Mise à jour du 25/02/2016 : Entre la rédaction de ce chapitre et sa publication sur Standblog.org, Mozilla a décidé d’arrêter d’investir dans sa version de Firefox OS pour les mobiles. Je corrige donc ce chapitre comme très justement demandé dans les commentaires.
Les smartphones sont en train de remplacer petit à petit les ordinateurs personnels dans notre utilisation de l’informatique. Contrairement aux PC, nous les avons toujours avec nous et ils sont connectés en permanence, ce qui les rend d’autant plus précieux et pratiques. Ils sont en plus équipés de tas de capteurs innovants, comme le GPS (qui permet de nous localiser sur la surface du globe), de micros, de caméras, d’un capteur de mouvement (accéléromètre), d’une boussole, etc. Autrement dit, ils sont capable de capter beaucoup de données que nos vénérables PC. Et bien évidemment, ces données peuvent intéresser beaucoup de monde. On notera que pour des raisons pratiques, j’englobe ici les tablettes dans le concept de smartphone. Bien souvent, les tablettes utilisent les mêmes systèmes d’exploitation, les mêmes applications et les mêmes composants que les smartphones; une tablette étant essentiellement un smartphone se passant souvent d’une puce téléphonique tout en étant équipée d’un écran plus grand.
Pour ce qui est du contrôle de ces smartphones et des données qu’ils produisent, qui sont nos données, autant le dire tout de suite, j’ai une mauvaise nouvelle : la situation est franchement mauvaise, pour ne pas dire catastrophique.
Afin de mieux comprendre la situation, faisons le tour du marché, ou du moins des deux principaux acteurs, qui en représentent plus que 95%.
Android et consorts
Android est le nom du système d’exploitation (le logiciel) qui équipe la grande majorité (80%) des smartphones du marché, Samsung en tête, tout comme LG, HTC, Sony et la plupart des fabricants asiatiques. Il y a deux choses intéressantes à propos d’Android. La première, c’est qu’Android est un logiciel en partie libre et en partie propriétaire. Le fait qu’il soit en partie libre pourrait être de bon augure quant au fait qu’on puisse le contrôler (souvenez-vous du chapitre 22 : le fait que le code source soit auditable et modifiable est une condition pour reprendre le contrôle). Pourtant, la partie propriétaire du code gagne du terrain : des portions importantes, auparavant libres, sont remplacées par des équivalents propriétaires et ne bénéficient plus d’améliorations.
La seconde chose intéressante à propos d’Android, c’est que c’est le résultat du travail de Google, qui permet aux fabricants de smartphones de l’utiliser gratuitement, à condition de signer un contrat. Ce contrat, secret, force les fabricants qui veulent diffuser Android sur leurs téléphones à y installer aussi toutes les applications Google : Maps, Chrome, Search, Gmail, etc. Ces applications, qui capturent nos données et les transmettent à Google sont toutes propriétaires ou sont en train de le devenir. Si Google offre ainsi la possibilité aux fabricants d’utiliser gratuitement le résultat d’investissements de plusieurs centaines de millions de dollars[1] à des industriels, il attend une chose en retour : la diffusion de ses applications qui permettent de collecter nos données et, comme nous l’avons vu au chapitre précédent :
- mieux nous connaitre, mieux collecter nos données pour mieux les monétiser
- se rendre toujours plus indispensable.
En substance, Android est un cheval de Troie, un cadeau fait aux fabricants de smartphones pour qu’ils puissent nous vendre à bas prix des smartphones qui collectent nos données et fasse de nous de bons utilisateurs de Google afin de nous monétiser auprès des vrais clients de Google, ceux qui payent le géant de Mountain View : les annonceurs publicitaires. Quand je demande à quelqu’un quel téléphone il a, on me répond rarement « c’est un Android », et souvent « c’est un Samsung » ou « c’est un LG ». Pourtant, peu importe qui fabrique le téléphone, c’est surtout un téléphone dont le logiciel, Android, est fabriqué par Google.
Apple et son iPhone
Apple, deuxième acteur en volume sur le marché des smartphones, a une approche radicalement différente de celle de Google. En effet, Apple conçoit le logiciel et le matériel de ses téléphones, et les vend à un prix haut de gamme, avec des marges très confortables. Même si Apple délègue la production des téléphones à des partenaires essentiellement chinois, il garde le contrôle sur le logiciel, le design et la distribution. Les marges d’Apple sont si importantes qu’Apple rafle 92% des bénéfices de toute l’industrie du smartphone alors qu’il ne représente que moins de 20% des ventes.
C’est plutôt une bonne nouvelle pour notre vie privée : les revenus d’Apple ne viennent pas de l’accumulation de données provenant de ses utilisateurs. Apple, pour faire face à Google et consorts, a fait de cet argument son fer de lance, au point de publier sur son site une lettre de Tim Cook, son PDG. En voici un extrait :
Il y a quelques années de cela, des utilisateurs d’Internet ont commencé à comprendre que quand un service en ligne était gratuit, ils n’étaient pas le client. Ils étaient le produit. Chez Apple, nous pensons qu’il n’est pas nécessaire de sacrifier la confidentialité pour offrir une expérience utilisateur de qualité. Notre business model est très simple : nous vendons d’excellents produits. Nous n’établissons pas de profil en fonction du contenu de vos e‑mails et de vos habitudes de navigation pour le vendre à des publicitaires. Nous ne « monnayons » pas les données que vous stockez sur votre iPhone ou sur iCloud. Et nous ne lisons pas vos e‑mails ni vos messages afin de recueillir des informations pour vous vendre des produits.
Pourtant, il m’est difficile de recommander l’iPhone sans réserves en ayant en tête la volonté de reprendre le contrôle de nos logiciels et de nos données. En effet, de façon générale, et c’est surtout sensible sur l’iPhone plus que sur le Mac (l’autre gamme de produits Apple) : Apple est plutôt contre le logiciel libre et cherche à contrôler tout ce que l’on peut faire avec l’iPhone. L’exemple le plus criant de cette politique est que toute installation d’application sur l’iPhone se fait obligatoirement via l’Appstore (magasin d’applications), lequel a des conditions générales d’utilisations qui sont en conflit avec la principale licence de logiciels libres, la GPL[2].
Comme expliqué au chapitre 17 (Faut-il avoir confiance en Apple ?), cela pose un double problème :
- Il est impossible de faire tourner sur un iPhone un logiciel écrit sous licence GPL, sachant que la GPL est la licence Libre la plus utilisée au monde. Dans certains cas, l’ensemble des auteurs du logiciel peuvent décider d’adopter une autre licence libre telle que la MPL, qui est elle compatible avec les conditions d’Apple, mais l’obtention de l’accord de tous les développeurs demande énormément de travail non productif.
- Apple, en forçant toutes les applications à être installées via l’App Store et en refusant de nombreuses pour des raisons non techniques, joue un rôle de censeur. Bien entendu, la sécurité est souvent utilisée comme prétexte pour protéger une clientèle peu au fait des problèmes de sécurité informatique. Pourtant, c’est souvent une excuse : de nombreuses applications parfois utiles et légitimes ont été refusées au fils des ans, parce qu’Apple ne souhaitait pas associer sa marque à certaines applications.
Aussi, Apple apparaît comme un mauvais compromis, où nous sacrifions notre liberté informatique contre un peu de sécurité pour nos données personnelles, sans avoir l’assurance qu’Apple ne changera pas de stratégie. Ce compromis évoque la fameuse citation de Benjamin Franklin :
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.
Windows Phone
Au delà des deux géants du smartphone que sont Google et Apple, d’autres acteurs cherchent à se faire une place au soleil. Microsoft, avec Windows Phone, semble avoir une approche verticale comme Apple, en produisant le logiciel et le matériel (après avoir racheté la marque Nokia), mais sans se concentrer sur le respect de la vie privée, contrairement à Apple. Comme Google, Microsoft semble vouloir tout savoir de l’utilisateur partant du principe que c’est ainsi que le produit sera le plus utile. Associant son moteur de recherche Bing à un nouveau logiciel de personnalisation appelé Cortana, décrit de la façon suivante :
Associé à la puissance de Bing, Cortana apprend à tout savoir sur vous et à s’occuper de vous. Elle va garder un oeil sur tout ce qui vous intéresse, vous fera des suggestions utiles, vous rappellera vos réunions et rendez-vous.
Outre le fait que Windows Phone peine à s’imposer malgré les investissements massifs de Microsoft au fil des années pour s’imposer sur le mobile, la stratégie utilisée ne semble pas propice à la protection de la vie privée.
Et Firefox OS ?
La fondation Mozilla[3] a lancé le projet Firefox OS durant l’été 2011, en vue de faire un système d’exploitation pour mobile sur la base du navigateur Web Firefox. Firefox OS est intéressant pour la reprise de contrôle de l’informatique, dans la mesure où c’est un logiciel libre, donc transparent et auditable, comme tout ce que produit Mozilla. Par ailleurs, la Mozilla Foundation est une organisation à but non lucratif, ce qui la met à l’abri des pressions des actionnaires pour maximiser les profits, même si le financement du logiciel a un coût qu’elle doit nécessairement assumer.
Aller plus loin : utiliser Android sans (trop) sacrifier sa vie privée
Tout, dans Android, est prévu dès le début pour que l’utilisateur stocke ses données chez Google : dès le démarrage, un compte Google / GMail est demandé. Cela permet ensuite de synchroniser le carnet d’adresse, les mails, l’agenda, le Google Drive de l’utilisateur, tout comme les historiques de navigation, de recherche dans Google Search et Google Maps. Cela est typique de la stratégie de Google qui vise à accéder à toutes nos données pour devenir indispensable à nos vies et à monétiser ces données.
Pas facile, dans de telles conditions, d’utiliser un téléphone Android tout en protégeant nos données. Il reste toutefois plusieurs axes sur lesquels travailler :
- Utiliser des logiciels libres (Utiliser des dépots libres)
- Utiliser des logiciels proposant du chiffrement
- Utiliser des applications se connectant à des services de Cloud autres que ceux de Google et des grands silos, idéalement décentralisés
- Utiliser des versions d’Android moins dépendantes de Google.
Utiliser des logiciels libres
Il est possible d’installer des logiciels libres depuis le Google Play Store, mais ce dernier n’indique pas si un logiciel est libre ou non. Comme pour un ordinateur personnel, il est recommandé d’utiliser Firefox à la place de Google Chrome, navigateur par défaut d’Android, pour le respect de la vie privée. Pour cela, procéder ainsi :
- lancer Google Play Store
- chercher « Firefox pour Android » dans la barre de recherche
- Cliquer sur Installer.
De même, on pourra installer un client de messagerie comme K-9 Mail en remplacement de l’application Gmail, que l’on connectera à son compte mail (idéalement hébergé par un service autre que celui de Google).
Comme il n’est pas évident de repérer les logiciels libres dans Google Play Store, on peut se tourner vers une boutique applicative alternative qui ne recense que des logiciels libres : F-Droid. Voici comment procéder pour l’utiliser :
- Visiter le site https://f-droid.org/ avec le navigateur Web du smartphone
- Cliquer sur le bouton bleu « Download F-Droid », le téléchargement du fichier FDroid.apk commence.
- Une fois le téléchargement terminé (cela peut prendre quelques secondes), lancer l’installation de FDroid.apk.
- Il est probable que l’installation soit bloquée pour des raisons de sécurité : Android bloque l’installation d’applications ne provenant pas du Google Play Store. Dans ce cas, nous allons changer le paramètre.
- aller dans les réglages du téléphone
- Choisir l’option sécurité
- Cocher l’option « Sources inconnues » (« Autoriser l’installation d’applications issues de sources inconnues ») et valider ce changement en cliquant sur « OK ».
- revenir au fichier téléchargé et lancer l’installation.
- Une fois F-Droid installé, revenir dans les paramètres de sécurité et décocher l’option « Sources inconnues ».
- Lancer F-Droid
Maintenant que F-Droid est utilisable, nous allons le mettre à contribution pour installer de nouveaux logiciels…
Pour aller plus loin : utiliser des logiciels proposant du chiffrement
F-Droid recense plusieurs centaines d’applications libres pour Android, et parmi elles les applications permettant de chiffrer ses communications sont nombreuses.
Le Guardian Project s’est fixé comme objectif de proposer des applications « dans lesquelles on peut avoir confiance », c’est à dire qui améliorent la protection de la vie privée, dont la sécurité peut-être vérifiée et dont le code est libre.
Chiffrer ses textos
L’application Signal, disponible pour iOS et Android, est gratuite, libre et permet le chiffrement des messages courts de type SMS et MMS. Si le destinataire du message a lui aussi installé Signal, alors les données sont chiffrées, sinon l’application envoie un SMS ou un MMS classique, donc non sécurisé.
Pour aller (encore !) plus loin
Idéalement, pour disposer d’un contrôle maximal sur nos smartphones, il faudrait qu’un maximum du logiciel installé soit libre. Plusieurs communautés de geeks se sont attelées à la tâche. En voici quelques unes :
Leur installation, qui vise à remplacer la version d’Android installée par le constructeur par une version fournie par la communauté est de plus ne plus facile, mais elle reste encore hors de portée de la majorité des lecteurs de cet ouvrage. Aussi, même si j’espère que la pratique visant à installer sur son smartphone un autre système d’exploitation, libre et plus respectueux de la vie privé va se répandre. En attendant, nous sommes réduits à choisir entre différents systèmes, l’un qui capte toutes nos données, et l’autre qui ne nous permet pas d’installer les applications que l’on souhaite.
Notes
[1] Une estimation par Black Duck sur la base du nombre de lignes de code d’Android (sans compter le noyau) s’élève à 223 000$ alors que le salaire moyen utilisé dans le calcul est très inférieur à celui de la Silicon Valley. Il ne serait pas très étonnant d’arriver à dépasser le milliard de dollars.
[2] Source : No GPL Apps for Apple’s App Store.
[3] Il convient de rappeler que c’est mon ancien employeur, et que cela peut influencer mon analyse, même si je m’efforce à la plus grande objectivité.
16 réactions
1 De Philip_Marlowe - 22/01/2016, 17:09
"Aussi, même si j’espère que la pratique visant à installer sur son smartphone un autre système d’exploitation, libre et plus respectueux de la vie privé va se répandre."
Il me semble qu'il manque une proposition dans cette phrase, conséquente à la première.
Je suis utilisateur de FirefoxOS sur un ZTE Open C. J'en suis content, n'ayant pas de grosses attentes de fonctionnalités. Je peux consulter mes mails et en envoyer, consulter et modifier mon agenda distant hébergé sur mon site, trouver où boire une bonne bière à proximité de là où je me trouve grâce à OpenBeerMap. Bref, l'essentiel. Je souhaiterais mieux en offre logicielle, un équivalent de Waze par exemple, et matérielle, sans urgence, mon ZTE fonctionne, mais un smartphone correspondant à un milieu de gamme m'aurait mieux convenu. Cependant le problème semble n'être même plus là. Il semblerait que chez Mozilla l'on veuille abandonner le support de FirefoxOS chez les fabricants de smartphone et se recentrer sur les objets connectés, genre télé connectées, etc.
En bref, le seul acteur en qui j'ai quelque confiance se désengage de ce secteur stratégique. J'en viens même à m'interroger sur l'évolution des motivations chez Mozilla. Vont-ils continuer à considérer avec persistance que la cause de la sauvegarde de la vie privée vaut la peine de s'investir ? En lisant les blogs de personnes impliquées avec Mozilla, on peut voir que certaines envisagent d'écrire sur le caractère déboussolé, peut-être même désemparé, de l'ambiance qui règnerait au sein des diverses entités constituant Mozilla. Peut-on encore être optimiste concernant l'avenir à son sujet ?
2 De jcmoriaud - 22/01/2016, 17:13
Très bon comme d'habitude. En revanche, il me semble que Firefox OS est mort, et il n'y a aucune mention de Ubuntu, qui a le mérite de pas trop mal fonctionner sur mon Meizu MX4...
3 De Sylvain - 22/01/2016, 17:21
Il est probablement interdit de proposer un logiciel sous GPL sur l'AppStore d'Apple, mais rien n'empeche de compiler soit meme le logiciel et l'installer sur son iDevice.
Depuis iOS9 il est tout a fait possible de le faire sans avoir un compte payant.
Et dire qu'"Apple est plutôt contre le logiciel libre" me semble un poil abusé quand on voit les progrès permis par Webkit et la politique autour de Swift. Certes, c'est quand leurs intérêts convergent avec ceux du libre, mais c'est une tendance de fond qui semble se dessiner.
4 De SlowBrain - 22/01/2016, 18:33
Il me semble que Mozilla as annoncé l'abandon de Firefox OS, tout du moins sur les mobiles.
Que penser d'autres systémes tel que BlackBerry ou Jolla ?
5 De Zatoichi - 22/01/2016, 20:32
Il existe d'autre type de smartphone comme Jolla, basé sur Sailfish, un Os dérivé de Linux et complètement open source (enfin autant qu'il est possible) et surtout pas attaché à Google, Apple ou Microsoft. Pour le respect de la vie privée, c'est une des meilleur solution possible.
C'est regrettable de se limiter aux trois principaux qui écrasent le marché, avec un outsider qui pourrait faire de jolie chose et d'oublier celui qui depuis deux ou trois ans propose une alternative.
6 De jojo - 23/01/2016, 01:29
Le soucis de F-droid, c'est le manque de contrôle sur la qualité des applications. Pour faire court, on trouve autant d'applis illégitimes (malwares, on trouve même des Firefox payants ^^) que sur le store Microsoft.
Je pense que bcp de gens sont acceptent d'être pistés par Google ou Apple, pour peu que les stores proposent de véritables applications. Si passer sur Cyanogen permet d'être moins pisté, l'utilisateur lambda se retrouve hélas livré à lui-même devant une marée de pourriciels. L'équation est donc vite résolue : seuls iOS et Android sont utilisables par le grand public, et ce n'est pas prêt de changer.
7 De Tredok - 23/01/2016, 08:25
Il est possible d'avoir une version d'Android sans les applis Google. Pas chez les grands constructeurs bien sûr. Dans certains cas, faut bidouiller un peu.
Pour Signal, elle souffre d'une légère incohérence à mes yeux : elle exige l'installation des services Google Play pour fonctionner...
8 De nIQnutn - 23/01/2016, 08:59
et SailfishOS dans tout ça ?
Il semble qu'il soit disponible pour de plus en plus de matériel en plus du Jolla Phone et Jolla Tablet.
9 De 22decembre - 23/01/2016, 10:03
Firefox OS… Ouais encore faudrait-il qu'on poursuive serieusement le projet, qu'il y ait du support sur le long terme. ETC
10 De Fromax - 23/01/2016, 11:00
Qu'en est-il exactement de Firefox OS ? Apparemment, Mozilla vient d'abandonner la plateforme des smartphones (http://techcrunch.com/2015/12/08/mo...) pour se concentrer sur d'autres marchés, tels que les smart-TVs...
11 De bart - 23/01/2016, 14:24
Bonjour
très intéressant comme d'habitude. J'ai juste noté 2 fautes, dans le premier paragraphe : Autrement dit, ils sont capable de capter beaucoup PLUS de données que nos vénérables PC. Dans le dernier paragraphe une coquille : est de plus EN plus facile
12 De Redscape - 23/01/2016, 18:42
Bon chapitre sur la sélection d'un smartphone, mais:
- rien sur Ubuntu Touch. Certes très très jeune, mais plutôt prometteur et bénéficiant d'un bon suivi, au contraire d'un FF OS qui n'a plus toute l'attention d'un Mozilla.
- rien sur Sailfish OS. Malgré les difficultés de Jolla, on a un produit et un OS plutôt bien fini et bien suivi. Un 2nd smartphone devrait arriver d'ici le MWC , de la marque Intex.
Correction pour l'application de SMS chiffré, plutôt préférer SMS Secure, je crois que Signal transite par des serveurs non contrôlés et doit avoir les Google Play Services.
13 De antistress - 24/01/2016, 01:59
il manque je trouve deux choses : l'explication que quoi qu'on fasse en termes logiciel sur un smartphone, tant que la pile GSM est propriétaire on ne peut savoir ce que fait le téléphone et ce qu'il envoie ; un conseil final sur le moins mauvais choix pour guider le lecteur
14 De Onir - 02/02/2016, 17:26
Comme toujours un très bon article, intéressant à lire. Je vais juste faire mon pointilleux :
"Autrement dit, ils sont capable de capter beaucoup de données que nos vénérables PC"
il ne manque pas un "plus" ?
15 De David - 09/02/2016, 11:29
Petite précision quand même concernant Apple : certes son business model n'est (a priori) pas basé sur l'exploitation des données personnelles, mais ces données sont tout de même amassées sur iCloud (y compris les SMS/MMS qui sont transformés de manière transparente et par défaut en iMessages, la liste des apps achetées et des paiements in-app, les photos/vidéos "sauvegardés", les contenus multimédia "partagés entre les appareils"). Du coup :
- Quelle garantie que ces données ne soient pas exploitées/vendues ? A part le "promis/juré/craché" de Tim Cook, qui ressemble plus à une attaque contre Google qu'à une véritable profession de foi quant à la protection de la vie privée ?
- N'oublions pas non plus qu'iCloud est bien entendu hébergé dans des datacenters sous juridiction américaine et donc soumis au Patriot Act ; ce qui signifie que malgré les belles déclarations d'intention d'Apple sur les données personnelles et l'absence de backdoors dans les appareils (merci bon prince), l'intégralité des données personnelles des utilisateurs d'appareils Apple sont ouvertes à consultation par le gouvernement américain (sous des prétextes de plus en plus flous qui incluent très probablement le fait d'être un opposant politique)
Autre chose sur Apple, @Sylvain : il faut ici faire la différence entre logiciel libre et logiciel open-source :
- Apple ne risque pas d'être contre l'open-source : rappelons-nous que Mac OS X est basé sur un dérivé de BSD, système d'exploitation open-source dont la licence sans copyleft (BSD) permet de créer des logiciels propriétaires à partir de logiciels open-source ; en gros, pour Apple, l'open-source signifie pouvoir prendre sans avoir à (re-)donner (certes Swift est passé open-source, mais qui d'autre qu'Apple sera vraiment bénéficiaire du travail gratuit de la communauté ?)
- Par contre, quand on parle de logiciels libres (souvent représentés par les licences à copyleft comme la GPL), Apple devient tout d'un coup nettement moins détendu, parce que publier un logiciel avec une licence à copyleft est un acte politique qui va clairement à l'encontre de la vision du monde que porte Apple (le "people who are really serious about software should make their own hardware" est clairement un plaidoyer contre l'interopérabilité). Demandez donc à VideoLAN les difficultés rencontrées pour publier VLC sur l'AppStore. Et @Tristan, vous en êtes où de Cozy sur iOS ?
Dernière petite chose @jojo : tu voulais parler de Google Play Store et non de F-Droid n'est-ce pas ? Parce que sur F-Droid, on est sur du pur logiciel open-source (souvent libre), donc la qualité peut être vérifiée par tout le monde. Evidemment tout y est gratuit. Le principal reproche que je fais à F-Droid est l'absence de captures d'écran des applications qui empêche de savoir à l'avance dans quoi on s'aventure.
16 De David - 09/02/2016, 11:53
J'oubliais mon point de vue sur Android : bien sûr c'est un cheval de Troie pour pousser chez les utilisateurs les applications propriétaires collectant les données, mais Google a quand même eu l'amabilité de publier la base de son OS mobile en open-source (le projet AOSP), ce qui permet aux plus techniciens d'entre nous de profiter d'un matériel de qualité avec un OS open-source et un store d'applications open-source (F-Droid), le tout sans aucune trace de logiciel propriétaire Google, et donc sans aucune collecte de données personnelles.
Soulignons à ce sujet l'initiative de Sony Mobile, qui, en 2013/2014, a décidé d'embaucher un développeur de la communauté CyanogenMod et de lui confier les clés de la stratégie open-source des appareils Xperia. Depuis, Sony Mobile, pour chaque nouvel appareil Android, publie sur GitHub la configuration nécessaire à faire tourner AOSP sur ce device, ainsi que, sur son site, des instructions de compilation et d'installation sur ses devices. Voilà un parfait exemple de ce qui peut être fait, avec un peu de bonne volonté, par les fabricants de smartphones, pour exploiter la licence open-source d'Android afin de permettre aux utilisateurs de se libérer du joug de Google.
On pourrait imaginer, à l'avenir, des startups qui se spécialiseraient en transformation d'appareils Sony Xperia en appareils Android libres de Google Play Services, avec F-Droid pré-installé, et un client OwnCloud ou Cozy pré-configuré. Voilà ce que permet Google (certes à son grand dam), et que ne permettront jamais Apple et Microsoft.