jeudi 29 janvier 2015

Flicage-brouillon - Partie 2 chapitre 14 - Internet change la donne

Nous sommes aujourd’hui bien loin de la micro-informatique des années 1980. Les ordinateurs ont été miniaturisés au point qu’on peut en avoir un dans la poche (un smartphone) ou dans un sac à main (une tablette de type iPad) ou dans un cartable (un ordinateur portable).

On oublie souvent à quel point les choses ont progressé ces 4 dernières décennies. Voici deux exemples :

Au-delà de cette miniaturisation et de ce gain de puissance, l’informatique a changé de nature dans la mesure où il est devenu très rare d’utiliser un ordinateur qui ne soit pas connecté à d’autres ordinateurs via un réseau (un réseau est ce qui permet de connecter un ordinateur à d’autres pour échanger de données. Cette connexion peut se faire par un fil mais aussi par ondes radio, le plus souvent par la norme Wifi).

Via le réseau, on se retrouve à utiliser des ordinateurs à distance. Ainsi, quand on fait une recherche Google sur un mot-clé, on fait un appel à des ordinateurs situés dans un centre de données, un genre de hangar climatisé où se trouvent des centaines d’ordinateurs qui reçoivent les recherches des utilisateurs et renvoient des résultats. Notre ordinateur (ou notre tablette ou smartphone) ne fait qu’afficher les résultats de notre demande.

Un PC connecté à des services sur Internet

Quel contrôle sur nos données et nos ordinateurs avons nous à l’heure d’Internet ?

Prenons un peu de recul un court instant et revenons à aux premiers pas de la micro-informatique

Au début, l’utilisateur avait le contrôle des logiciels utiliser, car il avait du les écrire lui-même, à moins qu’il n’ai récupéré du code source venant d’un autre hobbyiste. Les données de l’utilisateur sont stockées localement, donc on en a aussi le contrôle.

Si nous revenons à l’époque présente, correspondant au schéma ci-dessus, on peut certes faire plus de choses qu’avant, et c’est tant mieux, mais en terme de contrôle de l’informatique, c’est la descente aux enfers… Dorénavant, le logiciel qui tourne sur nos ordinateurs est presque toujours propriétaire, donc écrit par un tiers et non lisible. Comment avoir confiance dans ces boites noires ? Mais il y a pire : nos PC nous servent surtout à utiliser du logiciel qui fonctionne en fait sur des serveurs, lesquels sont dans des datacenters distants. Là aussi il s’agit le plus souvent d’applications propriétaires, écrites par des tiers. Et le comble, c’est que nos données sont là-bas, dans les même data-centers !

C’est une totale aberration : l’informatique est chaque jour plus indispensable à nos vies, et pourtant nous en avons chaque jour moins le contrôle !

Auparavant, les ordinateurs nous appartenaient, utilisaient du logiciel que l’on pouvait auditer et modifier; nos données étaient stockées localement. 

Maintenant, les ordinateurs sont dans des datacenters dont on ignore jusqu’à la localisation, avec des logiciels écrits par des tiers et qu’on ne peut pas auditer, et nos données sont détenues par des tiers ! Ces même tiers en profitent pour accumuler des données sur la façon dont on utiliser ces logiciels et nos propres données…

Quand je pense à ça, je me dis que le monde marche sur la tête.

Revenons sur l’impossibilité de savoir ce qui est fait de nos données. Quelles informations personnelles sont collectées ? Quelles informations à propos de mes proches sont récupérées via mes échanges avec eux ? Combien de temps sont-elles conservées ? Avec qui sont-elles partagées ? Comment sont-elles recoupées ?

Nous n’avons aucun contrôle sur les logiciels qui tournent sur les machines des services Internet auxquels nous avons recours. Sans aucune possibilité de contrôle comment peut-on avoir confiance ? Nous ne pouvons que nous fier aux promesses des services qu’on utilise, sans avoir aucune certitude qu’elles seront tenues.

Pire : quand on analyse ces promesses, qui sont contenues dans des documents appelés « politiques d’utilisation des données » ou « règles de confidentialité » («Privacy policies» en anglais), on se rend compte que tout cela est incompréhensible pour l’utilisateur ordinaire car trop long et beaucoup trop complexe.

Je vous propose de voir ce que Facebook et Google, à titre d’exemple, disent faire de nos données. Ca n’est guère rassurant…

Quelles données sont collectées par Facebook ?

Prenons la politique d’utilisation des données de Facebook. Il suffit de passer un peu de temps à analyser ces documents pour voir que « pour fournir un meilleur service », l’entreprise collecte les données, beaucoup de données, toutes sortes de données. Extrait du document de Facebook :

Nous utilisons les informations que nous recevons pour les services et les fonctions que nous vous fournissons, à vous et à d’autres utilisateurs, tels que vos amis, nos partenaires, les annonceurs qui achètent des publicités sur le site,.

Quelles informations, plus précisément ?

  • Information d’inscription
  • Informations que vous choisissez de communiquer
  • Informations que d’autres communiquent à votre propos
  • Autres informations que nous recevons à votre sujet

Cette dernière section du document Facebook est particulièrement intéressante, parce que nous n’en n’avons que rarement conscience : de nombreuses données sont collectées sur notre comportement, sans que nous ne les partagions sciemment. Quelques extraits :

Nous recevons également d’autres types d’informations vous concernant :

  • Nous recevons des données à votre sujet à chaque fois que vous entreprenez une action dans Facebook,(…)
  • Lorsque vous publiez des informations telles que des photos ou des vidéos sur Facebook, nous pouvons recevoir des données supplémentaires (ou métadonnées), comme l’heure, la date et l’endroit où vous avez pris la photo ou la vidéo.
  • Nous recevons des données provenant de, ou concernant, l’ordinateur, le téléphone mobile ou les autres équipements dont vous vous servez pour installer les applications Facebook ou pour accéder à Facebook (…). Cela peut comprendre des informations sur (…) le type (y compris les numéros d’identification) de l’appareil ou du navigateur que vous utilisez ou les pages que vous visitez. Par exemple, nous pouvons obtenir vos coordonnées GPS ou d’autres informations de géolocalisation (…)

(…) nous recueillons également les données provenant d’informations que nous possédons déjà à votre sujet et à propos de vos amis et de tiers(…) Nous pouvons associer votre ville actuelle, vos coordonnées GPS (…)

Quelles données sont collectées par Google ?

En ce qui concerne Google, même si le type de service rendu est différent, la collecte de données est elle aussi généralisée. Il faut dire que la mission que s’est choisie l’entreprise est « (d’)organiser l’information du monde, de la rendre utile et accessible de partout ». Et pour cela, il faut collecter toutes les données possibles, comme nous l’avons vu au chapitre 3.

Passons donc en revue les règles de confidentialité de Google :

Au-delà des données que nous communiquons volontairement à Google, la société collecte :

  • (…) des données relatives à l’appareil que vous utilisez, par exemple, le modèle, la version du système d’exploitation, les identifiants uniques de l’appareil et les informations relatives au réseau mobile, y compris votre numéro de téléphone. (…)
  • la façon dont vous avez utilisé le service concerné, telles que vos requêtes de recherche.
  • des données relatives aux communications téléphoniques, comme votre numéro de téléphone, celui de l’appelant, les numéros de transfert, l’heure et la date des appels, leur durée, les données de routage des SMS et les types d’appels.
  • votre adresse IP.
  • des données relatives aux événements liés à l’appareil que vous utilisez, tels que plantages, activité du système, paramètres du matériel, type et langue de votre navigateur, date et heure de la requête et URL de provenance.
  • (…) Nous utilisons différentes technologies pour vous localiser, y compris l’adresse IP, les signaux GPS et d’autres capteurs nous permettant notamment d’identifier les appareils, les points d’accès WiFi et les antennes-relais se trouvant à proximité.
  • (…) utilisons les informations fournies par les cookies et d’autres technologies, comme les balises pixel (…)
  • Nos systèmes automatisés analysent vos contenus (y compris les e-mails) (…)
  • Les informations personnelles que vous fournissez pour l’un de nos services sont susceptibles d’être recoupées avec celles issues d’autres services Google (y compris des informations personnelles), (…)
  • (…) même lorsque vous supprimez des données utilisées par nos services, nous ne supprimons pas immédiatement les copies résiduelles se trouvant sur nos serveurs actifs ni celles stockées dans nos systèmes de sauvegarde.

J’ai décidé de me limiter aux aspects les plus frappants de deux des acteurs les plus utilisés, mais il faut savoir deux choses :

  1. La plupart des services en lignes (mais pas tous, heureusement) ont des conditions d’utilisation qui sont comparables
  2. En les utilisant, nous acceptons ces conditions d’utilisation et reconnaissons les avoir lues…

Voyons voir pourquoi la plupart des services en ligne sont aussi voraces dès qu’il s’agit de nos données personnelles…

En vrac du jeudi

Bon, ça n’est pas parce que je vous abreuve de chapitres de mon projet de livre Flicage-Brouillon sur la vie privée en ligne et la surveillance de masse que je dois pour autant arrêter de publier des En Vrac !

Voici donc une nouvelle livraison.. Bonne lecture !

mercredi 28 janvier 2015

Flicage-brouillon - Partie 2 chapitre 13 - Le code, c'est la loi

Il y a dans l’histoire de l’informatique un événement d’apparence anodine qui a eu une grande importance : le jour où Richard Stallman a eu un problème avec la nouvelle imprimante de son bureau.

En 1980, Richard Stallman est informaticien et chercheur au laboratoire d’intelligence artificielle du MIT (Massachusetts Institute of Technology), célèbre université américaine. Le laboratoire vient de recevoir une imprimante très perfectionnée dont le logiciel comporte, comme tout logiciel, des imperfections, des bogues. Richard Stallman contacte le fabricant de l’imprimante et demande le code source du logiciel en vue de le corriger. Le fabricant le lui refuse. Pour eux, le logiciel est « propriétaire », son contenu doit donc rester secret pour éviter que des concurrents ne le copient et l’améliorent.

Note : code source et code binaire. Dans la plupart des cas, un logiciel existe sous deux formes : du code source, compréhensible par les informaticiens, et du code binaire, compréhensible uniquement par la machine. La transformation du code source en code binaire s’appelle compilation. Il est quasiment impossible pour un humain de comprendre le code binaire : les modifications du logiciel ne se font que sur le code source (sauf très rares exceptions). Les entreprises ont tendance à distribuer leurs logiciels uniquement sous code binaire, rendant ainsi les utilisateurs dépendants des personnes disposant du code source.

Pour Richard Stallman, qui vient du monde universitaire où le partage du code source et la collaboration entre informaticiens sont la norme, cette situation est moralement inacceptable. Il considère que cela limite la liberté des utilisateurs, les rend dépendants des éditeurs de logiciels. Par ailleurs, ces derniers font signer aux utilisateurs de leurs logiciels des contrats de licence qui interdisent de modifier le logiciel et de le redistribuer. Ce sont ces contrats de licence que l’on accepte trop souvent sans les lire quand on installe un logiciel sur son ordinateur. Pour Richard Stallman, interdire la collaboration et le partage est mauvais pour la société et le progrès technologique.

Pour contrer cela, Richard Stallman, qui a de la suite dans les idées, fonde le projet GNU, invente le concept de logiciel libre et crée la licence GNU General Public License, le contrat de licence le plus utilisé au monde pour diffuser des logiciels libres.

Voici la définition par Richard Stallman d’un logiciel libre :

Un programme est un logiciel libre pour vous, utilisateur particulier, si :

  • vous avez la liberté de l’exécuter comme vous le voulez, pour quel que motif que ce soit ;
  • vous avez la liberté de modifier le programme afin qu’il corresponde mieux à vos besoins (dans la pratique, pour que cette liberté prenne effet, il vous faut pouvoir accéder au code source, puisqu’opérer des modifications au sein d’un programme dont on n’a pas le code source est un exercice extrêmement difficile) ;
  • vous disposez de la liberté d’en redistribuer des copies, que ce soit de manière gratuite ou onéreuse ;
  • vous avez la liberté de distribuer des versions modifiées du programme, afin que la communauté puisse bénéficier de vos améliorations.

Le projet GNU, lui aussi initié par Richard Stallman, vise à créer un système d’exploitation (logiciel de base permettant de faire tourner des applications) qui soit entièrement libre. Aujourd’hui, le projet GNU est surtout connu pour le logiciel GNU/Linux, souvent appelé à tort Linux, utilisé par des centaines de millions de gens dans des smartphones, des « box » ADSL, des serveurs (dont ceux de Google et Facebook), l’essentiel de l’infrastructure d’Internet et des PC.

Richard Stallman a clairement mis en évidence que celui qui écrit le programme peut décider de ce que peut faire ou ne pas faire l’utilisateur. Dans la notion de logiciel libre, c’est finalement l’utilisateur du logiciel qui est libre, plus que le logicien en tant que tel.

La contribution de Lawrence Lessig

En 1999, dans un livre appelé Code and other laws of Cyberspace, le juriste américain Lawrence Lessig explique comment, dans notre société de plus en plus informatisée, le code informatique a donné le pouvoir aux développeurs aux dépens des utilisateurs. Lessig démontre qu’il fut un temps où la loi décidait de ce que le citoyen avait le droit de faire ou non, mais ce rôle est de plus en plus souvent joué par le code informatique. On peut le constater quand un logiciel nous interdit de faire ce que l’on veut : à moins qu’il ne soit libre et donc que son code soit librement modifiable, l’utilisateur est à la merci du développeur qui a écrit le logiciel.

En ce qui concerne la loi, son écriture et son adoption se font dans le cadre d’un processus démocratique, avec des amendements, des débats contradictoires entre juristes, avant d’être votée par des représentants des citoyens. À l’inverse, le logiciel est souvent écrit par une société commerciale dont les intérêts sont de fidéliser les clients, et il n’y a rien de plus fidèle qu’un client qui ne peut pas partir parce qu’on l’en empêche, par exemple en rendant compliquée l’exportation de ses données vers des solutions concurrentes.

Les utilisateurs finaux sont bien souvent démunis quand il s’agit de comprendre ce que fait le logiciel dans son ensemble : le client utilise un produit logiciel qui détermine ce qu’il a le droit de faire dans l’environnement informatique sans comprendre les limites du logiciel et la difficulté qu’il pourra y avoir quand il s’agit de migrer vers une autre solution.

En plus de la liberté, la transparence

Il existe un autre avantage au logiciel libre : le fait que l’on puisse lire son code source le rend (relativement) transparent. En effet, il est très possible qu’un logiciel propriétaire, dont le code source n’est pas visible, fasse des choses néfastes à l’utilisateur sans que le dernier s’en rendre compte : en utilisant un logiciel propriétaire, nous sommes face à une « boite noire » que nous ne contrôlons pas.

Cela a donné lieu à de nombreuses controverses, où plusieurs logiciels très répandus comme Microsoft Windows, la messagerie Lotus Notes ou Skype pourraient avoir des portes dérobées permettant à des espions de la NSA (espionnage informatique américain) d’accéder facilement aux données des utilisateurs. Mais comme le code est opaque, il ne peut être audité facilement, et il est donc quasiment impossible de savoir si de telles portes dérobées ont été créées volontairement par les développeurs à la demande des services secrets américains ou non.

Cela démontre que le logiciel libre, parce que son code source est lisible, peut être audité par les experts, qui vont regarder ce qu’il fait dans le détail. Au-delà de la liberté de faire ce que l’on veut et au-delà de permettre de contrôler ce que fait le logiciel, cette transparence nous permet d’avoir confiance dans le logiciel libre en question, même s’il est écrit par d’autres.

mardi 27 janvier 2015

Flicage-brouillon - Partie 2 chapitre 12 - contrôle et informatique personnelle

A la fin des années 1970, tout au début de la micro-informatique, la problématique du contrôle de l’informatique était toute simple : les premiers micro-ordinateurs étaient livrés quasiment sans logiciels et n’étaient pas connectés à Internet. Comme ils étaient destinés à des hobbyistes, des électroniciens et des bidouilleurs, l’utilisateur devait apprendre à écrire le logiciel dont il avait besoin pour en disposer.

C’était la situation idéale en termes de contrôle de l’informatique : l’utilisateur saisissait lui-même ses données dans un logiciel dont il avait pleinement le contrôle, puisqu’il l’avait écrit, sur un ordinateur qui était physiquement devant lui.

P2chap12-1_-_Utilisateur_developpeur_et_PC.png

On le verra, cette situation idéale de contrôle total ne durera pas.

Dans la grande confrérie des développeurs amateurs des premiers micro-ordinateurs, le partage était la norme : devant la rareté des logiciels disponibles, il était normal de partager les logiciels qu’on avait écrits avec d’autres hobbyistes. Le logiciel qu’on venait de recevoir ne fonctionnait pas exactement comme on voulait ? Qu’à cela ne tienne, il suffisait de le modifier pour corriger le problème. Pour cela, il faut comprendre comment fonctionne le logiciel, ce qui est possible s’il est relativement simple et écrit de façon structurée par son auteur.

Mais au fur et à mesure que la micro-informatique est devenue une industrie et que les utilisateurs ont compris le potentiel de l’informatique, que les besoins sont devenus plus complexes avec des enjeux plus importants, certains utilisateurs avancés sont devenus des développeurs de logiciels professionnels à temps plein.

Ce changement, cette professionnalisation, bienvenue pour régler le problème de la complexité croissante des besoins et des logiciels, a créé un un nouveau problème : tandis que jusqu’alors le développeur, l’utilisateur étaient la même personne et avaient donc des intérêts communs, on se retrouve alors avec un utilisateur qui veut un logiciel répondant à ses besoins propres, le développeur cherche au contraire à écrire une seule fois un logiciel qui réponde aux besoins du plus grand nombre, pour pouvoir le vendre à plus de clients possibles et ainsi maximiser son investissement en développement.

Le développeur de logiciels est de fait devenu un « éditeur d’applications » et l’utilisateur dispose de logiciels créés par un tiers : l’utilisateur dépend dorénavant du bon vouloir du développeur.

Flicage-brouillon - Partie 2 chapitre 11 - Que peut-on contrôler ?

Sans le savoir, à chaque fois que nous utilisons un PC, une tablette, un smartphone ou même tout système informatique, nous manipulons à la fois des données, du matériel et du logiciel. Quelques explications s’imposent pour bien comprendre comment il est possible de conserver le contrôle de l’outil informatique. Que les puristes me pardonnent d’enfoncer des portes qu’ils ont déjà ouvertes !

Le matériel est facile à identifier : c’est ce qui est tangible et peut prendre la forme d’un smartphone, d’un PC de bureau (une unité centrale avec un clavier, un écran et une souris), d’une tablette ou d’un ordinateur portable. On peut diviser conceptuellement le matériel en trois parties : l’unité centrale qui est « le cerveau » de l’ordinateur traitant les données, les périphériques qui lui permettent de récupérer et d’échanger de l’information (écran, clavier, souris, écran tactile, divers capteurs, interface réseau avec et sans fil) et enfin la mémoire de masse, pour y stocker les données (disque dur, carte mémoire).

Le logiciel est pour sa part immatériel, c’est à dire qu’on ne peut pas le toucher. Ça peut être un système d’exploitation (Windows, OSX, iOS, Android, GNU/Linux) ou une application (Word, Excel, LibreOffice, Mozilla Firefox, VLC, GMail, Spotify, etc.). Pour simplifier, un logiciel est une suite ordonnées d’instructions (le code) que l’on donne au matériel pour lui indiquer comment manipuler les données. Le code décrit le processus pour manipuler les données.

Les données, toujours pour simplifier, ce sont des informations. Une liste de noms et de numéros de téléphone qu’on stockera dans un smartphone ; les montants des ventes saisis dans Excel pour faire des calculs ; une chanson numérisée pouvant être lue par un lecteur du genre iTunes ; une photo numérique qu’on retouchera avec un logiciel adapté. Les données sont souvent ce qui est le plus important pour l’utilisateur car elles lui sont souvent spécifiques.

Les trois parties du système sont indissociables : sans matériel, le logiciel ne sert à rien et l’on ne peut pas traiter les données. Sans les instructions du logiciel, la puissance de traitement du matériel ne peut pas être utilisée pour traiter les données.

Flicage-brouillon - Partie 2 chapitre 10 - Contrôler pour ne pas être contrôlé

Comme nous l’avons vu depuis le début de cet ouvrage, la situation en termes de contrôle de la vie privée n’est guère rassurante. Nos données sont collectées par des grands services souvent américains, par notre équipement, du PC au smartphone, avec de nouveaux capteurs comme les trackeurs d’activité physique. « L’internet des objets », composé par les nouveaux objets dits intelligents, du détecteur de fumée aux thermostats intelligents, ne va faire qu’enfoncer le clou.

Par ailleurs, les services secrets de certains pays peuvent se brancher directement sur notre équipement ou vont plus simplement espionner les grands services qui savent tout de nous. Même si le respect de la vie privée est inscrit dans la loi, chacun peut constater que la notion s’érode, sous les coups de boutoir des réseaux sociaux d’un côté et de la volonté des politiques et des services de renseignements de contrôler Internet.

Pourtant, nous sommes chaque jour un peu plus dépendants de l’informatique. Aussi, la question n’est pas d’arrêter de se servir de l’informatique mais de comprendre comment elle fonctionne de façon à savoir comment la contrôler et surtout contrôler l’usage qui est fait de nos données. Car c’est bien là l’enjeu du futur : contrôler l’outil informatique pour éviter qu’il ne nous contrôle ou permette à d’autres de nous contrôler.

dimanche 25 janvier 2015

Flicage-brouillon - Partie 1 chapitre 9 - Mais, je n'ai rien à cacher !

Je ne peux pas finir cette réflexion sur l’importance de la vie privée sans aborder la réponse trop souvent faite par ceux qui ne comprennent pas les enjeux : « je n’ai rien à cacher ».

Faites ce que je dis, pas ce que je fais

Eric Schmidt, Président de Google affirmait à la télévision américaine CNBC « S’il y a quelque chose que vous voudriez que personne ne sache, peut-être que vous devriez commencer par ne pas la faire ». Dans le même registre, Mark Zuckerberg, PDG de Facebook, déclarait en 2010 : « Les gens ont pris l’habitude non seulement de partager plus d’informations de toutes sortes, mais ils le font de façon plus ouverte et avec plus de gens ». Il ajoutait que la vie privée n’est plus la « norme sociale ».

Pourtant, si tous deux semblent penser que la vie privée ne devrait pas exister, ils protègent farouchement la leur ! Ainsi, le site CNET a révélé des informations sur Schmidt dans un article qui leur a valu d’être mis sur la liste noire du service de presse de Google. Google ne répond donc plus aux questions de CNET. Le plus drôle, c’est que les informations publiées par CNET sur le patron de Google… avaient été obtenues en utilisant le moteur de recherche de Google, en moins de 30 minutes !

Mark Zuckerberg, pour sa part, a acheté une belle maison à Palo Alto, Californie, où l’immobilier est particulièrement cher. Mais pour être sûr de ne pas être dérangé, il s’est aussi offert les quatre maisons adjacentes. Coût total : environ 30 millions de dollars !

Pour rester dans le registre immobilier, on apprend qu’Eric Schmidt vient d’acheter un appartement à New York. Au delà du prix (15 millions de dollars tout de même), Eric Schmidt aurait choisi cet appartement car il dispose d’un ascenseur particulier et que contrairement à tout ce que veulent les new-yorkais, il n’y a pas de concierge qui pourrait voir qui vient pour des rendez-vous galants, qui sont semble-t-il multiples.

Comme le fait très justement remarquer Cory Doctorow à Eric Schmidt :

« Dis, Eric, si tu ne veux pas qu’on sache combien tu gagnes, où tu vis et ce que tu fais de ton temps libre, peut-être faudrait-il ne pas acheter de maison, ni gagner un salaire ni avoir des loisirs ? »

Passons maintenant en revue les quatre raisons pour lesquelles l’affirmation « je n’ai rien à cacher » ne tient pas debout quand on y pense :

On a tous quelque chose à cacher

Nous avons tous des secrets. Pas forcément honteux. On ferme le loquet aux toilettes. On a des rideaux aux fenêtres de la chambre à coucher. On cache son code de carte bleue et son mot de passe d’email. Rares sont ceux qui aimeraient que le monde sache de qui ils étaient amoureux au collège ou au lycée. Je suis fier d’être papa de mes deux enfants, Robin et Philippine, mais je ne souhaite pas rentrer dans les détails quant à leur conception… On a parfois envie de changer de travail sans que son employeur soit au courant. Les raisons sont multiples, et rien de ce que je viens de lister n’est illégal. Pourtant, on a à chaque fois une bonne raison de vouloir le cacher.

Chanter sous la douche

Avez-vous remarqué que l’on chante sous la douche quand on est seul, mais si une personne que l’on connait mal peut nous entendre, cela nous fait souvent taire. Pourquoi ? C’est la peur du ridicule. C’est en substance ce que j’ai décrit dans le chapitre 7 : se sentir surveillé nous pousse à la conformité. Et pourtant, avant de pouvoir se lancer dans une prestation crédible de karaoké avec les collègues ou les amis, il faut avoir passé du temps à chanter mal, pour enfin progresser. Si on se sent surveillé, on s’auto-censure, et on ne commence jamais à chanter. Je prends ici l’exemple de la chansonnette, mais on pourrait étendre la problématique à des choses plus sérieuses, comme l’art en général, l’expérimentation liée à des idées sur des sujets importants comme la politique, ce qu’on a vraiment envie de faire dans la vie ou la créativité en général, qui passe par une longue phase d’essais/erreurs.

Le secret commercial

Le monde des affaires a grand besoin de secret pour tout ce qui concerne les négociations de conditions commerciales ou les secrets de fabrication. Même si la NSA prétend agir contre le terrorisme, un fléau qu’il faut combattre, il apparaît qu’elle joue un rôle très important dans l’espionnage économique. En fait, il apparaît que dans le programme BARNEY de la NSA, celle-ci a trois objectifs :

  • la lutte contre le terrorisme
  • faciliter les négociations diplomatiques
  • l’espionnage économique.

Dans les documents de Snowden sur le programme BARNEY, parmi les « clients » de la NSA figurent en bonne place les ministères américains de l’agriculture, des finances et du commerce, qui n’ont rien à voir avec la lutte contre le terrorisme.

De ce fait, toute société faisant du commerce a des choses à cacher (des tarifs, des méthodes de fabrication, sa liste de clients…), choses qui sont susceptibles d’intéresser des concurrents et/ou des services secrets de pays étrangers.

Les lois peuvent changer

Ce point est le plus difficile à accepter, car c’est celui qui évoque les perspectives les plus sombres, perspectives qu’on voudrait tous croire impensables. Les lois, sous l’impulsion de politiques, peuvent changer du tout au tout.

Un exemple : en 1938, les Juifs n’avaient rien à se reprocher. On connaît la suite.

Oh, bien sûr, j’espère de tout cœur que l’on ne reverra jamais de telles horreurs. Mais j’écris fin janvier 2015, quelques jours après les attentats de Charlie Hebdo et d’Hyper-Casher. L’émotion de la population, combinée au besoin des politiques de donner l’impression d’agir face à l’innommable, pousse déjà toute la classe politique, de gauche comme de droite à invoquer des lois d’exception. Plusieurs lieux de cultes musulmans sont attaqués. Les élections présidentielles de 2017 verront-elles le candidat élu passer des lois islamophobes ? Je l’ignore et j’espère que non, mais ça n’est pas totalement exclu…

Conclusion

On le voit, même si l’argument « je n’ai rien à cacher » peut sembler plein de bon sens au premier abord, il ne résiste pas à la réflexion. Il appartient à chaque défenseur des libertés et donc de la vie privée de savoir répondre à cet argument.

samedi 24 janvier 2015

Flicage-brouillon - Partie 1 chapitre 8 - loi et vie privée

Comprenant que la vie privée est un besoin fondamental pour être libre, les politiques et les législateurs n’ont eu de cesse que de souligner son importance avant de l’inscrire dans la loi. Voici un rapide tour d’horizon de ces textes, avant de voir comment la vie privée est essentielle pour que le citoyen puisse avoir confiance dans les institutions.

Déclaration Universelle des Droits de l’Homme

En 1948, à la sortie de la 2eme guerre mondiale, l’assemblée générale des Nations Unis adopte un texte sans réelle portée juridique, la Déclaration Universelle des Droits de l’Homme.

Article 12. : Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

La Convention européenne de sauvegarde des droits de l’Homme et des libertés

La Convention européenne de sauvegarde des droits de l’Homme et des libertés, représente un progrès sensible en terme de force du texte, dans la mesure où c’est un traité international signé par les États membres du Conseil de l’Europe. Signée le 4 novembre 1950, elle est entrée en vigueur le 3 septembre 1953.

Article 8 : toute personne a le droit au respect de sa vie privée.

La Charte des droits fondamentaux de l’Union Européenne

Cette charte n’a pas eu au départ de valeur juridique forte. votée en décembre 2000, il aura fallu attendre le traité de Lisbonne en 2007 pour lui donner une valeur juridiquement contraignante dans les 27 états membres de l’Union Européenne.

article 7 : toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.

article 8 : toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

Les CNIL européennes

Enfin, en décembre 2014, l’ensemble des CNILs européennes (la CNIL française et ses homologues européennes), sous le nom de « groupe de l’article 29 » publiait une déclaration très claire sur la protection de la vie privée : http://www.cnil.fr/linstitution/international/g29/edgf14/

Article 6 : La surveillance secrète, massive et indiscriminée de personnes en Europe (…) n’est pas conforme aux Traités et législation européens. Elle est inacceptable sur le plan éthique.

Article 7 : L’accès à des données à caractère personnel aux fins de sécurité n’est pas acceptable dans une société démocratique dès lors qu’il est massif et sans condition.

Le cas des USA

Aux USA, c’est le 4e amendement de la constitution, annoncé en 1792, qui protège la vie privée. Bien sûr nulle mention de numérique ou de données personnelles dans ce document ! Un peu moins d’un siècle plus tard, en 1890, deux juristes américains publiaient un article fondateur, the Right to Privacy. Mais ce n’est qu’en 1967, avec la jurisprudence Katz v. United Stated, que la notion de vie privée a été évoquée en rapport avec le 4eme amendement.

La confiance du citoyen dans les institutions

Pavel Mayer, membre historique du Parti Pirate allemand, explique mieux que je ne pourrais le faire pourquoi le non-respect de la vie privée est toxique pour la démocratie :

la surveillance a des effets néfastes. Les citoyens croient à la liberté. Lorsqu’ils apprennent qu’ils ont été espionnés, alors ils perdent foi dans la société et dans les politiques. Et bientôt ils risquent d’oublier que les politiques sont élus par les citoyens, et sont au service des citoyens. Mais globalement, les deux sont liés. Avec Snowden, on a compris que quand une société collecte des données sur un individu, ces dernières peuvent être récupérées sans mal par les services secrets.

Cette réflexion est partagée par Daniel Solove, juriste américain et l’un des spécialistes mondiaux de la vie privée, pour qui l’érosion de la vie privée a des conséquences qui ressemblent plus au Procès de Franz Kafka qu’à 1984 de George Orwell. George Orwell, dans 1984, démontre comment une surveillance permanente empêche toute liberté, toute créativité et pousse tout le monde au conformisme dans un genre de prison mentale.

Dans Le Procès, Franz Kafka raconte l’histoire d’un certain « Joseph K » dont la vie est bouleversée par un procès sans que l’accusé ne soit mis au courant du motif pour lequel il est jugé.

Pour Daniel Solove, c’est le manque de transparence de l’utilisation qui est faite de nos données qui pose un problème. Les données affectent les relations de pouvoir entre le citoyen et l’État. Ces relations sont frustrantes pour l’individu car elles créent chez lui un sentiment de totale impuissance et de faiblesse. Par ailleurs, ces relations affectent les relations qu’entretiennent les gens avec les institutions qui prennent des décisions importantes pour eux.

>L’approche de Solove, focalisée sur l’État, qui fait la loi et sur l’importance de comprendre ce que l’État décide pour le citoyen, peut être confrontée à celle de Lawrence Lessig. Ce dernier, comme nous le verrons un peu plus tard, considère qu’en cette ère numérique, le code est la nouvelle loi : « le code, c’est la loi » (Code is Law).

Aujourd’hui, ce sont donc les grands acteurs commerciaux qui contrôlent le code et donc nos données qui décident pour nous, utilisateurs, ce que nous avons le droit de faire. Comment puis-je avoir confiance dans les sociétés commerciales qui me fournissent des services, si je ne comprends pas comment elles prennent des décisions me concernant ? Comment vais-je réagir face à Facebook qui cache certains messages de mes amis et m’en montre d’autres sans que je sache pourquoi ? Comment vais-réagir face à une mutuelle d’assurance qui refuse de m’assurer ou augmente ma cotisation parce qu’elle pense que je consomme trop de pizzas, de bières et de café mais pas assez de légumes verts ?

vendredi 23 janvier 2015

Flicage-brouillon - Partie 1 chapitre 7 - l'impact de la surveillance sur la société

Il est une question à laquelle j’avoue avoir du mal à répondre : « pourquoi la surveillance de masse est-elle néfaste à la société dans son ensemble ? ».

Comme beaucoup, j’ai une réponse viscérale à cette question : je sens que la surveillance de masse est mauvaise. Elle me révolte. Mais dès qu’il s’agit d’y répondre clairement, les choses se compliquent grandement. Aussi, j’ai dû replonger dans des cours de philo et de droit pour mettre des mots sur la réponse à cette question fondamentale.

Une idée qui a presque 2000 ans

Il se trouve que le problème est présent depuis longtemps. Depuis la Rome antique, en fait, avec le poète satirique Juvénal, qui dans ses satires, écrivit « mais qui va garder ces gardiens » (« sed quis custodiet ipsos custodes ? »), phrase souvent utilisée pour parler de la surveillance des gouvernements qui surveillent les citoyens, puis qui a été étendue au problème de la surveillance de masse.

Le panoptique de Bentham

La réflexion sur la surveillance doit beaucoup au philosophe anglais Jeremy Bentham (1748-1832), inventeur du “Panoptique”, un modèle de prison circulaire avec une tour centrale où sont logés les gardiens. Depuis la tour centrale, les gardiens peuvent observer les détenus qui sont enfermés dans des cellules individuelles, sans que ceux-ci puissent savoir si on les observe. L’idée est de créer chez les prisonniers le sentiment qu’ils sont observés en permanence par les gardiens, qui savent tout sur eux, même quand les gardiens sont absents.

Il faut noter que Samuel Bentham, le propre frère de Jeremy Bentham, avait quant à lui dessiné des plans d’usines selon le même principe, pour surveiller les ouvriers et pas seulement des prisonniers.

Prison modèle à Cuba, sur le principe du panoptique

Prison modèle à Cuba, sur le principe du panoptique. Source : Wikipedia

En faisant croire aux gens qu’ils sont observés en permanence, on arrive à leur imposer une façon de se comporter

C’est le philosophe français Michel Foucault (1926-1984) qui a remis l’idée du panoptique au goût du jour avec son livre Surveiller et punir paru en 1975. Foucault étend l’idée à d’autres lieux que la prison et l’usine, comme par exemple l’école et l’hôpital. Cela fait dire au philosophe Gilles Deleuze (1925 - 1995) :

La formule abstraite du Panoptisme n’est plus « voir sans être vu », mais « imposer une conduite quelconque à une multiplicité humaine quelconque. »

Voilà, tout est dit : en faisant croire aux gens qu’ils sont observés en permanence, on arrive à leur imposer une façon de se comporter.

La vision de Glenn Greenwald et de Bruce Schneier

Glenn Greenwald et Bruce Schneier ont grandement influencé ma façon de penser sur ce sujet. Plutôt que de paraphraser leurs discours respectifs, je propose de traduire quelques extraits que voici.

Je laisse la parole à Glenn Greenwald, l’un des journalistes ayant permis les révélations Snowden, dans un discours fait à la conférence TED d’octobre 2014 :

Nous tous êtres humains, même ceux qui font semblant de ne pas s’intéresser à la vie privée, comprenons instinctivement à quel point elle est importante. Il est vrai qu’en tant qu’êtres humains, chacun de nous est un animal social, ce qui veut dire que nous avons besoin de faire savoir à d’autres ce que nous faisons, pensons et disons, et c’est pourquoi nous publions des informations en ligne.

Mais il est tout aussi important pour être un être humain libre et heureux d’avoir un endroit où l’on peut se soustraire au regard et au jugement des autres. Il y a une raison pour laquelle nous cherchons tous cet endroit, c’est que nous tous, et pas seulement les terroristes et les criminels, avons des choses à cacher. Il y a toutes sortes de choses que nous faisons et pensons et que nous partageons avec notre médecin, notre avocat, notre psychologue, notre conjoint ou notre meilleur ami, choses qui nous humilieraient terriblement si le reste du monde venait à les savoir. De ce fait, pour chaque chose que nous faisons ou pensons, nous prenons la décision de la partager ou non avec notre entourage ou en ligne. Certains peuvent nier verbalement l’importance de la vie privée, mais le fait est que leurs actions prouvent le contraire.

Il y a une raison pour laquelle l’intimité est si importante pour tous et de façon instinctive (…) : quand nous sommes surveillés, écoutés, notre comportement change du tout au tout. Le nombre de comportements possibles est sévèrement réduit quand nous pensons être surveillé. C’est un fait reconnu dans toutes les disciplines, des sciences sociales à la religion en passant par la littérature. Il y a des dizaines d’études psychologiques qui prouvent que quand quelqu’un pense qu’il est surveillé, son comportement change est devient bien plus conforme à la norme sociale. La honte est un puissant élément motivant parce qu’on veut y échapper, et c’est pourquoi les gens se sachant observés prennent des décisions qui ne sont pas issues de leur propre liberté de choix, mais liées aux attentes que les autres ont pour eux et aux exigences de conformité de la société.

Une société dans laquelle les gens peuvent être surveillés à tout moment est une société qui pousse à la conformité, l’obéissance et la soumission, et c’est pourquoi tous les tyrans recherchent un tel système. À l’inverse, et c’est plus important encore, c’est uniquement dans le cadre de la vie privée, de l’intimité, la possibilité d’aller quelque part où nous pouvons penser, raisonner, interagir et penser sans le jugement ni le regard des autres, que nous pouvons explorer, être créatifs et exprimer notre dissidence. C’est pourquoi, si nous acceptons de vivre au sein d’une société dans laquelle nous sommes surveillés en permanence, nous acceptons de fait que l’essence de la liberté humaine soit complètement bridée.

Glenn Greenwald ajoute :

la surveillance de masse crée une prison dans l’esprit qui est bien plus subtile mais bien plus efficace pour favoriser la conformité aux normes sociales, bien plus effective que la force physique ne pourra jamais l’être.

Je laisse la conclusion à Bruce Schneier, un écrivain, cryptologue et expert en sécurité reconnu, dans un billet qui date déjà de 2006 :

Combien d’entre nous ont fait une pause pendant une conversation depuis le 11 septembre 2001, soudainement conscient que nous pourrions être écoutés ? C’était probablement lors d’une conversation téléphonique, ou un échange d’email ou par messagerie instantanée, ou peut-être une discussion dans un endroit public. Peut-être parlions-nous de terrorisme, de politique ou d’Islam. Nous nous arrêtons brusquement, inquiets l’espace d’un instant que nos mots soient repris sortis de leur contexte. Puis nous rions de notre paranoïa et continuons la conversation. Mais notre comportement a changé et nos mots ont été subtilement altérés.

C’est la perte de la liberté que nous risquons quand notre vie privée nous est retirée. C’est la vie dans l’ex-Allemagne de l’Est ou la vie dans l’Irak de Saddam Hussein. Et c’est notre avenir si nous permettons l’intrusion de la surveillance dans nos vies privées.

On considère trop souvent que le débat porte sur le choix entre sécurité à vie privée. Mais le véritable choix, c’est la liberté par rapport au contrôle. La tyrannie, qu’elle vienne d’une attaque étrangère physique ou d’une scrutation permanente du pouvoir de l’État, c’est toujours la tyrannie. La liberté exige la sécurité sans intrusion. La surveillance policière est la définition même d’un État policier. C’est pour cela que nous devons défendre la vie privée même si nous n’avons rien à cacher.

jeudi 22 janvier 2015

Flicage-brouillon - Partie 1 chapitre 6 - Big Data, grosses responsabilités

On entend souvent parler de « big data » sans toujours bien cerner de quoi il s’agit. En français, on devrait utiliser le terme de mégadonnées. Ce sont des ensembles de données gigantesques comme en collectent par exemple Twitter (7 téraoctets par jour) et Facebook (10 téraoctets). Rappelons qu’un téraoctet est l’équivalent de 1 000 milliards de caractères. Sachant que si on numérisait la Library of Congress, la plus grande bibliothèque du monde, on obtiendrait 18,75 téraoctets de données. Autrement dit, chaque jour, Twitter et Facebook produisent à peu près autant de données que ce que contient la plus grande bibliothèque du monde, à 10 % près. Les données de Facebook et de Twitter sont les données que produisent ou échangent les utilisateurs.

On a ici affaire à un véritable océan de données qu’il est possible d’explorer pour y trouver des informations particulièrement intéressantes. Les navigateurs des données sont appelés en anglais « Data scientists », genre de mathématiciens et statisticiens dont le métier est de comprendre le sens de ces données pour les valoriser.

Comme tout cela peut sembler bien abstrait, voici un exemple tiré d’un contexte bien plus terre à terre, celui des supermarchés.

Dans une interview de début 2012, un Data Scientist américain employé de la chaînes de grands magasins Target, racontait une anecdote amusante sur son métier :

Un homme passablement en colère entre dans un supermarché Target près de Minneapolis (Minnesota, USA) et exige de parler au directeur : « Ma fille a reçu votre prospectus par la poste », dit il. «Elle est encore au lycée, et vous lui envoyez des coupons de réduction pour des vêtements pour bébés et des berceaux ? Mais vous voulez l’encourager à tomber enceinte à son âge ?»

Le directeur tombe des nues. Il regarde le prospectus, qui porte bien le nom de la jeune cliente et contient des publicités pour des vêtements de femme enceinte, de quoi équiper une chambre de bébé et moultes photos de bébés souriants. Très ennuyé, le directeur présente platement ses excuses et prévoit de rappeler le client un peu plus tard (aux États-Unis, la notion de service du client va beaucoup plus loin qu’en France).

Quelques jours plus tard, le directeur appelle donc son client, mais le père de la lycéenne semble très décontenancé : « j’ai eu une conversation avec ma fille et… il s’avère qu’il s’est passé des choses pendant que j’avais le dos tourné… Voilà… Elle va accoucher au mois d’août. Je me dois de vous présenter des excuses ! »

Le rapport avec la Big Data ? Il est direct : la jeune fille, soit parce qu’elle payait avec une carte de paiement, soit avec une carte de fidélité, avait laissé un historique d’achats. Et les mathématiciens de Target ont remarqué que les achats de certains produits étaient corrélés avec une grossesse. Les lotions sans parfums en grands flacons (surtout au début du 2e trimestre de grossesse), les suppléments alimentaires à base de calcium, zinc et magnésium (à partir de la 20e semaine de grossesse) et, juste avant l’accouchement, les grands sacs de coton hydrophile et de lingettes, sont autant de signaux que les statisticiens ont retenus et recherchent dans l’océan de données que nous alimentons sans le savoir.

Un autre exemple, tiré du très officiel blog Facebook Data Science, sur un sujet où on n’attend guère les mathématiciens : le moment où l’on tombe amoureux.

Pour la St Valentin 2014, Facebook a en effet publié un long billet expliquant ce qu’ils peuvent observer entre deux utilisateurs qui tombent amoureux et entament une relation sentimentale. Pour cela, Facebook a sélectionné les gens qui ont indiqué « avoir une relation » associé avec une date d’anniversaire pour cette relation. On observe ainsi que pendant la période de séduction, il y a de plus en plus d’interactions (messages échangés) entre les futurs partenaires via Facebook, mais que quelques jours avant de commencer la relation, le nombre de messages chute brusquement… pour ne pas remonter. Les mathématiciens de Facebook estiment que c’est dû au fait que les utilisateurs passent plus de temps ensemble dans le monde réel. Cela fait que Facebook est donc capable de prédire avec qui nous sommes en train de tomber amoureux, rien qu’avec nos données, avant même que cela ne soit devenu une réalité !

P1chap6_-_facebook1.png

Ensuite, un graphique montre que les messages envoyés sont sensiblement plus positifs en moyenne après le début de la relation :

P1chap6_-_facebook2.png

Les deux exemples choisis ici, Target et Facebook, démontrent que le Big Data touche aussi bien le commerce que le plus intime. Cela démontre aussi que les données qui alimentent le Big Data peuvent être captées auprès des utilisateurs sans que ceux-ci n’en aient la moindre idée : la carte bancaire ou de fidélité dans le cas de Target, le compte Facebook dans le deuxième exemple, suffisent pour permettre à ces sociétés pour construire des « profils » de chaque client-utilisateur, avec des implications qui peuvent être tout à fais inattendues, surtout quand ces données sont piratées, ou revendues ou siphonnées par des services secrets.

mercredi 21 janvier 2015

Flicage-brouillon - Partie 1 chapitre 5 - la surveillance des États

Il y a quelques années, je discutais de surveillance des citoyens avec un fonctionnaire de police français. Il m’expliquait en substance que les citoyens craignaient les services de renseignements (renseignements généraux, DST, devenus DCRI puis DGSI). Il m’affirmait qu’en fait ces services en savent beaucoup moins sur chacun de nous que les grands services en lignes et réseaux sociaux que sont Google, Facebook ou encore Amazon et Apple. En effet, il est bien plus efficace de collecter les informations que les gens partagent volontairement que d’essayer d’espionner les gens en question.

Qu’à cela ne tienne, pour augmenter l’efficacité des services de renseignements, il suffirait juste qu’ils espionnent les réseaux sociaux ! Cela pourrait être une boutade, mais c’est malheureusement la triste réalité. On s’en doutait depuis une quinzaine d’années avec l’affaire Echelon à la fin des années 1990.

C’est en juin 2013 que le grand public a commencé à comprendre l’ampleur de la surveillance généralisée avec les révélations d’un lanceur d’alertes américain, Edward Snowden, qui a travaillé successivement pour différents services secrets américains : la CIA (Central Intelligence Agency, agents secrets américains sur le sol étranger) puis la NSA (National Security Agency) en tant qu’informaticien sous-traitant.

Edward Snowden s’est réfugié à Hong-Kong, emportant avec lui des centaines de milliers de documents classés secret défense de la NSA portant sur les programmes de surveillance d’Internet et des outils de communication par l’agence américaine. Il a invité deux journalistes, Laura Poitras et Glenn Greenwald, à qui il a remis ses documents. Les deux journalistes ont ensuite analysé et publié les documents d’Edward Snowden. Glenn Greenwald en a d’ailleurs fait un livre passionnant, « Nulle part où se cacher », paru en mai 2014 et Laura Poitras a sorti en novembre 2014 un documentaire largement récompensé, « Citizenfour ».

Les révélations de Snowden sont telles qu’il faudrait plusieurs livres pour tout décrire, aussi vais-je me contenter de ne décrire que quelques programmes d’espionnage de la NSA et de ses alliés, dont le GCHQ anglais :

Nom de code
Cible
Surveillance
Muscular
Yahoo et Google via les câbles en fibre optique entre les centres de données
Contenu des emails des utilisateurs : texte, audio, vidéo et méta-données (heure, émetteur, destinataires, sujet) associées.
XKeyScore
« collecte quasi-systématique des activités de tout utilisateur sur Internet » dans plusieurs dizaines de pays, dont la majeure partie des pays européens, le Brésil, la Russie, l’Inde et la Chine. 700 serveurs sont répartis sur plus de 150 sites.
Comportement et données des utilisateurs.
  • Activité sur les réseaux sociaux (dont Facebook), y compris pour lire les messages privés.
  • Historique des sites visités
  • Mots clés utilisés sur les moteurs de recherche
  • Contenu des formulaires remplis par l’utilisateur, y compris les mots de passe.
BullRun
Systèmes de chiffrement dans le monde
Toute communication chiffrée et donc considérée comme confidentielle.
OpticNerve
Webcam des utilisateurs de Yahoo Messenger
Capture toute les 5 secondes d’une image issue de la Webcam des utilisateurs alors qu’ils communiquent via le logiciel Yahoo Messenger.
Tempora
Plus de 200 câbles Internet sous-marins
Tout le trafic Internet est surveillé conjointement par GCHQ (UK) et la NSA (USA).

Ce tableau n’est qu’un tout petit extrait des programmes de surveillance de la NSA révélés par Edward Snowden, parmi les 446 programmes relevés par le site NSA-Observer.net.

Quand on les analyse, on remarque que les attaques de la NSA sur l’informatique mondiale se focalisent sur un certain nombre de points vulnérables : les câbles sous-marins, quelques très grands services utilisés par des centaines de millions d’utilisateurs. Ces services commerciaux (Facebook, Yahoo, Google, Apple, Microsoft, etc.) collectent des données auprès des utilisateurs et il suffit alors à la NSA d’aller récupérer ces données directement auprès de ces sociétés, avec ou sans leur consentement. Ces grandes sociétés sont de fait complices des services d’espionnage américains, probablement à leur corps défendant, soit parce que l’arsenal juridique les oblige à répondre aux demandes des services secrets, soit parce qu’ils sont espionnés par ces même services.

mardi 20 janvier 2015

Flicage-brouillon - Partie 1 chapitre 4 - Facebook, la manipulation des masses et la démocratie

Il est un cas de figure où des données personnelles peuvent être utilisées contre l’utilisateur sans même qu’elles ne quittent les ordinateurs de la société qui les détient. Facebook l’a démontré de façon brillante : des chercheurs ont utilisé le réseau social Facebook pour mener à très grande échelle une expérience psychologique auprès de presque 700 000 utilisateurs, et à leur insu. Cette expérience porte sur la façon dont Facebook filtre ce qui est affiché à chacun. En effet, les utilisateurs du service reçoivent plus de contenu (photos, vidéos, messages, articles, publicités) qu’ils ne peuvent en consommer. Pour éviter la saturation des utilisateurs, Facebook n’affiche qu’une partie de ce contenu. Pour cela, il utilise un algorithme (un logiciel) qui va faire des choix pour l’utilisateur. Cet algorithme est paramétrable : Facebook peut le modifier très simplement pour afficher différents types de contenu en fonction du type d’utilisateur.

Dans le cadre de l’expérience qui nous intéresse, Facebook a choisi exactement 689’003 personnes et les a séparées en deux groupes. Au premier groupe, Facebook a surtout montré du contenu positif et joyeux (en retirant les mauvaises nouvelles), et le groupe a réagi en publiant des réactions plus positives que la moyenne. Au second groupe, Facebook a au contraire supprimé les messages positifs pour ne conserver que les message négatifs et tristes. Très logiquement, les cobayes involontaires du 2e groupe ont répondu avec plus de messages négatifs et leur humeur a été affectée de façon négative. Facebook a mesuré cela en analysant le contenu des messages publiés par les utilisateurs.

Les chercheurs travaillant avec Facebook qui ont fièrement publié leurs travaux sur le sujet, avec le titre « Preuve par l’expérience d’une contagion émotionelle à grande échelle à travers les réseaux sociaux » n’ont probablement pas anticipé une réaction aussi négative que celle qu’ils ont reçue. En effet, l’idée de manipuler les émotions de 700’000 personnes sans les prévenir n’a pas été bien perçue par les cobayes et la presse.

Le problème ne s’arrête pas là. En novembre 2010, lors des élections dites « Mid-Term » aux USA, Facebook a lancé une autre expérimentation sur son service, visant à répondre à une question simple : «  un réseau social peut-il encourager les gens à voter ? ». Facebook a donc mis en place un certain nombre de fonctionnalités pour ses utilisateurs américains en âge de voter : une image avec un lien menant vers une carte indiquant où trouver les bureaux de vote, un bouton permettant à l’utilisateur d’indiquer qu’il a voté, et les photos de profils de 6 amis ayant déjà voté.

L’expérience porte sur 61 millions de personnes soit quasiment la taille de la population française, et les résultats sont significatifs : on estime que 340 000 personnes supplémentaires sont allées voter suite à la démarche de Facebook, ce qui est très sensible, compte tenu du fait que George W Bush a remporté les élections présidentielles en 2000 à 537 voix près !

Il est louable de pousser les citoyens à voter, c’est sain pour la démocratie. Mais n’oublions pas que Facebook sait tout de nos intérêts, de nos lectures, et de nos opinions politiques. On peut sans peine imaginer que Mark Zuckerberg, le patron de Facebook, décide de favoriser un candidat par rapport à un autre, par exemple en poussant à voter les électeurs proches de ce candidat, tout en restant neutre auprès des électeurs du candidat qu’il ne veut pas voir gagner. Si l’élection est très serrée, Facebook peut tout à fait faire basculer les résultats dans un sens ou un autre.

Dans ce cas imaginaire, nos données n’ont pas quitté les serveurs de Facebook, mais elles ont été utilisées contre la démocratie, à l’insu des utilisateurs, avec l’aide de leurs données…

Flicage-brouillon - Partie 1 chapitre 3 - Google sait tout sur nous, voici comment

Il est une société qui sait presque tout sur ses utilisateurs, car, comme elle l’explique elle même :

La mission de Google est d’organiser l’information du monde, de la rendre utile et accessible de partout.

Source : https://www.google.com/about/compan….

La somme d’informations que Google a de nous est inimaginable, car c’est sa mission de tout collecter. Du coup, dans la plupart de ses produits, du moteur de recherche à sa messagerie Gmail ou son outil statistique Google Analytics, tout est prévu pour en apprendre plus sur les internautes, leurs intérêts, leurs comportements et leurs données. Cela commence bien sûr par son produit phare, son moteur de recherche, qui a plus de 95 % de parts de marché en France.

Voici un récapitulatif très partiel des produits proposés par Google, avec les données qui sont collectées. Sources : variées, dont Google Dashboard

  • Google Search (moteur de recherche)
    • Questionnements de l’utilisateur et ses intérêts
  • GMail
    • Contenu des emails, y compris les pièces jointes. Destinataires, carnet d’adresses. Fréquence des échanges.
  • Google Analytics
    • Déplacement de l’internaute sur le Web. Liste des pages visités, temps passé. Google peut pister les visiteurs de 88 % des sites Web d’après une étude scientifique. Il existe aussi une version pour les applications mobiles permettant de suivre tout ce que fait un utilisateur au sein d’une application sur son smartphone.
  • Google Maps
    • Lieux géographiques intéressant l’utilisateur. Itinéraires prévus.
  • Smartphone Android
    • Déplacements géographiques, vitesse de déplacement, carnet d’adresse, historique des appels téléphoniques, des SMS, applications installées
  • Google Calendar
    • Rendez-vous, lieux, dates, interlocuteurs, sujets de vos rendez-vous (personnels et/ou professionnels).
  • Google Wallet
    • Mon numéro de carte bancaire, mes achats en ligne
  • Google Docs & Drive
    • Documents bureautiques (contenu de feuilles de tableur, textes, présentations
  • Google Chrome, navigateur
    • Mots de passe, historique des sites visités, temps passé sur les sites, fréquence de visite
  • Google Photos
    • Photos, lieux de prise de vue
  • Youtube
    • Vidéos vues, temps passé devant, moments où l’on fait pause ou qu’on passe en boucle, vidéos qu’on veut regarder plus tard
  • Google Private results (option de Google Search)
    • Rendez-vous, factures à payer, livraisons en attente, vols en avion, réservations d’hôtels ou de restaurants
  • Nest : Thermostat et détecteur de fumée
    • Présence à la maison, température, qualité de l’air, consommation d’énergie

Grâce à son moteur de recherche, Google connaît les questions que nous nous posons. Avec outil de mesure d’audience Google Analytics, le leader du secteur, Google sait quels sites nous visitons. Grâce aux téléphones Android (de marque Samsung, LG, etc.) il connaît nos déplacements. Grâce à Google Maps, il sait quels endroits nous envisageons de visiter. Grâce à Google Calendar, il sait avec qui nous avons rendez-vous, quand, et pourquoi. Grâce à Google Docs, il sait sur quoi nous travaillons. Grâce à Google Chrome, le navigateur, il sait quels sites nous visitons et le temps que nous y passons. Il a aussi accès à nos mots de passe, qui sont envoyés aux serveurs Google. Je pourrais mentionner la longue liste des produits Google et ce que cela donne à Google en terme de connaissance de ses utilisateurs, mais ce livre n’y suffirait pas.

Bref Google sait presque tout sur nous, bien plus qu’on pourrait l’imaginer, comme l’atteste le tableau ci-dessus. Il faut noter que nous donnons consciemment des données à Google, mais aussi qu’il en collecte sur nous sans que nous en ayons conscience, puis il recoupe ces données automatiquement entre elles pour les valider.

On se rassurera en se disant que oui, Google sait tout sur nous, mais nos informations sont bien protégées. Ou pas.

En effet, il existe cinq raisons pour lesquelles ces informations pourraient fuiter au risque de pénaliser les utilisateurs. Passons-les donc en revue…

1er cas : Google dénonce volontairement l’utilisateur à la police

Dans certains cas, Google peut décider, après avoir analysé les données de l’utilisateur, de le dénoncer aux autorités de police. C’est ce qui est arrivé à un américain en août 2014, utilisateur de la messagerie GMail.

En effet, ce Texan a envoyé via GMail une photo pornographique d’une mineure en pièce jointe.

Or, Google le dit lui-même dans ses conditions d’utilisation :

“Nos systèmes automatisés analysent vos contenus (y compris les e-mails) (…). Cette analyse a lieu lors de l’envoi, de la réception et du stockage des contenus. »

Le pédophile texan a été arrêté immédiatement et sa caution a été fixée à 200 000 dollars, soit 150 000 EUR environ.

Personne utilisant Google (donc 95 % des internautes français) ne devrait être surpris de cette information. Google nous surveille, et l’indique noir sur blanc. J’avoue pourtant avoir été surpris en comprenant que Google ouvre nos pièces jointes de messagerie et analyse leur contenu, même quand il s’agit d’images. Pour l’instant, le système est encore rudimentaire, mais Google vient d’annoncer, avec des chercheurs de Stanford, un système remarquablement perfectionné permettant à un ordinateur de décrire une scène photographiée.

Bien sûr, c’est une excellente chose que de voir un pédophile mis hors d’état de nuire. Mais la question de la surveillance généralisée, associée à la dénonciation est plus problématique quant à l’impact que cela a sur l’ensemble de la société. C’est un sujet que nous aborderons dans un prochain chapitre. Mais pour l’instant, revenons aux différents scénarios relatifs aux données qui pourraient être mal utilisées.

2ème cas : l’employé bizarre qui harcèle des enfants

On pourrait croire au scénario d’un feuilleton policier ordinaire, mais c’est malheureusement la réalité : un ingénieur de Google a utilisé son accès aux données privées des utilisateurs pour les harceler.

Évidemment, Google souhaite étouffer l’affaire pour ne pas faire peur aux utilisateurs, mais se doit en même temps de montrer que des mesures ont été prises contre l’employé en question. De ce fait, les détails sur l’affaire sont peu nombreux. On sait toutefois que l’ingénieur a accédé sans autorisation aux comptes GMail et GTalk (messagerie instantanée) d’au moins quatre mineurs des deux sexes, utilisant les données trouvées pour faire pression sur ses victimes.

Contacté par la presse, Google s’est contenté d’affirmer avoir « pris les mesures nécessaires » mais « ne peut pas en dire plus ». Il semble qu’au moins un autre cas similaire ait déjà eu lieu

3e cas : Le piratage des serveurs

Nos données sont concentrées dans des « Data centers », genre de hangars climatisés connectés à Internet où sont alignés des ordinateurs qui traitent ces données. Cette concentration de données fait qu’un pirate réussissant à accéder au contenu de ces disques durs peut les recopier à distance.

De tels piratages arrivent fréquemment, et je vous propose d’en passer quelques uns en revue pour se faire une idée du problème.

Parmi les sociétés qui ont été piratées on trouve des grands noms comme eBay (on estime à 145 millions de comptes rendus publics), Adobe (152 millions de comptes compromis), les jeux Ubisoft, Apple (comptes de 275 000 développeurs d’applications), la Banque Centrale Européenne et même… Domino’s Pizza, qui a vu près de 600 000 comptes de clients français récupérés par des pirates qui demandaient une rançon de 30 000EUR. Parmi les informations recueillies, les noms des clients, leur adresse, les instructions de livraison (code porte et interphone), et mots de passe. Domino’s Pizza ayant refusé de payer, les informations ont été rendues publiques en novembre 2014.

La liste est très longue et les curieux pourront se référer au site Informationisbeautiful.net.

La palme revient peut-être à Sony, qui a connu deux piratages successifs de grande envergure. Fin novembre 2014, un groupe de pirates appelé « Guardians of Peace » a pénétré le réseau informatique de Sony Pictures, la filiale de Sony basée à Hollywood et qui produit des films. Plus de 100 téra-octets de données ont été piratés, dont au moins cinq films qui ne sont pas encore sortis en salle, des scripts de films, les données personnelles (salaire) de tous les employés, parmi lesquels des acteurs comme Sylvester Stallone. Comme l’expliquent les patrons de la société, « nous devons imaginer que toutes les données qu’avait l’entreprise sont potentiellement dans les mains de ceux qui nous ont attaqués ».

Sony est déjà passé par un épisode dans le même genre, mais cette fois en 2011 avec sa filiale Sony Online Entertainment qui gère les jeux en réseau pour les consoles Playstation. Plus de 100 millions de comptes ont été concernés par cette attaque, dont au moins 10 millions contenaient les numéros de cartes bancaires des joueurs.

Au final, nombreux sont les experts en sécurité qui affirmeront qu’il y a deux types d’entreprises : celles qui ont été piratées et celles qui ne savent pas qu’elles l’ont été Certes, les serveurs de Google sont sûrement bien protégés mais ils ont aussi le défaut d’être particulièrement convoités par des personnes mal intentionnées car contenant des données sur à peu près tout le monde !

4e cas : les données sont siphonnées par les services secrets

Les documents du lanceur d’alerte Edward Snowden sur la NSA sont parfaitement clairs sur le sujet : certains services secrets, la NSA américaine et le GCHQ anglais ont mis en place plusieurs méthodes pour aller piocher chez Google et consorts des données personnelles. Nous détaillerons ceci dans le chapitre 6.

5e cas : Les données facilement accessibles par qui s’en donne la peine

Ce dernier cas est paradoxal, car les données visibles par quelqu’un de mal intentionné vient du fait… que l’utilisateur lui-même les a publiés, sans imaginer qu’elles sont accessibles à d’autres. Il existe aujourd’hui sur Internet de nouvelles nuisances comme le Doxing, (de l’abréviation « Docs » pour documents) qui consiste en fait à accumuler des informations peu glorieuses relatives à une personne auprès de services en ligne comme Facebook, Twitter ou Instagram de façon à « monter un dossier » sur cette personne. Ensuite, il suffit de publier le dit dossier pour faire chanter la personne… sur la base d’informations qu’elle a elle-même publiées.

Flicage-brouillon - Partie 1 chapitre 2 - Les risques personnels

Celebgate

Les bévues liées au manque de vie privée sont légion. Le premier qui me vient à l’esprit est récent, c’est le scandale des starlettes, Jennifer Lawrence et Kirsten Dunst en tête, qui ont vu des photos confidentielles issues de leurs smartphones publiées sur le Net le 31 août 2014. Malgré tous les désagréments causés aux victimes hommes et femmes, il y a un maigre côté positif à ce scandale.

Premièrement, c’est une bonne illustration du besoin de respect de vie privée : il n’y a rien d’illégal à être nu ni à se prendre en photo, nu devant sa glace, mais ces informations, une fois devenues publiques deviennent très gênantes. Il n’y a pas besoin de faire des choses illégales pour avoir besoin qu’elles restent confidentielles. Et cela s’applique à chacun de nous : je souhaite à tous mes lecteurs d’avoir une vie sentimentale et amoureuse réussie, mais rares sont ceux qui voudraient voir publiées des photos démontrant leur vie amoureuse dans les moindres détails. Encore plus prosaïquement, les verrous dans les toilettes existent pour protéger l’intimité de chacun, même si faire ses besoins naturels est justement ce qu’il y a de plus... naturel.

Deuxièmement, il y a un aspect pédagogique à ce scandale. En effet, la majorité des victimes n’avaient pas du tout réalisé que les photos prises par avec leurs iPhones étaient automatiquement envoyées aux serveurs d’Apple pour sauvegarde. Des pirates ont mis la main sur ces sauvegardes et ont publié les photos. Même si les smartphones des victimes n’ont pas été volés ou piratés, les données (ici des photos intimes) ont été copiées sur des ordinateurs d’Apple où elles ont été piratées. Il faut bien comprendre qu’Apple, qui est une des sociétés les plus respectueuses de la vie privée, ne fait pas ses copies pour faire fuiter des données. Ce sont des copies de sauvegarde conservées chez Apple pour que l’utilisateur puisse les récupérer au cas où son smartphone est perdu ou cassé. Certains ont reproché à Apple le manque de protection de ces sauvegardes, et la marque à la pomme a depuis augmenté la sécurité des serveurs.

Mais le « Celebgate », ce scandale de stars dénudées, ne doit pas être l’arbre qui cache la forêt. Les scandales liés au manque de protection des données par des sociétés qu’on pourrait croire sérieuses sont nombreux. Le journal Los Angeles Times a recensé quelques superbes bévues relatives à la vie privée en 2014.

ING et publicité

Au mois de mars 2014, la banque néerlandaise ING a eu une initiative « intéressante », en analysant les dépenses figurant sur les relevés de compte de ses clients. Le directeur de la branche « banque privée » d’ING se vantait sur leur site d’être en charge de la plus grande quantité de paiements dans le pays et donc de savoir « non seulement ce qu’achètent les gens, mais aussi où ils achètent ». Ces informations, pour la première fois, ont été utilisées à des fins publicitaires, menant à un scandale qui a poussé la banque à faire marche arrière alors qu’elle expliquait que les données étaient la propriété des clients et non pas celle de la banque.

Les taxis Uber et le mode « Vision de Dieu »

La société américaine Uber, qui offre des services de VTC (Véhicules de Tourisme avec Chauffeurs) concurrents des taxis, a une façon étonnante de distraire ses visiteurs lors de soirées, en affichant sur grand écran les trajets des véhicules en cours, parfois avec les noms des passagers connus. Le suivi des véhicules et des occupants peut mener à des situations scabreuses, par exemple quand Uber s’amuse à suivre les gens qui vont en soirée à un endroit le samedi soir via un véhicule Uber et qui ne repartent de là-bas que le lendemain, toujours avec un véhicule Uber : Uber sait quels sont les clients qui ont découché suite à une soirée. Ces « trajets de la gloire », comme les appelle la compagnie, ont fait l’objet d’un article sur le blog de la société. L’article a été retiré depuis, compte tenu de l’outrage qu’il a causé : il est en effet très désagréable de réaliser que la compagnie de taxi que vous utilisez sait si vous avez « pécho »… et s’en vante sur son site Web ! Et ça n’est pas le seul usage : Uber sait si ses clients se rendent régulièrement à un hôpital spécialisé dans la lutte contre le cancer, ou dans un centre de planning familial ou chez un concurrent de leur employeur…

Mais la vraie question, c’est que les clients n’imaginent que très rarement que ces données existent. On imagine encore moins que ces données sont accessibles par n’importe quel employé Uber, et l’impact que de telles informations peuvent avoir quand elles sont employées contre l’utilisateur, pour lui nuire.

Le podomètre mouchard

Il est une source de données qu’on ne soupçonne pas forcément, alors qu’elle est en plein essor. Je veux parler de ces objets connectés que l’on porte sur soi, les « trackers d’activité physique » des genres de podomètre électronique sophistiqué. Il existe différentes marques sur le marché, mais le principe général est le même : ils comptent les calories dépensées pendant la journée en fonction de nos mouvements, avec des objectifs quotidiens. Les données sont transmises sans fil jusqu’à notre ordinateur ou notre smartphone et sont ensuite envoyées à un serveur, un ordinateur qui analyse ces données. J’en ai un moi même, et je reconnais que c’est efficace quand on a une vie sédentaire et qu'il s’agit de se motiver pour bouger.

Mais voilà, les données collectées ne sont pas forcément utilisées pour faire de l’exercice, mais aussi dans des procès pour demander des dommages et intérêts. Un récent article du magazine Forbes explique comment une jeune femme qui menait une vie active est devenue moins active depuis un accident de voiture. Pour prouver cela, les avocats de la jeune femme lui ont fait porter pendant plusieurs mois un bracelet de marque FitBit qui mesure l’activité physique. Cela pourrait bien permettre à la jeune femme de toucher de copieux dommages et intérêts. Le souci, c’est que les assureurs demanderont un jour à accéder à ces données de façon à détecter si leurs clients ont une activité régulière, espérant ainsi augmenter le prix des assurances pour les gens qui s’activent moins que la normale. Après tout, il est déjà courant de passer une visite médicale quand on contracte un emprunt important, alors pourquoi ne pas aller piocher directement chez les fournisseurs de podomètres électroniques ? On notera à cet effet qu’un assureur, AXA, distribue des podomètres Withings à ses nouveaux clients et aura accès aux données de santé des utilisateurs (nombre de pas effectués par jour, rythme cardiaque, taux d’oxygène dans le sang et qualité du sommeil) si ce dernier l’autorise. Combien de temps avant que cela ne se généralise et que les assureurs ne fassent payer plus cher les clients qui refusent de porter un tel mouchard connecté ou ceux qui font moins de 10’000 pas par jour ?

Le smartphone

Le fait est que les sociétés de technologie savent beaucoup de choses sur leurs utilisateurs grâce à des données collectées pendant l’usage du service qu’elles proposent, même pour des services aussi simples qu’un taxi, un podomètre amélioré ou une banque.

Dans cette fuite des données, le smartphone n’est pas en reste, à en croire une récente étude de la CNIL qui a mesuré avec l’aide des informaticiens de l’INRIA que certaines applications piochaient allègrement dans nos données personnelles, avec une préférence pour les identifiants du téléphone (numéros uniques) et… la position GPS de l’utilisateur.

Comme le rappelle la CNIL,

une base de données de localisation (permet) de déduire des informations détaillées sur les habitudes et modes de vie des personnes : lieux de vie et de travail, sorties, loisirs, mobilités, mais aussi éventuellement fréquentation d’établissements de soins ou de lieux de culte.

Indirectement, notre smartphone pourrait révéler nos pratiques religieuses, nos problèmes de santé et nos goûts en terme de loisirs ou de fréquentation de restaurants.

On notera que parmi les applications observées par la CNIL, une a accédé à la géolocalisation plus d’un million de fois en trois mois, soit plus d’une demande par minute. De son côté, certains éléments des smartphones Android (par Google) ne font guère mieux :

L’application-widget « Actualités et météo » a accédé 1 560 926 fois à la localisation de l’utilisateur pendant les trois mois de l’expérimentation. Cette application a aussi communiqué 341 025 fois avec internet.

Le problème, comme le souligne la CNIL, c’est que :

ces applications étant présentes par défaut sur l’appareil et ne pouvant être supprimées, l’utilisateur n’a pas pu consulter les informations collectées, qui sont généralement affichées avant le téléchargement et l’installation d’une application sur Android.

Un morceau de logiciel d'un smartphone qui cherche où on se trouve et qui se connecte de lui-même à Internet toutes les 2,6 minutes pendant les trois mois de l’expérience sans savoir ce qui est échangé en terme de données, voilà qui n’est guère rassurant...

La combinaison des données

Avec un tracker d’activité physique, nos changements physiologiques (rythme cardiaque, mouvements), sont mesurés et stockés « dans le Cloud », c’est à dire quelque part sur un serveur d'une société privée. Cela signifie que cette société, pour peu qu’elle s’en donne la peine, peut déterminer facilement quand vous faites l’amour : certains de ces trackers permettent déjà de mesurer les différentes phases du sommeil. Une simple modification de l’algorithme permettrait de déterminer quand le sujet a des relations sexuelles.

Par ailleurs, comme démontre ci-dessus par la CNIL, nos smartphones savent en permanence où nous sommes. Cela n’est pas grave en soi, mais il est intéressant d’imaginer ce qui pourrait arriver si on combinait ces données… avec celles d’autres personnes. Ainsi, on pourrait savoir qui est le partenaire de qui, juste en regardant quelles coordonnées GPS et quels indicateurs de relations sexuelles correspondent. Ces données pourraient intéresser les assureurs (des relations sexuelles régulières seraient bénéfiques pour le cœur), mais pourraient aussi permettre de ficher les personnes ayant des relations extra-conjugales ou homosexuelles.

De telles informations peuvent se révéler très utiles quand il s’agit de faire pression sur une personne pour des raisons politiques ou commerciales.

Heureusement, cette situation de combinaison de données n’est qu’imaginaire pour l’instant. Il y a quelques années, elle était juste impensable. Aujourd’hui, la plupart des éléments pour la rendre possible sont déjà en place...

lundi 19 janvier 2015

Flicage-brouillon - Partie 1 chapitre 1 - Est-il si grave de perdre le contrôle de son ordinateur et de son smartphone ?

On vient de le voir, mon ordinateur laisse fuiter des données (par exemple la liste des pages Web que je visite) qui sont envoyées à des sociétés que je ne connais pas forcément, et les logiciels que j’utilise font des choses que je ne comprends pas. Ça tombe bien, même moi qui suis diplômé en informatique, je n’ai guère envie de me plonger dans les entrailles des logiciels que j’utilise. En effet, ce qui est important pour moi comme pour l’immense majorité des gens, c’est de pouvoir utiliser mon ordinateur et mon smartphone, pas de les bricoler ! Bien souvent, on se fiche de savoir comment fonctionnent les choses. C’est comme ma voiture : je ne veux pas avoir à soulever le capot. Moins je le fais, mieux je me porte. D’autant que je n’ai pas de voiture !

Pourtant, je constate dans les sondages que la majorité des internautes s’inquiète de la vie privée en ligne :

Selon un sondage PEW sur les internautes américains :

  • 91% des internautes considèrent qu’ils ont perdu le contrôle sur la façon dont les entreprises collectent leurs données personnelles.
  • 80% des utilisateurs de réseaux sociaux se disent inquiets du fait ques des tiers, comme les annonceurs publicitaires ou des entreprises récupèrent les données qu’ils partagent sur ces sites.

Mozilla publiait récemment les résultats d’un sondage dans plusieurs pays du monde, dont la France. Il en ressortait que 74% des internautes considèrent que leurs informations sont moins protégées aujourd’hui qu’il y a un an. Le même pourcentage d’internautes adultes considère que les sociétés Internet en savent trop sur eux.

Clairement, il y a une forte inquiétude de nos contemporains quant au contrôle de nos données personnelles...

dimanche 18 janvier 2015

Flicage-brouillon - Introduction

Avez-vous déjà imaginé de renoncer à toute informatique pendant un mois ? Pas de mail, pas de PC, pas de smartphone, pas de Wifi pendant un mois entier ? Ou même une semaine ?

Il suffit d’essayer d’imaginer cela pour comprendre à quel point l’informatique et l’Internet ont pris un rôle central dans nos vies. Nous utilisons ces outils pour nous tenir au courant de l’actualité, pour rester en contact avec nos proches même s’ils sont loin, pour nous distraire, pour vérifier la véracité d’une information sur Wikipédia (ou le copier/coller pour un devoir), pour savoir comment aller d’un point à un autre ou pour acheter en ligne.

Le temps où l’ordinateur était une affaire de spécialiste est maintenant bien loin, car l’informatique et Internet nous touchent, nous occidentaux, au quotidien. Mieux : il y a quelques années encore, un ordinateur connecté à Internet était une grosse boite métallique avec un câble d’alimentation et un câble réseau. Aujourd’hui, Il y a de fortes chances, cher lecteur, que vous ayez dans votre poche un ordinateur au moins aussi puissant, alimenté sur batteries et connecté sans fil à Internet.

L’informatique a changé radicalement ces trois dernières décennies, et son omniprésence a changé le rapport que nous avons avec elle : elle est disponible alors que nous nous déplaçons, et nous avons accès à des ordinateurs et des volumes de données de tailles insoupçonnés il y a encore peu de temps. Je ne cesse de m’étonner d’avoir dans la poche une encyclopédie dans plusieurs langues, avec les cartes du monde entier, et accès aux toutes dernières infos sur les sujets les plus pointus. Le progrès réalisé est formidable et les possibilités sans cesse croissantes continuent de m’émerveiller chaque jour. J’aime l’informatique, j’aime Internet, et j’aime ce qu’ils me permettent de faire.

Pourtant, il y a comme un malaise.

C’est difficile d’expliquer d’où vient ce malaise. C’est comme une sensation diffuse. La sensation de… je ne sais pas. Comme si quelque chose ou quelqu’un m’observait et influençait le monde autour de moi. Bien sûr, dit comme ça, on pourrait me croire psychologiquement instable. Mais non, je ne suis pas fou, et je suis sûr que nous sommes nombreux à sentir cela.

Récemment, j’ai eu une drôle d’impression en retrouvant sur de nombreux sites la photo d’un objet que j’avais envisagé d’acheter, comme si ce dernier me suivait. J’ai appris plus tard que c’était une technique de marketing appelée « retargeting ». J’ai demandé à Wikipédia, qui m’a expliqué :

Le reciblage publicitaire (en anglais : behavioral retargeting, behavioral search retargeting ou simplement retargeting) consiste à afficher des messages publicitaires sous forme de bannières sur des sites internet après qu’un internaute a fait preuve d’un intérêt particulier pour un produit sur un autre site. Des sites tels que PriceMinister, les 3 Suisses et Amazon.com utilisent les reciblages publicitaires.

Ah, quel soulagement, je ne suis donc pas fou ! C’est mon ordinateur qui informe des sites marchands que j’ai déjà été intéressé par certains articles sur d’autres sites marchands… Tout d’un coup, je regarde mon ordinateur d’un œil méfiant.

Les choses se sont aggravées quand un beau jour mon téléphone m’a envoyé une alerte : « il est temps de partir pour l’événement ». Mon téléphone avait pris l’initiative de regarder dans mon agenda l’heure et le lieu de mon prochain rendez-vous :

Introduction_-_Google_Now_Agenda.png

Il a ensuite pris l’initiative, sans que je ne lui demande rien de se renseigner sur les horaires des métros et même du tarif des tickets de métro pour me dire qu’il fallait rentrer chez moi :

Introduction_-_Google_Now_Android.png

D’un coté, c’est pratique, mais c’est surprenant, et je n’ai pas le souvenir de lui avoir donné la permission de faire cela…

Enfin, au hasard de mes lectures, j’ai entendu parler d’un service de Google appelé « Google Location Services » . J’ai cliqué sur le lien maps.google.com/locationhistory qu’on m’avait envoyé, et je suis tombé sur la carte suivante :

Introduction_-_Google_Location_history.png

Ce que l’on y voit tracé en rouge, ce sont mes déplacements (ici, pour la date du 2 décembre 2014). Mon téléphone, connecté à Google et doté d’un GPS, me piste au quotidien et envoie mes déplacements en permanence quelque part sur un ordinateur chez Google.

Mon ordinateur et mon téléphone savent tout de moi et remontent ces informations à des ordinateurs dont j’ignore tout. Je suis surveillé en permanence, aussi bien dans mon usage de l’Internet que celui de mon téléphone… sans avoir rien demandé !

Comme je le disais plus haut, je suis passionné d’Internet et d’informatique, mais je réalise que ce n’est plus moi qui contrôle mon ordinateur ni mon smartphone.

C’est ce que je voudrais explorer dans ce petit livre : Comment prendre le potentiel positif de l’informatique connectée sans tomber dans la surveillance de masse. Avoir le beurre… et l’argent du beurre. Ou plutôt, comment avoir le Nutella sans finir obèse à cause de l’huile de palme. Pour ça, je vous invite à lire cet ouvrage, que j’espère aussi instructif que facile à lire (d’autant qu’il est garanti sans matières grasses) !

Flicage-brouillon - Avant-propos

Cela fait des mois, des années même, que le sujet du contrôle de nos données dans un monde connecté me titille, me démange. Autant de temps que j’ai passé à lire des articles sur les différents aspects du sujet pour le défricher, à accumuler du savoir, à rester parfois avec mes questionnements. A constater qu’autour de moi les gens ont un mal fou à comprendre ce que deviennent leurs données, tiraillés entre paranoïa et l’impression de ne pouvoir rien y faire.

Bien sûr, je relaye sur mon blog des liens vers des articles sur ce sujet, encourageant d’autres geeks à lire sur ce sujet, à faire passer le message. J’ai lancé une série de rencontres et de conférences, les Meetups décentralisation du Net pour essayer de s’attaquer collectivement au problème.

Mais j’ai envie d’aller plus loin quand je réalise que même si je ne suis pas un grand intellectuel, j’ai une compréhension de l’informatique qui me permet de comprendre le problème et, si j’en crois mes interlocuteurs, un petit talent pédagogique. C’est ainsi que m’est venue l’envie d’écrire un livre sur le sujet. J’ai commencé à le faire. Mais il me manque la pression, le soutien et le retour qu’apportent les lecteurs d’un blog. Aussi, après avoir écrit près de la moitié du livre, j’ai besoin de cette énergie, et j’ai donc décidé de publier un brouillon du livre ici, sur le Standblog, dans une série de billets, Flicage-brouillon[1], en espérant que l’interaction avec les lecteurs m’aidera à faire un meilleur travail pour l’apprenti écrivain que je suis.

Mais avant de commencer, il est important de préciser ce qu’est ce livre, et ce qu’il n’est pas.

Ce livre a pour vocation d’expliquer et de démystifier ce qui est fait de nos données sur Internet. Il va expliquer pourquoi il est important que nous retenions un certain contrôle sur nos données. Il va expliquer comment nous avons perdu le contrôle sur nos données, et il va explorer quelques pistes faciles à mettre en oeuvre pour reprendre au moins partiellement ce contrôle, si nécessaire à mes yeux sur le long terme.

En terme d’audience, il est destiné au ‘’power-users’’, les ‘’geeks-mais-pas-trop’’ qui aiment l’informatique, qui sont souvent utilisés par leurs proches pour faire du support technique informatique (si c’est à vous que votre tante passe un coup de fil quand son Internet est cassé, ce livre vous est probablement destiné). Pourquoi eux ? Parce que ce sont les mêmes qui ont, il y a 10 ans, installé Firefox en masse sur les ordinateurs équipés d’Internet Explorer. En leur fournissant une info facile à comprendre, à reprendre, à expliquer, j’espère toucher une masse critique d’utilisateurs qui voudraient reprendre le contrôle de leurs données mais ne savent pas encore comment faire.

Par contre, ce livre n’est pas un manuel qui vous permettra d’agir de façon anonyme sur Internet ou de vous cacher d’un Etat dont la police secrète veut votre peau. Il existe d’excellents ouvrages pour ça, à commencer par le Guide d’autodéfense numérique, ou le livre de Martin Untersinger Anonymat sur Internet.

Sans plus attendre, je vous invite à lire le brouillon de ce livre au fur et à mesure de sa publication et à réagir en cas de contre-vérité (ou de faute de grammaire !).

Au delà de l’envie d’écrire ce livre, je ressens une véritable urgence à le faire. Je compte sur toi, cher lecteur, pour m’aider dans cette tâche !

Note

[1] En attendant que je trouve un meilleur titre pour la version définitive.

En vrac du dimanche

lundi 5 janvier 2015

En vrac du début 2015

Quelques liens pour bien commencer l'année (que je souhaite excellente à mes deux lecteurs ;-), avec un peu de lecture :

Note

[1] Bah oui, je trouve que Jean-Marc et Amaelle font un travail de qualité qui est en plus très utile sur ces sujets. Cory Doctorow est à mettre dans le même sac, mais en mieux, même si c'est en anglais...

vendredi 12 décembre 2014

En vrac du vendredi

- page 1 de 878