mercredi 3 février 2016

En vrac du mercredi

Quelques liens glanés ici et là, livrés en vrac :

vendredi 22 janvier 2016

Flicage-brouillon - Partie 4 chapitre 31 - Choisir son smartphone

Les smartphones sont en train de remplacer petit à petit les ordinateurs personnels dans notre utilisation de l’informatique. Contrairement aux PC, nous les avons toujours avec nous et ils sont connectés en permanence, ce qui les rend d’autant plus précieux et pratiques. Ils sont en plus équipés de tas de capteurs innovants, comme le GPS (qui permet de nous localiser sur la surface du globe), de micros, de caméras, d’un capteur de mouvement (accéléromètre), d’une boussole, etc. Autrement dit, ils sont capable de capter beaucoup de données que nos vénérables PC. Et bien évidemment, ces données peuvent intéresser beaucoup de monde. On notera que pour des raisons pratiques, j’englobe ici les tablettes dans le concept de smartphone. Bien souvent, les tablettes utilisent les mêmes systèmes d’exploitation, les mêmes applications et les mêmes composants que les smartphones; une tablette étant essentiellement un smartphone se passant souvent d’une puce téléphonique tout en étant équipée d’un écran plus grand.

Pour ce qui est du contrôle de ces smartphones et des données qu’ils produisent, qui sont nos données, autant le dire tout de suite, j’ai une mauvaise nouvelle : la situation est franchement mauvaise, pour ne pas dire catastrophique.

Afin de mieux comprendre la situation, faisons le tour du marché, ou du moins des deux principaux acteurs, qui en représentent plus que 95%.

Android et consorts

Android est le nom du système d’exploitation (le logiciel) qui équipe la grande majorité (80%) des smartphones du marché, Samsung en tête, tout comme LG, HTC, Sony et la plupart des fabricants asiatiques. Il y a deux choses intéressantes à propos d’Android. La première, c’est qu’Android est un logiciel en partie libre et en partie propriétaire. Le fait qu’il soit en partie libre pourrait être de bon augure quant au fait qu’on puisse le contrôler (souvenez-vous du chapitre 22 : le fait que le code source soit auditable et modifiable est une condition pour reprendre le contrôle). Pourtant, la partie propriétaire du code gagne du terrain : des portions importantes, auparavant libres, sont remplacées par des équivalents propriétaires et ne bénéficient plus d’améliorations.

La seconde chose intéressante à propos d’Android, c’est que c’est le résultat du travail de Google, qui permet aux fabricants de smartphones de l’utiliser gratuitement, à condition de signer un contrat. Ce contrat, secret, force les fabricants qui veulent diffuser Android sur leurs téléphones à y installer aussi toutes les applications Google : Maps, Chrome, Search, Gmail, etc. Ces applications, qui capturent nos données et les transmettent à Google sont toutes propriétaires ou sont en train de le devenir. Si Google offre ainsi la possibilité aux fabricants d’utiliser gratuitement le résultat d’investissements de plusieurs centaines de millions de dollars[1] à des industriels, il attend une chose en retour : la diffusion de ses applications qui permettent de collecter nos données et, comme nous l’avons vu au chapitre précédent :

  • mieux nous connaitre, mieux collecter nos données pour mieux les monétiser
  • se rendre toujours plus indispensable.

En substance, Android est un cheval de Troie, un cadeau fait aux fabricants de smartphones pour qu’ils puissent nous vendre à bas prix des smartphones qui collectent nos données et fasse de nous de bons utilisateurs de Google afin de nous monétiser auprès des vrais clients de Google, ceux qui payent le géant de Mountain View : les annonceurs publicitaires. Quand je demande à quelqu’un quel téléphone il a, on me répond rarement « c’est un Android », et souvent « c’est un Samsung » ou « c’est un LG ». Pourtant, peu importe qui fabrique le téléphone, c’est surtout un téléphone dont le logiciel, Android, est fabriqué par Google.

Apple et son iPhone

Apple, deuxième acteur en volume sur le marché des smartphones, a une approche radicalement différente de celle de Google. En effet, Apple conçoit le logiciel et le matériel de ses téléphones, et les vend à un prix haut de gamme, avec des marges très confortables. Même si Apple délègue la production des téléphones à des partenaires essentiellement chinois, il garde le contrôle sur le logiciel, le design et la distribution. Les marges d’Apple sont si importantes qu’Apple rafle 92% des bénéfices de toute l’industrie du smartphone alors qu’il ne représente que moins de 20% des ventes.

C’est plutôt une bonne nouvelle pour notre vie privée : les revenus d’Apple ne viennent pas de l’accumulation de données provenant de ses utilisateurs. Apple, pour faire face à Google et consorts, a fait de cet argument son fer de lance, au point de publier sur son site une lettre de Tim Cook, son PDG. En voici un extrait :

Il y a quelques années de cela, des utilisateurs d’Internet ont commencé à comprendre que quand un service en ligne était gratuit, ils n’étaient pas le client. Ils étaient le produit. Chez Apple, nous pensons qu’il n’est pas nécessaire de sacrifier la confidentialité pour offrir une expérience utilisateur de qualité. Notre business model est très simple : nous vendons d’excellents produits. Nous n’établissons pas de profil en fonction du contenu de vos e‑mails et de vos habitudes de navigation pour le vendre à des publicitaires. Nous ne « monnayons » pas les données que vous stockez sur votre iPhone ou sur iCloud. Et nous ne lisons pas vos e‑mails ni vos messages afin de recueillir des informations pour vous vendre des produits.

Pourtant, il m’est difficile de recommander l’iPhone sans réserves en ayant en tête la volonté de reprendre le contrôle de nos logiciels et de nos données. En effet, de façon générale, et c’est surtout sensible sur l’iPhone plus que sur le Mac (l’autre gamme de produits Apple) : Apple est plutôt contre le logiciel libre et cherche à contrôler tout ce que l’on peut faire avec l’iPhone. L’exemple le plus criant de cette politique est que toute installation d’application sur l’iPhone se fait obligatoirement via l’Appstore (magasin d’applications), lequel a des conditions générales d’utilisations qui sont en conflit avec la principale licence de logiciels libres, la GPL[2].

Comme expliqué au chapitre 17 (Faut-il avoir confiance en Apple ?), cela pose un double problème :

  1. Il est impossible de faire tourner sur un iPhone un logiciel écrit sous licence GPL, sachant que la GPL est la licence Libre la plus utilisée au monde. Dans certains cas, l’ensemble des auteurs du logiciel peuvent décider d’adopter une autre licence libre telle que la MPL, qui est elle compatible avec les conditions d’Apple, mais l’obtention de l’accord de tous les développeurs demande énormément de travail non productif.
  2. Apple, en forçant toutes les applications à être installées via l’App Store et en refusant de nombreuses pour des raisons non techniques, joue un rôle de censeur. Bien entendu, la sécurité est souvent utilisée comme prétexte pour protéger une clientèle peu au fait des problèmes de sécurité informatique. Pourtant, c’est souvent une excuse : de nombreuses applications parfois utiles et légitimes ont été refusées au fils des ans, parce qu’Apple ne souhaitait pas associer sa marque à certaines applications.

Aussi, Apple apparaît comme un mauvais compromis, où nous sacrifions notre liberté informatique contre un peu de sécurité pour nos données personnelles, sans avoir l’assurance qu’Apple ne changera pas de stratégie. Ce compromis évoque la fameuse citation de Benjamin Franklin :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.

Windows Phone

Au delà des deux géants du smartphone que sont Google et Apple, d’autres acteurs cherchent à se faire une place au soleil. Microsoft, avec Windows Phone, semble avoir une approche verticale comme Apple, en produisant le logiciel et le matériel (après avoir racheté la marque Nokia), mais sans se concentrer sur le respect de la vie privée, contrairement à Apple. Comme Google, Microsoft semble vouloir tout savoir de l’utilisateur partant du principe que c’est ainsi que le produit sera le plus utile. Associant son moteur de recherche Bing à un nouveau logiciel de personnalisation appelé Cortana, décrit de la façon suivante :

Associé à la puissance de Bing, Cortana apprend à tout savoir sur vous et à s’occuper de vous. Elle va garder un oeil sur tout ce qui vous intéresse, vous fera des suggestions utiles, vous rappellera vos réunions et rendez-vous.

Outre le fait que Windows Phone peine à s’imposer malgré les investissements massifs de Microsoft au fil des années pour s’imposer sur le mobile, la stratégie utilisée ne semble pas propice à la protection de la vie privée.

Firefox OS

La fondation Mozilla[3] a lancé le projet Firefox OS durant l’été 2011, en vue de faire un système d’exploitation pour mobile sur la base du navigateur Web Firefox. Firefox OS est intéressant pour la reprise de contrôle de l’informatique, dans la mesure où c’est un logiciel libre, donc transparent et auditable, comme tout ce que produit Mozilla. Par ailleurs, la Mozilla Foundation est une organisation à but non lucratif, ce qui la met à l’abris des pressions des actionnaires pour maximiser les profits, même si le financement du logiciel a un coût qu’elle doit nécessairement assumer.

Firefox OS est donc prometteur, mais il souffre encore de sa jeunesse : il n’est proposé que sur du matériel bon marché (smartphone souvent à moins de 100 EUR), et le confort s’en ressent. De même, les services Cloud proposés sont encore très limité, ce qui incite à utiliser les services des grands acteurs, Google en tête, ce qui dessert notre objectif de protéger notre vie privée. Une solution, à terme, serait de combiner un téléphone Firefox OS à un cloud personnel de type SIRCUS tel que discuté aux chapitres 21 et suivants, une fois que Firefox OS proposera un éventail d’applications plus large, fonctionnant sur du matériel dont l’usage est plus confortable qu’actuellement.

Aller plus loin : utiliser Android sans (trop) sacrifier sa vie privée

Tout, dans Android, est prévu dès le début pour que l’utilisateur stocke ses données chez Google : dès le démarrage, un compte Google / GMail est demandé. Cela permet ensuite de synchroniser le carnet d’adresse, les mails, l’agenda, le Google Drive de l’utilisateur, tout comme les historiques de navigation, de recherche dans Google Search et Google Maps. Cela est typique de la stratégie de Google qui vise à accéder à toutes nos données pour devenir indispensable à nos vies et à monétiser ces données.

Pas facile, dans de telles conditions, d’utiliser un téléphone Android tout en protégeant nos données. Il reste toutefois plusieurs axes sur lesquels travailler :

  1. Utiliser des logiciels libres (Utiliser des dépots libres)
  2. Utiliser des logiciels proposant du chiffrement
  3. Utiliser des applications se connectant à des services de Cloud autres que ceux de Google et des grands silos, idéalement décentralisés
  4. Utiliser des versions d’Android moins dépendantes de Google.

Utiliser des logiciels libres

Il est possible d’installer des logiciels libres depuis le Google Play Store, mais ce dernier n’indique pas si un logiciel est libre ou non. Comme pour un ordinateur personnel, il est recommandé d’utiliser Firefox à la place de Google Chrome, navigateur par défaut d’Android, pour le respect de la vie privée. Pour cela, procéder ainsi :

  1. lancer Google Play Store
  2. chercher « Firefox pour Android » dans la barre de recherche
  3. Cliquer sur Installer.

De même, on pourra installer un client de messagerie comme K-9 Mail en remplacement de l’application Gmail, que l’on connectera à son compte mail (idéalement hébergé par un service autre que celui de Google).

Comme il n’est pas évident de repérer les logiciels libres dans Google Play Store, on peut se tourner vers une boutique applicative alternative qui ne recense que des logiciels libres : F-Droid. Son principal inconvénient est d’être disponible en anglais uniquement, ce qui limite son audience à ceux qui comprennent cette langue. Voici comment procéder pour l’utiliser :

  1. Visiter le site https://f-droid.org/ avec le navigateur Web du smartphone
  2. Cliquer sur le bouton bleu « Download F-Droid », le téléchargement du fichier FDroid.apk commence.
  3. Une fois le téléchargement terminé (cela peut prendre quelques secondes), lancer l’installation de FDroid.apk.
  4. Il est probable que l’installation soit bloquée pour des raisons de sécurité : Android bloque l’installation d’applications ne provenant pas du Google Play Store. Dans ce cas, nous allons changer le paramètre.
    1. aller dans les réglages du téléphone
    2. Choisir l’option sécurité
    3. Cocher l’option « Sources inconnues » (« Autoriser l’installation d’applications issues de sources inconnues ») et valider ce changement en cliquant sur « OK ».
  5. revenir au fichier téléchargé et lancer l’installation.
  6. Une fois F-Droid installé, revenir dans les paramètres de sécurité et décocher l’option « Sources inconnues ».
  7. Lancer F-Droid

Maintenant que F-Droid est utilisable, nous allons le mettre à contribution pour installer de nouveaux logiciels…

Pour aller plus loin : utiliser des logiciels proposant du chiffrement

F-Droid recense plusieurs centaines d’applications libres pour Android, et parmi elles les applications permettant de chiffrer ses communications sont nombreuses.

Le Guardian Project s’est fixé comme objectif de proposer des applications « dans lesquelles on peut avoir confiance », c’est à dire qui améliorent la protection de la vie privée, dont la sécurité peut-être vérifiée et dont le code est libre.

Chiffrer ses textos

L’application Signal, disponible pour iOS et Android, est gratuite, libre et permet le chiffrement des messages courts de type SMS et MMS. Si le destinataire du message a lui aussi installé Signal, alors les données sont chiffrées, sinon l’application envoie un SMS ou un MMS classique, donc non sécurisé.

Pour aller (encore !) plus loin

Idéalement, pour disposer d’un contrôle maximal sur nos smartphones, il faudrait qu’un maximum du logiciel installé soit libre. Plusieurs communautés de geeks se sont attelées à la tâche. En voici quelques unes :

  1. CyanogenMod
  2. ParanoidAndroid
  3. OmniRom
  4. Replicant

Leur installation, qui vise à remplacer la version d’Android installée par le constructeur par une version fournie par la communauté est de plus ne plus facile, mais elle reste encore hors de portée de la majorité des lecteurs de cet ouvrage. Aussi, même si j’espère que la pratique visant à installer sur son smartphone un autre système d’exploitation, libre et plus respectueux de la vie privé va se répandre. En attendant, nous sommes réduits à choisir entre différents systèmes, l’un qui capte toutes nos données, et l’autre qui ne nous permet pas d’installer les applications que l’on souhaite.

Notes

[1] Une estimation par Black Duck sur la base du nombre de lignes de code d’Android (sans compter le noyau) s’élève à 223 000$ alors que le salaire moyen utilisé dans le calcul est très inférieur à celui de la Silicon Valley. Il ne serait pas très étonnant d’arriver à dépasser le milliard de dollars.

[2] Source : No GPL Apps for Apple’s App Store.

[3] Il convient de rappeler que c’est mon ancien employeur, et que cela peut influencer mon analyse, même si je m’efforce à la plus grande objectivité.

samedi 16 janvier 2016

En vrac du samedi

Nous vous exhortons à protéger la sécurité de vos citoyens, de votre économie et de votre gouvernement, en soutenant le développement et l’usage d’outils et de technologies de communication sûrs, et en refusant toute mesure susceptible d’empêcher ou d’affaiblir l’utilisation d’un chiffrement fort, ainsi qu’en incitant les autres chefs de gouvernement à faire de même.

lundi 11 janvier 2016

En vrac du lundi

jeudi 31 décembre 2015

En vrac de fin d'année

2015 se termine ce soir, et c’est tant mieux. En attendant, quelques liens pour avoir de la lecture pendant ce week-end prolongé.

  • Accusé d’optimisation fiscale, Apple dénonce des « foutaises ». La situation d’Apple est très étonnante. Elle dispose 187 milliards de dollars de trésorerie hors des USA (oui, vous avez bien lu). Mais comme cet argent n’est pas aux USA, Apple est réduite à emprunter de l’argent (américain) pour rémunérer ses actionnaires. Elle a beau avoir plus de 200 milliards de cash en tout (dont 90% en dehors des frontières US), elle a dû emprunter environ 50 milliards. Bien sûr, Apple pourra rapatrier l’argent aux US, mais elle trouve que le taux d’imposition sur les sociétés est trop elevé. En effet, Apple ne paye que 2,3% d’impôts à l’étranger, il lui faudrait donc s’acquitter de 32,7% d’impôts; et ça, Apple ne le veut pas. Source : Citizens for Tax Justice ;
  • Quelques jours plus tard, on apprend qu’Apple consentirait à régler une ardoise de 318 millions d’euros au fisc italien. On notera que ça ne représente qu’une partie (36,2%) ce que réclamait le fisc italien (879 millions d’euros).
  • À la conférence 32C3, @Taziden (FDN) et Adrienne Charmet (La Quadrature) ont fait une présentation en anglais intitulée “One year of securitarian drift in France” / “Un an de dérive sécuritaire en France”.
  • Edward Snowden, ‘celui qui s’en est sorti’, un portrait par Jérémie Zimmermann ;
  • Dénonciation par les voisins ;
  • L’Inde suspend le service Internet gratuit de Facebook, et c’est bien, même si c’est contre-intuitif ;
  • How the Internet of Things Limits Consumer Choice, où l’excellent Bruce Schneier revient sur le scandale autour de Hue, le système d’ampoules de couleur intelligentes de Philips. Dans l’Internet des Objets qui est en train d’être inventé, à quoi vont nous mener les méthodes lamentables des constructeurs qui veulent nous forcer à utiliser seulement les systèmes qu’ils commercialisent, aux dépends de leurs concurrents ?
  • Dans la même veine : How the Internet of Things Got Hacked ;
  • Etat d’urgence : des juges administratifs appellent à la prudence. Les juges administratifs, qui à l’occasion de l’état d’urgence, se retrouvent avec plus de cas à traiter, mettent en garde : « l’équilibre entre ordre public et libertés publiques se déplace. Et nous nous retrouvons, juges administratifs, dotés d’une responsabilité accrue sans avoir véritablement les moyens de l’assumer. C’est pourquoi il nous paraît extrêmement dangereux de constitutionnaliser hâtivement l’état d’urgence, sans avoir préalablement tiré pleinement les leçons de cette première expérience, en termes de dangers pour les libertés comme d’efficacité pour la sécurité. »
  • Je réponds à la question de La-Croix.com : Pourquoi Twitter veut-il limiter les propos « violents » ;
  • Prendre les conditions générales d’utilisations d’iTunes et les mettre en BD, voilà pourquoi j’aime Internet ;
  • The End of Internet Advertising as We’ve Known It, un édito où Doc Searls (connu pour sa participation au Cluetrain Manifesto) explique qu’on pourrait passer de la publicité ciblée (de plus en plus boycottée) au modèle VRM (Vendor Relationship Management) où le consommateur publie les sujets qui l’intéressent du point de vue publicitaire. Doc Searls est par ailleurs en charge de ProjectVRM ;
  • Un excellent édito : De l’état de droit à l’état de sécurité par le philosophe italien Giorgio Agamben :
    • Historiquement, l’État d’urgence est le dispositif par lequel les pouvoirs totalitaires se sont installés en Europe (on pense bien sûr à Hitler qui avait instauré et maintenu un État d’exception).
    • l’État d’urgence s’inscrit dans le processus qui est en train de faire évoluer les démocraties occidentales vers l’État de sécurité (« Security State », en anglais).
    • Dans l’État de sécurité, l’État se fonde durablement sur la peur et doit, à tout prix, l’entretenir, car il tire d’elle sa fonction essentielle et sa légitimité.
  • Reframing Your Way To Happiness At Work. Un article qui résume le travail de Shawn Achor, que je recommande vivement. Le truc le plus contre-intuitif que j’ai pu lire est : “le bonheur est un choix”. Ca parait fou (voire insultant pour ceux qui sont malheureux), et pourtant c’est vrai : les neurosciences démontrent que nous avons la possibilité d’influencer notre niveau de bonheur avec des outils simples (méditation, sport, gratitude, en repérant les petits bonheurs). J’explique ça dans les premiers articles de ma rubrique Life Hacking.
  • Les vœux de paix d’Océanerosemarie sont pur troll de haute qualité. Magnifique !

Ah, et je ne résiste pas à l’envie de vous annoncer une bonne nouvelle : j’ai tenu ma résolution et j’ai fini la rédaction de mon livre sur la surveillance de masse et la vie privée ! On peut le commencer par l’avant-propos et continuer la lecture avec la table des matières qui est dans la colonne de droite…

- page 1 de 898