laurent

Fév 222020
 

« Interopérabilité » : ce mot m’ennuie. Il est moche, et beaucoup trop long.

Pourtant il est la source même d’Internet. Quasiment sa définition, au moins sémantique puisqu’il s’agit de faire dialoguer entre eux des systèmes d’information d’origines variées mais partageant au sein d’un unique réseau de réseaux la même « lingua franca » : TCP/IP et sa cohorte de services (ftp, http, smtp et tant d’autres) définis par des standards communs. Des machines « intéropérables », donc.

Faisons avec.

L’interopérabilité, donc, est ce qui a fait le succès d’Internet, et du Web. Vous pouvez vous connecter sur n’importe quel site Web, installé sur n’importe quel serveur, quelle que soit sa marque et son système d’exploitation, depuis votre propre ordinateur, quelle que soit sa marque, son système d’exploitation, et le navigateur installé dessus.

Avant ça existaient les silos. Compuserve, AOL, The Microsoft Network en étaient les derniers représentants, dinosaures communautaires enterrés par la comète Internet. Leur volonté d’enfermer le public dans des espaces fermés, contrôlés, proposant tant bien que mal tous les services à la fois, fut ridiculisée par la décentralisation du Net.

Ici vous ne pouviez échanger qu’avec les clients du même réseau, utilisant le même outil imposé par le vendeur ( » pour votre sécurité « ), là vous pouviez choisir votre logiciel de mail, et écrire à n’importe qui n’importe où. Intéropérabilité.

Ici vous pouviez publier vos humeurs, dans un format limité et imposé par la plateforme ( » pour votre sécurité « ), là vous pouviez installer n’importe quel « serveur web » de votre choix et y publier librement des pages accessibles depuis n’importe quel navigateur. Intéropérabilité.

Bref. Le choix était évident, Internet a gagné.

Il a gagné, et puis… Et puis, selon un schéma désormais compris de tous, le modèle économique « gratuité contre publicité » a envahi le Web, en créant – une acquisition après l’autre, une accaparation de nos données après l’autre – de nouveaux géants qui, peu à peu, se sont refermés sur eux-mêmes ( » pour votre sécurité « ).

Il fut un temps où vous pouviez écrire à un utilisateur de Facebook Messenger depuis n’importe quel client, hors Facebook, respectant le standard (en l’occurence l’API) défini par Facebook. Et puis Facebook a arrêté cette fonctionnalité. Il fut un temps où vous pouviez développer votre propre client Twitter, qui affichait ses « timelines » avec d’autres règles que celles de l’application officielle, pourvu qu’il utilise le standard (encore une API) défini par Twitter. Et puis Twitter a limité cette fonctionnalité. De nos jours, il devient même difficile d’envoyer un simple email à un utilisateur de Gmail si l’on utilise pas soi-même Gmail, tant Google impose de nouvelles règles ( » pour votre sécurité « ) à ce qui était, avant, un standard universel.

On comprend bien les raisons de cette re-centralisation : tout utilisateur désormais captif devra passer davantage de temps devant les publicités, imposées pour pouvoir utiliser tel ou tel service fermé. Et il devra – pour continuer d’utiliser ce service – fournir toujours davantage de ces données personnelles permettant d’affiner son profil et de vendre plus cher les espaces publicitaires. Renforçant ainsi toujours plus les trésoreries et le pouvoir de ces géants centralisateurs, qui ainsi peuvent aisément acquérir ou asphyxier tout nouveau wanabe concurrent, et ainsi de suite.

C’est un cercle vertueux (pour les GAFAM) et vicieux (pour nos vies privées et nos démocraties), mais c’est surtout un cercle « normal » : dès lors que rien n’impose l’interopérabilité, alors – pour peu que vous soyez devenu assez gros pour vous en passer – vous n’avez plus aucun intérêt à donner accès à d’autres aux données qui vous ont fait roi. Et vous abandonnez alors le modèle qui a permi votre existence au profit d’un modèle qui permet votre croissance. Infinie.

Imaginez, par exemple, qu’à l’époque des cassettes vidéo (respectant le standard VHS) un fabricant de magnétoscopes domine à ce point le marché qu’on puisse dire qu’il n’en existe virtuellement pas d’autres : il aurait évidemment modifié ce standard à son profit, en interdisant par exemple l’utilisation de cassettes d’autres marques que la sienne ( » pour votre sécurité « ), de manière à garantir dans le temps sa domination. C’est un comportement « normal », dans un monde libéral et capitaliste. Et c’est pour limiter ce comportement « normal » que les sociétés inventent des régulations (standards imposés, règles de concurrence, lois et réglements).

Et il est évidemment plus qu’urgent de réguler les GAFAM pour leur imposer l’interopérabilité.

Nous devons pouvoir, de nouveau, écrire depuis n’importe quel logiciel de messagerie à un utilisateur de Facebook Messenger, pourvu qu’on respecte le standard défini par Facebook, comme nous devons écrire à n’importe quel utilisateur de Signal en respectant le standard de chiffrement de Signal. Il n’est pas question d’imposer à Signal (ou à Facebook) un autre standard que celui qu’il a choisi (ce qui empêcherait toute innovation), pourvu que le standard choisi soit public, et libre d’utilisation. Mais il est question de contraindre Facebook a (ré)ouvrir ses API pour permettre aux utilisateurs d’autres services d’intéragir de nouveau avec ses propres utilisateurs.

Au passage, ce point soulève une problématique incidente: l’identité. Si je peux écrire à un utilisateur de Messenger, celui-ci doit pouvoir me répondre depuis Messenger. Or Messenger ne permet d’écrire qu’aux autres utilisateurs de Messenger, identifiés par Facebook selon ses propres critères qu’il n’est pas question de lui imposer (il a le droit de ne vouloir admettre que des utilisateurs affichant leur « identité réelle », par exemple : ce choix est le sien, comme il a le droit de limiter les fonctionnalités de Messenger pour lui interdire d’écrire à d’autres : ce choix est aussi le sien).

Il est donc cohérent d’affirmer que – pour pouvoir écrire à un utilisateur de Messenger depuis un autre outil – il faut avoir soi-même un compte Messenger. Il est donc logique de dire que pour pouvoir lire ma timeline Twitter avec l’outil de mon choix, je dois avoir un compte Twitter. Il est donc évident que pour accéder à mon historique d’achat Amazon, je dois avoir un compte Amazon, etc.

L’obligation d’avoir une identité reconnue par le service auquel on accéde, c’est sans doute le prix à payer pour l’interopérabilité, dans ce cas (et – au passage – c’est parce que la Quadrature du Net a décidé d’ignorer cette évidence que j’ai choisi de quitter l’association).

Ce qui ne doit évidemment pas nous obliger à utiliser Messenger, Amazon ou Twitter pour accéder à ces comptes: l’interopérabilité doit permettre d’accéder à nos contacts et à nos données depuis l’outil de notre choix, grâce à l’ouverture obligatoire des API, pourvu qu’on dispose d’une identité respectant les standards du service qui stocke ces données.

On pourrait résumer ce nouveau type de régulation avec cette phrase simple : « si ce sont MES données, alors je dois pouvoir y accéder avec l’outil de MON choix ».

Je dois pouvoir lire ma timeline Twitter depuis l’outil de mon choix (et y publier, si évidemment j’y ai un compte, pour que les autres utilisateurs de Twitter puissent s’y abonner).

Je dois pouvoir consulter mon historique d’achats chez Amazon avec l’outil de mon choix.

Je dois pouvoir écrire à (et lire les réponses de) mes contacts Facebook avec l’outil de mon choix.

Il y aura, évidemment, des résistances.

On nous dira ( » pour votre sécurité « ) que c’est dangereux, parce que nos données personnelle ne seront plus aussi bien protégées, dispersées parmi tellement de services décentralisés et piratables. Mais je préfère qu’une partie de mes données soit moins bien protégée (ce qui reste à démontrer) plutôt que de savoir qu’une entreprise privée puisse vendre (ou perdre) la totalité de ce qui est MA vie.

On nous dira que c’est « excessivement agressif pour le modèle économique des grandes plateformes », alors qu’évidemment c’est justement le modèle économique des grandes plateformes qui est excessivement agressif pour nos vies privées et nos démocraties, d’une part, et que d’autre part l’interopérabilité ne modifie *en rien* ce modèle économique : dès lors qu’elles stockent toujours une partie de nos données elles restent (hélas) en capacité de les vendre et/ou de les utiliser pour « éduquer » leurs IA. Tout au plus constateront-elles un manque-à-gagner comptable, mais ne gagnent-elles pas déjà largement assez ?

À ce jour, l’interopérabilité s’impose comme la seule solution réaliste pour limiter le pouvoir de nuisance de ces géants, et pour rétablir un peu de concurrence et de décentralisation dans un réseau qui, sinon, n’a plus d’autre raison d’être autre chose qu’un simple moyen d’accéder à ces nouveaux silos (qu’ils devraient donc financer, eux, plutôt que les factures de nos FAI).

À ce jour, l’ARCEP, la Quadrature du Net (même mal), l’EFF, le Sénat, et même l’Europe (Margrethe Vestager s’est elle-même déclarée en faveur de cette idée) se sont déclarés pour une obligation d’intéropérabilité. C’est la suite logique (et fonctionnelle) du RGPD.

Qu’est-ce qu’on attend ?

Suite à ce billet des discussions sur Twitter et Mastodon, indépendamment, m’ont ammené à préciser ceci : prenons par exemple mamot.fr (l’instance Mastodon de la Quadrature) et gab.ai (l’instance Mastodon de la fachosphère). Mamot.fr, comme nombre d’autres instances, a refusé de se fédérer avec Gab. C’est son droit. En conséquence, les utilisateurs de Gab ne peuvent pas poster sur Mamot, et inversement.

Pour autant, les deux sont bel et bien interopérables, et pour cause : elles utilisent le même logiciel. Gab pourrait parfaitement développer un bout de code pour permettre à ses utilisateurs de publier sur Mamot, pour peu qu’ils s’y soient identifiés (via une OAuth, pour les techniciens) prouvant ainsi qu’ils en acceptent les CGU.

Ce qu’elles ne sont pas, c’est interconnectées : il n’est pas possible de publier sur l’une en s’identifiant sur l’autre, et inversement.

Je crois qu’au fond, les tenants de l’idée qu’on devrait pouvoir publier n’importe quoi n’importe où, sans identification supplémentaire, confondent largement ces deux notions d’interconnexion et d’interopérabilité. Et c’est fort dommage, parce que ça brouille le message de tous.

Jan 062015
 

3ba7670202c02965f33d3cc610134cee Quand on est, comme moi, un vieil activiste désabusé, il y a des lieux et des moments où on s’attend à déposer les armes.

Se reposer l’esprit en assistant à un débat réunissant des gens qui partagent nos idées. Écouter tranquillement sans avoir à repérer les pièges et les non-dits. Lâcher prise.

Et puis, paf le chien.

La question – l’éternelle question quand on parle de défense de la vie privée – était « mais que dire à ceux qui n’ont rien à cacher ? ».

La réponse m’a laissé sur ma faim.

 

La grande question

Non qu’elle fut mauvaise: il s’agissait d’expliquer qu’on a toujours besoin d’un espace privé pour s’interroger, pour plonger en soi-même, pour se forger une intime conviction hors de la pression du regard de l’autre. Il est toujours utile de le rappeler.

Il s’agissait, aussi, de rappeler qu’on ne vivra pas dans la même société quand, par exemple, nos assurances et nos banques sauront tout de nos questions en ligne sur le cancer. Nous y sommes presque.

En tout état de cause, c’était une bonne réponse. Elle aurait même été excellente jusqu’aux révélations d’Edward Snowden.

Mais aujourd’hui ?

Si les révélations d’Edward Snowden nous ont appris une chose, ce n’est pas que les états nous espionnent. Ils l’ont toujours fait.

Ce n’est pas non plus que nos communications électroniques sont écoutées: cela nous le savions au moins depuis 1999 et la description par Duncan Campbell du programme Echelon dans un rapport au Parlement Européen.

Tout au plus avons nous eu confirmation de ce que beaucoup supposaient, et pris conscience de l’ampleur des écoutes et de la complicité des grands opérateurs américains dans la surveillance massive organisée par la NSA.

Mais ce qui constitue la vraie nouveauté, l’information principale du programme PRISM et de ses suites, c’est que l’information recherchée n’est pas ce que nous disons, mais à qui  nous le disons. Le contenu de nos conversations reste intéressant bien sûr (surtout pour les entreprises qui ont intérêt à tout savoir de nos vies), mais pas tellement pour les états. Ce que veulent les états, c’est tout savoir de nos réseaux.

Ce sont nos « metadatas » qu’ils stockent, pour ensuite pouvoir, quand bon leur semble, décider qui surveiller plus spécifiquement.

 

Les contenants, pas les contenus

Le 18 décembre dernier, j’entendais un auditeur dire à Jean-Jacques Urvoas, sur France Inter, qu’il « doutait que les américains s’intéressent au contenu de son smartphone ». Et il a bien raison: le contenu de son smartphone, les américains s’en cognent.

Par contre, savoir où se trouve ce smartphone, avec qui il communique, et quand, ça c’est quelque chose qui, même pour un américain, a pas mal de valeur.

Parce que, qui sait, il est utilisé pour publier un « selfie » sur Facebook, pris devant une « personne d’intérêt » qui ne se doute de rien et qu’on pourra ensuite localiser précisément, à tel lieu et à tel instant, via la reconnaissance faciale (ou même – plus moderne – la reconnaissance par réflexion cornéenne). C’est devenu automatisable.

Parce que, allez savoir, le vieux pote devenu haut fonctionnaire, qui reprend contact après des années, est sous surveillance active, et que le simple fait que notre auditeur en ait été proche un jour pourra permettre de déterrer des informations compromettantes.

Ou bien encore, si notre auditeur est journaliste, parce que la source qu’il croit si bien protéger n’avait pas non plus désactivé son téléphone lors de leur rencontre et qu’il suffira de croiser les informations des deux appareils pour savoir qui était présent lors de l’interview secrète.

Ou même tout simplement pour comprommettre notre auditeur innocent, le jour où il sera lui-même devenu, par les aléas de la vie et de l’évolution normale de sa carrière, une personne d’intérêt: ce jour là, il aura sans doute des choses de son passé à cacher, qu’il pensait innofensives sur le moment mais qui pourront toujours servir un jour. Du genre « vous étiez à ce moment à cet endroit en compagnie de telle et telle autres personnes, qui depuis ont commis un attentat ». Qui sait ?

 

La bonne question

C’est pour cette raison que j’ai beaucoup de mal à supporter les réponses habituelles à La Grande Question du Je N’ai Rien À Cacher. Parce que la question n’est plus « pourquoi doit-on se protéger », mais bien « pourquoi doit-on protéger ceux avec qui on échange ».

Parce que, le jour où notre auditeur sera devenu « intéressant », il sera bien content de savoir que ceux avec qui il échangeait en toute innocence des années plus tôt avaient sécurisé leurs communications, désactivé la géolocalisation de leurs smartphones et évité de le prendre en photo bourré pour se foutre de sa gueule sur Facebook.

Ou pas.

Si je me bats – depuis bientôt 18 mois – pour faire exister un projet comme Caliopen, ce n’est pas (contrairement à ce que beaucoup croient, hélas et par manque d’explications assez claires de ma part) pour permettre à chacun de mieux se protéger.

Eh non.

C’est pour mieux protéger les autres.

 

Don’t shoot the rhino

y6ej1qcwlcgtowjwz3ukUne image, peut-être plus parlante que mes histoires de selfies piégés et d’attentats futurs, est celle qui demande aux visiteurs de cette réserve – où vivent des rhinocéros – de ne pas diffuser les photos qu’ils prennent sur les réseaux sociaux, ou sinon de désactiver la géolocalisation de leurs appareils.

Parce que celles-ci pourront, sinon, servir à indiquer aux braconiers où et quand vont les animaux qu’ils vont abattre pour leurs cornes.

C’est pour cette raison que, quelles que soient leurs qualités, je ne prête que peu d’intérêts à la majorité des initiatives de messageries sécurisées « post-snowden ». Non qu’elles soient inutiles, loin de là, mais simplement parce qu’elles répondent à un problème du siècle dernier.

Oui, se protéger soi-même est utile. Mais quand l’énorme majorité de nos correspondants ne le sont pas, alors nous sommes autant à l’abri de la surveillance que nos amis rhinocéros. Or – et même si c’est triste il faut se rendre à l’évidence – l’énorme majorité de nos contemporains ne va pas quitter Gmail, ne va pas cesser de publier des photos sur Facebook, ne va pas désactiver la géolocalisation de ses smartphones, ni rien de tout ça.

Parce que l’énorme majorité de nos contemporains n’a « rien à cacher » et qu’à ce jour personne ne lui explique que ce qu’elle a à cacher, c’est nous.

Vous avez un compte sur Fastmail ou Protonmail ? Grand bien vous fasse: vous faites partie de la minuscule minorité qui, quand elle s’envoie des emails à elle-même, protège sa vie privée (mais qui la dévoile dès lors qu’elle échange avec ses proches restés chez Google, ou via Facebook ou Twitter). Votre réseau de connaissance est tout aussi public que celui du reste du monde surveillé. Et le pire, peut-être, c’est que vous vous croyez à l’abri.

Protéger son email alors qu’on continue de dialoguer par SMS, IRC, Jabber, Facebook et Twitter ? Sérieusement, qui peut croire que ça va géner les NSA de ce monde ?

Si Caliopen est utile un jour, ce ne sera pas parce qu’il protègera ses utilisateurs, mais parce qu’il leur fera prendre conscience de la portée de leurs actes quand ils échangent avec des proches peu ou pas protégés. Mais ce ne doit pas être une fin en soi.

 

Privacy SGDG

Dans son dernier article sur Rue89, Amaelle Guiton rappelle superbement que la sécurité informatique n’a pas besoin d’être parfaite pour être utile. Un point manque, cependant, dans son texte, et que je voudrais rappeler à mon tour: la surveillance de masse n’est pas qu’une question technique. C’est aussi une question économique.

Quelles que soient les capacités de déchiffrement de la NSA, il lui en coûtera toujours plus pour réunir des informations sur chacun d’entre nous si nous augmentons notre niveau de protection que si nous ne le faisons pas.

Si – un jour – suffisamment de monde utilise des outils de cryptographie. Si – rêvons un peu – un projet comme Caliopen permet un jour de faire prendre conscience à un nombre assez important d’utilisateurs que leur protection passe par la protection de leurs proches, alors peut-être peut-on espérer que ce coût augmentera assez pour que les bailleurs de fonds des grandes oreilles jettent l’éponge et qu’elles retournent à des pratiques d’espionnage plus ciblées (parce que – et là cessons de rêver – nul ne sera jamais à l’abri d’une surveillance ciblée).

Et si, au passage, nous réapprenons, tous, la valeur de notre vie privée et les risques que sa perte fait peser sur nos sociétés, alors, qui sait, peut-être que notre futur n’est pas si sombre.

 

 Posted by at 16 h 18 min
Oct 262012
 
**ANNEXE N° 1164**
—–

(Session ord. – 2e séance du 13 août 1936.)

PROJET DE LOI sur le *droit d’auteur* et le *contrat d’édition*, présenté au nom de M. Albert Lebrun, Président de la République française, par M. Jean Zay, ministre de l’éducation nationale et des beaux-arts, et par M. Marc Rucart, garde des sceaux, ministre de la justice. – (Renvoyé à la commission de la législation civile et criminelle.)

 Posted by at 11 h 30 min
Sep 062012
 

 

Internet a 20 ans (si si: c’est une contribution au congrès du Parti Socialiste qui l’affirme). Bon, en vrai il est plus vieux que ça et il a (presque) mon age à moi, mais comme – à moi aussi – tout le monde donne 20 ans, on va dire que ça va.

C’est un bel age (tu sais: moins de boutons à presser, plus de responsabilités, beaucoup plus de pression économique…) mais c’est aussi une première occasion de prendre un peu de recul et de réfléchir tant à son passé qu’à son avenir.

Continue reading »

Déc 052011
 

Article en attente de relecture par mon nouveau rédac-chef  Spyou.

Quand j’étais jeune – à l’époque où le Minitel n’était même pas encore entré dans nos foyers, c’est dire – j’ai commis ce qu’il faut bien appeler un livre (bien qu’il ne s’agisse en réalité que d’un banal recueil de listings de programmes en Basic pour le micro-ordinateur Oric-1).

Continue reading »

 Posted by at 10 h 48 min