Un des meilleurs experts indépendants en sécurité informatique résume ici parfaitement ce qui selon lui constitue un véritable problème : notre dépendance aux commodités que nous offrent les entreprises hégémoniques de l’Internet. Nous bradons bien facilement nos données personnelles en échange d’un confort d’utilisation dont on ne peut nier sans hypocrisie qu’il nous rend la vie quotidienne plus facile.

Dès lors que nous ne pouvons renoncer aux facilités que nous procurent Google, Facebook et tous les autres, pouvons-nous espérer que les technologies de sécurité nous épargnent un pillage de nos données personnelles ? Rien n’est moins sûr, selon Bruce Schneier, qui en appelle plutôt à la loi qu’à la technique.

Goofy.

Traduction Framalang : Simon, Docendo, KoS, goofy, audionuma, seb, panini, lamessen, Obny, r0u

Article original : Everyone Wants You To Have Security, But Not from Them

Ils veulent tous notre sécurité, mais pas grâce à d’autres

par Bruce Schneier

En décembre dernier, le PDG de Google Eric Schmidt a été interviewé lors d’une conférence sur la surveillance de l’Institut CATO. Voici une des choses qu’il a dites, après avoir parlé de certaines des mesures de sécurité que son entreprise a mises en place après les révélations de Snowden : « si vous avez des informations importantes, l’endroit le plus sûr pour les garder, c’est chez Google. Et je peux vous assurer que l’endroit le plus sûr pour ne pas les conserver en sécurité, c’est partout ailleurs ».

J’ai été surpris, parce que Google collecte toutes vos informations pour vous présenter la publicité la plus ciblée possible. La surveillance est le modèle économique d’Internet, et Google est l’une des entreprises les plus performantes en la matière. Prétendre que Google protège vos données mieux que quiconque, c’est méconnaître profondément ce pourquoi Google conserve vos données gratuitement.

Je m’en suis souvenu la semaine dernière lorsque je participais à l’émission de Glenn Back avec le pionnier de la cryptographie Whitfield Diffie. Diffie a déclaré :

Vous ne pouvez pas avoir de vie privée sans sécurité, et je pense que nous avons des défaillances flagrantes en sécurité informatique, pour des problèmes sur lesquels nous travaillons depuis 40 ans. Vous ne devriez pas vivre avec la peur d’ouvrir une pièce jointe dans un message. Elle devrait être confinée ; votre ordinateur devrait être en mesure de la traiter. Et si nous avons continué depuis des dizaines d’années sans résoudre ces problèmes, c’est en partie parce que c’est très difficile, mais aussi parce que beaucoup de gens veulent que vous soyez protégés contre tout le monde… sauf eux-mêmes. Et cela inclut tous les principaux fabricants d’ordinateurs qui, grosso modo, veulent contrôler votre ordinateur pour vous. Le problème, c’est que je ne suis pas sûr qu’il existe une alternative viable.

Cela résume parfaitement Google. Eric Schmidt veut que vos données soient sécurisées. Il veut que Google soit le lieu le plus sûr pour vos données tant que vous ne vous préoccupez pas du fait que Google accède à vos données. Facebook veut la même chose : protéger vos données de tout le monde sauf de Facebook. Les fabricants de matériels ne sont pas différents. La semaine dernière, on a appris que Lenovo avait vendu des ordinateurs avec un logiciel publicitaire préinstallé, appelé Superfish, qui casse la sécurité des utilisateurs pour les espionner à des fins publicitaires.

C’est la même chose pour les gouvernements. Le FBI veut que les gens utilisent un chiffrement fort, mais veut des portes dérobées pour pouvoir accéder à vos données. Le Premier ministre britannique David Cameron veut que vous ayez une sécurité efficace, tant qu’elle n’est pas trop forte pour vous protéger de son gouvernement. Et bien sûr, la NSA dépense beaucoup d’argent pour s’assurer qu’il n’y a pas de sécurité qu’elle ne puisse casser.

Les grandes entreprises veulent avoir accès à vos données pour leurs profits ; les gouvernements les veulent pour des raisons de sécurité, que ces raisons soient bonnes ou moins bonnes. Mais Diffie a soulevé un point encore plus important : nous laissons beaucoup d’entreprises accéder à nos informations parce que cela nous facilite la vie.

J’ai abordé ce point dans mon dernier livre, Data and Goliath :

Le confort est l’autre raison pour laquelle nous cédons volontairement des données hautement personnelles à des intérêts privés, en acceptant de devenir l’objet de leur surveillance. Comme je ne cesse de le dire, les services basés sur la surveillance sont utiles et précieux. Nous aimons pouvoir accéder à notre carnet d’adresses, notre agenda, nos photos, nos documents et tout le reste sur n’importe quel appareil que nous avons à portée de la main. Nous aimons des services comme Siri et Google Now, qui fonctionnent d’autant mieux quand ils savent des tonnes de choses sur nous. Les applications de réseaux sociaux facilitent les sorties entre amis. Les applications mobiles comme Google Maps, Yelp, Weather et Uber marchent bien mieux et plus rapidement lorsqu’elles connaissent notre localisation. Permettre à des applications comme Pocket ou Instapaper de connaître nos lectures semble un prix modique à payer pour obtenir tout ce que l’on veut lire à l’endroit qui nous convient. Nous aimons même quand la publicité cible précisément ce qui nous intéresse. Les bénéfices de la surveillance dans ces applications, et d’autres, sont réels et non négligeables.

Comme Diffie, je doute qu’il existe une alternative viable. Si Internet est un exemple de marché de masse à l’échelle de la planète, c’est parce que toute l’infrastructure technique en est invisible. Quelqu’un d’autre s’en occupe pour vous. On veut une sécurité forte, mais on veut aussi que les entreprises aient accès à nos ordinateurs, appareils intelligents et données. On veut que quelqu’un d’autre gère nos ordinateurs et smartphones, organise nos courriels et photos, et nous aide à déplacer nos données entre nos divers appareils.
Tous ces « quelqu’un d’autre » vont nécessairement avoir la capacité de violer notre vie privée, soit en jetant carrément un coup d’œil à nos données soit en affaiblissant leur sécurité de façon à ce qu’elles soient accessibles aux agences nationales de renseignements, aux cybercriminels, voire les deux. La semaine dernière, on apprenait que la NSA s’était introduite dans l’infrastructure de la société néerlandaise Gemalto pour voler les clés de chiffrement de milliards, oui, des milliards de téléphones portables à travers le monde. Cela a été possible parce que nous, consommateurs, ne voulons pas faire l’effort de générer ces clés et configurer notre propre sécurité lorsque nous allumons pour la première fois nos téléphones ; nous voulons que ce soit fait automatiquement par les fabricants. Nous voulons que nos données soient sécurisées, mais nous voulons que quelqu’un puisse les récupérer intégralement lorsque nous oublions notre mot de passe.

Nous ne résoudrons jamais ces problèmes de sécurité tant que nous serons notre pire ennemi. C’est pourquoi je crois que toute solution de sécurité à long terme ne sera pas seulement technologique, mais aussi politique. Nous avons besoin de lois pour protéger notre vie privée de ceux qui respectent les lois, et pour punir ceux qui les transgressent. Nous avons besoin de lois qui exigent de ceux à qui nous confions nos données qu’ils protègent nos données. Certes, nous avons besoin de meilleures technologies de sécurité, mais nous avons également besoin de lois qui imposent l’usage de ces technologies.

Crédit photo : Nicubunu (CC BY-SA 2.0)

Parmi les articles qui soulignent l’importance de ne pas sacrifier notre liberté de communication et d’expression par Internet à une illusoire sécurité, nous vous invitons aujourd’hui à prendre un peu de champ en adoptant le point de vue d’un juriste britannique.

Steve Peers se positionne sur le principe, et pas seulement sous l’effet d’une émotion ou d’une vision partisane franco-centrée. Il est assez bon connaisseur des institutions européennes pour savoir que l’arsenal des procédures légales en ce qui concerne la recherche et la transmission des informations est déjà suffisant dans la communauté européenne — et bien sûr la France n’est pas en reste.

C’est un professeur de droit de l’Université de l’Essex qui nous le dit : davantage de lois anti-terroristes en Europe, c’est une erreur dictée par la panique !

L’Europe a-t-elle vraiment besoin de nouvelles lois anti-terroristes ?

par Steve Peers

source : Does the EU need more anti-terrorist legislation?

Traduction Framalang : Framatophe, nilux, goofy, niilos, r0u, Asta, peupleLà, Diab, Jane Doe, lamessen

À la suite des attentats épouvantables subis par Paris il y a quelques jours, il n’aura fallu que 24 heures à la Commission européenne pour déclarer qu’elle allait proposer une nouvelle série de mesures anti-terroristes pour l’Union européenne dans un délai d’un mois. On ne sait pas encore quel sera le contenu de ces lois ; mais l’idée même d’une nouvelle législation est une grave erreur.

Bien entendu, il était légitime que les institutions européennes expriment leur sympathie pour les victimes des attentats et leur solidarité pour tout ce qui relève de la défense de la liberté d’expression. De même, il ne serait pas problématique de recourir si nécessaire aux lois anti-terroristes qui existent déjà de l’Union européenne, afin par exemple de pouvoir livrer les suspects de ce crime sur la base d’un mandat d’arrêt européen (MAE), au cas où ils fuiraient vers un autre État membre. La question est plutôt de savoir si l’Union européenne a vraiment besoin de davantage de lois dans ce domaine.

En effet, l’UE a déjà réagi à des actes de terrorisme antérieurs, d’abord à l’occasion du 11 septembre puis au moment des atroces attentats de Madrid et de Londres en 2004 et 2005. Le résultat en est un vaste corpus de lois anti-terroristes, répertoriées ici dans le projet SECILE. Il comprend non seulement des mesures ciblant spécifiquement le terrorisme (comme les mesures de droit pénal adoptées en 2002 et modifiées en 2008), mais aussi de nombreuses autres mesures qui facilitent la coopération pour tout ce qui concerne tant le terrorisme que les infractions pénales, telles que, par exemple, le mandat d’arrêt européen, les lois sur l’échange d’informations entre les polices, la transmission des indices et preuves par-delà les frontières, etc.

En outre, sont déjà discutées des propositions qui s’appliqueraient entre autres aux questions de terrorisme, comme une nouvelle législation pour Europol, les services de renseignement de l’UE (voir ici pour la discussion) ou un projet de loi de l’UE visant à faciliter la transmission des données nominales des passagers de transports aériens (Passenger Name Record, dont l’acronyme PNR est utilisé plus loin dans ce billet).

Alors quelles sont les nouvelles lois que va probablement proposer la Commission ? Elle peut suggérer une nouvelle version de la directive sur la rétention des données, dont la précédente version avait été invalidée au printemps dernier ^[1] par la Cour de justice de l’Union européenne (CJUE), dans son jugement sur les droits numériques (en discussion ici). Les autres idées débattues, selon des documents qui ont été divulgués (voir ici et là), concernent de nouvelles lois visant à renforcer les contrôles obligatoires aux frontières.

Est-ce que ces lois sont véritablement nécessaires ? Les États membres peuvent déjà adopter des lois sur la rétention des données de communication, conformément à la directive de l’UE concernant la protection de la vie privée sur Internet. Comme l’a confirmé le service juridique du parlement européen (voir son avis ici), si les États membres adoptent de telles mesures, ils seront soumis aux contraintes de l’arrêt sur les droits numériques, qui interdit la surveillance de masse menée en l’absence de garde-fous pour protéger la vie privée. De même, les États membres sont libres d’établir leur propre système de PNR, en l’absence de toute mesure à l’échelle de l’UE (en-dehors des traités PNR entre l’UE et les États-Unis, le Canada et l’Australie). La question de savoir si la surveillance de masse est compatible, en tant que telle, avec les droits de l’Homme a déjà été soumise à la CJUE par le Parlement européen, qui a demandé à la Cour de se prononcer sur cette question dans le contexte du traité PNR UE/Canada (en discussion ici).

Il serait possible d’adopter de nouvelles lois imposant un contrôle systématique des frontières dans certains cas. En pratique, cela signifierait probablement des contrôles ciblant les musulmans revenant d’endroits comme la Syrie. On peut se demander si poser des questions détaillées supplémentaires aux frontières extérieures serait, en soi, un moyen d’empêcher le terrorisme. Après tout, suite aux attentats de Paris, il a malheureusement été démontré qu’il était impossible d’empêcher une attaque terroriste malgré une législation anti-terroriste développée sur le papier et malgré la présence de gardes du corps pour protéger les collaborateurs d’une personne identifiée comme une cible des terroristes.

Il est également question de principe ici. Les attentats de Paris étaient directement dirigés contre la liberté d’expression : c’est le fondement d’une démocratie avancée. Bien sûr, il faudra intensifier les efforts pour empêcher ces situations de se reproduire ; mais les lois existantes permettent déjà la collecte et le partage de renseignements ciblés. La réponse immédiate de la Commission a une odeur nauséabonde de panique. Et l’attaque directe des principes fondamentaux de la démocratie dont a été victime Paris ne devrait pas servir de prétexte à de nouvelles attaques contre d’autres libertés civiles fondamentales.

—

Des articles sur le même thème :

• https://www.laquadrature.net/fr/charliehebdo-non-a-linstrumentalisation-securitaire
• http://www.les-crises.fr/mission-accomplished-bien-joue-a-tous/
• (en anglais) https://paulbernal.wordpress.com/2015/01/09/paris-damages-the-case-for-mass-surveillance/
• (en anglais) http://www.theguardian.com/commentisfree/2015/jan/10/charlie-hebdo-attack-free-speech-surveillance?CMP=twt_gu

Le bref article traduit ci-dessous ne fait que réunir et rassembler commodément des liens vers des ressources qui ne sont nullement secrètes. C’est au contraire tout à fait ouvertement que Google met à votre disposition ce qu’il sait de vous, il vous suffit de rechercher dans les paramètres de votre compte Google (mmmh car vous en avez encore un n’est-ce pas ?).

Vous vous demandez sans doute alors pourquoi un article du Framablog vous invite à cliquer sur les liens… Google, alors que nous sommes engagés dans une campagne à long terme pour vous inciter à vous déprendre de son emprise. Disons que c’est une façon rapide et frappante de prendre conscience de ce que nous sommes devenus pour cette entreprise : des données monnayables. C’est aussi une façon de découvrir que non seulement vous pouvez désactiver les fonctionnalités les plus intrusives, mais que vous pouvez même récupérer toutes les données que vous avez généreusement données à Google (voyez le 6^e lien) avant de supprimer votre compte !

Faites connaître autour de vous ces quelques liens, en particulier à ceux qui par simple ignorance ou par indifférence ne voient pas pourquoi ils devraient s’efforcer de renoncer peu à peu à Google, à ses pompes et à ses œuvres (oui je sais, Amazon, Apple, Facebook et d’autres sont sur les rangs aussi mais ils ne perdent rien pour attendre).

Article original sur le blog de Cloudfender 6 links that will show you what Google knows about you

Six liens qui vont vous montrer ce que Google sait de vous

Vous voulez savoir tout ce que Google sait sur vous ? Voici 6 liens qui vont vous montrer certaines des données que Google possède sur vous.

1. Découvrez comment Google vous voit

Google tente de créer un profil de base de vous, selon votre âge, votre sexe, vos centres d’intérêt. C’est avec ces données que Google vous « sert » des annonces pertinentes. Vous pouvez examiner la façon dont Google vous voit ici :

https://www.google.com/ads/preferences/

2. Découvrez l’historique de votre géolocalisation

Si vous utilisez Android, votre appareil mobile peut envoyer à Google des informations de géolocalisation et de vitesse de déplacement d’un point à l’autre. Vous pouvez voir l’historique complet de vos « positions » et les exporter ici :

https://maps.google.com/locationhistory

3. Découvrez l’intégralité de votre historique de recherches Google

Google enregistre jusqu’à la moindre recherche que vous faites. Par-dessus le marché, Google enregistre toutes les pubs Google sur lesquelles vous avez cliqué. L’historique est à votre disposition ici :

https://history.google.com

4. Découvrez tous les appareils qui ont accédé à votre compte Google

Si vous craignez que quelqu’un d’autre ait pu utiliser votre compte, vous pouvez trouver la liste de tous les appareils qui ont accédé à votre compte Google, leur adresse IP et leur emplacement approximatif :

https://security.google.com/settings/security/activity

5. Découvrez toutes les applications et les extensions qui ont accès à vos données Google

Ceci est une liste de toutes les applications qui ont tout type d’accès à vos données. Vous pouvez voir le type exact de permissions accordées à l’application et révoquer l’accès à vos données en suivant ce lien :

https://security.google.com/settings/security/permissions

6. Exportez l’ensemble de vos données de Google

Google vous permet d’exporter toutes vos données : marque-pages, courriels, contacts, fichiers du « Drive », informations de votre profil, vos vidéos YouTube, vos photos et encore davantage :

https://www.google.com/takeout

Tiens et ces options, vous les aviez repérées aussi, vous ?

Bon ça c’est fait. Par petites étapes, on va finir par y arriver !

Ah c’est sûr, tout le monde n’a pas la chance de pouvoir refuser une telle opportunité… Quand on est développeur de haut niveau, c’est plus que flatteur de recevoir une invitation à discuter d’un poste de responsabilité chez le mastodonte du Net. Pour les milliers de développeurs qui sont bien payés à coder pour des produits qui ont des millions (voire des milliards ?) d’utilisateurs, il est assez exaltant de travailler pour Google.

Pourtant, quand Niklas reçoit un message l’invitant à rejoindre une équipe d’ingénieurs chez Google, il a le front de décliner, dans une lettre ouverte où il explique ses raisons.

C’est cet échange de courrier que nous avons traduit pour vous. Notez que cette fois-ci c’est Google qui est sur la sellette (parce qu’il le vaut bien) mais ce pourrait être tout autant un des autres géants du Net centralisateurs et prédateurs de nos données…

source : Why I won’t work for Google sur le blog de Niklas Femerstrand

Traduction Framalang : tetrakos, goofy, Paul, Framasky + 2 anonymes

Voici pourquoi je ne travaillerai pas pour Google

par Niklas Femerstrand

Bonjour Niklas,
Je m’appelle Patrick et je travaille chez Google.
J’ai regardé vos profils Github et LinkedIn, ainsi que votre site personnel (où j’ai découvert le projet panic_bcast), et j’aimerais m’entretenir avec vous à propos d’un certain nombre de postes d’ingénieurs ici chez Google.
Vos contributions et projets open source, votre expérience des systèmes et réseaux et votre expérience de développeur semblent en phase avec ce que font chez nous certains des ingénieurs, mais je souhaite avant tout prendre contact avec vous afin d’en savoir un peu plus sur votre travail.
Si votre emploi du temps le permet, seriez-vous disponible pour un échange la semaine prochaine ?
Les postes dont j’aurais aimé m’entretenir avec vous sont à pourvoir au sein d’une équipe chargée d’un projet sensible qui combine le développement de logiciels et l’expertise en ingénierie des réseaux et systèmes, pour créer et faire fonctionner à grande échelle une infrastructure à tolérance de pannes et des systèmes logiciels massivement distribués.
Merci de m’avoir consacré du temps, je vous souhaite un bon week-end !
Cordialement,
Patrick

Bonjour Patrick,
Merci de m’avoir contacté et pour les compliments sur le projet panic_bcast, c’est toujours flatteur d’être reconnu par plus grand que soi.
Avant de répondre comme il convient à votre question, je voudrais vous donner quelques indications sur mon parcours et mes relations avec Google.
Enfant, j’ai grandi avec l’idée que Google serait toujours l’employeur le plus intéressant que puissent imaginer ceux qui travaillent dans les technologies de l’information. Que Google se conformerait comme par jeu à sa devise « ne rien faire de mal ». J’ai grandi guidé par de fortes convictions et des principes, mais j’étais avant tout curieux par nature. Comme j’étais un enfant intéressé par la sécurité de l’information et les ordinateurs en général, j’ai rapidement commencé à analyser du code en le cassant et des systèmes en m’y introduisant, animé par l’idée que l’information voulait être libre.

Mon père s’en est vite rendu compte et nous avons eu une longue discussion sur ce qui est important dans la vie. Il m’a dit de ne pas être imprudent sinon le monde de demain consisterait en une tyrannie d’une part et des gens dépourvus de pouvoir de l’autre. Il m’a dit que, dans le futur, la répartition des pouvoirs dans le monde dépendrait beaucoup de ceux que je considère aujourd’hui comme des cypherpunks ou des hackers.
J’ai l’impression que l’avenir que mon père me décrivait quand j’étais enfant est aujourd’hui notre présent. Google dit « ne rien faire de mal » d’une part, mais de l’autre Google lit aussi le contenu des messages électroniques de ses utilisateurs et piste leur comportement sur Internet — deux choses que je décrirais clairement comme « le mal ». Google lit les courriels que ma mère écrit et piste ce que mes amis achètent. À des fins publicitaires, prétend Google… mais nous n’en avons découvert les véritables conséquences que plus tard, quand Edward Snowden a lancé l’alerte.
Il s’est avéré que Google avait aidé les services de renseignement américains et européens à pratiquer l’écoute électronique illégale de leurs propres citoyens. « Nous avons essayé de nous défendre, nous avons essayé de ne pas faire de mal », répond Google, mais on n’a jamais vu Google fermer un de ses services pour protester comme l’a fait Lavabit^[1].
On n’a jamais vu Google se battre pour le bien de ses utilisateurs, c’est-à-dire la majeure partie de la population du globe.
Nous avons vu Google justifier son espionnage des données en disant que c’était super en termes de stratégie publicitaire.
Nous avons appris que Google fait en réalité des choses très mauvaises pour la majorité de la population mondiale. Nous avons appris que Google a tendance à utiliser une épée à double tranchant. Nous avons appris que le principe « open source autant que possible » de Google ne s’applique que tant qu’il ne perturbe pas le chiffre d’affaires existant.
Nous avons été témoins du fait que Google a envoyé des lettres de mise en demeure^[2] aux développeurs et mainteneurs du projet populaire CyanogenMod pour Android pour avoir violé certains brevets en modifiant certains éléments open source d’un projet sous licence open source.
Nous avons appris que l’amitié cordiale de Google n’est qu’une façade publicitaire. Nous avons appris que Google n’est pas ce que nous pensions, qu’il ne se bat pas pour le bien de l’humanité mais pour le bien de son portefeuille.
C’est en cela que je me distingue de Google. Mes principes ne sont pas compatibles avec ceux que Google suit et a suivis tout au long de son histoire.
En vertu de mes principes, j’effacerais plutôt que collecterais toutes les données que Google, lui, rassemble sur ses utilisateurs, à savoir moi, ma famille, mes amis, mes collègues et toute personne dont Google sait qu’elle se connecte et a recours à des services populaires sur l’Internet public. Il me serait difficile de trouver le sommeil si je travaillais pour une entreprise qui cible les gens que j’aime et les menace directement.

Je me vois mal développer un jour les outils tyranniques indispensables à Google pour continuer sa course. Je suis de l’autre bord. J’ai conçu le projet que vous saluez, panic_bcast, pour que les services de sécurité aient davantage de difficultés à récolter des informations sur des militants politiques au moyen d’attaques du type « démarrage à froid ». Ce qui motive ma participation à d’autres projets de ce genre est ma conviction de la nécessité d’une circulation libre et sans contraintes de l’information sur l’Internet public.
Je fais partie de ces personnes assez chanceuses pour pouvoir se permettre de choisir les projets sur lesquels elles ont envie de travailler et je choisis de ne m’impliquer que dans des projets dont j’ai la conviction qu’ils apportent une contribution positive à la population dans le monde. Google n’occupe pas une place très élevée dans ma liste à cet égard et je suis au regret d’avoir à décliner votre proposition d’emploi.

« Les gens bien élevés ne lisent pas le courrier des autres »
— Henry L. Stimson

Je vous souhaite bonne chance dans votre recherche du candidat idéal.

Cordialement,
Niklas

Sources sur Numerama :

• Internet Explorer pourrait changer de nom
• Filippetti veut un blocage de sites réellement efficace
• Mark Zuckerberg se verse un seau d’eau glacée, défie Bill Gates de l’imiter

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Avant de commencer cet article, signalons que notre ami framasoftien Cyrille a gentiment ajouté de nouveaux dessins du Geektionnerd à GéGé, le Générateur de Geektionnerd !

Sources sur Numerama :

• Google a signalé un usager qui avait envoyé des photos pédopornographiques par mail

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

L’April et Framasoft ont le plaisir d’annoncer la mise en ligne de la version française du guide « Autodéfense courriel » de la Fondation pour le Logiciel Libre. Cette dernière vient en effet d’annoncer la mise en ligne de traductions de son guide « Email Self-Defense » dont la version française a été assurée par l’April et Framasoft^[1]. Le guide est désormais disponible en 7 langues en attendant d’autres traductions.

L’objectif du guide est de montrer à tout le monde que dans un monde de surveillance généralisée le chiffrement des courriels est nécessaire et accessible. Comme le disait récemment Edward Snowden « adopter le chiffrement est la première mesure efficace que tout le monde peut prendre pour mettre fin à la surveillance de masse ».

Le guide de la Fondation pour le Logiciel Libre est disponible en :

• Allemand ;
• Portugais du Brésil ;
• Français ;
• Russe ;
• Turque ;
• et Japonais.

Outre le guide, une infographie est également disponible.

« Les traductions de ce guide le rendent accessible aux lecteurs non-anglophones. Cet effort a été possible par la mobilisation de bénévoles de l’April et de Framasoft pour la version française, nous les remercions chaleureusement » a déclaré Frédéric Couchet, délégué général de l’April.

-> Le guide « Autodéfense courriel »

L’image en illustration est sous licence CC-By et nous vient de Journalism++.

La vie privée est-elle un problème de vieux cons ? demandait Jean-Marc Manach dans un excellent ouvrage. Bien sûr que non, mais on aimerait tant nous le faire croire…

« Natifs numériques », « natifs du numérique », « génération numérique »… Ce genre d’expressions, rencontrées dans les grands médias désireux d’agiter le grelot du jeunisme, peut susciter quelque agacement. D’autant que cette catégorie soi-disant sociologique se transforme bien vite en cible marketing pour les appétits des mastodontes du Web qui ont tout intérêt à présenter la jeunesse connectée comme le parangon des usages du net.

En s’attaquant à cette dénomination, Cory Doctorow ^[1] entend aussi remettre en cause ce préjugé. Selon lui, les adolescents sont tout à fait soucieux de la confidentialité et de leur vie privée. Mais ils sont loin de maîtriser tous les risques qu’ils sont susceptibles de prendre et comme nous tous, ils ont besoin d’outils et dispositifs qui les aident…

Vous n’êtes pas un « natif numérique » : la vie privée à l’ère d’Internet

par Cory Doctorow sur ce blog

Traduction Framalang : Amargein, lamessen, r0u, teromene, goofy, Clunär

On raconte que Frédéric II, à la tête du Saint-Empire Romain germanique, avait ordonné qu’un groupe d’enfants soit élevé sans aucune interaction humaine, afin que l’on puisse étudier leur comportement « naturel », sans que celui-ci ne soit corrompu par la culture humaine, et découvrir ainsi la véritable nature profonde de l’animal humain.

Si vous êtes né au tournant du XXIe siècle, vous avez certainement dû supporter au moins une fois que quelqu’un vous appelle « natif numérique ». Dans un premier temps, ça sonne de façon plutôt sympathique : une éducation préservée du monde hors ligne et très imprégnée d’une sorte de sixième sens mystique, donnant l’impression de savoir ce que devrait être Internet.

Mais les enfants ne sont pas d’innocents mystiques. Ce sont de jeunes personnes, qui apprennent à devenir adultes de la même manière que les autres : en commettant des erreurs. Tous les humains se plantent, mais les enfants ont une excuse : ils n’ont pas encore appris les leçons que ceux qui se sont déjà plantés peuvent leur éviter. Si vous voulez doubler vos chances de réussite, vous devez tripler vos risques d’échec.

Le problème quand vous êtes catalogué « natif numérique », c’est que cela transforme toutes vos erreurs en une vérité absolue sur la manière dont les humains sont censés utiliser Internet. Ainsi, si vous faites des erreurs concernant votre vie privée, non seulement les entreprises qui vous incitent à les commettre (pour en tirer profit) s’en sortent impunies, mais tous ceux qui soulèvent des problèmes de vie privée sont exclus d’emblée. Après tout, si les « natifs numériques » sont censés ne pas être soucieux de leur vie privée, alors quiconque s’en préoccupe sérieusement passe pour un dinosaure complètement à la ramasse, plus du tout en phase avec ’’les Jeunes’’.

« Vie privée » ne signifie pas que personne au monde ne doit être au courant de vos affaires. Cela veut dire que c’est à vous de choisir qui peut s’en mêler.

Quiconque y prête attention s’apercevra qu’en réalité, les enfants se soucient énormément de leur vie privée. Ils ne veulent surtout pas que leurs parents sachent ce qu’ils disent à leurs amis. Ils ne veulent pas que leurs amis les voient dans leurs relations avec leurs parents. Ils ne veulent pas que leurs professeurs apprennent ce qu’ils pensent d’eux. Ils ne veulent pas que leurs ennemis connaissent leurs peurs et leurs angoisses.

Ceux qui veulent s’insinuer dans la vie privée des jeunes ne communiquent pas du tout sur ce point. Facebook est une entreprise dont le modèle économique repose sur l’idée que si elle vous espionne suffisamment et vous amène à révéler malgré vous suffisamment sur votre vie, elle pourra vous vendre des tas de trucs à travers la publicité ciblée. Quand on l’interpelle sur ce point, elle se justifie en disant que puisque les jeunes finissent par dévoiler tant de choses de leur vie personnelle sur Facebook, ça ne doit pas être un problème, vu que les natifs numériques sont censés savoir comment se servir d’Internet. Mais quand les gamins grandissent et commencent à regretter ce qu’ils ont dévoilé sur Facebook, on leur dit qu’eux non plus ne comprennent plus ce que ça signifie d’être un natif numérique, puisqu’ils sont devenus adultes et ont perdu le contact avec ce qui fait l’essence même d’Internet.

Dans « It’s Complicated: The Social Lives of Networked Teens^[2] » [NdT « La vie sociale des jeunes connectés, un problème complexe »], une chercheuse nommée danah boyd^[3] résume plus de dix ans d’étude sur la manière dont les jeunes utilisent les réseaux, et dévoile une lutte continue, voire désespérée, pour préserver leur vie privée en ligne. Par exemple, certains des jeunes interviewés par Boyd suppriment leur compte Facebook à chaque fois qu’ils s’éloignent de leur ordinateur. Si vous supprimez votre compte Facebook, vous avez six semaines pour changer d’avis et réactiver votre compte, mais durant le temps où vous êtes désinscrit, personne ne peut voir votre profil ou quelque partie que ce soit de votre journal (’’timeline’’). Ces jeunes se réinscrivent sur Facebook à chaque fois qu’ils reviennent devant leur ordinateur, mais s’assurent de cette manière que personne ne peut interagir avec leur double numérique à moins qu’ils ne soient là pour répondre, supprimant les informations si elles commencent à leur causer des problèmes.

C’est assez extraordinaire. Cela nous enseigne deux choses : premièrement, que les jeunes vont jusqu’à prendre des mesures extrêmes pour protéger leur vie privée ; deuxièmement, que Facebook rend extrêmement difficile toute tentative de protection de notre vie privée.

Vous avez certainement entendu un tas d’informations concernant Edward Snowden et la NSA. En juin dernier, Edward Snowden, un espion étatsunien, s’envola pour Hong Kong et remit à un groupe de journalistes étatsuniens des documents internes à la NSA. Ces documents décrivent un système d’une ampleur presque inimaginable — et absolument illégal — de surveillance d’Internet de la part des agences de surveillance étatsuniennes. Celles-ci choisissent littéralement au hasard un pays et enregistrent le moindre appel téléphonique passé depuis ce pays, juste pour voir si cela fonctionne et peut être transposé dans d’autres pays. Ils puisent littéralement dans le flux complet d’informations circulant entre les centres de données de Google ou de Yahoo, enregistrant les parcours de navigation/, les e-mails, les discussions instantanées et d’autres choses dont personne ne devrait avoir connaissance chez des milliards de personnes innocentes, y compris des centaines de millions d’Étatsuniens.

Tout cela a modifié les termes du débat sur la vie privée. Tout à coup, les gens ordinaires qui ne se préoccupaient pas de la vie privée s’y sont intéressés. Et ils ont commencé à penser à Facebook et au fait que la NSA avait récolté beaucoup de données par leur biais. Facebook a collecté ces données et les a mises à un endroit où n’importe quel espion pouvait les trouver. D’autres personnes dans le monde y avaient déjà pensé. En Syrie, en Égypte et dans beaucoup d’autre pays, rebelles ou agents du gouvernement ont mis en place des barrages que vous ne pouvez franchir qu’en vous connectant à votre compte Facebook de sorte qu’ils ont accès à votre liste d’amis. Si vous êtes ami-e avec les mauvaises personnes, vous êtes abattu ou emprisonné ou bien vous disparaissez.

Les choses ont été si loin que Marck Zuckerberg — qui avait dit à tout le monde que la vie privée était morte tout en dépensant 30 millions de dollars pour acheter les quatre maisons à côté de la sienne afin que personne ne voie ce qu’il faisait chez lui — a écrit une lettre ouverte au gouvernement des États-Unis pour lui reprocher d’avoir « tout gâché ». Comment avait-il tout gâché ? Ils ont montré au gens d’un seul coup que toutes leurs données privées étaient en train de migrer de leur ordinateur vers ceux de Facebook.

Les enfants savent intuitivement ce que vaut la vie privée. Mais comme ce sont des enfants, ils ont du mal à comprendre tous les détails. C’est un long processus que d’apprendre à bien la gérer, car il se passe beaucoup de temps entre le moment où on commence à négliger la protection de sa vie privée et celui où les conséquences de cette négligence se font sentir. C’est un peu comme l’obésité ou le tabagisme. Dans les cas où une action et ses conséquences sont clairement distinctes, c’est une relation que les gens ont beaucoup de peine à comprendre. Si chaque bouchée de gâteau se transformait immédiatement en bourrelet de graisse, il serait bien plus facile de comprendre quelle quantité de gâteau était excessive.

Les enfants passent donc beaucoup de temps à réfléchir sur leur vie privée préservée de leur parents, des enseignants et de ceux qui les tyrannisent, mais ils ne se demandent pas à quel point leur vie privée sera protégée vis-à-vis de leurs futurs employeurs, de l’administration et de la police. Hélas, au moment où ils s’en rendent compte, il est déjà trop tard.

Il y a toutefois de bonne nouvelles. Vous n’avez pas à choisir entre une vie privée et une vie sociale. De bons outils sont disponibles pour protéger votre vie privée, qui vous permettent d’aller sur Internet sans avoir à livrer les détails intimes de votre vie aux futures générations d’exploitants de données. Et parce qu’ il y a des millions de personnes qui commencent à avoir peur de la surveillance — grâce à Snowden et aux journalistes qui ont soigneusement fait connaître ses révélations — de plus en plus d’énergie et d’argent sont utilisés pour rendre ces outils plus faciles à utiliser.

La mauvaise nouvelle, c’est que les outils propices à la vie privée tendent à être peu pratiques. C’est parce que, avant Snowden, quasiment tout ceux qui se sentaient concernés par l’adéquation entre leur vie privée et la technologie étaient déjà experts d’un point de vue technologique. Non pas parce que les nerds ont besoin de plus de vie privée que les autres, mais parce qu’ils étaient les plus à même de comprendre quel genre d’espionnage était possible et ce qui était en jeu. Mais, comme je le dis, cela change vite (et les choses ne font que s’améliorer).

L’autre bonne nouvelle c’est que vous êtes des « natifs numériques », au moins un peu. Si vous commencez à utiliser des ordinateurs étant enfant, vous aurez une certains aisance avec eux, là où d’autres auront à travailler dur pour y parvenir. Comme Douglas Adams l’a écrit :

1. Tout ce qui existe dans le monde où vous êtes né est normal et ordinaire, et ce n’est qu’un rouage dans le mécanisme naturel du système.

2. Tout ce qui est inventé entre le moment de vos quinze ans et celui de vos trente-cinq est nouveau, excitant et révolutionnaire et vous pourrez probablement y faire carrière.

3. Tout ce qui sera inventé après vos trente-cinq ans est contraire à l’ordre naturel des choses.

Si j’étais un enfant aujourd’hui, je saurais tout au sujet des sécurités opérationnelles. J’apprendrais à me servir d’outils pour garder mes affaires entre moi et les personnes avec qui j’aurais décidé de les partager. J’en ferais une habitude, et j’inciterais mes amis à adopter cette habitude aussi (après tout, ça ne change rien si tous vos e-mails sont chiffrés mais que vous les envoyez à des idiots qui les gardent tous sur les serveurs de Google sous une forme déchiffrée, là où la NSA peut venir y fourrer son nez).

Voici quelques liens vers des outils de sécurité pour vous y initier :

• Tout d’abord, téléchargez une version de Tails (pour « The Amnesic Incognito Live System »). Il s’agit d’un système d’exploitation que vous pouvez utiliser pour démarrer votre ordinateur sans avoir à vous soucier si le système d’exploitation installé est exempt de tout virus, enregistreur de frappe ou autre logiciel-espion. Il est fourni avec une tonne d’outils de communication sécurisés, ainsi que tout ce dont vous avez besoin pour produire les contenus que vous souhaitez diffuser de par le monde.

• Ensuite, téléchargez une version du Tor Browser Bundle, une version spéciale de Firefox qui envoie automatiquement votre trafic à travers quelque chose appelé TOR (The Onion Router, le routeur en oignon, à ne pas confondre avec Tor Books, qui publie mes nouvelles). Cela vous permet de naviguer sur Internet avec beaucoup plus d’intimité et d’anonymat que vous n’en auriez normalement.

• Apprenez à utiliser GPG, qui est une excellente manière de chiffrer vos courriers électroniques. Il existe une extension pour Chrome qui vous permet d’utiliser GPG avec GMail et une autre pour Firefox.

• Si vous appréciez les messageries instantanées, procurez-vous OTR (« ’’Off The Record messaging’’ »), un outil pour sécuriser ses conversations en ligne, incluant des fonctionnalités telles que « l’inviolabilité des messages passés » (une façon de dire que même si quelqu’un arrive à le casser demain, il ne pourra pas lire les conversations interceptées aujourd’hui).

Une fois que vous aurez maîtrisé ce genre de choses, mettez-vous à réfléchir à votre téléphone. Les appareils sous Android sont de loin plus faciles à sécuriser que les iPhones d’Apple (Apple essaie de verrouiller ses téléphones pour que vous ne puissiez pas y installer d’autres logiciels que ceux de leur logithèque, et en raison de la loi DMCA de 1998, il est illégal de créer un outil pour les déverrouiller (’’jailbreaker’’). Il existe de nombreux systèmes d’exploitation concurrents d’Android, avec des niveaux variables de sécurité. Le meilleur point de départ est Cyanogenmod, qui vous facilitera l’utilisation d’outils de confidentialité sur votre mobile.

Il existe également des quantités de projets commerciaux qui traitent la vie privée bien mieux que le tout-venant. Je suis par exemple consultant de l’entreprise Wickr, qui reproduit les fonctionnalités de Snapchat mais sans moucharder à tout moment. Wickr a cependant beaucoup de concurrents, il vous suffit de regarder dans votre logithèque préférée pour vous en convaincre, mais assurez-vous d’avoir bien lu comment l’entreprise qui a conçu l’application vérifie que rien de louche ne vient interférer avec vos données supposées secrètes.

Tout ceci est en constante évolution, et ce n’est pas toujours facile. Mais c’est un excellent exercice mental que de chercher comment votre usage d’Internet peut vous compromettre. C’est aussi une bonne pratique dans un monde où des milliardaires voyeurs et des agences d’espionnage hors de contrôle essayent de transformer Internet en l’outil de surveillance le plus abouti. Si vous trouvez particulièrement pénible que vos parents espionnent votre historique de navigation, attendez que tous les gouvernements et toutes les polices du monde en fassent autant.