« Le niveau de surveillance actuel dans nos sociétés est incompatible avec les droits de l’homme… »

C’est ce qu’affirme et expose Richard Stallman dans ce long article argumenté en proposant un certain nombre de mesures pour desserrer l’étau.

Sur la photo ci-dessous, on voit Stallman lors d’une conférence en Tunisie muni d’un étrange badge. Il l’a recouvert lui-même de papier aluminium pour ne pas être pisté lors de l’évènement !

Quel niveau de surveillance la démocratie peut-elle supporter ?

par Richard Stallman

URL d’origine du document (sur GNU.org)

Une première version de cet article a été publiée sur Wired en octobre 2013.
Licence : Creative Commons BY-ND 3.0 US
Traduction : aKa, zimadprof, Lamessen, Sylvain, Scailyna, Paul, Asta, Monsieur Tino, Marc, Thérèse, Amine Brikci-N, FF255, Achille, Slystone, Sky, Penguin et plusieurs anonymes
Révision : trad-gnu@april.org – Version de la traduction : 14 août 2014

Grâce aux révélations d’Edward Snowden, nous comprenons aujourd’hui que le niveau de surveillance dans nos sociétés est incompatible avec les droits de l’homme. Le harcèlement répété et les poursuites judiciaires que subissent les opposants, les sources et les journalistes (aux États-Unis et ailleurs) en sont la preuve. Nous devons réduire le niveau de surveillance, mais jusqu’où ? Où se situe exactement le seuil tolérable de surveillance que l’on doit faire en sorte de ne pas dépasser ? C’est le niveau au delà duquel la surveillance commence à interférer avec le fonctionnement de la démocratie : lorsque des lanceurs d’alerte comme Snowden sont susceptibles d’être attrapés.

Face à la culture du secret des gouvernements, nous, le peuple,¹ devons compter sur les lanceurs d’alerte pour apprendre ce que l’État est en train de faire. De nos jours, cependant, la surveillance intimide les lanceurs d’alerte potentiels, et cela signifie qu’elle est trop intense. Pour retrouver notre contrôle démocratique sur l’État, nous devons réduire la surveillance jusqu’à un point où les lanceurs d’alerte se sentent en sécurité.

L’utilisation de logiciels libres, comme je la préconise depuis trente ans, est la première étape dans la prise de contrôle de nos vies numériques – qui inclut la prévention de la surveillance. Nous ne pouvons faire confiance aux logiciels non libres ; la NSA utilise et même crée des failles de sécurité dans des logiciels non libres afin d’envahir nos ordinateurs et nos routeurs. Le logiciel libre nous donne le contrôle de nos propres ordinateurs, mais cela ne protège pas notre vie privée dès l’instant où nous mettons les pieds sur Internet.

Une législation bipartisane ayant pour but de « limiter les pouvoirs de surveillance sur le territoire national » est en cours d’élaboration aux États-Unis mais elle le fait en limitant l’utilisation par le gouvernement de nos dossiers virtuels. Cela ne suffira pas à protéger les lanceurs d’alerte si « capturer le lanceur d’alerte » est un motif valable pour accéder à des données permettant de l’identifier. Nous devons aller plus loin encore.

Le niveau de surveillance à ne pas dépasser dans une démocratie

Si les lanceurs d’alerte n’osent pas révéler les crimes, délits et mensonges, nous perdons le dernier lambeau de contrôle réel qui nous reste sur nos gouvernements et institutions. C’est pourquoi une surveillance qui permet à l’État de savoir qui a parlé à un journaliste va trop loin – au delà de ce que peut supporter la démocratie.

En 2011, un représentant anonyme du gouvernement américain a fait une déclaration inquiétante à des journalistes, à savoir que les États-Unis n’assigneraient pas de reporter à comparaître parce que « nous savons avec qui vous parlez ». Parfois, pour avoir ces renseignements, ils obtiennent les relevés téléphoniques de journalistes par injonction judiciaire, mais Snowden nous a montré qu’en réalité ils adressent des injonctions en permanence à Verizon et aux autres opérateurs, pour tous les relevés téléphoniques de chaque résident.

Il est nécessaire que les activités d’opposition ou dissidentes protègent leurs secrets des États qui cherchent à leur faire des coups tordus. L’ACLU² a démontré que le gouvernement des États-Unis infiltrait systématiquement les groupes dissidents pacifiques sous prétexte qu’il pouvait y avoir des terroristes parmi eux. La surveillance devient trop importante quand l’État peut trouver qui a parlé à une personne connue comme journaliste ou comme opposant.

L’information, une fois collectée, sera utilisée à de mauvaises fins

Quand les gens reconnaissent que la surveillance généralisée atteint un niveau trop élevé, la première réponse est de proposer d’encadrer l’accès aux données accumulées. Cela semble sage, mais cela ne va pas corriger le problème, ne serait-ce que modestement, même en supposant que le gouvernement respecte la loi (la NSA a trompé la cour fédérale de la FISA,³ et cette dernière a affirmé être incapable, dans les faits, de lui demander des comptes). Soupçonner un délit est un motif suffisant pour avoir accès aux données, donc une fois qu’un lanceur d’alerte est accusé d’« espionnage », trouver un « espion » fournira une excuse pour avoir accès à l’ensemble des informations.

Le personnel chargé de la surveillance d’État a l’habitude de détourner les données à des fins personnelles. Des agents de la NSA ont utilisé les systèmes de surveillance américains pour suivre à la trace leurs petit(e)s ami(e)s – passés, présents, ou espérés, selon une pratique nommée « LOVEINT ». La NSA affirme avoir détecté et puni cette pratique à plusieurs reprises ; nous ne savons pas combien d’autres cas n’ont pas été détectés. Mais ces événements ne devraient pas nous surprendre, parce que les policiers utilisent depuis longtemps leurs accès aux fichiers des permis de conduire pour pister des personnes séduisantes, une pratique connue sous les termes de « choper une plaque pour un rencard ».

Les données provenant de la surveillance seront toujours détournées de leur but, même si c’est interdit. Une fois que les données sont accumulées et que l’État a la possibilité d’y accéder, il peut en abuser de manière effroyable, comme le montrent des exemples pris en Europe et aux États-Unis.

La surveillance totale, plus des lois assez floues, ouvrent la porte à une campagne de pêche à grande échelle, quelle que soit la cible choisie. Pour mettre le journalisme et la démocratie en sécurité, nous devons limiter l’accumulation des données qui sont facilement accessibles à l’État.

Une protection solide de la vie privée doit être technique

L’Electronic Frontier Foundation et d’autres structures proposent un ensemble de principes juridiques destinés à prévenir les abus de la surveillance de masse. Ces principes prévoient, et c’est un point crucial, une protection juridique explicite pour les lanceurs d’alerte. Par conséquent, ils seraient adéquats pour protéger les libertés démocratiques s’ils étaient adoptés dans leur intégralité et qu’on les faisait respecter sans la moindre exception, à tout jamais.

Toutefois, ces protections juridiques sont précaires : comme nous l’ont montré les récents événements, ils peuvent être abrogés (comme dans la loi dite FISA Amendments Act), suspendus ou ignorés.

Pendant ce temps, les démagogues fourniront les excuses habituelles pour justifier une surveillance totale ; toute attaque terroriste, y compris une attaque faisant un nombre réduit de victimes, leur donnera cette opportunité.

Si la limitation de l’accès aux données est écartée, ce sera comme si elle n’avait jamais existé. Des dossiers remontant à des années seront du jour au lendemain exposés aux abus de l’État et de ses agents et, s’ils ont été rassemblés par des entreprises, seront également exposés aux magouilles privées de ces dernières. Si par contre nous arrêtions de ficher tout le monde, ces dossiers n’existeraient pas et il n’y aurait pas moyen de les analyser de manière rétroactive. Tout nouveau régime non libéral aurait à mettre en place de nouvelles méthodes de surveillance, et recueillerait des données à partir de ce moment-là seulement. Quant à suspendre cette loi ou ne pas l’appliquer momentanément, cela n’aurait presque aucun sens.

En premier lieu, ne soyez pas imprudent

Pour conserver une vie privée, il ne faut pas la jeter aux orties : le premier concerné par la protection de votre vie privée, c’est vous. Évitez de vous identifier sur les sites web, contactez-les avec Tor, et utilisez des navigateurs qui bloquent les stratagèmes dont ils se servent pour suivre les visiteurs à la trace. Utilisez GPG (le gardien de la vie privée) pour chiffrer le contenu de vos courriels. Payez en liquide.

Gardez vos données personnelles ; ne les stockez pas sur le serveur « si pratique » d’une entreprise. Il n’y a pas de risque, cependant, à confier la sauvegarde de vos données à un service commercial, pourvu qu’avant de les envoyer au serveur vous les chiffriez avec un logiciel libre sur votre propre ordinateur (y compris les noms de fichiers).

Par souci de votre vie privée, vous devez éviter les logiciels non libres car ils donnent à d’autres la maîtrise de votre informatique, et que par conséquent ils vous espionnent probablement. N’utilisez pas de service se substituant au logiciel : outre que cela donne à d’autres la maîtrise de votre informatique, cela vous oblige à fournir toutes les données pertinentes au serveur.

Protégez aussi la vie privée de vos amis et connaissances. Ne divulguez pas leurs informations personnelles, sauf la manière de les contacter, et ne donnez jamais à aucun site l’ensemble de votre répertoire téléphonique ou des adresses de courriel de vos correspondants. Ne dites rien sur vos amis à une société comme Facebook qu’ils ne souhaiteraient pas voir publier dans le journal. Mieux, n’utilisez pas du tout Facebook. Rejetez les systèmes de communication qui obligent les utilisateurs à donner leur vrai nom, même si vous êtes disposé à donner le vôtre, car cela pousserait d’autres personnes à abandonner leurs droits à une vie privée.

La protection individuelle est essentielle, mais les mesures de protection individuelle les plus rigoureuses sont encore insuffisantes pour protéger votre vie privée sur des systèmes, ou contre des systèmes, qui ne vous appartiennent pas. Lors de nos communications avec d’autres ou de nos déplacements à travers la ville, notre vie privée dépend des pratiques de la société. Nous pouvons éviter certains des systèmes qui surveillent nos communications et nos mouvements, mais pas tous. Il est évident que la meilleure solution est d’obliger ces systèmes à cesser de surveiller les gens qui sont pas légitimement suspects.

Nous devons intégrer à chaque système le respect de la vie privée

Si nous ne voulons pas d’une société de surveillance totale, nous devons envisager la surveillance comme une sorte de pollution de la société et limiter l’impact de chaque nouveau système numérique sur la surveillance, de la même manière que nous limitons l’impact des objets manufacturés sur l’environnement.

Par exemple, les compteurs électriques « intelligents » sont paramétrés pour envoyer régulièrement aux distributeurs d’énergie des données concernant la consommation de chaque client, ainsi qu’une comparaison avec la consommation de l’ensemble des usagers. Cette implémentation repose sur une surveillance généralisée mais ce n’est nullement nécessaire. Un fournisseur d’énergie pourrait aisément calculer la consommation moyenne d’un quartier résidentiel en divisant la consommation totale par le nombre d’abonnés, et l’envoyer sur les compteurs. Chaque client pourrait ainsi comparer sa consommation avec la consommation moyenne de ses voisins au cours de la période de son choix. Mêmes avantages, sans la surveillance !

Il nous faut intégrer le respect de la vie privée à tous nos systèmes numériques, dès leur conception.

Remède à la collecte de données : les garder dispersées

Pour rendre la surveillance possible sans porter atteinte à la vie privée, l’un des moyens est de conserver les données de manière dispersée et d’en rendre la consultation malaisée. Les caméras de sécurité d’antan n’étaient pas une menace pour la vie privée. Les enregistrements étaient conservés sur place, et cela pendant quelques semaines tout au plus. Leur consultation ne se faisait pas à grande échelle du fait de la difficulté d’y avoir accès. On les consultait uniquement sur les lieux où un délit avait été signalé. Il aurait été impossible de rassembler physiquement des millions de bandes par jour, puis de les visionner ou de les copier.

Aujourd’hui, les caméras de sécurité se sont transformées en caméras de surveillance ; elles sont reliées à Internet et leurs enregistrements peuvent être regroupés dans un centre de données [data center] et conservés ad vitam aeternam. C’est déjà dangereux, mais le pire est à venir. Avec les progrès de la reconnaissance faciale, le jour n’est peut-être pas loin où les journalistes « suspects » pourront être pistés sans interruption dans la rue afin de surveiller qui sont leurs interlocuteurs.

Les caméras et appareils photo connectés à Internet sont souvent eux-mêmes mal protégés, de sorte que n’importe qui pourrait regarder ce qu’ils voient par leur objectif. Pour rétablir le respect de la vie privée, nous devons interdire l’emploi d’appareils photo connectés dans les lieux ouverts au public, sauf lorsque ce sont les gens qui les transportent. Tout le monde doit avoir le droit de mettre en ligne des photos et des enregistrements vidéo une fois de temps en temps, mais on doit limiter l’accumulation systématique de ces données.

Remède à la surveillance du commerce sur Internet

La collecte de données provient essentiellement des activités numériques personnelles des gens. D’ordinaire, ces sont d’abord les entreprises qui recueillent ces données. Mais lorsqu’il est question de menaces pour la vie privée et la démocratie, que la surveillance soit exercée directement par l’État ou déléguée à une entreprise est indifférent, car les données rassemblées par les entreprises sont systématiquement mises à la disposition de l’État.

Depuis PRISM, la NSA a un accès direct aux bases de données de nombreuses grandes sociétés d’Internet. AT&T conserve tous les relevés téléphoniques depuis 1987 et les met à la disposition de la DEA sur demande, pour ses recherches. Aux États-Unis, l’État fédéral ne possède pas ces données au sens strict, mais en pratique c’est tout comme.

Mettre le journalisme et la démocratie en sécurité exige, par conséquent, une réduction de la collecte des données privées, par toute organisation quelle qu’elle soit et pas uniquement par l’État. Nous devons repenser entièrement les systèmes numériques, de telle manière qu’ils n’accumulent pas de données sur leurs utilisateurs. S’ils ont besoin de détenir des données numériques sur nos transactions, ils ne doivent être autorisés à les garder que pour une période dépassant de peu le strict minimum nécessaire au traitement de ces transactions.

Une des raisons du niveau actuel de surveillance sur Internet est que le financement des sites repose sur la publicité ciblée, par le biais du pistage des actions et des choix de l’utilisateur. C’est ainsi que d’une pratique simplement gênante, la publicité que nous pouvons apprendre à éviter, nous basculons, en connaissance de cause ou non, dans un système de surveillance qui nous fait du tort. Les achats sur Internet se doublent toujours d’un pistage des utilisateurs. Et nous savons tous que les « politiques relatives à la vie privée » sont davantage un prétexte pour violer celle-ci qu’un engagement à la respecter.

Nous pourrions remédier à ces deux problèmes en adoptant un système de paiement anonyme – anonyme pour l’émetteur du paiement, s’entend (permettre au bénéficiaire d’échapper à l’impôt n’est pas notre objectif). Bitcoin n’est pas anonyme, bien que des efforts soient faits pour développer des moyens de payer anonymement avec des bitcoins. Cependant, la technologie de la monnaie électronique remonte aux années 80 ; tout ce dont nous avons besoin, ce sont d’accords adaptés pour la marche des affaires et que l’État n’y fasse pas obstruction.

Le recueil de données personnelles par les sites comporte un autre danger, celui que des « casseurs de sécurité » s’introduisent, prennent les données et les utilisent à de mauvaises fins, y compris celles qui concernent les cartes de crédit. Un système de paiement anonyme éliminerait ce danger : une faille de sécurité du site ne peut pas vous nuire si le site ne sait rien de vous.

Remède à la surveillance des déplacements

Nous devons convertir la collecte numérique de péage en paiement anonyme (par l’utilisation de monnaie électronique, par exemple). Les système de reconnaissance de plaques minéralogiques reconnaissent toutes les plaques, et les données peuvent être gardées indéfiniment ; la loi doit exiger que seules les plaques qui sont sur une liste de véhicules recherchés par la justice soient identifiées et enregistrées. Une solution alternative moins sûre serait d’enregistrer tous les véhicules localement mais seulement pendant quelques jours, et de ne pas rendre les données disponibles sur Internet ; l’accès aux données doit être limité à la recherche d’une série de plaques minéralogiques faisant l’objet d’une décision de justice.

The U.S. “no-fly” list must be abolished because it is punishment without trial.

Il est acceptable d’établir une liste de personnes pour qui la fouille corporelle et celle des bagages seront particulièrement minutieuses, et l’on peut traiter les passagers anonymes des vols intérieurs comme s’ils étaient sur cette liste. Il est acceptable également d’interdire aux personnes n’ayant pas la citoyenneté américaine d’embarquer sur des vols à destination des États-Unis si elles n’ont pas la permission d’y rentrer. Cela devrait suffire à toutes les fins légitimes.

Beaucoup de systèmes de transport en commun utilisent un genre de carte intelligente ou de puce RFID pour les paiements. Ces systèmes amassent des données personnelles : si une seule fois vous faites l’erreur de payer autrement qu’en liquide, ils associent définitivement la carte avec votre nom. De plus, ils enregistrent tous les voyages associés avec chaque carte. L’un dans l’autre, cela équivaut à un système de surveillance à grande échelle. Il faut diminuer cette collecte de données.

Les services de navigation font de la surveillance : l’ordinateur de l’utilisateur renseigne le service cartographique sur la localisation de l’utilisateur et l’endroit où il veut aller ; ensuite le serveur détermine l’itinéraire et le renvoie à l’ordinateur, qui l’affiche. Il est probable qu’actuellement le serveur enregistre les données de localisation puisque rien n’est prévu pour l’en empêcher. Cette surveillance n’est pas nécessaire en soi, et une refonte complète du système pourrait l’éviter : des logiciels libres installés côté utilisateur pourraient télécharger les données cartographiques des régions concernées (si elles ne l’ont pas déjà été), calculer l’itinéraire et l’afficher, sans jamais dire à qui que ce soit l’endroit où l’utilisateur veut aller.

Les systèmes de location de vélos et autres peuvent être conçus pour que l’identité du client ne soit connue que de la station de location. Au moment de la location, celle-ci informera toutes les stations du réseau qu’un vélo donné est « sorti » ; de cette façon, quand l’utilisateur le rendra, généralement à une station différente, cette station-là saura où et quand il a été loué. Elle informera à son tour toutes les stations du fait que ce vélo a été rendu, et va calculer en même temps la facture de l’utilisateur et l’envoyer au siège social après une attente arbitraire de plusieurs minutes, en faisant un détour par plusieurs stations. Ainsi le siège social ne pourra pas savoir précisément de quelle station la facture provient. Ceci fait, la station de retour effacera toutes les données de la transaction. Si le vélo restait « sorti » trop longtemps, la station d’origine pourrait en informer le siège social et, dans ce cas, lui envoyer immédiatement l’identité du client.

Remède aux dossiers sur les communications

Les fournisseurs de services Internet et les compagnies de téléphone enregistrent une masse de données sur les contacts de leurs utilisateurs (navigation, appels téléphoniques, etc.) Dans le cas du téléphone mobile, ils enregistrent en outre la position géographique de l’utilisateur. Ces données sont conservées sur de longues périodes : plus de trente ans dans le cas d’AT&T. Bientôt, ils enregistreront même les mouvements corporels de l’utilisateur. Et il s’avère que la NSA collecte les coordonnées géographiques des téléphones mobiles, en masse.

Les communications non surveillées sont impossibles là où le système crée de tels dossiers. Leur création doit donc être illégale, ainsi que leur archivage. Il ne faut pas que les fournisseurs de services Internet et les compagnies de téléphone soient autorisés à garder cette information très longtemps, sauf décision judiciaire leur enjoignant de surveiller une personne ou un groupe en particulier.

Cette solution n’est pas entièrement satisfaisante, car cela n’empêchera pas concrètement le gouvernement de collecter toute l’information à la source – ce que fait le gouvernement américain avec certaines compagnies de téléphone, voire avec toutes. Il nous faudrait faire confiance à l’interdiction par la loi. Cependant, ce serait déjà mieux que la situation actuelle où la loi applicable (le PATRIOT Act) n’interdit pas clairement cette pratique. De plus, si un jour le gouvernement recommençait effectivement à faire cette sorte de surveillance, il n’obtiendrait pas les données sur les appels téléphoniques passés avant cette date.

Pour garder confidentielle l’identité des personnes avec qui vous échangez par courriel, une solution simple mais partielle est d’utiliser un service situé dans un pays qui ne risquera jamais de coopérer avec votre gouvernement, et qui chiffre ses communications avec les autres services de courriels. Toutefois, Ladar Levison (propriétaire du service de courriel Lavabit que la surveillance américaine a cherché à corrompre complètement) a une idée plus sophistiquée : établir un système de chiffrement par lequel votre service de courriel saurait seulement que vous avez envoyé un message à un utilisateur de mon service de courriel, et mon service de courriel saurait seulement que j’ai reçu un message d’un utilisateur de votre service de courriel, mais il serait difficile de déterminer que c’était moi le destinataire.

Mais un minimum de surveillance est nécessaire.

Pour que l’État puisse identifier les auteurs de crimes ou délits, il doit avoir la capacité d’enquêter sur un délit déterminé, commis ou en préparation, sur ordonnance du tribunal. À l’ère d’Internet, il est naturel d’étendre la possibilité d’écoute des conversations téléphoniques aux connexions Internet. On peut, certes, facilement abuser de cette possibilité pour des raisons politiques, mais elle n’en est pas moins nécessaire. Fort heureusement, elle ne permettrait pas d’identifier les lanceurs d’alerte après les faits, si (comme je le recommande) nous empêchons les systèmes numériques d’accumuler d’énormes dossiers avant les faits.

Les personnes ayant des pouvoirs particuliers accordés par l’État, comme les policiers, abandonnent leur droit à la vie privée et doivent être surveillés (en fait, les policiers américains utilisent dans leur propre jargon le terme testilying⁴ au lieu de perjury⁵ puisqu’ils le font si souvent, en particulier dans le cadre de la comparution de manifestants et de photographes). Une ville de Californie qui a imposé à la police le port permanent d’une caméra a vu l’usage de la force diminuer de près de 60 %. L’ACLU y est favorable.

Les entreprises ne sont pas des personnes et ne peuvent se prévaloir des droits de l’homme. Il est légitime d’exiger d’elles qu’elles rendent public le détail des opérations susceptibles de présenter un risque chimique, biologique, nucléaire, financier, informatique (par exemple les DRM) ou politique (par exemple le lobbyisme) pour la société, à un niveau suffisant pour assurer le bien-être public. Le danger de ces opérations (pensez à BP et à la marée noire dans le Golfe du Mexique, à la fusion du cœur des réacteurs nucléaires de Fukushima ou à la crise financière de 2008) dépasse de loin celui du terrorisme.

Cependant, le journalisme doit être protégé contre la surveillance, même s’il est réalisé dans un cadre commercial.

La technologie numérique a entraîné un accroissement énorme du niveau de surveillance de nos déplacements, de nos actions et de nos communications. Ce niveau est bien supérieur à ce que nous avons connu dans les années 90, bien supérieur à ce qu’ont connu les gens habitant derrière le rideau de fer dans les années 80, et il resterait encore bien supérieur si l’utilisation de ces masses de données par l’État était mieux encadrée par la loi.

A moins de croire que nos pays libres ont jusqu’à présent souffert d’un grave déficit de surveillance, et qu’il leur faut être sous surveillance plus que ne le furent jadis l’Union soviétique et l’Allemagne de l’Est, ils nous faut inverser cette progression. Cela requiert de mettre fin à l’accumulation en masse de données sur la population.

Voici la dernière livraison de notre traduction par épisodes de Encryption Works. Vous trouverez ci-dessous les quelques lignes qui concluent l’ouvrage original ainsi que des liens vers le miniguide de 30 pages en français qui réunit les épisodes en un seul document.

Une chance de s’en sortir

Protéger sa vie privée à l’ère de la surveillance omniprésente de la NSA est incroyablement complexe. L’effort d’acquisition des concepts à maîtriser, représente une sacrée courbe d’apprentissage, plus ou moins facilitée par l’utilisation des logiciels déjà disponibles. Mais même avec un accès direct à toutes les données transitant à la vitesse de la lumière par les fibres optiques, formant l’épine dorsale d’Internet, même avec la coopération des principales entreprises des États-Unis (qu’il est extrêmement difficile pour les gens de boycotter), le plus grand, le plus puissant et le meilleur système de surveillance que l’humanité ait jamais connu ne pourra pas battre les mathématiques. Le défi pour le nouveau mouvement cypherpunk est de rendre la sécurité et le chiffrement vérifiés de bout à bout accessibles à tout le monde et activés par défaut.

L’ensemble du guide en une seule fois

Cliquez sur le lien avec le bouton droit, puis « Enregistrer la cible du lien sous… »

• Le chiffrement, maintenant – ODT (367 Ko)

• Le chiffrement, maintenant – PDF (872 Ko)

Pour aller plus loin, appel à contributions

Ce guide n’a pas la prétention de proposer une couverture exhaustive d’une question aussi épineuse. C’est pourquoi, si vous souhaitez contribuer à proposer un guide plus complet, nous vous invitons à apporter votre pierre à ce projet : Votre sécurité sur Internet, notions de base (un gros ouvrage de plus de 400 pages). Le travail est actuellement en cours sur la plateforme Flossmanuals francophone sur laquelle il faut donc s’inscrire pour pouvoir modifier/traduire le texte. Quelques points importants :

• Le premier jet de traduction a déjà été réalisé (notamment pour plusieurs chapitres par des étudiants de l’INRIA de Rouen encadrés par leur enseignant).
• Nous avons besoin :

— de contributeurs capables de proposer des images d’illustration (captures d’écran) avec des textes inclus en français

— de relecteurs spécialisés et compétents sur les problèmes techniques de sécurité, car outre la bonne conformité des termes employés, ils devront réviser voire refondre certains chapitres qui ne seraient plus tout à fait à jour, particulièrement en fonction des dernières révélations sur les capacités de nuisance de la NSA.

• Ceux qui estimeront qu’il manque des informations voire un chapitre etc. pourront tout à fait ajouter ce qu’ils estiment nécessaire sur la plateforme.

— à bientôt !

Bonne nouvelle, le CERN nous annonce la mise en ligne d’un fond photographique sous « licence Creative Commons ».

Et pas n’importe laquelle des licences Creative Commons, la libre copyleft CC By-SA (pour plus de précisions sur la question des licences, vous pouvez lire La « politique » Framabook et les licences libres). On notera au passage qu’ils abandonnent leur propre licence maison.

C’est Wikipédia et tous ceux qui souhaitent pouvoir librement réutiliser des images du CERN qui vont être contents, c’est-à-dire nous tous 😉

Le CERN publie des photos sous licence Creative Commons

CERN releases photos under a Creative Commons licence

Tim Smith – 17 octobre 2013 – CERN (Traduction : Penguin, Rémy, Monsieur Tino, Floréal, Ag3m)

Les licences définissent le cadre et les conditions d’utilisation d’une œuvre. Bien souvent, dans la vie courante, on est confronté à des licences limitant les usages que l’on peut faire de ces œuvres, empêchant la copie ou le partage de celles-ci. Mais tout une famille de licences libres vise et encourage l’utilisation et le partage, sous réserve de reconnaître l’origine de l’œuvre et d’avoir un comportement identique en retour (c’est à dire partager l’oeuvre modifiée sous la même licence).

Depuis ses débuts, le CERN utilise le web pour partager ouvertement des éléments multimédia. Pour indiquer clairement que nous voulions permettre aux gens d’utiliser nos photos et vidéos, nous avons créé une licence média libre novatrice. Elle incluait des clauses qui répondaient aux exigences d’une organisation intergouvernementale, et assurait la cohérence avec notre convention initiale en tant qu’organisation scientifique pacifique.

Avec la croissance du web, les éléments multimédia ont proliféré autour du globe, tout comme les licences. Le web-citoyen moyen, allergique au jargon juridique dont ces licences sont faites, a souvent été désorienté ou dans l’ignorance des détails de chaque condition particulière d’utilisation. Des licences libres standardisées, comme la licence Creative Commons, ont gagné en popularité grâce à l’effet boule-de-neige, à force d’être utilisées systématiquement et généralement comprises. Avec l’expansion de licences standardisées, la licence du CERN s’est retrouvée isolée contre notre volonté, et les médias populaires d’aujourd’hui n’incluent pas nos ressources multimédia, car ils ne considèrent pas que notre licence est compatible.

Ainsi, encouragés et soutenus par nos équipes de sensibilisation pour cette expérience, nous avons rendu disponible sous une licence Creative Commons une première collection de photos. Nous avons choisi la licence CC-BY-SA, pour nous assurer que le crédit des photos serait bien attribué au CERN (“BY”) et que les versions modifiées puissent être partagées librement (“Share Alike”). Grâce à ce changement modeste mais significatif, nous espérons que nos photos et vidéos seront désormais disponibles dans plus d’endroits, utilisés par une communauté plus large et ré-utilisés avec plus de confiance par davantage de personnes.

Ce changement a déjà permis que les photos de nos récents Directeurs Généraux soient pour la première fois utilisés systématiquement sur les pages Wikipédia, et que des schémas de la découverte de Higgs provenant de ATLAS et CMS soient inclus sur la page du boson de Higgs ! Nous avons l’intention d’étendre cette première petite collection avec de plus en plus de contenus provenant de nos vastes archives.

Les vents du changement ont commencé à souffler, et nous espérons faire que bientôt les licences standardisées soient la norme au CERN.

Crédit photo : CERN (Licence Creative Commons By-Sa)

Le groupe d’utilisateurs Python de Boston est passé en 2 ans de presque rien à 15% de femmes.

Ce qui est intéressant ici c’est qu’il semblerait qu’on se soit moins focalisé sur les femmes que sur les débutant(e)s, avec pour conséquence une croissance du nombre de femmes.

Quand l’open source investit dans la diversité, tout le monde y gagne

When open source invests in diversity, everyone wins

Lynn Root – 15 octobre 2013 – OpenSource.com
(Traduction : lyn, SonicWars, aKa, Théotix, Cryptie, Moosh + anonymes)

Jessica McKellar est une entrepreneuse, une ingénieure logiciel et une développeuse open source. Elle aide à l’organisation du groupe d’utilisateurs Python à Boston et joue un rôle important dans la sensibilisation de la diversité en favorisant l’arrivée d’encore plus de débutants et de femmes. La participation a augmenté de 0-2% à 15% et le groupe d’utilisateurs a connu la même progression pendant les 2 dernières années.

Ce sont de tels résultats qui ont convaincu Jessica que quand des communautés open source s’investissent dans la diversité, cela profite à tout le monde. Depuis la création de cours pour débutants, des ateliers de niveau intermédiaire et des marathons open source, le groupe de Boston a vu sa taille plus que quintupler en passant de 700 membres à plus de 4000. C’est maintenant le groupe d’utilisateurs le plus important du monde. Ce type de croissance est quelque chose à laquelle toutes les communautés open source devraient aspirer.

Plus d’informations sur Jessica McKellar dans cette interview.

Depuis combien de temps participez-vous à la communauté open source ? Avez-vous eu un mentor quand vous avez commencé ?

Ma toute première contribution à un projet open source était sur la documentation du projet Twisted en 2009 (Twisted est un moteur réseau événementiel écrit en Python). Je suis restée impliquée dans le projet depuis, je suis désormais une contributrice principale et j’ai même eu le plaisir d’écrire un livre sur Twisted.

Contribuer à Twisted a été une première expérience fantastique : la communauté disposait d’une documentation à l’usage des nouveaux contributeurs, et a été à la fois une aide et un soutien patient lorsque j’ai satonné dans mes premières utilisations des processus et des outils. Je ne dirais pas que j’ai eu un mentor en particulier, mais j’ai bénéficié de l’aide collective de la communauté Twisted et du feedback patient des reviewers sur mes premiers tickets.

Comment voyez-vous l’évolution des logiciels libres depuis que vous avez rejoint la communauté ?

Il y a eu une formidable progression vers la diversité elle-même et sa sensibilisation, en particulier vers les débutants et tout ce qui s’y rapporte. L’augmentation de l’adoption de codes de conduite dans les conférences techniques, le programme GNOME de sensibilisation auprès des femmes, le programme de sensibilisation et d’éducation de la fondation Python ainsi que les événements PyCon’s Young Coders sont quelques exemples du très beau travail que la communauté open source accomplit pour devenir un environnement accueillant et favorable.

Vous êtes profondément impliquée dans la communauté Python. Pourquoi Python ? Quelle était votre première expérience avec ce langage ?

J’ai utilisé Python pour la première fois à l’école (j’étais au MIT au moment du changement dans le tronc commun Informatique de Scheme vers Python) et je l’ai utilisé dans chacun des emplois que j’ai pu avoir. C’est aussi mon langage par défaut pour la plupart de mes projets parallèles. En plus d’être un langage qui, à mon avis, est un bonheur pour développer, je me suis investie dans la communauté Python encouragée par son engagement dans un environnement favorable et accueillant pour tous.

Vous et Asheesh Laroia avez fait une belle présentation lors de la PyCon 2012 à propos du groupe d’utilisateur de Boston Python augmentant son champ d’action. Pouvez-vous décrire ce que vous avez fait ?

Ces 2 dernières années, le Boston Python a lancé une liste d’événements récurrents qui se concentrent sur les moyens d’amener plus de femmes dans les communautés Python locales. La première étape de la liste est de faire un week-end workshop pour les personnes programmant pour la première fois, ce que nous avons fait huit fois pour plus de 400 femmes.

Dans ce projet nos objectifs sont :

• D’attirer plus de femmes dans la communauté de programmation locale, avec un objectif chiffré de 15% de femmes dans tous les événements du groupe d’utilisateurs Python de Boston ;
• De mettre en avant de bons exemples de femmes programmeurs ;
• De développer des ressources à destination des autres groupe de programmation, pour qu’ils puissent organiser leurs propres événements en faveur de la diversité.

Avant de lancer ces workshops, il y avait entre 0 à 2% de femmes à un événement standard du groupe d’utilisateurs Python de Boston. Depuis la participation des femmes à ce type d’événement a atteint, voire dépassé, les 15%. Ces manifestations rassemblent de 80 à 120 personnes : le nombre de femmes présentes a donc littéralement bondi, à la fois en pourcentage et en valeur absolue. Encore plus impressionnant, ces résultats se maintiennent depuis maintenant 2 ans !

Le grand secret de cette initiative est que même si vous vous concentrez sur un groupe particulier de personnes sous-représentées, tout le monde en bénéficie. Lancer ces worshops introductifs nous a forcé à apprendre comment aider les débutants. Nous avons commencé un projet de suivi mensuel Project Night de ces workshops, pour donner aux débutants et intermédiaires plus d’opportunités d’apprendre et de pratiquer le langage avec un mentor présent. Nous avons développé des cursus et des projets pratiques qui ont été utilisé partout dans le monde. Nous avons lancé des worskhops pour les niveaux intermédiaires et des marathons open source. À travers tout cela, le groupe d’utilisateurs a quintuplé, passant de 700 à plus de 4000 membres, en faisant de notre groupe le plus grand groupe d’utilisateurs de Python au monde.

Pour résumer, quand vous investissez dans la diversité, tout le monde y gagne.

Crédit photo : Jessica McKellar

Voici une histoire toute simple mais qui raconte peut-être quelques chose de notre époque.

Lorsque KoS a demandé à son auteur l’autorisation de traduction voici quelle a été sa réponse :

Last week, someone contacted me via email and asked politely if I was ok with him translating one of my latest blog posts into French. I replied that the content of my blog was under a CC-BY SA 3.0 license, which allows the free re-use of the material for any purpose. A few days later, this person sent me the French version of my text that he had created with three other free knowledge enthusiasts. I’m still blown away by so much kindness and I’m deeply grateful for the work of the four people that I still don’t know who they are. Alors, “KoS, lamessen, Paul Scailyna and goofy” – merci beaucoup pour la traduction, vous êtes extraordinaire !

Histoire d’une photo : le phare de Battery Point

Story Behind The Shot: Battery Point Lighthouse

Frank Schulenburg – 28 septembre 2013 – Site personnel
(Traduction : KoS, lamessen, Paul Scailyna et goofy)

« Alors, vous avez fait tout le chemin depuis San Francisco hier juste pour prendre une photo du phare ? »

« Oui, je suis photographe pour Wikipédia ».

Je suis assis à côté de Rick, conducteur de taxi à Crescent City, à six heures de voiture de là où je vis. Rick me conduit à l’aéroport, où je pourrai louer une voiture suite à un accident que j’ai eu la nuit dernière. Il me regarde et rigole. « Combien ils vous paient ? »

« Rien, je fais ça bénévolement. »

Rick me regarde. Il est stupéfait. « Mais ils remboursent au moins l’essence et l’hôtel. »

« Non, je paye tout de ma poche. »

« Pour prendre une photo de notre phare ? »

Visiblement Rick pense que je suis fou. « Oui, le phare. Nous n’avons pas de bonne photo du phare de Battery Point. »

Rick rigole encore, secoue la tête et sourit, « La prochaine fois, appelez-moi, je vous prendrai toutes les photos que vous voulez ».

Je n’avais pas envie de me lancer dans une discussion sur la difficulté de prendre vraiment une bonne photo d’un bâtiment. Combien de tentatives il me faut pour obtenir la bonne exposition, la bonne composition. Je n’ai pas non plus abordé « Wiki Loves Monuments », la compétition annuelle pour laquelle je prenais le phare en photo. Mais la réaction de Rick m’a fait réfléchir. C’était la troisième personne à qui je racontais mon histoire depuis mon arrivée à Crescent City, cette petite ville voisine de la frontière de l’Oregon. Et toutes les personnes avec qui j’avais parlé avaient eu la même réaction. Ils ont tous pensé que j’étais fou. Ou du moins étrange.

Crescent City est située sur la côte pacifique, dans la partie nord-ouest supérieure de la Californie. La pêche, le bois et le tourisme sont les principales sources de revenus. D’après Wikipédia, le revenu moyen par habitant en 2003 était de 13 000 dollars et près de 34 % des familles vivaient en dessous du seuil de pauvreté.

Est-ce bizarre de conduire près de 500 kilomètres pour prendre une photo d’un phare ? Peut-être. Du moins du point de vue de quelqu’un vivant à Crescent City. La plupart des gens avec qui j’ai discuté connaissaient Wikipédia. Cependant, aucun d’entre eux ne savait que les articles sont rédigés par des bénévoles. Pareil pour les photos. Certains pensaient que j’étais un photographe professionnel. À chaque fois que je disais « C’est une bonne chose de donner aux autres l’accès à une information libre », les gens acquiesçaient. Mais on voyait bien que le bénévolat n’est pas quelque chose de très répandu dans cette partie de la Californie.

Je suis rentré chez moi le même jour que celui où j’avais parlé avec Rick. J’ai beaucoup pensé aux gens que j’avais rencontrés. Et à leur réaction face à mon histoire.

Oui, c’est une bénédiction de pouvoir faire des choses qu’on aime pendant son temps libre. Ce mois-ci, des bénévoles du monde entier ont participé à « Wiki Loves Monuments », la plus grande compétition photo du monde. Ils y investissent leur savoir-faire, leur temps libre et parfois leur propre argent pour documenter le patrimoine culturel de plus de 50 pays. Au moment où je vous parle, plus de 250 000 images ont été déposées sur Wikimedia Commons, le dépôt de médias de Wikipédia. C’est un énorme succès ! Chapeau à ceux qui mettent en ligne mais aussi aux nombreux volontaires qui ont fait un super boulot dans l’organisation de ce concours. J’ai adoré, même si mon voyage à Crescent City s’est terminé de façon inattendue. J’aurais aimé prendre plus de photos de phares et passer le mot sur Wikipédia à des dizaines de milliers de bénévoles.

Heureusement, j’ai eu quelques photos acceptables du phare de Battery Point. Et je suis sûr que je vais y retourner. Il y a encore de nombreux phares le long de la côte de Californie et de l’Oregon qui n’ont pas une bonne photo sur Wikipédia…

Crédit photo : Frank Schulenburg (Creative Commons By-Sa)

Un article assez vieux que nous avons décidé de traduire car le récit et le témoignage nous semblent intéressants.

Auriez-vous des histoires similaires à nous raconter, dans les bibliothèques ou ailleurs, dans les commentaires ?

Est-ce que le logiciel libre restaure la dignité ?

Does Free Software Restore Dignity?

Phil Shapiro – 3 juin 2011 – PCWorld.com
(Traduction : Penguin, benjbubu, baba, GregR, benjbubu, genma + anonymes)

L’autre jour, un lycéen est venu au centre informatique de la bibliothèque publique où je travaille à Takoma Park, dans le Maryland. Je l’ai tout de suite reconnu, parce qu’il vient souvent au centre informatique pour faire ses devoirs. Ce jour-là il avait l’air triste.

« Vous avez un DVD de restauration pour ce portable Sony Vaio ? » m’a-t-il demandé, avec son portable Windows 7, relativement récent, sous son bras.

« Désolé, non », ai-je répondu.

Son ordinateur portable avait besoin d’être restauré, et il avait égaré le DVD de restauration. Il m’a dit que Sony demandait 139$ pour lui envoyer un DVD de restauration. Il n’avait pas ces 139$, ni même ses parents qui travaillent dur. Je ne voulais pas que cet étudiant reparte les mains vides, alors je lui ai dis :

« Si tu veux, j’installerai Linux sur ton ordinateur portable, et tu pourras le faire fonctionner de nouveau comme ça. »

« Cela me va », répondit-il rapidement.

20 minutes plus tard, nous avions installé Linux Mint sur son ordinateur portable et il surfait déjà sur le Web en Wi-Fi avec Firefox. Bien qu’il ait été confronté à ces frais punitifs que demandait Sony, il a trouvé de l’aide dans sa bibliothèque publique locale. Mais je me demande : est-ce que d’autres bibliothèques aident ainsi ses adhérents à installer Linux sur leurs ordinateurs ? Est-ce que ces bibliothèques distribuent des CDs de Linux et/ou des CDs avec OpenOffice ? Peut-être qu’une minorité de bibliothèques publiques le font. Mais en majorité les membres ont peu d’options lorsque Sony réclame 139$ pour un DVD de restauration.

Hmmmm. Je me demande si ces 139$ incluent les frais de préparation et d’expédition Si j’étais Sony, je demanderais 39$ de plus en frais d’expédition. Autant escroquer les gens quand ils sont le plus vulnérables, n’est-ce pas? Un peu comme le fait d’humilier cet étudiant devant ses parents, parce qu’il a égaré ses DVD de restauration.

Dans le même ordre d’idée, la semaine dernière un autre membre de la bibliothèque m’a apporté un portable Pentium III et m’a demandé de le donner à quelqu’un qui pourrait s’en servir. Avec Linux installé, ce portable pourrait encore être utilisé pendant quelques années par un collégien ou un lycéen. Dans une famille où partager un ou deux ordinateurs fixes est une source de conflits, ce portable pourrait diminuer ces tensions. Cela valait assurément le coup pour moi d’installer Linux sur ce portable. J’y installerai Linux Mint LXDE, qui marche parfaitement avec 256MB de mémoire. Et j’y ajouterai TuxTyping, parce que ceux qui auront ce portable pourraient avoir envie d’apprendre la dactylographie 😉

Si vous n’êtes pas sûr que votre bibliothèque municipale distribue des CDs Linux, appelez-les pour demander. Profitez-en pour demander s’ils ne dispensent pas des formations à OpenOffice (maintenant appelé LibreOffice), GIMP, Scribus, ou encore Inkscape, tous d’excellents logiciels libres. Si la bibliothèque municipale n’en a jamais entendu parler, c’est alors peut-être le bon moment pour eux de s’y intéresser.

Sinon, vous pouvez continuer à cracher 139$ à Sony pour de nouveaux DVDs de restauration. La cupidité n’a aucune entrave, tant qu’elle n’est pas enchaînée elle-même. Les seules personnes pouvant le faire : c’est nous. Nous sommes la solution. Vous êtes la solution, si vous le souhaitez.

Lorsque la dignité est refusée, le logiciel libre restaure la dignité.

Crédit photo : Vincent Desjardins – CC by

Robert Douglas et sa femme pianiste Kimiko Ishizaka sont à l’initiative d’un magnifique projet : libérer la musique classique pour la mettre directement dans le domaine public (enregistrements et partitions).

En effet, même si les auteurs sont généralement depuis longtemps dans le domaine public, les enregistrements eux ne le sont pas et sont soumis au strict copyright (idem pour les partitions qui appartiennent à leurs éditeurs).

Je vous invite à parcourir l’article Wikipédia Open Goldberg Variations pour en savoir plus. Une première campagne a été menée avec succès en 2012 pour y enregistrer les Variations Goldberg de Johann Sebastian Bach. Et le résultat est là : des enregistrement (en haute qualité et pas seulement en mp3) et des partitions mis à la disposition de tous.

On notera que cette campagne a été financée par crowdfunding (financement participatif). Nous sommes de plus en plus nombreux à adhérer à cette idée : payer une fois pour que ce soit directement mis dans le pot des biens communs.

Si vous voulez écouter Kimiko Ishizaka jouer du Bach, je vous invite à voir cette vidéo YouTube réalisée cet été lors du festival OHM. Détente garantie…

Or une seconde campagne vient de démarrer, toujours sur le même modèle et toujours Bach : l’enregistrement du Clavier bien tempéré. Cette campagne s’appelle subtilement Ba©h to Bach

Cette campagne est elle aussi déjà couronnée de succès puisque la somme (non négligeable) à atteindre vient d’être dépassée. Mais le projet veut aller plus loin. en direction de l’accessibilité et des malvoyants, et ce grâce aux logiciels libres. Il nous explique cela ci-dessous et vous invite à continuer à participer financièrement à la campagne si vous jugez que cela le mérite.

Ce projet exemplaire a tout notre soutien et démontre une fois de plus qu’ensemble nous pouvons déplacer des montagnes et agir pour un monde meilleur…

Faire de la musique libre sur KickStarter et doubler le nombre de partitions pour aveugles

Kickstarting open source music and doubling the number of scores for the blind

Robert Douglass – 14 ocotbre 2013 – OpenSource.com
(Traduction : Penguin, Isammoc, Scailyna + anonymes)

La sérendipité m’a été un jour décrite comme le fait de chercher une aiguille dans une meule de foin et de trouver la fille du fermier. Dans le cas du projet Open Well-Tempered Clavier (NdT: la libération du Clavier bien tempéré de Bach), cela fut plutôt : essayer de faire une version open source de la musique de Bach, et découvrir que les musiciens aveugles affrontaient un manque critique de partitions en braille disponibles pour leurs études. Or, contrairement aux deux siècles précédents, on peut désormais faire quelque chose pour résoudre ce problème, en utilisant les logiciels libres.

Faire de la musique libre avec des outils libres tels que MuseScore est le but premier du projet Open Well-Tempered Clavier, et c’est ce qui a attiré Eunah Choi, une professeur en Corée du Sud, à devenir un backer (souscripteur) sur KickStarter. Cela a conduit à une discussion informelle par e-mail assorties de questions triviales « Êtes-vous une pianiste ? » et « Faites-vous des études dans la musique ? ».

La réponse qu’Eunah nous a envoyée est déchirante. Elle a enregistré un message vidéo de l’email que vous pouvez voir ci-dessous, mais en résumé, elle est malvoyante, et il n’y a pas assez de partitions en braille pour constituer une étude sérieuse du piano. Au bout du compte, elle a abandonné la mort dans l’âme son rêve de devenir une pianiste professionnelle.

—> La vidéo au format webm
—> Le fichier de sous-titres

Cette révélation a été très perturbante pour moi et pour l’équipe de MuseScore. Nous avions prévu de rendre la musique accessible et nous avions manifestement échoué pour le groupe de personnes qui en avait le plus besoin.

Nous nous sommes donc demandés : « Est-ce que cela peut être arrangé ? » La réponse à cette question est très clairement « Oui » ! MuseScore a depuis longtemps adopté des standards libres, comme MusicXML, et il y a les bibliothèques libres, Freedots et music21, qui tentent de convertir MusicXML en braille, et qui sont adaptés à la lecture sur des appareils comme ceux qu’Enuah utilise dans ces videos. Mais ces deux bibliothèques ne sont pas terminées et nécessite plus de développement.

Armé de cette nouvelle information, le projet Open Well-Tempered Clavier a élargi sa mission et défini de nouveaux objectifs sur Kickstarter. En supposant qu’il aura un financement suffisant, l’équipe ne proposera pas seulement des partitions et des partitions du Clavier bien tempéré de Bach dans le domaine public (le but initial), mais aussi une version en braille. Puis nous créerons une version en braille des Variations Goldberg de Bach, qui a été publiée en 2012. Grâce à ces efforts, il nous sera possible de créer un service web accessible et libre pour automatiser la chaîne de conversion de partitions MuseScore et MusicXML en braille et de convertir automatiquement plus de 50 000 partitions de la bibliothèque MuseScore.com.

Étant donné qu’il existe à l’heure actuelle moins de 20 000 titres disponibles en braille, l’ajout de 50 000 titres supplémentaires serait véritablement significatif. Abaisser la barrière de la conversion pour les partitions numériques, et fournir les outils sous la forme de logiciel libre, garantit que ce nombre va continuer de croître.

C’est la responsabilité des voyants de fournir des copies de nos trésors culturels dans des formats pouvant être lus par les aveugles et les malvoyants. Les logiciels libres nous aideront à réaliser ce devoir.

» Pour participer à la campagne du projet

Crédit photo : Rodriago (Creative Commons By)

Tails : un système live anonyme et amnésique

L’utilisation de « systèmes crypto implémentés proprement » a une courbe d’apprentissage énorme et nécessite des utilisateurs dévoués qui soient prêts à travailler un peu plus pour reprendre le contrôle de leur vie privée. C’est principalement pour cette raison que OTR et PGP ne sont pas largement répandus. Mais même en utilisant ces outils, comment être sûr d’avoir une sécurité « de bout en bout » quand vous ne pouvez pas forcément faire confiance à votre système d’exploitation ou aux autres logiciels que vous utilisez tous les jours ?

La solution consiste à utiliser un système d’exploitation totalement différent composé uniquement de « logiciels de confiance » quand vous avez besoin d’une confidentialité absolue. Tails vous aide à résoudre ce problème.

Tails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d’utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n’importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d’exploitation complet destiné à être utilisé depuis un DVD ou une clef USB indépendamment du système installé sur l’ordinateur. C’est un logiciel libre basé sur Debian GNU/Linux.

Tails est livré avec de nombreuses applications, configurées avec une attention particulière accordée à la sécurité : navigateur web, client de messagerie instantanée, client email, suite bureautique, éditeur d’image et de son, etc.

Tails n’est pas destiné à tout le monde. Il est toujours difficile de le comparer à un système d’exploitation classique. Il est lent, il ne comporte pas tous les logiciels que vous pourriez vouloir. Mais Tails a ces particularités parce qu’il a été conçu spécifiquement pour être plus difficile de compromettre la protection des points d’accès. Si vous êtes dans une situation qui vous fait penser que la NSA ou n’importe quel attaquant potentiel peut vous cibler vous et vos collègues (les journalistes ou les relations des lanceurs d’alarme me viennent à l’esprit), c’est l’un des meilleurs outils disponibles.

Comme Tails n’est pas pratique pour une utilisation quotidienne de l’ordinateur, c’est une bonne idée de s’habituer à utiliser OTR et PGP sur votre système d’exploitation principal autant que possible. Tails n’aide pas à adoucir les effets de la surveillance en elle-même, mais chiffrer autant que possible les actions quotidiennes le permettra.

À chaque fois que vous lancez Tails, vous démarrez sur un système propre. Tout ce que vous avez fait lors de vos précédentes sessions sur Tails est effacé et vous repartez de l’état initial. Ce qui signifie que si vous avez été infecté par un malware en utilisant Tails, celui-ci aura disparu à votre prochaine connexion.

Vous pouvez commencer à utiliser Tails en téléchargeant l’image ISO et en la gravant sur un DVD. Vous devez alors démarrer sur le DVD. Cette étape dépend de votre modèle d’ordinateur, mais nécessite généralement d’entrer dans le BIOS et de changer l’ordre de démarrage de votre ordinateur de façon à ce qu’il tente de démarrer sur le DVD avant d’essayer sur votre disque dur. Sur les nouveaux PC, vous devrez peut-être désactiver le « secure boot » de l’UEFI : il s’agit du crypto utilisé pour être sûr que votre ordinateur ne va démarrer que sur une version de Windows signée numériquement (ce qui, en fait, rend le démarrage sur un système d’exploitation non-Windowsien plus difficile). Le site web de Tails propose davantage d’informations sur les outils de démarrage sur un DVD ou une clé USB.

Après avoir démarré sur le DVD, vous avez la possibilité d’installer Tails sur une clé USB. C’est particulièrement utile car cela permet de configurer un volume persistant, c’est à dire une partie de votre clé USB chiffrée pour stocker vos données. Malgré le retour à un espace propre à chaque démarrage, il est important de pouvoir accéder à vos clés OTR et PGP, vos configurations Claws mail (voir plus bas) et Pidgin ainsi que les documents sur lesquels vous travaillez. Votre volume persistant vous permet tout ceci.

PGP et courriels sur Tails

Je parlais de l’utilisation de Thunderbird avec l’add-on Enigmail pour accéder à vos courriels et utiliser PGP. Cependant, ce logiciel n’est pas fourni avec Tails. Tails est livré avec Claws Mail qui comprend un plug-in PGP.

Au lieu d’utiliser l’interface graphique utilisateur du gestionnaire de clé d’Enigmail pour importer, exporter, générer et voir le détail des clés signées, vous pouvez cliquer sur l’icône du presse-papiers en haut à droite de l’écran et choisir le gestionnaire de clés pour ouvrir SeaHorse, qui propose ces mêmes fonctions.

Procédure

Pour commencer à avoir un espace de communication privé avec vos amis et collègues, et disposant d’un haut niveau de sécurité des points d’accès, voici les étapes à suivre.

• Rencontrez vos amis en face à face. Chacun devra apporter son propre PC portable ou clé USB.
• Téléchargez et gravez un DVD de Tails, puis démarrez dessus et créez une clé USB pour chaque personne.
• Quand tout le monde a sa clé USB Tails, chacun doit démarrer dessus sur son propre PC et configurer un volume persistant. Une fois que ce volume est chiffré, chacun peut générer sa propre phrase de passe sécurisée qu’il devra entrer à chaque démarrage sur Tails, avant de redémarrer sur son PC avec Tails et cette fois monter le volume persistant.
• Chacun crée alors un nouveau pseudo pour compte Jabber. L’une des solutions est d’aller sur https://register.jabber.org depuis iceweasel. Comme Tails fait transiter les échanges internet via Tor, cela permet bien de créer un compte jabber anonyme.
• Chacun ouvre alors Pidgin et le configure en utilisant ce nouveau compte Jabber et crée une nouvelle clé OTR. Chacun ajoute les autres dans sa liste d’amis et démarre une session OTR avec les autres. Une fois que tout le monde est dans la même discussion, c’est le moment idéal pour comparer les empreintes et vérifier l’identité de chaque personne afin de pouvoir communiquer de façon sécurisée via internet à l’avenir.
• Chacun devrait se créer une nouvelle adresse de courriel de la même façon. Certains fournisseurs de courriels, comme Gmail, rendent difficile la création de nouveaux comptes en utilisant Tor et en restant anonyme. Dans ce cas, utilisez un autre fournisseur de courriels. Assurez-vous que celui-ci supporte IMAP (de façon à pouvoir utiliser un client de messagerie courriel) à travers un SSL (pour que votre client de messagerie utilise une communication chiffré avec le serveur courriel). Si vous choisissez tous le même fournisseur de courriels, envoyer des courriels entre les comptes ne devrait jamais quitter le serveur, ce qui réduit les métadonnées disponibles relatives à votre utilisation du courrier électronique pour ceux qui surveillent internet.
• Chacun devra générer une nouvelle clé PGP pour son adresse de courriel. comme pour le chiffrage du disque, il est important de choisir une phrase de passe complexe au moment de cette génération de clé PGP.
• Le client de messagerie compatible PGP livré avec Tails s’apelle Claws Mail. Chacun doit configurer Claws Mail pour utiliser sa nouvelle adresse courriel, et envoyer une copie de sa clé publique aux autres personnes présentes dans votre réunion. Puis chacun devra importer la clé publique des autres dans son propre trousseau de clé, puis vérifier manuellement l’empreinte PGP. Ne sautez pas cette étape. Finalement, chacun devra avoir un trousseau de clé contenant les clés signées de tous les autres.

Si quelqu’un de malveillant vole physiquement votre clé USB Tails, la modifie et vous la rend, il peut compromettre toute la sécurité de Tails. C’est pour cela qu’il est très important de toujours garder votre clé USB avec vous.

Si le directeur de la CIA David Petraeus (général 4 étoiles à la retraite) et sa biographe Paula Broadwell avaient décidé d’utiliser Tails, OTR et PGP, leur liaison extra-conjugale serait sans doute restée secrète.

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.