas a conçu un outil permettant de créer, présenter et collaborer sur ses présentations, en gérant aisément son compte, ses images, ses groupes, et bien entendu ses Framaslides !

Et un aperçu du résultat de son travail, un !

Pour les plus techos d’entre nous, Thomas a même pris le temps de faire un code propre, facile d’accès, documenté et de le déposer sur un Git aux petits oignons avec les tags et issues kivonbien… bref : un code qui est un appel aux contributions et collaborations ! Du coup, si vous maîtrisez du ImpressJS, du BackboneJS et du Handlebars (qui font tourner Strut) ; ou si vous êtes virtuose du Symphony3 (qui se trouve derrière la surcouche « Framaslides » de Thomas), vos contributions seront grandement appréciées 😉 !

Manuel change le monde avec Framaslides

Manuel Dupuis-Morizeau veut changer le monde. Il se dit que la première étape, c’est de convaincre d’autres personnes de le rejoindre dans son envie… Et pour cela, rien de tel qu’une présentation de derrière les fagots ! Ne voulant pas que ses idées soient confiées aux mains de Google Slides ou Microsoft Powerpoint 365, Manuel décide de se lancer sur Framaslides.

Pour cela, il lui faut un compte Framaslides. C’est facile : dès la page d’accueil, il clique sur le bouton « Se créer un compte », remplit le formulaire assez classique, puis attend l’email de confirmation (en vérifiant de temps en temps dans son dossier courriers indésirables, sait-on jamais)

On lui dit, à Manuel, que 8 caractères dans un mot de passe c’est bien trop peu ?

Une fois son compte validé, Manuel est impatient de s’y mettre, il clique donc directement sur « Créer une présentation ». Là, il découvre l’interface d’édition des diaporama de Struts.

  • La colonne des diapositives (1) ;
  • Le mode expert (2) (s’il veut trifouiller du code) ;
  • Les boutons d’ajout de contenu (3) ;
  • Les boutons de choix des couleurs (4) ;
  • Les vues panorama et aperçu (5).

Il décide donc de créer ses premières diapositives, ou slides, comme on dit !

#gallery-1 { margin: auto; } #gallery-1 .gallery-item { float: left; margin-top: 10px; text-align: center; width: 33%; } #gallery-1 img { border: 2px solid #cfcfcf; } #gallery-1 .gallery-caption { margin-left: 0; } /* see gallery_shortcode() in wp-includes/media.php */

Alors c’est bien gentil tout cela, mais il ne voit toujours pas comment faire les transitions… C’est là qu’il active le mode Panorama. Cela demande une petite gymnastique mentale, mais il voit vite comment ça peut marcher !

En fait, il faut s’imaginer qu’on déplace ses slides dans l’espace !

Bon, après avoir regardé un aperçu, ce début semble prometteur à Manuel, alors faut-il le sauvegarder en utilisant le menu en haut à gauche.

Le menu, un grand classique indémodable.

Puis clique sur « retourner aux présentations », dans ce même menu.

Manuel se retrouve alors devant l’interface de gestion de ses Framaslides. L’outil a l’air assez explicite, en fait…

Au centre, il retrouve ses présentations, ses modèles et ses collaborations, chacun sous leur onglet.

Et en haut à droite une barre de recherche et d’outils qui lui permet de :

  • créer une nouvelle présentation ;
  • voir ses présentations (donc retourner à l’écran principal de son compte) ;
  • gérer ses groupes de collaboration ;
  • gérer les images qu’il a téléversées en utilisant Framaslides ;
  • gérer les paramètres de son compte (mot de passe, etc.) ;
  • et se déconnecter.

Tout cela rend Manuel assez curieux, il va donc aller voir son gestionnaire d’images, mais comme il n’en a téléchargé qu’une, cela ne lui sert pas encore beaucoup. Il est quand même rassuré de savoir qu’il peut en effacer à tout moment et garder la maîtrise de ses fichiers.

Par contre, Manuel a une idée brillante… se faire aider pour commencer à changer le monde. Il décide d’aller directement créer un nouveau groupe afin d’y inviter toute la famille Dupuis Morizeau !

Non, sérieusement Manuel : le mot de passe, plus il est long, plus il est bon…

Bon, l’histoire ne dit pas si Manuel réussira à changer le monde, mais on peut croire qu’il réussira facilement à créer sa présentation avec d’autres membres de la famille et à la partager le plus largement possible 😉

Pour aller plus loin :




Être un géant du mail, c’est faire la loi…

Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.

Quand les facteurs deviennent shérifs…

« Bonjour, c’est moi qui fais la loi ! »
Par Mennonite Church USA ArchivesAlta Hershey, Incoming Mail, 1957, No restrictions, Link

Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.

Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !

Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.

Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).

Le pouvoir de nuisance des silos de mail

Crédits : Illus­tra­tion de Vincent Van Gogh, Joseph Roulin assis

par Luc Didry, aka Framasky.

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids dans les échanges mondiaux [nous, on en a trouvé : 1,6 milliard de comptes à eux trois en 2016 – NdF].

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

WARNING : la liste à puce qui suit contient des exemples techniques un poil velus. Nos notes vous aideront à y survivre, mais vous avez le droit de la passer pour lire la suite des réflexions de Luc. Ah, et puis il a son franc-parler, le loustic. ^^ – NdF.

Petits exemples vécus :

  • Micro­soft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
  • Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC [une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF [une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
  • Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enre­gis­tre­ment DMARC [une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expé­di­teur une adresse Yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
  • Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104] [« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est telle­ment connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée.

Pour s’en remettre, voici une image qui fait plaisir…

On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possé­dant une adresse Yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.

Si ces acteurs étaient de taille modeste, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.

Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

 

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.