Promouvoir et défendre le logiciel libre

27 June 2017

april.png Nouvelles April

Décryptactualité du 27 mars 2017

Le 27 June 2017 à 05:48:18

Magali - Luc - Manu - Nico

Titre : Décryptactualité du 27 mars 2017
Intervenants : Magali - Luc - Manu - Nico
Lieu : Studio d'enregistrement April
Date : Mars 2017
Durée : 15 min
Écouter ou télécharger le podcast
Revue de presse de l'April pour la semaine 12 de l'année 2017
Générique : La prose du pépère - Les Barons Freaks - LAL
Licence de la transcription : Verbatim

Description

A la suite de la réaction de Regards Citoyens sur les modifications de licence d’Etalab sur l’Open Data1, Décryptualité explique les enjeux des libertés d’utilisation dans l’open data notamment.

Transcription

Luc : Décryptualité.

Nicolas : Le podcast qui décrypte l’actualité des libertés numériques.

Luc : C’est la douzième semaine de 2017. Salut Manu.

Manu : Salut Mag.

Magali : Salut Nico.

Nicolas : Salut Luc.

Luc : On va partir tout de suite sur notre revue de presse avec un peu de matière cette semaine.

Manu : Oui. Sept articles, ce n’est pas si mal.

Luc : 20minutes – Quand les fermiers américains sont obligés de pirater leurs propres tracteurs pour pouvoir les réparer – un article de Nicolas Raffin.

Manu : Qui ne parle pas directement de logiciel libre ; qui parle du fait qu’il y a des logiciels dans les tracteurs américains qui ne sont pas libres et qui, en utilisant le droit d’auteur et les licences, forcent les fermiers américains à passer par les services des constructeurs et ils ne peuvent pas réparer eux-mêmes leurs tracteurs. Ils sont bien emmerdés !

Luc : Du coup ils les piratent.

Manu : Du coup ils les piratent avec des logiciels qui viennent d’Europe de l’Est, c’est moche !

Luc : ZDNet France – HTML5 : l’intégration du DRM Netflix fait hurler – un article de Louis Adam.

Manu : On en a déjà bien parlé. On en reparlera sûrement.

Luc : C’est un vieux sujet.

Manu : Exactement. Il y a des DRM, des menottes numériques qui s’introduisent dans nos navigateurs. C’est déjà le cas, en fait, mais ce n’est pas encore tout à fait standardisé. Ça devrait l’être dans les semaines qui viennent.

Luc : Et voilà, ils vont en discuter bientôt. L'OBS – Le numérique n’intéresse guère les candidats… et c’est bien dommage – un article de Dominique Nora.

Manu : Là aussi, ce n’est pas tout nouveau. On est en plein dans les Présidentielles donc c’est normal que ce soit un sujet. C’est une fondation qui invite à signer un pacte numérique.

Luc : Les gens du monde l’entreprise.

Manu : Et ça n’a pas l’air de marcher super bien.

Luc : Je crois que Hamon a pris, récemment, des positions un peu sur le numérique, mais je n’ai pas regardé le détail.

Manu : Il va falloir qu’on regarde effectivement.

Luc : Finyear – Civic Techs – 2 – Quel modèle économique ? – un article de la rédaction.

Manu : Là, ça parle des logiciels qui sont utilisés pour faire des consultations numériques sur la démocratie en général : est-ce que ça doit être libre, est-ce que ça doit être propriétaire ? Oh là, là.

Luc : Ça doit être libre !

Manu : Tu m’étonnes !

Luc : ZDNet France – L'ANSII cherche à définir la cyberpaix – un article de Louis Adam.

Manu : Et ça parle de cyberguerre. Eh oui ! Et l’ANSII [Agence nationale de la sécurité des systèmes d’information, NdT] c’est l’organisme français qui regarde sur la sécurité, qui travaille, et qui contribue pas mal à la sécurité, donc des gens plutôt intéressants quand ils commencent à parler de ce genre de sujet on écoute, et ils avaient invité Stallman.

Luc : Donc ce qui veut dire que le Libre a une place de choix là-dedans, ce qui est très bien. Libération – En Guadeloupe, des hackers à l’abordage du tsunami – un article de la rédaction.

Manu : Ça parle de nos amis du Gwadloup qui contribuent avec l’ONU et plein d’autres organismes, à organiser les secours en cas de gros pépin. Donc chez eux, un gros pépin, c’est quand il y a une grosse vague qui vient sur l’île.

Magali : Un bisou s’ils nous écoutent.

Manu : Oui, on ne sait jamais, même s’ils sont de l’autre côté d’un océan. Ce sont des libristes, des hackers, et leur hacking est utilisé pour organiser tout ça. C’est vraiment un gros travail, super intéressant.

Luc : Le Monde de l’Energie – Et si les smart grids adoptaient l’Open Data ? – un article de Ghislain Delabie.

Manu : C’est un petit peu compliqué, smart grids c’est plutôt niveau énergétique, notamment comment on organise l’énergie.

Luc : La distribution sur le réseau.

Manu : Exactement. Et donc là, l’open data arrive là-dedans pour essayer de remonter, un petit peu, des métadonnées, des données et suivre tout ça, temps réel, temps décalé, je ne sais pas. Mais en tout cas, ça parle d’open data ce qui est un sujet intéressant.

Luc : Et qui est le sujet sur lequel on voulait intervenir aujourd’hui, non pas à partir d’un article de la revue de presse, mais un autre, qui a été remonté par Regards Citoyens. Regards Citoyens, ils sont très actifs sur l’open data. Ce sont également eux qui font nosdéputés.fr2, qui permet de suivre l’activité des députés. Vous allez faire un tour sur ce site pour savoir ce que fait votre député, comme ça vous pourrez lui en parler lorsque vous le croiserez la prochaine fois au marché ou ailleurs. Donc là, ils nous ont remonté une mauvaise nouvelle qui est que Etalab et la DINSIC, donc la DINSIC [Direction interministérielle du numérique et du système d’information et de communication de l’État, NdT] c’est un peu l’équivalent de la direction informatique de l’État quoi ?

Nicolas : C’est la DSI [Directeur des systèmes d'information de l’État]. Ce sont ceux qui passent les grosses commandes et qui s’occupent de tout ce qui touche à l’informatique.

Luc : Voilà. Donc ils ont sorti une nouvelle licence3 qui serait, selon eux, plus une licence libre. Etalab a réagi en disant : « Oui, on s’est un peu trompé, on a communiqué un peu vite ». On ne veut pas trop rentrer dans le détail parce qu’on ne maîtrise pas le sujet. On va essayer de récupérer quelqu’un qui s’y connaît mieux que nous. En revanche, ça pose une question sur cette question des licences libres et des droits que ça permet. Et l’idée c’est d’essayer d’expliquer, un petit peu, pourquoi c’est important d’avoir toute une série de garanties. Donc Regards Citoyens dit qu’en gros cette nouvelle licence met de nouvelles restrictions à la réutilisation et soumet les utilisateurs à des obligations administratives, et qu’il y a derrière des risques de censure. Dans les principes du Libre il y a l’idée, le principe de droit d’utiliser pour ce qu’on veut, y compris pour faire du business, et on comprend que si derrière il y a toute une série d’obligations qui vont bloquer les gens, ça peut être un moyen de les empêcher de faire les choses qu’ils veulent.

Manu : On peut aborder ce que c’est que l’open data pour rebondir dessus ? Les gars, pour vous c’est quoi ? Ou la madame !
ou
Nicolas : L’open data, enfin le fait que l’État va mettre à disposition, enfin l’État, ou pas que l’État, ça peut être n’importe qui, va mettre à disposition des données qui peuvent être intéressantes pour la population. Ça peut être, par exemple, en lien avec les transports, avec l’énergie, avec tous les impôts, les taxes foncières ou autres. Tout et n’importe quoi, en fait.

Manu : Les crimes.

Nicolas : Les crimes. Vraiment tout ce qui peut être communicable, en fait.

Manu : La météo.

Nicolas : La météo, et de manière ouverte. C’est-à-dire qu’on n’est pas censé avoir des démarches administratives très compliquées à faire. Ça va être généralement disponible en ligne, donc il y a un site maintenant internet qui a été monté via Etalab4.

Manu : Un gros site.

Nicolas : Un gros site qui référence tous ces trucs-là. Si c’est de l’open data, c’est censé être dans des formats réutilisables où on n’a pas trop à se prendre la tête pour les utiliser et donc pour à peu près tous les usages dont on a envie. Donc on peut reconstruire d’autres choses par-dessus, y compris de manière commerciale, vendre du service à partir de ces données-là pour en faire ce dont on a envie.

Magali : Donc tu nous parles de formats ouverts, de la manière dont sont gérées les données, dans quels formats on peut les récupérer et avec quels logiciels on peut les utiliser ?

Nicolas : Voilà. Parce que, par exemple, si on vous envoie un fichier Excel, vous allez avoir potentiellement des problèmes pour l’ouvrir parce qu’il vous faut la suite Office si vous voulez avoir tous les résultats.

Magali : Dans l’état où ils étaient au départ.

Nicolas : Dans l’état où ils étaient au départ. Alors que si vous utilisez de l’ods, le format est normalisé, standard.

Manu : C’est l’équivalent pour LibreOffice.

Nicolas : C’est l’équivalent pour LibreOffice, mais qui est un vrai standard celui-là, et pas un faux truc fait par Microsoft.

Manu : C’est vraiment un format ouvert.

Nicolas : Voilà. Et du coup, là vous avez la garantie que le truc est documenté. On sait le rouvrir, on n’est pas dépendant du logiciel ou du fabricant et donc on a beaucoup moins de problèmes, même si entre ods et Excel, dans la pratique, on n’aura pas trop de problèmes dans le sens de l’open data.

Luc : Il faut voir dans la durée également. De fait, l’État, il y a plein de services, j’ai regardé les stats, ils sortent leurs trucs sur des formats Microsoft, ce qui est assez lamentable. Dans les principes du Libre, qu’on va retrouver dans le logiciel libre ou dans l’open data, il y a cette idée qu’on a le droit de faire par défaut. Et ça c’est un point important parce que, des fois, il y a des gens qui sont prêts à partager, qui disent : « Mais si les gens veulent, ils n’ont qu’à me demander. » Mais le truc c’est que le monde est vaste. Dans le monde du logiciel libre, il y a potentiellement plusieurs auteurs avec certains qui ont écrit du code il y a longtemps. Le droit d’auteur qui couvre le logiciel c’est jusqu’à 70 ans après la mort de l’auteur et donc c’est un point important qui est « j’ai le droit d’utiliser quelque chose sous licence libre sans demander l’autorisation ».

Manu : C’est-à-dire que tu peux avoir accès aux horaires du train et tu n’as pas besoin, à l’avance, de dire : « Oui, mais je voudrais avoir accès aux horaires du train », c’est à tout moment que tu peux l’avoir.

Luc : Exactement ! Parce que si on doit à chaque fois passer par une validation en demandant « est-ce que j’ai le droit à ceci ou est-ce que j’ai le droit à cela ? », ça rajoute un niveau de complexité supplémentaire et, quand on veut faire des trucs très complexes qui vont intégrer plein de données ou plein de logiciels, eh bien on va arriver à un truc qui est juste ingérable parce qu’il faudrait demander l’avis à plein de gens partout, etc., et constamment. Et du coup s’ils commencent à dire : « Oui, mais pour faire quoi ? Et ceci, et cela », ça devient vite complètement invivable dès lors qu’on arrive à un certain niveau de complexité.

Manu : Plus tu vas agréger les données, par exemple, plus tu vas avoir cette complexité. S’il faut que tu demandes, et parce que ça va venir de plusieurs organismes, parce que tu vas combiner plusieurs données ensemble, s’il faut que tu demandes à chaque fois pour rentrer dans ce système-là, oui, ça devient impossible.

Nicolas : À l’inverse, moi je maintiens un mini service d’open data dans un coin, et le jour où il a été vraiment publié et utilisé, j’ai vraiment pleuré aussi. Parce que je me suis pris une vague de plein de gens qui ont commencé à consommer ce truc-là. Ça me coûte très cher en bande passante, en espace disque, en conso, enfin.

Manu : En l’occurrence, je rends un service, et du coup ! Eh bien oui, il faut assumer derrière.

Nicolas : Et du coup on a quand même des fois besoin de mettre un peu de limites, en disant on va quand même demander un enregistrement ou une authentification, parce qu’autrement ça devient un peu le Far West quoi !

Manu : Tu veux vérifier que ce ne sont pas des spammeurs qui sont en train de récupérer.

Nicolas : Oui, que ce ne sont pas des spammeurs auxquels je suis capable de dire : « Eh bien attendez, là vous consommez peut-être un peu, eh bien venez contribuer aussi au service ou mettez des machines à disposition, parce que moi je ne peux pas tout faire tout seul. » C’est vrai que ce côté-là, que ce soit très ouvert c’est bien, mais il y a quand même des limitations techniques. Des fois, on a besoin d’un mini contrôle des utilisateurs.

Luc : Là on est dans un truc public qui doit, justement, fournir de la donnée et donc il y a des financements derrière. Bien sûr tu vas bloquer les gens qui sont en train d’essayer d’aspirer ton truc trois cents fois par minute. J’avais imaginé une sorte de service qu’on pourrait monter qui serait, par exemple, un service pour aider les gens à décider où ils vont s’installer quand ils doivent déménager. Et donc on peut imaginer toutes les données qu’on peut vouloir récupérer pour ça.

Manu : Qualité de l’école ?

Luc : Oui. Par exemple la quantité d’écoles, leur emplacement.

Magali : Les transports en commun.

Manu : Oui. La pollution.

Nicolas : Le crime, les impôts.

Luc : Le niveau des impôts.

Nicolas : Le prix de l’immobilier, oui, au mètre carré.

Luc : Au mètre carré.

Manu : La distance par rapport à certains services publics.

Luc : Voilà. La route, la congestion.

Magali : La congestion ?

Luc : Oui. La congestion du trafic. Est-ce que c’est embouteillé ou pas ?

Magali : Ah ! Pas atchoum et compagnie.

Luc : Voilà.

Manu : Ça en plus, c’est une autre donnée.

Magali : Les pollens.

Luc : Les pollens, par exemple si on est allergique.

Nicolas : Le niveau sonore, si on est près d’une autoroute, par exemple.

Luc : Tout à fait.

Magali : Ou les ondes.

Nicolas : Ouais. Ça c’est un faux débat, mais pourquoi pas.

Manu : Ah oui, mais pourquoi pas, après tout ça peut être important pour des gens.

Magali : Ce n’est pas un faux débat ; il y a des gens qui sont très atteints par les ondes.

Nicolas : Oui, même quand les antennes sont éteintes, effectivement.

Luc : On ne va pas se lancer là-dedans sinon on est foutus. Donc on imagine toutes ces données. si on veut créer notre super service en open data, on va pouvoir récupérer toutes ces infos-là et c’est notre boulot, je veux dire, on veut monter un business là-dessus, aider les gens à trouver le meilleur endroit.

Manu : Et ça parait être un business intéressant, en fait.

Luc : Et donc, du coup, nos données doivent être mises à jour régulièrement parce que tout ça, ça bouge. Comme tu disais, Manu, on a besoin d’avoir des formats ouverts dont on connaît le fonctionnement.

Nicolas : Et puis qui ne vont pas changer tous les jours, en plus, parce que sinon le service, il est mort !

Luc : Il ne faut pas les changer tous les jours, parce que si ça change tout le temps ! Et si change, il faut prévenir suffisamment à l’avance pour qu’on ait le temps de s’adapter en décrivant suffisamment précisément pour comprendre comment on fait. Et à l’inverse, en faisant notre boulot, on peut imaginer qu’on va commencer à faire des trucs qui ne plaisent pas. Par exemple le député-maire de la ville dont on dira « chez lui les impôts sont super chers, le prix au mètre carré est vachement élevé et, en plus de ça, c’est pollué, par exemple, ou ses services publics sont mal foutus ».

Manu : Donc l’attraction de sa ville va diminuer et ton application va le montrer et ça, c’est moche !

Luc : Voilà ! Et donc on peut imaginer, par exemple, ce député-maire qui serait influent, dirait aux services de l’État ou à des ministres, peut-être, s’il a été ministre : « Mais lui, ce qu’il fait ça ne me plaît pas, quoi ! » Du coup on a besoin d’être indépendants de ce genre de choses. Et plus on va mettre des règles qui vont restreindre les utilisateurs, où on va pouvoir mettre de bâtons dans les roues, plus on ouvre la porte à l’arbitraire par rapport à ce genre de choses. Et donc, on parle là d’un service, mais on pourrait imaginer, les journalistes peuvent faire la même chose : c’est-à-dire que par l’open data ils peuvent commencer à faire des croisements et à trouver des tas d’infos intéressantes.

Manu : Ça, ça doit être drôle de faire des croisements. J’imagine bien les déclarations d’intérêt de certains politiques.

Nicolas : L’affaire Fillon est venue aussi, un peu, d’un problème d’open data, puisque, par exemple, le projet Arcadie5 qui est géré par Tris Acatrinei qui collecte, en fait, toutes les données des revenus du patrimoine des différents députés, sénateurs ou autres. Et donc elle a recroisé l’intégralité de toutes les données en disant : « Là il y a un problème. Regardez, ça, ça a été masqué. Là, il y a eu un changement de là à là. »

Manu : Ce n’est pas elle qui a appelé Le Canard enchaîné par hasard ?

Nicolas : Pas que, mais en tout cas, elle a été à l’origine de pas mal des fuites sur l’affaire Fillon parce que toutes les déclarations montraient qu’il y avait un problème quand c’était publié correctement.

Magali : Elle n’est pas l’origine des fuites. Elle s’est juste rendu compte qu’il y avait un problème.

Nicolas : Voilà. Elle a vu qu’elle avait un problème.

Manu : Oui. Mais peut-être qu’elle a donné les bases. Voilà.

Nicolas : Mais les journalistes se sont réveillés dessus en disant : « Eh bien oui, là il y a un pépin ». Du coup, typiquement, c’est un projet que si c’était géré par l’État, eh bien ça peut vite devenir « tiens on va couper les vannes parce que c’est le bordel quoi ! »

Manu : Ce n’est pas faux. Vous vous rendez compte à quel point l’open data va à l’encontre de certains de ces instigateurs et que eux, ce qu’ils voulaient, c’était surtout qu’on puisse répertorier les trous dans la route et qu’on remonte les trous dans la route pour qu’ils puissent ensuite les corriger. C’est ça qui plaisait à nos hommes politiques, largement.

Luc : C’est une idée qu’on a souvent entendue et qu’on a relayée dans la revue de presse, c’était des gens dire : « Ouais, l’open data mais pour quoi faire ? Je ne vois pas ce que les gens pourraient faire avec ! »

Manu : Réparer les trous dans la route !

Luc : Voilà. Et de fait on peut, potentiellement, faire des choses qui déplaisent aux responsables, politiques notamment, ou autres. Mais après, ça peut être aussi des entreprises ou des choses comme ça.

Manu : Il n’y a pas, genre la SNCF, tout ça, qui bloque un peu l’échange de ses données de transport ?

Nicolas : C’est même plus que bloqué, en fait. Justement c’est un très bon exemple avec Raildar6 qui est un service qui était communautaire qui avait été monté à partir de données de la SNCF pour afficher les trains et les circulations et autres. Sauf que quand ils ont commencé à montrer qu’il y avait un peu trop de retards, du coup la SNCF leur a coupé complètement l’herbe sous le pied, en interdisant purement et simplement l’accès aux données qui étaient remontées par l’application au départ. Et donc ils ont dû redévelopper ; il y a eu plus d’un an et demi d’arrêt avant de pouvoir remonter un service par-dessus.

Luc : Sachant que la nouvelle loi, je crois que les données transport maintenant peuvent rentrer dans l’open data, mais il y a des cas particuliers, c’est-à-dire que ce n’est pas le régime général. Notamment, ils peuvent demander de l’argent. Mais avant ça, et Raildar était là-dedans, c’est que utiliser les données en question c’était couvert et c’était interdit. Donc du coup, tu peux te retrouver avec un procès et la SNCF ou la RATP étaient très attentives à l’utilisation qui pouvait être faite de leurs données.

Magali : Mais alors pourquoi ? Parce que ces données, nous, on peut y accéder quand on veut.

Luc : C’est une différence entre avoir tes données au travers de leurs sites ou sur des dépliants papier ou des choses comme ça.

Manu : De manière ponctuelle.

Luc : De manière ponctuelle.

Manu : Sur un lieu, sur une utilisation bien particulière.

Luc : Voilà et définie par eux. Et c’en est une autre de pouvoir récupérer toutes les infos et de les traiter toi-même et de les croiser comme tu as envie de les croiser, etc.

Manu : Et d’améliorer éventuellement.

Luc : Et éventuellement d’améliorer.

Manu : Parce que justement, tu peux améliorer de la donnée que tu as récupérée quelque part, qui, en soi, est brute et un peu moche. Et tu peux dire : « Voilà, votre bus il est à telle distance précisément et si vous voulez le choper maintenant, eh bien on va vous aider, on va faire en sorte que. » Il y a des sites, je pense à Capitaine Train. Capitaine Train, c’était des gens qui récupéraient des données de la SNCF pour faciliter la prise de réservation et ils avaient une interface hyper simple, hyper travaillée, vraiment pratique.

Magali : Efficace !

Manu : Et vraiment très efficace, mais la SNCF, ça ne leur plaisait pas trop.

Luc : Ils existent toujours.

Manu : Oui, je crois que finalement ils ont dû faire des accords. Non ?

Luc : Ils avaient déjà des accords parce qu’ils vendaient des billets, donc forcément.

Nicolas : Ils avaient des accords. Voilà, et avec l’ouverture, en fait la fin du monopole de la SNCF, du coup il y a eu obligation de publier des données pour pouvoir permettre l’interconnexion et du coup Trainline7, enfin Capitaine Train à l’origine, avait accès à des API professionnelles pour la SNCF.

Luc : Ils n’ont jamais fait le truc en dehors de la SNCF. Bref ! Par rapport à nos quatre libertés, donc on a liberté d’utilisation, on en a parlé : voilà, on veut l’utiliser pour ce qu’on veut et, effectivement, ça peut commencer à mettre des bâtons dans les roues ; ans le domaine de l’open data, ça peut venir finalement assez rapidement, surtout si on veut ça.

On a le droit à modification. Comme tu le disais, les données on les récupère, mais on peut également les modifier, les croiser, les enrichir pour faire sortir des infos qu’on n’avait pas dans les données initiales.

Nicolas : Mais sur la modification il y a d’ailleurs aussi le service qui a le droit de les modifier. C’est aussi un problème, c’est que d’avoir des données stables dans le temps et que l’État ne puisse pas se décider de virer tel ou tel morceau ou de faire des modifs a posteriori.

Manu : Réécrire l’histoire.

Nicolas : Tout à fait, réécrire l’histoire, ça peut être compliqué, mais ce sont aussi des cas à savoir traiter parce que les lois peuvent évoluer, les données peuvent être reformulées, re cataloguées dans certains cas.

Luc : Elles sont mises à jour.

Nicolas : Voilà, elles sont mises à jour et donc ça peut être aussi modifié du côté de l’État.

Luc : On a le droit d’étudier. Ça, ça va effectivement en amont quand on va récupérer les données pour comprendre comment c’est fait, etc. Et le droit de redistribuer. Bien sûr, on peut faire du commerce avec et c’est toute l’idée de l’open data, c’est de pousser de nouveaux services, de nouvelles façons de faire, essayer d’avoir des choses plus efficaces.

Magali : Mais du coup, on ne risque pas de se prendre en plein les entreprises qui font déjà ce genre de choses-là, mais qui le font payer ?

Luc : Du coup tu penses à quels types d’entreprises ? Quels types de services ?

Magali : Je pense à l’IGN avec ses cartes routières. Je pense au Kbis qui était payant. Je pense aux lois que des entreprises, autres que l’État, monnayaient pour les obtenir.

Luc : Je ne sais pas si ces données tombent sous le couvert de l’open data.

Manu : Je ne crois pas.

Nicolas : Le Kbis8 a été ouvert par la base Sirene, en tout cas, a été ouvert récemment et avant, il fallait passer par le tribunal de commerce. Maintenant c’est en ligne.

Luc : Récupérer les données, c’est une chose. Réussir à les exploiter, c’en est une autre. Ce n’est pas nécessairement techniquement à la portée de n’importe qui. Il faut avoir un minimum de compétences. Donc peut-être que ces entreprises continueront à pouvoir vendre ce service à des gens qui ne savent pas faire eux-mêmes, mais il est probable, effectivement, que d’autres personnes puissent facilement monter des services concurrents et faire baisser les prix.

Magali : En tout cas ça rentre de la concurrence et ça doit faire sûrement grincer des gens.

Luc : Effectivement ! Quand on est en position dominante, on n’a pas envie de voir rentrer plein d’acteurs et on est plutôt motivés à essayer de…

Nicolas : Et en tout cas, sans les coûts d’entrée qu’on a eus, nous, au départ, quand on a lancé le service à la base.

Luc : Très bien ! Je ne sais pas si on a fait le tour de la question. C’est peut-être un petit peu prétentieux, mais en tout cas on va s’arrêter là. Merci à vous. Bonne semaine à tous.

Magali : Au revoir.

Manu : Au revoir.

26 June 2017

candidats.png Candidats.fr

Législatives 2017 - Bilan de l'initiative du Pacte du Logiciel Libre

Le 26 June 2017 à 14:12:47

La campagne officielle finie, faisons le bilan des 4 semaines d'intenses actions de l'initiative du Pacte du Logiciel Libre pour les législatives 2017

7 882 candidatures
92 participant⋅e⋅s
2 332 actions de contact
1 798 candidat⋅e⋅s contacté⋅e⋅s
73 % des élu⋅e⋅s contacté⋅e⋅s
497 signataires
26 signataires élu⋅e⋅s

Défis et opportunités

L'initiative Candidats.fr pour les législatives 2017 représentait un vrai défi : 7 882 candidat⋅e⋅s. Même à 3 personnes 24h/24, impossible de contacter toutes ces personnes juste en s'appuyant sur les permanents de l'April. Et encore plus impossible de créer du lien local avec chaque candidat⋅e comme peuvent le faire les bénévoles.

Difficulté supplémentaire cette année, la période de campagne était plus courte d'une semaine. Et le Ministère de l'intérieur a changé le serveur où était publié le fichier officiel des candidat⋅e⋅s en oubliant de faire un lien depuis l'ancien… Bref, les aléas de l'aventure d'une campagne du Pacte du logiciel libre.

À noter le nombre très important de candidatures par circonscription : 14 en moyenne et jusqu'à 26, c'est énorme.

répartition du nombre de candidat⋅e⋅s par circonscription

La dimension de ce défi était :

  • une force : inciter à l'action citoyenne ;
  • un levier de sensibilisation : un formidable opportunité d'informer un grand nombre d'acteurs de la vie publique et politique sur les enjeux du Logiciel Libre.

Moyens techniques

Ce défi a été facilité par la mise à disposition d'outils pour mutualiser les coordonnées de contact et suivre les actions de contact :

  • la plateforme GPT : développée depuis 2007 par Benj, et un peu depuis 2015 par Christian (Cpm), gérée techniquement et fonctionnellement par Benj, Frédéric (Madix), Étienne (Lonugem) et Chrisitan (Cpm) ;
  • un courriel de contact : contact@candidats.fr ;
  • des listes de diffusion ;
  • un canal IRC : #candidats.fr@freenode;
  • des pouets via Mastodon (@aprilorg@pouet.april.org #candidatsfr #législatives2017 #LogicielLibre) ;
  • le réseau social Twitter ;

mastodon-booky.png

Soutiens/Relais

Merci à Richard Stallman pour son soutien, une fois de plus :

https://www.stallman.org/archives/2... :

soutien-rms.png

Merci aussi à Libre à toi, première radio des communs, qui a traité du sujet du Pacte du logiciel libre à deux reprises :

https://asso.libre-a-toi.org/

libre_toi.png

Participant⋅e⋅s

L'initiative Candidats.fr est un levier d'action citoyenne et repose sur la mobilisation de toutes et de tous. Rien ne pourrait se faire sans les participant⋅e⋅s.

Sur la plateforme Candidats.fr, nous avons recensé 92 participant⋅e⋅s : Patrick C. (pat78), Bookynette, Marie-Odile M. (Marieodile), Didier C. (Tamino), Association ardechelibre, Julien H. (henryjulien), Jennifer C. (agenux), David B. (dben), Jeremy C. (Jeremy), Anthony P. (roguespectre), Lucas C. (LucasC), Matthieu P. (mazzhe), Nicolas G. (Oleti), Philippe N. (phil45190), Pierre L. (plemaire), Michael K. (myckeul), François P. (fpoulain), Frédéric S. (fraifrai), Vincent P. (vplainfo), Axel B. (Axelos), Martin V. (Bromind), Edouard D. (edausq), Duncan D. (hikouno), Jean-Philippe B. (jpbarbier), Jean-Yves R. (jyroyer), Lucien M. (lucien), Luc M. (lucmazon), Marianne C. (marianne), Maxime C. (mcorteel), Hugo T. (mylainos), Alexandre M. (nobrakal), Odile B. (odile), Sébastien P. (SebastienP), Agnès R. (agnes), Bruno C. (bcornec), Benjamin D. (benj), Emmanuel S. (EmmanuelSeyman), Éric N. (ericN), Fabrice R. (fabriceregnier), Julien B. (jbongiraud), Nicolas P. (palix), Paul M. (paulmura), Philippe L. (phlr), René B. (reunigkozh), rodolphe R. (rrobles), stephanie V. (veretste), Isabelle D. (Ysabeau), David V. (Albator), Alexis C. (alecsy), Ambroise F. (AmbroiseFavier), Arnaud V. (aranud1330), Yves B. (Candidator), Jean-Marie C. (chossonjm), Claude M. (claudagde), Dimitri B. (dezorda), Anne Sophie D. (Domenc), Francois A. (faubriot), François G. (fguigon), Gabriel B. (gbachelot), Gauthier C. (goalgauth), Philippe G. (grandoc), Gwenael D. (gwenael), helene T. (htestud), Isabella V. (ivanni), Julien B. (jaxx), Jean-Luc P. (jlpoitoux), Jean-Louis V. (jlv5), Johanne S. (JohanneSebaux), Jean-Yves J. (jyjeannas), Hervé Q. (kerilin), Laurent G. (lgodard), Mickael E. (lmns972), Marianne T. (MlleEllute), nordine V. (nordine), Alexandre P. (pachot), Pascal A. (pascalarnoux), Pascal G. (PascalGreliche), Michel S. (sardon), Lug S. (Sequanux), Hans L. (Spone), Stéphane T. (steph78970568), Stéphane C. (stph), Thierry D. (tdjx), Thibaut L. (TLC04), Sarah A. (twildawnight), Véronique B. (veronique), Vincent P. (vpicavet), Yann L. (yledoare)…

À noter la participation de non inscrits sur la plateforme ou bien des participations collectives sous un même pseudo.

Un immense bravo à tous les bénévoles sans qui rien n'aurait été possible \o/

pllmazzhe2-tweet.png

Échos dans la presse

L'initiative du Pacte du logiciel libre a fait l'objet d'une couverture dans la presse :

Déroulement

Pour rappel, l'initiative a eu de nombreux temps forts :

--- Di 07/05 X PRÉSIDENTIELLE 2017 T2
############ Semaine S19 ############
=== Lu 08/05 X FÉRIÉ
=== Ma 09/05 X
=== Me 10/05 X
=== Je 11/05 X
=== Ve 12/05 X
--- Sa 13/05 X
--- Di 14/05 X
############ Semaine S20 ############
=== Lu 15/05 X Ouverture du dépôt des candidatures  + Réunion préparatoire Candidats.fr
=== Ma 16/05 X
=== Me 17/05 X
=== Je 18/05 X
=== Ve 19/05 X Date limite dépôt candidatures
--- Sa 20/05 X
--- Di 21/05 X
############ Semaine S21 ############
=== Lu 22/05 X
=== Ma 23/05 X
=== Me 24/05 X Pré-liste des candidat⋅e⋅s disponible sur le site du Ministère de l'intérieur
=== Je 25/05 X FÉRIÉ (Ascension)
=== Ve 26/05 X
--- Sa 27/05 X
--- Di 28/05 X
############ Semaine S22 ############
=== Lu 29/05 X
=== Ma 30/05 X Import du fichier officiel des candidat⋅e⋅s
=== Me 31/05 X
------------------------ Juin ------------------------
=== Je 01/06 X
=== Ve 02/06 X
--- Sa 03/06 X
--- Di 04/06 LÉGISLATIVES T1 (de l'étranger)
############ Semaine S23 ############
=== Lu 05/06 X FÉRIÉ (Pentecôte)
=== Ma 06/06 X Soutien de Richard Stallman
=== Me 07/06 X
=== Je 08/06 X
=== Ve 09/06 X
--- Sa 10/06 X SUSPENSIONS DES SAISIES DE CONTACTS/SIGNATURES
--- Di 11/06 X LÉGISLATIVES T1
############ Semaine S24 ############
=== Lu 12/06 X IMPORT RÉSULTATS T1 + REPRISE DES CONTACTS
=== Ma 13/06 X SUPER-CONTACTHON
=== Me 14/06 X SUPER-CONTACTHON
=== Je 15/06 X SUPER-CONTACTHON
=== Ve 16/06 X SUPER-CONTACTHON
--- Sa 17/06 X SUSPENSION DES SAISIES DE CONTACTS/SIGNATURES
--- Di 18/06 X LÉGISLATIVES T2
############ Semaine S25 ############
=== Lu 19/06 X Import résultats T2 + reprise des saisies de contacts/signatures
=== Ma 20/06 X Rédaction bilan
=== Me 21/06 X Rédaction bilan
=== Je 22/06 X Rédaction bilan
=== Ve 23/06 X B's & C's sur IRC #april@freenode.org
=== Clôture de l'initiative Candidats.fr législatives 2017

Collecte des coordonnées de contact

Défis numériques : 7 882 coordonnées de contact à trouver !

Contacter un candidat ou une candidate suppose que l'on dispose de ses coordonnées de contact : courriel, compte Mastodon, page Twitter, site web perso, etc. L'expérience nous apprend que, encore aujourd'hui, cet exercice est une démarche difficile. Paradoxalement, alors que ces personnes veulent représenter les gens, les candidat⋅e⋅s ne se rendent pas tous joignables. Certains partis font des efforts en proposant des annuaires de leurs candidat⋅e⋅s et le Ministère de l'intérieur met à disposition les professions de fois. Mais aucun des deux ne garantissent de trouver une coordonnée de contact correcte.

Lors des élections régionales 2015, les formidables participant⋅e⋅s à la campagne du Pacte du logiciel libre avait sauvé la campagne en allant chercher manuellement des milliers de coordonnées de contact. Pour les législatives 2017, la durée très courte de la campagne ne permettait pas une telle stratégie. Heureusement, Denis et Anthony, de très doués participants, ont écris des scripts informatiques pour collecter et vérifier massivement des coordonnées de contacts sur les sites des partis. Grâce à leur initiative, les actions de contact ont été beaucoup plus faisables et faciles. Un très grand merci à eux.

Détail des coordonnées de contact collectées :

Mél.WebTél.Mél. ou Web
1er tour1 4927605791823
2e tour1 8468956292 227

type_coordonnees_contacts2.png

Candidat⋅e⋅s contactables

À partir des coordonnées de contact collectées, les candidat⋅e⋅s pouvant être contacté⋅e⋅s facilement (par courriel ou réseau social) sont identifiables :

  • 2 227 soit environ 28 % des candidatures au global ;
  • pour les finalistes, on monte à 66 % ;
  • et pour les candidat⋅e⋅s élu⋅e⋅s à 74 %.
Candidat⋅e⋅sContactables%
Global7 8822 22728 %
1er tour7 8821 82323 %
Finalistes1 15175866 %
Élu⋅e⋅s57742573 %

contactables.png

Toujours à réfléchir, une proposition à faire au Ministère de l'intérieur pour ajouter une colonne « adresse courriel » dans le formulaire de dépôt des candidatures. On peut penser que la facilité de création d'une adresse de courriel évite l'atteinte à l'intimité numérique des candidat⋅e⋅s. À suivre…

Détails des actions de contact

L'action de contact est importante dans le sens où elle est majoritairement un préalable à la signature du Pacte du logiciel libre.

La plateforme recense 2332 actions de contact dont 1 456 au 1er tour (sur 2,5 semaines) puis 876 au second tour (sur 5 jours) pour un total de .

Contacts
1er tour1 456
2e tour  876
Total2 332

contacts-tours.png

Répartition du nombre de contacts par participant⋅e :

Min.Moy.Max.
044363

Répartition des contacts par type :

CourrielRéscialFormulaire
web
PhysiqueTél.
1 953
84 %
244
10 %
89
4 %
16
1 %
10
~1 %

(réscial = réseau social)

types_contacts.png

Candidat⋅e⋅s contacté⋅e⋅s

La plateforme recense 1798 (23 %) candidat⋅e⋅s contacté⋅e⋅s dont :

  • 756 (66 %) finalistes ;
  • 424 (73 %) élu⋅e⋅s.
Candidat⋅e⋅sContacté⋅e⋅s%
Global7 8821 79823 %
1er tour7 8821 27016 %
Finalistes1 15175666 %
Élu⋅e⋅s57742473 %

contactes-pct.png

Cela implique que trois député⋅e⋅s sur quatre de la nouvelle législature ont eu une chance d'être sensibilisé⋅e⋅s aux enjeux du logiciel libre.

Couverture des circonscriptions

Pour rappel, avec une moyenne de 14 candidatures par circonscriptions et la difficulté à trouver des coordonnées de contacts, atteindre les 100 % dans une circonscription était un exploit. Certains des formidables contacteurs ont réussis. Un grand bravo à eux et à elles.

taux_contacts_circo.png

Taux de contact

Contacter des candidat⋅e⋅s qui l'avait déjà été était encouragé. En moyenne les candidat⋅e⋅s ont été contacté⋅e⋅s 1,6 fois, et jusqu'à 4 fois.

Candidat⋅e⋅s
contacté⋅e⋅s
ContactsTaux de contacts
par candidature
Global17982332130 %
1er tour1 2701456115 %
Finalistes7561 168154 %
Élu⋅e⋅s424679160 %

Statistiques globales

Cliquer pour agrandir. Fait remarquable, 1 candidat⋅e sur 4 contacté⋅e.

stats-globales.png

Statistiques du 1er tour

Cliquer pour agrandir.

stats-T1.png

Les finalistes

Cliquer pour agrandir. Fait remarquable, 2 finalistes sur 3 ont été contacté⋅e⋅s :

stats-finalistes.png

Résultat deuxième tour : les élu⋅e⋅s

Cliquer pour agrandir. Fait remarquable, 3 élu⋅e⋅s sur 4 ont été contacté⋅e⋅s :

stats-elus.png

Les retours des candidat⋅e⋅s

Si beaucoup de contacts restent sans réponse, les retours de contacts sont une réalité. Témoignages, encouragements, demande d'information et même prise de rendez-vous sont courants.

Voici quelques extraits :

« Bonjour. Les logiciels libres participent à l'émancipation et la liberté sur internet, mon parti y est bien sûr favorable. Merci à vous pour cette initiative. »

« Bonjour. C'est avec grand plaisir que j'ai signé le Pacte du Logiciel Libre, que vous trouverez ci-joint. Soyez sûrs en mon soutien le plus total. »

« Bonjour. Merci pour votre pacte du logiciel libre. Informaticien, je milite activement au bureau mais aussi dans mes activités extraprofessionnelles pour les logiciels libres et plus globalement les licences libres. »

« Bonjour, Vous trouverez en PJ le pacte du logiciel libre signé. J'en profite pour indiquer que je suis également adhérent de l'APRIL. »

« Bonjour, veuillez trouver ci joint le pacte signé (sur open office, système linux ubuntu :-) »

« Bonjour, J'ai lu attentivement votre message et consulté avec intérêt le site de l'association April. Dans mon projet, je veux mettre la politique au service de l'Homme et combattre toute forme d'asservissement (notamment financier, intellectuel...). Le combat que mène April pour le logiciel libre va selon moi dans le bon sens »

Nouveau, les candidat⋅e⋅s expriment leur soutien au Pacte du logiciel libre via les médias modernes.
Exemple notable avec l'avis en vidéo du candidat élu Ugo Bernalicis, retranscrit par le groupe transcription de l'April :
ugo_bernalicis.png
(https://www.april.org/signature-du-pacte-du-logiciel-libre-ugo-bernalicis)

Autres exemples :

plllg2017-elsa_regis-tweet.png plllg2017-severine_leclercq-tweet.png plllg2017-soukaina_larabi-tweet.png

Signataires

La plateforme recense 497 signataires dont 66 finalistes et 26 élu⋅e⋅s.

Candidat⋅e⋅sSignataires%
Global7 8824976,3 %
1er tour7 8824615,8 %
Finalistes1 151665,7 %
Élu⋅e⋅s577264,5 %

Conclusion

Malgré une relative puissance d'actions de contact, nous pouvons soulignez de nombreux points positifs :

  • certains contacteurs ont formidablement prospecté les circonscriptions de leur zone, le contact local est très pertinent et efficace ;
  • une collecte automatisée des coordonnées de contacts qui facilite les actions de contact ;
  • coordonnées de contacts collectées quasiment toutes utilisées ;
  • des candidat⋅e⋅s de plus en plus connaisseurs des logiciels libres et réceptifs au Pacte du logiciel libre ;
  • une hausse du nombre de signataires, dans un contexte pourtant difficile : 497 ;
  • des signatures sans prises de contact préalable ; particulièrement parmi les candidat⋅e⋅s UPR, France Insoumise et Parti Pirate
  • un taux global important de conversion des contacts en signature : 21 % ⇒ 1 contact sur cinq débouche sur une signature.

Quelqu'un sur IRC nous a posé la question suivante : « Est-ce que ça vaut le coup ? Niveau temps/résultat…» Tous ces chiffres prouvent que OUI. Tisser tous ensemble des liens avec les élu⋅e⋅s, utiliser le « système » dans le bon sens, c'est possible !

Grâce notamment à nos efforts avec l'April, nous comptons maintenant 2 lois de la République française qui contiennent la mention « logiciel libre ». Mais il faut aller plus loin et obtenir la priorité au logiciel libre dans le secteur public. Les élu⋅e⋅s de l'Assemblée nationale participent à la construction de la Loi et la vote. C'est entre autres avec les parlementaires que nous pourrons promouvoir et défendre les logiciels libres, et toutes les libertés qui en découlent.

Comme le titre de Julien Lausson dans Numérama :

« L’Assemblée nationale
compte désormais
26 défenseurs du logiciel libre »

À nous d'augmenter ce nombre en continuant les actions de contact, les enrichissements de fiche de candidat⋅e, le soutien des initiatives de l'April, etc.

Car comme le porte fièrement le dernier t-shirt de l'April (en écho à la dernière campagne de la Free Software Foundation) : Logiciel libre, société libre !

Rendez-vous aux élections européennes de 2019 pour sublimer l'expérience…

april.png Nouvelles April

Législatives 2017 : bilan de l'initiative du Pacte du Logiciel Libre

Le 26 June 2017 à 13:48:55

Dans le cadre des élections législatives 2017 l'April a mené une nouvelle campagne du « Pacte du Logiciel Libre ». L'objectif était de sensibiliser candidat·e·s et élu·e·s aux enjeux du logiciel libre mais aussi de créer du lien entre les citoyens et citoyennes et les candidat⋅e⋅s. Au total 26 député⋅e⋅s nouvellement élu⋅e⋅s se sont engagé⋅e⋅s à défendre la priorité au logiciel libre et aux formats ouverts dans les administrations publiques. Mais au-delà de ce chiffre, il est temps de faire un bilan de ces 4 semaines d'intenses actions.

Nous venons de publier sur le site Candidats.fr un bilan chiffré de notre campagne du Pacte du Logiciel Libre pour les élections législatives 2017.

Ce bilan est une nouvelle occasion de remercier toutes les personnes qui ont participé à la campagne.

Il est encore temps de contacter et sensibiliser les député·e·s et leur proposer de signer le pacte, disponible au format PDF et au format ODT.

Revue de presse de l'April pour la semaine 25 de l'année 2017

Le 26 June 2017 à 10:20:01

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 25

[Silicon] Windows 10 S, un OS un peu trop propriétaire

Par Jacques Cheminat, le vendredi 23 juin 2017. Extrait:
> A peine lancé, Windows 10 S se révèle très restrictif au point de rendre impossible l'accueil de logiciels tiers comme les antivirus.
Lien vers l'article original: http://www.silicon.fr/windows-10-s-un-os-un-peu-trop-proprietaire-178663.html

Et aussi:
[Numerama] Une partie du code source de Windows 10 a été publiée sur le web

[Radio Prague] La disparition de la vie privée n’est pas inévitable

Par Lucie Drechselová, le mardi 20 juin 2017. Extrait:
> Pour la publicité ciblée comme pour les campagnes électorales, les informations concernant notre activité en ligne sont très prisées sur le marché des données personnelles. Pour beaucoup, la sécurité de l’information et la protection des données sur internet semblent certes être des sujets importants mais souvent trop techniques voire ennuyeux. Mais devons-nous nous résilier à laisser nos données personnelles à la portée de n’importe qui sur la toile? Informaticien français basé à Prague, Jerôme Poisson apporte une réponse: selon lui, la perte de la vie privée n’est pas inévitable.
Lien vers l'article original: http://www.radio.cz/fr/rubrique/panorama/la-disparition-de-la-vie-privee-nest-pas-inevitable

Et aussi:
[Numerama] Contrairement à Macron, des élus européens plaident pour un chiffrement fort

[Developpez.com] La NSA rend disponibles via Open Source Software certains des outils qu'elle a développés en interne

Par Stéphane le calme, le lundi 19 juin 2017. Extrait:
> La NSA a fourni une liste d’outils qu’elle a développés et qui sont désormais accessibles au public via Open Source Software (OSS) dans le cadre de son TTP (Technology Transfer Program). Pour rappel, c’est dans le cadre de son programme TTP que la NSA transfère la technologie qu’elle a développée en interne à l'industrie, au milieu universitaire et à d'autres organismes de recherche, des transferts qui vont «profiter à l'économie et à la mission de l'Agence».
Lien vers l'article original: https://www.developpez.com/actu/144942/La-NSA-rend-disponibles-via-Open-Source-Software-certains-des-outils-qu-elle-a-developpes-en-interne-dans-le-cadre-de-son-programme-TTP

Et aussi:
[Numerama] La NSA crée un compte sur Github et encourage les citoyens à améliorer ses projets

[ZDNet France] Législatives: Mounir Mahjoubi et Bruno Bonnell élus, Alexandre Zapolsky et Axelle Lemaire battus

Par Thierry Noisette, le lundi 19 juin 2017. Extrait:
> L'actuel secrétaire d’État au Numérique est élu, l'ancienne perd, Bruno Bonnell bat l'ex-ministre Najat Vallaud-Belkacem et le patron de Linagora échoue dans le Var.
Lien vers l'article original: http://www.zdnet.fr/blogs/l-esprit-libre/legislatives-mounir-mahjoubi-et-bruno-bonnell-elus-alexandre-zapolsky-et-axelle-lemaire-battus-39853882.htm

Et aussi:
[La Tribune] Législatives: une Assemblée plus sensible aux enjeux de la nouvelle économie?
[L'Express.fr] Wikipédia déboule à l'Assemblée pour tirer le portrait de nouveaux députés
[Numerama] La moralisation de la vie publique passe aussi par le numérique

[Numerama] L'Assemblée nationale compte désormais 26 défenseurs du logiciel libre

Par Julien Lausson, le lundi 19 juin 2017. Extrait:
> L'association de promotion et de défense du logiciel libre a fait ses comptes: sur les 497 candidats et candidates en lice pour les législatives qui ont signé le pacte du logiciel libre, seule une toute petite portion a franchi le second tour avec succès.
Lien vers l'article original: http://www.numerama.com/politique/268448-lassemblee-nationale-compte-desormais-26-defenseurs-du-logiciel-libre.html

Voir aussi:
Nouvelle législature: déjà 26 député⋅e⋅s engagé⋅e⋅s en faveur de la priorité au logiciel libre dans les administrations publiques

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

25 June 2017

tnitot.png Tristan NITOT

Gmail et la pub

Le 25 June 2017 à 12:16:00

La nouvelle est tombée et a surpris beaucoup de monde : Gmail ne sera plus utilisé pour vous pister !.

Attention, c’est facile de prendre l’information de travers. Voici quelques exemples :

Toutes ces affirmations sont fausses. Explications.

D’une part, Gmail va continuer à afficher de la publicité ciblée. Parce que c’est leur modèle commercial (88% de leurs revenus, quand même). Et ça risque de durer, même s’ils essayent de les diversifier.

D’autre part, Google va continuer à lire votre courrier, à vous et au 1,2 milliard d’utilisateurs. Pour en savoir toujours plus sur vous, vos centres d’intérêts, les personnes avec qui vous échangez et de quoi vous parler. Seulement, ils en savent déjà suffisamment par ailleurs pour cible leur publicité à partir d’autres sources comme vos recherches Google Search, votre position GPS via Google Maps, votre téléphone Android, vos clics sur les publicités, votre historique de navigation Chrome, etc.

Enfin, il va bien falloir croire Google sur parole, parce que leur code source est propriétaire et qu’il tourne sur leurs serveurs. Mais on espère qu’ils jouent franc jeu. Après tout, ils affirment que leur slogan est “don’t be evil”. Ah, ils ne le disent plus ? Mais pourquoi ?

21 June 2017

april.png Nouvelles April

Quelles libertés avons-nous face à Internet - É Guichard - PY Gosset

Le 21 June 2017 à 16:51:30

Éric Guichard - Pierre-Yves Gosset,

Titre : Quelles libertés avons-nous face à Internet ?
Intervenants : Éric Guichard, maître de conférences à l'ENSSIB - Pierre-Yves Gosset, délégué général de Framasoft.
Lieu : Café éthique - École centrale - Lyon
Date : Mai 2015
Durée : 1 h 11 min 11
Visualiser la vidéo
Licence de la transcription : Verbatim

Transcription

Présentateur : Bonjour à tous et merci à vous tous d’être venus si nombreux pour ce café éthique. Aujourd’hui on va parler de la protection des données personnelles sur Internet. Actuellement, Internet est vraiment devenu le vecteur principal d’informations, de communication, qui est utilisé à échelle planétaire. Il nous paraissait légitime, en fait, de faire un café éthique sur la manipulation des données personnelles qu’on échange.

J’imagine que vous le savez tous, mais aujourd’hui est votée la loi sur le renseignement à l’Assemblée nationale et cette loi vise, justement, à collecter en masse les données personnelles des citoyens afin de détecter des comportements suspects. Donc on va aussi parler du rôle de l’État dans la protection des données personnelles.

On a la joie de recevoir Pierre-Yves Gosset qui est délégué général de Framasoft1, l’association qui vise à Dégoogliser Internet2, et Éric Guichard qui est maître de conférences à L’Enssib [École nationale supérieure des sciences de l’information et des bibliothèques] et qui a travaillé aussi à Ulm. Je vous en prie.

Éric Guichard : Bonjour et je crois que je vais commencer par dix minutes brèves de présentation et d’introduction du programme. Je rappelle ici le titre c’est « Le problème éthique autour de la protection des données personnelles sur Internet ». Je vais faire bref en dix minutes, mais rappeler quand même ce qui était écrit, c’est-à-dire énormément de sites internet possèdent une partie de nos informations privées, mais il n’y a aucune transparence pour savoir ce qu’ils en font réellement. Il y a aussi des risques de piratage, etc.

Ce que je voudrais faire remarquer, d’abord féliciter les organisateurs parce qu’au niveau de la synchronisation ils ont fait parfaitement les choses : c’est le jour du vote du projet de loi relatif au renseignement. Et rappeler aussi que ce qui est vraiment très fort dans ces journées autour des cafés éthiques c’est la question de l’éthique dont je rappelle, dit-on traditionnellement, c’est une science qui traite des principes régulateurs de l’action et de la conduite morale.

Au sujet des données personnelles, ce qui me semble important, et l’actualité nous le rappelle, c’est qu’on rencontre une étrange alliance des États et des entreprises. Je pense que Pierre-Yves Gosset et moi-même allons assez lourdement insister sur le fait que, autour de l’Internet et du numérique, il se produit des représentations, il se produit des croyances, parfois des vérités — mais ce n’est pas souvent le cas — qui font que, en fait, ce qu’on pourrait appeler notre carte politique, par exemple en France gauche/droite, etc., est particulièrement brouillée. Je donnerai quelques exemples. En l’occurrence, pour la question des données personnelles, on réalise une étrange alliance entre les États et les entreprises, à l’heure où on n’arrête pas de nous expliquer qu’il faut que L’État arrête de réguler, qu’il se mette en retrait, etc. Ce sont des pratiques qui sont attestées depuis vingt à trente ans, par exemple en Europe et aussi aux États-Unis. Et là où on voudrait imaginer une sorte d’émancipation de l’entreprise par rapport à l’État, on retrouve des alliances tout à fait traditionnelles qui peuvent renvoyer, par exemple, à l’histoire française du 19e siècle et du 20e siècle.

L’autre point que je voudrais peut-être aborder rapidement, c’est la question du profilage qui, effectivement, s’articule assez étroitement avec celle de la surveillance, en disant que profilage et surveillance sont un peu les deux mamelles des industries contemporaines ; en faisant remarquer que - on pourra en parler dans le débat - ce n’est pas quelque chose qui est gravé dans le marbre. C’est-à-dire que j’essayerai d’insister sur le fait qu’une technique est beaucoup plus plastique qu’on peut l’imaginer et qu’il est tout à fait possible d’imaginer un modèle économique qui ne soit pas centré sur la surveillance étroite, exagérée de nos pratiques.

On va se rappeler d’ailleurs, pour les gens qui connaissent l’histoire de l’Internet, que c’est un détournement inattendu des logs, les fameux access logs qui existaient au tout début de l’invention des moteurs de recherche, simplement pour essayer de minimiser les bugs. C’était des logs qui étaient destinés aux informaticiens et non pas à des mesures d’usage.

J’aurai, je pense, la possibilité de rappeler le fait que si on a des facilités, c’est-à-dire que si on profile, voire on surveille aujourd’hui les utilisateurs d’Internet, c’est aussi que c’est facile et que cette facilité découle du statut de l’Internet et de l’informatique qui sont, en fait, des techniques que j’appelle « scribales », c’est-à-dire tout à fait articulées avec de l’écriture. Or, avec de l’écriture on peut faire, et vous le savez puisque vous avez fait je pense presque tous Maths sup et Maths spé, énormément d’algèbre, énormément de maths, mais on a la possibilité de retravailler des objets de manière beaucoup plus simple que dans un strict régime d’oralité.

Peut-être que je pourrais commencer par un point qui me semble aussi très important, c’est la notion de technique. La notion de technique, je vais être très bref, on peut en reparler comme on veut dans le débat, est une notion – ça évolue un peu en ce moment peut-être du fait de l’Internet et du numérique – mais qui est souvent méprisée. Si on se rappelle : on fait de la théorie, par exemple en maths et en physique, et éventuellement on passe aux applications techniques. Si vous êtes en sciences humaines vous avez, en général, historiquement, une sorte de plus grand mépris pour la technique, les techniciens, les ingénieurs. Vous savez très bien qu’on met très souvent ensemble les ingénieurs et les techniciens pour dire « ah oui, ce sont les gens qui appliquent, ceux qui se prétendent experts, etc., mais ce ne sont pas les grands intellectuels, les grands penseurs, etc. » Et cette critique va vous être peut-être adressée encore pendant quelques années.

En fait, si on réfléchit bien, la notion de technique est en lien très étroit avec trois autres notions : la pensée, la culture et l’art.

L’idée que la technique soit en lien étroit avec la pensée, c’est une découverte de Jack Goody qui dit : « Il y a une technique dont on se sert tout le temps, c’est l’écriture. » Si vous regardez, pour aller très vite, dans le détail effectivement, c’est : la technique c’est souvent répétitif, ce sont des recettes de cuisine qu’on applique et, en même temps, il faut apprendre, etc. Et en fait, on ne peut pas imaginer la moindre pensée un peu sophistiquée s’il n’y a pas l’écriture. Par exemple, si vous n’avez pas l’écriture, vous n’avez pas l’électricité, vous n’avez pas les mathématiques et vous n’avez pas Internet. Bon !

Donc ça signale quand même pas mal de changements. Il y a d’autres personnes comme Leibniz, Gilles Gaston Granger, qui ont aussi insisté sur ce point-là.

La technique est aussi étroitement associée à la notion de culture. Il ne faut pas voir la culture comme quelque chose qui s’opposerait à la technique. En fait, la culture, vous avez énormément de gens qui vous le disent, Goody mais aussi Stéphane Vial qui a fait un très bon ouvrage qui s’appelle L’être et l’écran qui est sorti en 2013 ou 2014, qui montre bien, par exemple dans le domaine du design et de la culture générale au sens large, que toutes nos représentations sur l’autre, sur le monde, etc. sont au moins médiatisées par une toute une série d’objets techniques. Regardez par exemple tout ce que vous savez intuitivement, tout ce que le commun des mortels sait sur l’infiniment petit et l’infiniment grand, c’est quelque chose qui ne pourrait pas exister s’il n’y avait pas eu certes la théorie de la relativité, mais aussi énormément de télescopes, de microscopes, etc. Donc ne pas oublier ça, que les techniques, d’une certaine manière, peuvent aider à représenter le monde, voire à le formater d'une certaine manière. Donc on voit un lien fort entre la technique et la culture.

Il y a aussi un lien fort entre la technique et l’art. Pensez simplement à la manière dont la photo, Benyamin en a très bien parlé, a subverti la peinture. Il y avait une peinture soi-disant hautement artistique, mais il y avait aussi une peinture de réplication des notables de la ville, etc., avec des possibilités de détournement, de rabattement sur des choses tout à fait commerciales des fois.

Donc il faut absolument penser que la technique, la pensée, la culture et l’art sont des choses qui sont excessivement liées et je pense que Pierre-Yves Gosset dira « et du coup la politique ! »

Du coup, il faut faire très attention aux gens qui ont tendance à culpabiliser la technique. Les gens qui culpabilisent la technique on va dire, c’est facile, ce sont des technophobes, etc., et il faut se méfier aussi des technophiles.

Les choses sont un peu plus perverses qu’on peut l’imaginer, dans la mesure où vous avez maintenant des mouvements qui veulent produire une critique du numérique et à juste titre – parce que l’université française, par exemple, est particulièrement silencieuse en matière d’esprit critique alors que c’est sa tradition, au moins en sciences humaines – donc qui vont faire une critique du numérique en disant que le numérique est, nativement, par essence, constitutif d’une société de surveillance. C’est-à-dire que globalement vous avez des personnes, et là je le dis clairement, ce sont des personnes qui sont plutôt des bords, des franges de l’extrême gauche et de l’anarchisme, qui ne vont pas critiquer les personnes parce qu’elles surveillent trop, qu’elles ont des goûts militaristes ou qu’elles veulent réduire les libertés des gens, mais c’est parce que ça serait la faute à l’essence de la technique, c’est la technique du numérique.

C’est quelque chose qui est un peu embêtant, parce que si, d’un seul coup, la technique se retrouve intrinsèquement coupable, eh bien, à ce moment-là, la pensée, la culture et l’art sont aussi coupables de quelque chose. Donc faites très attention à cette tendance qui est assez importante à Paris et dans des institutions de type l’École centrale, que je ne citerai pas.

Voilà. Ceci dit je vais maintenant, très brièvement parce que je pense que j’ai déjà presque trop parlé, vous donner le plan de ce dont je pourrais débattre avec vous et avec Pierre-Yves Gosset ; ça pourrait se décrire sous cette forme. Au niveau des traces personnelles qui circulent sur Internet on pourrait peut-être les décomposer entre traces personnelles envoyées et traces personnelles stockées à l’extérieur.

Les traces personnelles envoyées, je voudrais juste évoquer le cas des cookies qui étaient longtemps refusés, qui sont sur-utilisés au point d’être une banalité, c'est-à-dire ça ne choque plus personne ! Si des fois ça vous plaît de récupérer certains logiciels libres, si vous allez sur le site sourceforge.net et que vous prenez un navigateur qui refuse les cookies, sourceforge vous envoie une bannière, avec un joli drapeau bleu blanc rouge, en vous disant : « La législation de votre pays nous oblige à savoir si vous acceptez ou vous refusez les cookies. Cliquez sur OK pour dire que vous acceptez les cookies. » Vous cliquez sur OK et il ne se passe rien parce que, en fait, vous avez refusé les cookies. Énormément de sites vous font ce jeu-là. C’est-à-dire vous acquiescez sur le fait que nous vous adressons des cookies et vous n’avez aucun moyen de contrevenir au système. Alors si, il y en a des solutions, mais c’est un peu compliqué.

Pareil, les traces d’ordinateur, très vite. Je pense que tu en parleras un peu. Dire que ce n’est plus simplement les douze paramètres basiques de la circulation, par exemple par les biais des CGI-BIN3 pour les pages dynamiques ; maintenant avec les préférences et les navigateurs, est-ce que vous utilisez plutôt VLC ou iTunes, etc., on arrive à vous profiler rapidement parmi 1800 boîtes.

Il y a aussi les traces des téléphones qui sont beaucoup plus pernicieuses parce qu’on n’y connaît rien. Et vous avez par exemple Luc Saccavini, de l’Inria [Institut national de recherche en informatique et en automatique] à Grenoble, qui expliquait qu’avec le simple accéléromètre de votre téléphone portable, on peut savoir si vous travaillez ou pas. Par exemple si vous tapez sur un clavier d’ordinateur ça émet des vibrations, etc.

Au sujet des traces stockées, il y a les requêtes adressées aux principaux moteurs de recherche, aux dépôts en ligne comme Google Docs, Dropbox, Flickr, etc. À Gmail qui, dirais-je très rapidement, implique des innocents. Ça veut dire que si vous ne voulez pas que globalement votre mail soit archivé, surveillé, etc., mais que vous envoyez un mail à quelqu’un qui a une adresse Gmail, eh bien vous êtes un peu mal !

Parler éventuellement d’information résiduelle sur les images. Les personnes qui connaissent ExifTool4, on pourra en parler.

Après on pourra évoquer divers acteurs entre l’industrie capitaliste, les informaticiens, les utilisateurs qui des fois sont un peu naïfs.

Insister peut-être sur les représentations et notamment, peut-être dans le débat, repérer un peu des discours et des croyances, par exemple les discours sur l’open et le close data. Là, on est dans quelque chose qui n’est pas très rationnel. En fait, on propose aux États de divulguer les données qu’ils ont agrégées, mais on ne propose jamais ça aux entreprises. Or, si vous voulez travailler sur Internet, essayez de demander à Orange ou à Free par exemple des données assez massives sur leurs réseaux, ils vous diront que c’est propriété privée, etc.

Sur l’histoire des techniques détournées, stabilisées, plastiques, je dirai juste un mot en rappelant qu’il est très aisé de réorienter une technique par le biais de la loi. Je donne des exemples de Feinberg. À un moment, des bonnes âmes se sont dit que c’était quand même sordide de faire travailler des enfants sur des machines à tisser, en 1850, aux États-Unis. Et l’industrie a répondu : « Ce n’est absolument pas possible parce que si ce ne sont plus des enfants qui travaillent, il faut casser nos machines, il faut en refaire d’autres et, du coup, il va y avoir la concurrence, les pays étrangers vont en profiter, etc. » Les Américains ont tenu ferme ; il y a une loi qui a interdit le travail des enfants et, en dix ans, toutes les machines à tisser étaient à hauteur d’homme ou de femme adulte. Il s’est passé des choses analogues pour les portes de sortie des théâtres quand il y avait des incendies ; les moteurs des bateaux du Mississippi qui explosaient trop et on a imposé des régulations pour que ça ne se produise plus ; c’était des centaines de morts chaque fois. Et je pense que, de la même manière, on peut imaginer des lois, au niveau national et international, qui interdisent le commerce du profilage et ne vous inquiétez pas, en l’espace de cinq à dix ans, l’industrie informatique et les industries environnantes sauront s’adapter sans souci.

Après, restera donc les questions sur les informations des dernières années et sur les informations d’aujourd’hui. Je te laisse la parole.

Pierre-Yves Gosset : Merci. Moi, pour commencer, il faut peut-être que j’explique d’où je viens, puisque moi je ne suis absolument pas maître de conférences, donc je n’ai pas du tout le back ground universitaire sur la science des techniques, l’histoire de la science des techniques.

Framasoft est une association d’éducation populaire. Au départ, « fra » et « ma » c’est français et mathématiques. Ça veut dire quoi ? Ça veut dire que nous, notre boulot, c’est d’aller expliquer aux gens, au départ, ce qu’est le logiciel libre. Donc j’imagine, enfin j’espère qu’à l’École centrale vous savez ce qu’est le logiciel libre. En gros, donc, un logiciel qui correspond à quatre libertés : liberté d’utiliser, de modifier, de redistribuer, de partager le logiciel derrière. En gros, on a accès au code source du logiciel et ça permet, justement, là, de mettre en place une espèce de surveillance de qu’est-ce qu’il y dans le logiciel ; qu’est-ce qu’il fait ; qu’est-ce qu’il ne fait pas, etc.

Donc nous qui venons du milieu de l’éducation, nous pensons que le logiciel libre est un bien commun, que ce bien commun est important et essentiel dans une société qui devient de plus en plus numérique : la télévision est numérique, la musique est numérique, les livres commencent à être numériques, votre téléphone, évidemment, on n’est plus sur l’analogique où il fallait faire les numéros à l’ancienne. Et donc, en gros, qui contrôle le numérique a un peu tendance à contrôler la société, donc ça pose des questions éthiques. C’est un peu de ça dont on va parler aujourd’hui.

Et donc Framasoft a, pendant quasiment dix ans, fait la promotion du logiciel libre. Ces dernières années on a vu un certain glissement. C’est-à-dire que les gens téléchargent de moins en moins de logiciels, ils vont les utiliser de plus en plus dans leur navigateur web. Donc ce sont les Software as a Service, le fait d’utiliser du Gmail, le fait d’utiliser des logiciels qui sont, je ne sais pas, de compta voire de retouche d’images, où tout se passe, en fait, directement dans votre navigateur web et où les calculs et le code source est exécuté côté serveur et non plus sur votre ordinateur.

Nous on a vu apparaître ce mouvement-là et ce mouvement-là porte atteinte, quelque part, au logiciel libre, puisque vous n’avez plus le contrôle de ce qui est installé sur votre ordinateur. C’est quelqu’un d’autre qui fait tourner un logiciel pour vous. On peut vous dire que ce logiciel est libre ou pas, le fait est que si vous ne le maîtrisez pas, vous n’avez pas d’assurance. Je veux dire Wordpress, par exemple, est un logiciel libre que vous pouvez peut-être connaître, qui permet de créer et de partager des sites web, de l’information, en tout cas, sur Internet. Et du coup, moi je peux très bien vous dire que j’installe un Wordpress, que ce Wordpress ne vous espionne pas parce que c’est du logiciel libre, etc. Et en fait, rien ne m’empêche de modifier, moi, le code source de Wordpress et de faire en sorte qu’il va agir de façon plutôt néfaste sur votre ordinateur. Donc ça, c’est pour expliquer un petit peu ce qu’on faisait.

Et quand on a pris conscience de ça, on s’est dit que le nouvel « ennemi », entre guillemets, du bien commun qui est le logiciel libre et du modèle qu’on défend, c’est-à-dire un modèle où, finalement, le citoyen a la maîtrise non seulement de ses données, mais de ses logiciels ; et donc c’est en ayant le contrôle de ses logiciels qu’on aura le contrôle de ses données – ça ne sert à rien d’avoir le contrôle des données si vous n’avez pas le contrôle du logiciel – on s’est dit qu’il fallait sans doute avoir une action face à ce qui nous, nous semblait le principal ennemi, c’est-à-dire GAFAM. Donc GAFAM c’est Google, Apple, Amazon, Facebook et Microsoft. On rajoute Microsoft. Dans la presse vous entendrez surtout parler de GAFA. Ils oublient Microsoft parce que Microsoft a une image un peu has been ces dernières années. Bon ! Internet Explorer c’est de la merde, ça ne marche pas ! Windows ça plante souvent ! Etc. Ça ne les empêche pas d’avoir quand même une base d’utilisateurs mondiale qui est quand même absolument phénoménale, mais la presse a tendance à oublier Microsoft parce qu’ils considèrent que ce n’est pas un acteur très important dans cette nouvelle façon d’utiliser l’informatique et d’utiliser le numérique en général. Or, pour nous, Microsoft reste un acteur déterminant : il y Office 365 qui permet d’utiliser la suite Office en ligne ; il y a Outlook, anciennement Hotmail, qui collecte encore aujourd’hui et qui sert à des millions et des centaines de millions d’utilisateurs en termes de boîte mail. Et puis, évidemment, Microsoft ils ne sont pas tombés de la dernière pluie, ils ont vu cette vague venir et ils sont en train de s’y préparer.

Donc pour nous, le principal acteur de cette collecte de données étant Google, on a décidé de lancer une campagne qui s’appelle Dégooglisons Internet qui vise, justement, à sensibiliser le grand public. Encore une fois, je rappelle nous on est association d’éducation populaire, on essaye de sensibiliser le grand public, c’est-à-dire pas forcément vous – vous êtes déjà nettement au-dessus du grand public – en essayant de lui expliquer en quoi la centralisation des données pose un problème ; en quoi le fait que ces organismes et ces institutions, Google Apple Facebook, etc., ne soient pas contrôlées pose de graves problèmes ; et en quoi le fait que ça soit aujourd’hui des puissances financières considérables – je rappelle que la première capitalisation boursière mondiale, ce n’est pas Exxon, ce n’est pas General Motors, etc., c’est Apple. Que la capitalisation boursière d’Apple aujourd’hui, à elle seule, vaut l’ensemble des capitalisations boursières russes, de toutes les entreprises russes sur le marché boursier russe. On est donc avec des entreprises qui peuvent racheter n’importe quelle boîte – et en quoi ça nuit à l’innovation, donc, pour ceux qui s’orienteront plus tard vers l’informatique, quand aujourd’hui, on a tendance à développer des logiciels. Moi, je rencontre aujourd’hui des gens qui montent des boîtes et des start-ups avec comme seul objectif de faire un produit qu’ils vont revendre à ces sociétés-là le plus cher possible. Donc WhatsApp racheté, je crois, 52 milliards. YouTube racheté, à l’époque, ça devait être 12 ou 13 milliards de dollars. Ce sont des montants considérables. Et nécessairement ça induit un biais dans la collecte des données, puisque ces entreprises-là rachètent des petites boîtes qui collectent des données, et on a une espèce d’effet trou noir dans la collecte massive de données personnelles.

Donc on a lancé une campagne il y a six mois qui vise, en fait, je ne vais pas en parler ici ce n’est pas forcément le sujet, mais à produire ou à mettre en avant des logiciels libres qui sont des alternatives aux projets et aux produits de Google, Facebook, etc.

En face de Facebook on a mis en place un logiciel libre qu’on n’a pas développé, qui existe depuis des années, qui s’appelle Diaspora, qui est un réseau social décentralisé et libre. On a appelé du coup notre réseau social Framasphère et on explique, dans une démarche d’éducation populaire, via des tutoriels, comment est-ce que vous, je ne sais, l’École centrale peut installer un Diaspora pour permettre aux étudiants de l’École centrale Lyon et potentiellement d’autre écoles, d’avoir un réseau social qui soit indépendant de celui de Facebook, où vous contrôlez vos données, où vous êtes sûrs que vous ne serez pas réutilisés, enfin que vos données ne seront pas réutilisées, et que vous avez le contrôle sur non seulement, du coup, vos données, mais aussi sur le logiciel. C’est-à-dire que si demain Facebook décide de tout afficher à l’envers, ce n’est évidemment pas dans leur intérêt, mais ils peuvent le faire, et vous n’avez absolument pas de contrôle là-dessus.

Je ne sais pas combien de temps il me reste, mais juste pour finir l’introduction. On s’est aperçus et là, du coup, on est en plein dedans, que l’ennemi n’était pas forcément là, puisque vous n’êtes pas sans savoir qu’il y a un projet de loi renseignement qui est en discussion, qui va être voté, probablement ce soir, à une immense majorité. Et ça nous pose un certain nombre de soucis en tant que militants du logiciel libre. À titre personnel, je suis aussi militant dans une association qui s’appelle La Quadrature du Net5 qui vise, justement, à défendre les libertés pas seulement numériques, parce que là on voit bien que via la technique, on accède à des domaines et à des pans de la société qui dépassent largement le cadre du numérique. Quand on est capable de repérer où est-ce que vous êtes géolocalisé, si on laisse les services de renseignement dire on va géolocaliser l’ensemble des personnes qui sont, je ne sais pas, à une manifestation, qui ils ont appelé, etc., on est bien d’accord que là on est dans quelque chose qui est politique et qui n’a rien à voir avec la technique.

Vous êtes un petit peu des privilégiés dans le sens où vous avez vous la capacité, encore une fois suivant les options d’informatique que vous êtes amenés à suivre, vous avez la capacité de comprendre comment se fait ce dispositif de collecte, ce qui n’est pas le cas de M. et Mme Michu. Alors nous on les appelle les Dupuis-Morizot parce que les pauvres M. et Mme Michu ils doivent en avoir un peu ras le bol, donc M. et Mme Dupuis-Morizot, forcément, n’y pannent que dalle à ce type de problématique. Et on pense que c’est pourtant très important de sensibiliser les gens et de dire, contrairement à ce que nous dit le gouvernement, je vais essayer de ne pas être politisé aujourd’hui, mais on a un gouvernement qui dit à la télé, dans les médias, etc. : « Non, ce n’est pas de la collecte généralisée ; non, ce n’est pas de la surveillance généralisée ». Et je pense que vous êtes suffisamment au fait des choses, et je peux rentrer dans le détail un petit peu technique, de savoir ce que c’est. Voilà, je ne sais pas, les communications sur Internet reposent sur le modèle OSI6, qui lui-même est divisé en sept couches : vous avez la couche matérielle, la couche réseau, etc., et on arrive sur une couche applicative et quand un gouvernement vient nous dire : « Non, non, mais on ne surveille que les métadonnées ! » Vous ne pouvez pas surveiller les métadonnées, en gros vous ne pouvez pas surveiller l’adresse de la carte postale sans la différencier du contenu de la carte postale. C’est-à-dire que quand on envoie une carte postale à quelqu’un, quand le gouvernement dit : « Non, non, mais nous on ne lit que d’où elle vient. En gros on regarde le timbre de la poste, on regarde qui est le destinataire, éventuellement qui l’a écrite, en gros d’où vient le mél et quelles sont les métadonnées de ce mél », vous ne pouvez pas faire ça, si vous ne regardez pas, si vous ne séparez pas les métadonnées du contenu. Ça veut dire que vous avez accès au contenu !

Donc quand on vient nous dire « nous n’avons pas accès au contenu », c’est faux !

Donc là, j’espère que des étudiants en école d’ingénieur peuvent comprendre ça. Et dire, derrière, mais c’est la machine qui traite, etc., ce n’est pas parce que c’est une machine qui torture quelqu’un que ce n’est pas de la torture. Ce n’est pas parce que c’est une machine qui surveille les gens que ce n’est pas de la surveillance généralisée.

Voilà. C’est un peu brouillon comme introduction, mais vous aurez compris la protection des données personnelles. D’autant plus si les gouvernements ont accès à des données, justement, ce dont parlait Éric Guichard tout à l’heure, une espèce de collusion État/entreprise et, en gros, si vous pouvez forcer Google ou Facebook à installer des boîtes noires chez eux. Nous, on héberge des centaines de milliers de données, si on prend même des métadonnées, on en héberge des milliards de gens qui sont des particuliers, des entreprises, des syndicats, des partis politiques, etc. Donc ce n’est pas du tout impossible qu’on vienne nous dire, à un moment donné, comme ils veulent le faire là j’ai entendu sur Doctissimo, ils veulent aller poser des boîtes noires dessus aussi, parce que gros trafic, beaucoup d’échanges, qui échange avec qui, quoi, etc.

Et donc on a vraiment cette difficulté à faire comprendre à la population que le numérique permet une surveillance généralisée et que, en tant qu’acteurs du numérique, on voit bien que ce débat n’est pas technique. Quand on enlève du judiciaire d’un projet de loi, ce qui est le cas aujourd’hui, j’y reviendrai si jamais il y a des questions là-dessus, on est bien d’accord qu’on change l’équilibre de ce que doit être une démocratie. Une démocratie, normalement – Montesquieu, j’ai quand même quelques bases sur l’histoire législative – et du coup voilà, on sépare l’État en trois pouvoirs : le législatif, l’exécutif, le judiciaire. Aujourd’hui le judiciaire est, non pas exclu, mais complètement écrasé, à ce moment-là, par un projet de loi sur lequel l’exécutif, c’est-à-dire le Premier ministre, a quasiment tout pouvoir.

Et ce genre de mises en place de projets de loi, etc., sur lesquelles nous on doit faire face depuis longtemps, on espère, enfin moi c’est un peu mon objectif aussi en venant ici, ce n’est pas juste vous parler mais c’est aussi de vous convaincre que vous, en étant sensibilisés à ces questions et en ayant les capacités et les compétences pour savoir ce qu’est un logiciel, qu’est-ce que c’est que compiler un logiciel, qu’est-ce que c’est que du code source, vous serez à même, plus tard, vous-mêmes, de répercuter entre guillemets « la bonne parole » et d’être capables d’être critiques, parce que c’est ça normalement qu’on est censés apprendre à l’école ou à l’université, c’est construire sa pensée critique et donc construire sa pensée critique par rapport à des objets techniques. Ce qui dépasse, effectivement, pour beaucoup, M. et Mme Dupuis-Morizot.

Première question

Est-ce que vous pouvez nous parler plus en détail de la loi qui est votée aujourd’hui ?

Pierre-Yves Gosset : J’ai rencontré il y a trois/quatre jours une députée du Rhône qui, elle aussi, se posait des questions ; je ne citerai pas son nom ; c’est filmé. Quels sont les problèmes que pose cette loi et pourquoi est-ce que nous, et quand je dis nous ce n’est pas un groupe homogène ; quand je dis nous ça peut être des militants du logiciel libre, ça peut être Reporters sans frontières, ça peut être des particuliers, ça peut être juste des gens qui sont sensibilisés à ces questions. Donc moi, j’ai relevé cinq problèmes que posait cette loi. Et la première chose que j’ai rappelée à cette députée c’était que la vie privée ça doit être la règle, et la surveillance l’exception. La vie privée, notamment le droit à une correspondance privée, fait partie de l’article 12 de la Déclaration universelle des droits de l’homme et de l’article 8 de la Convention européenne des droits de l’homme qui, normalement, est censée s’appliquer à la Constitution française, enfin aux constitutions des États de l’Union européenne.

Donc, est-ce que là, déjà, on n’a pas un renversement où on va surveiller tout le monde pour préserver les libertés soi-disant de tout le monde ? C’est ce que nous on a essayé un petit peu de détricoter.

Le premier problème – ils ne sont pas par ordre d’importance – mais pour moi le plus important c’est celui des boîtes noires. Je suis informaticien donc ce qui me pose problème vraiment c’est le côté technique.

Dans les différents problèmes qui ont été listés, le premier c’est que le judiciaire est complètement absent ou en tout cas exclu de cette loi par rapport à l’exécutif. Le gouvernement ou certains médias nous disent : « Non, mais il y a une Commission nationale de contrôle qui va vérifier que le Premier ministre ne fait pas n’importe quoi, etc. »

Cette CNCTR [Commission nationale de contrôle des techniques du renseignement], donc la Commission de contrôle, est composée de six juges du Conseil d’État. Alors les juges du Conseil d’État – c’est bien, ça m’a permis de me remettre à jour sur plein de choses au point de vue du législatif – le juge du Conseil d’État, ce n’est pas un juge classique : c’est un juge fonctionnaire qui est payé par l’État pour rendre effectivement des jugements par rapport à la loi. Donc ces juges du Conseil d’État ne sont pas indépendants du gouvernement ; ils sont payés par l’État. Ce qui n’est pas le cas de juges payés par le ministère de la Justice où on peut déjà présupposer une plus grande indépendance, et puis de six députés et sénateurs de gauche, de droite, etc. Pardon ?

Éric Guichard : Quatre et quatre.

Pierre-Yves Gosset : Quatre et quatre, ça a peut-être rechangé depuis. Toujours est-il que ces députés et sénateurs n’ont aucune idée de ce qu’est un algorithme et que, surtout, quand bien même on leur expliquerait parce que ce n’est pas si compliqué que ça que d’expliquer ce que c’est qu’un algorithme, ils seront évidemment bien incapables d’aller vérifier si le décret qui dit qu’on va modifier l’algorithme pour surveiller le mot Djihad ou le mot Sivens sur les dispositifs de boîtes noires, ils seront bien incapables de dire si l’algorithme qui leur est présenté correspond bien à ce qui est dans le décret. Donc ça pose un vrai problème, pour nous, qu’il n’y ait pas déjà de gens qui soient au fait de ces questions techniques.

La société civile, évidemment, est complètement exclue. Il n’y a pas de juges antiterroristes. Je reviendrai sur le point terrorisme après. Et donc, de toutes façons, quand bien même cette commission de contrôle rendrait un avis, dirait : « Eh bien non, là on pense que potentiellement cette personne n’est pas un terroriste ou n’est pas un zadiste en train de lutter contre l’implantation de l’aéroport de Notre-Dame-des-Landes », nécessairement, l’avis du Premier ministre est supérieur. C’est-à-dire si le Premier ministre dit : « Si, si, moi je pense que c’est important », il signe et la personne sera mise sous surveillance. tr évidemment toutes les personnes qui tournent autour, qui gravitent autour de cette personne pourront être mises sous surveillance. Donc ça c’est déjà, pour nous, un problème.

Deuxième problème : procédure accélérée. Normalement une loi, entre le moment où elle est présentée pour la première fois au Parlement et où elle est définitivement adoptée, donc il y a système de navette parlementaire que vous devez connaître parce que vous êtes encore jeunes et c’est encore frais dans votre esprit, mais ça se passe entre le Parlement, le Sénat, une commission des lois, etc., ça revient au Parlement, donc il y a des amendements qui sont faits entre les deux. Ce processus législatif, pour faire passer une loi, prend en gros six mois, un an, dans une procédure normale. Ici, en procédure accélérée, c’est moins d’un mois. C’est pour ça que la mobilisation – enfin suivant si vous regardez BFM TV ou Rue89 et Mediapart, vous n’aurez pas les mêmes infos – mais c’est qu’on a forcément eu du mal nous, « activistes » avec beaucoup de guillemets, à mobiliser les foules. C’est que le temps a été hyper court entre le moment où on a eu accès à ce projet de loi et le moment où on a pu le lire. On reviendra, Éric reviendra peut-être sur la capacité de rédaction parfois un peu tortueuse de ces lois, mais ça pose un sérieux problème pour nous. On est plutôt informaticiens que juristes ; ce n’est pas simple de lire et de décoder un pavé législatif assez important et de chercher la petite bête, puisque le diable se cache dans les détails.

Donc cette procédure accélérée a quand même été largement critiquée par l’ARCEP ; l’ARCEP [Autorité de régulation des communications électroniques et des postes] c’est le gendarme des Télécoms, en gros, c’est l’autorité de régulation des Télécoms ; ce ne sont vraiment pas des politiques. Ce sont des gens qui vont dire OK, on accepte que Free ait telle bande sur la 4G, etc. Mais ils sont quand même au point d’un point de vue technique et ils ne sont pas politisés. Et donc, que l’ARCEP se prononce contre, déjà c’est louche ! La Ligue des droits de l’homme, le Syndicat national des journalistes, les avocats, de gauche comme de droite. C’est une des rares fois où les syndicats d’avocats de gauche et de droite se mettent d’accord sur le fait que cette loi pose un problème. Le Défenseur des lois Jacques Toubon, la CNIL via Isabelle Falque-Pierrotin ; les juges et surtout les juges antiterroristes. C’est-à-dire que le principal juge antiterroriste français, celui dont tout le monde reconnaît la grande capacité, personne n’a jamais rien eu dire, qui s’appelle Marc Trévidic, a clairement dit dans une tribune du Monde : « Non, cette loi ce n’est pas celle qu’on souhaite nous en tant que juges antiterroristes ». Ça pose quand même un certain nombre de problèmes.

Troisième problème : le champ d’application complètement flou de cette loi, vu qu’elle vous est vendue, à vous citoyens qui allumez la télé le soir, comme une loi antiterroriste alors qu’en fait il y a sept champs d’application différents et ces champs d’application, je vais en citer deux : c’est évidemment la lutte contre le terrorisme, mais ce sont aussi les violences collectives. Si quelqu’un est capable de me définir réellement et précisément ce qu’est une violence collective, je prends !

Les atteintes à la forme républicaine des institutions. Donc là, concrètement, soyons clairs, on vise les zadistes. Si vous êtes contre Notre-Dame-des-Landes, l’implantation d’un Écoparc, enfin soi-disant Écoparc du côté de Grenoble, etc., on peut considérer que vous allez porter atteinte à certaines formes républicaines. Voilà : l’État a décidé qu’on allait installer un aéroport ici, c’est pour le bien de l’État, donc vous, si vous militez contre, vous pouvez être mis sous surveillance.

Les intérêts économiques et scientifiques de la nation. Celle-là, moi elle me fait vraiment marrer. Les intérêts économiques et scientifiques de la nation, dans les débats, les parlementaires qui sont pour ce projet de loi disent : « Mais c’est pour se protéger des Américains parce qu’ils font de l’espionnage industriel et puis ça ce n’est vraiment pas bien ». En fait, c’est pour faire exactement la même chose. Donc c’est de dire ce que font les Américains ce n’est pas bien et donc il faut qu’on puisse faire légalement la même chose. Moi ça me pose un problème. J’espère que ça vous choque un petit peu de dire que quelque chose n’est pas bien et que donc on va faire la même chose.

Donc ce champ d’application, cette loi qui vous est vendue comme une loi antiterroriste, n’est pas une loi antiterroriste. D’ailleurs ça s’appelle projet de loi surveillance et c’est fait pour encadrer les services de renseignement et c’est plutôt une bonne chose. À titre personnel et on est nombreux à souhaiter que les services de renseignement, donc les renseignements généraux, pas généreux, ils sont peut-être généreux dans leur collecte d’informations, les renseignements généraux du coup, donc aujourd’hui la DCRI [Direction centrale du renseignement intérieur devenue DGSI, direction générale de la Sécurité intérieure en 2014, NdT] et d’autres institutions de ce type-là, c’est évident qu’il faut encadrer la façon dont ils font collecter l’information. Ce que demandent les services de renseignement, lorsqu’ils envoient un agent poser un mouchard sous une table dans un restaurant ou mettre un téléphone sur écoute, c’est que, quelque part, on leur en a donné l’ordre, ou qu’ils prennent cette décision parce qu’ils pensent qu’il y a effectivement une atteinte aux intérêts de l’État et donc qu’ils puissent être couverts en disant mais moi je fais mon boulot en tant qu’agent. Et ça, ça nous semble plutôt sain que cette loi encadre ça. C’est-à-dire qu’ils demandent à être protégés, on est plutôt pour.

Mais le fait de, aujourd’hui, la faire passer comme une loi antiterroriste, en procédure accélérée, si vous n’êtes pas nés de la dernière pluie vous voyez bien qu’on profite d’un effet post Charlie pour faire passer une loi.

Quatrième problème : l’efficacité. Ça me semble absolument fou qu’on fasse passer une loi sans se poser la question de l’efficacité de la loi. Lorsqu’on demande aux citoyens de mettre des ceintures dans les voitures, on fait un bilan régulier sur eh bien voilà ça a protégé, potentiellement on est passé de huit mille morts à quatre mille morts. On sait que quand les gens arrivent dans un hôpital après un accident de voiture, la ceinture a aidé ou pas, etc. On est capables de faire une évaluation.

La NSA, donc là c’est merci Edward Snowden, quand des révélations ont été faites de l’ensemble de l’ampleur du programme de surveillance américain, mis en place par le Patriot Act, Patriot Act qui vise, normalement, à ne surveiller que les ennemis extérieurs, c’est-à-dire qu’ils ne sont pas censés surveiller les citoyens américains, la NSA disait : « Le Patriot Act a permis et le renseignement généralisé a permis d’éviter 54 attentats terroristes ». Ça c’était le discours il y a deux ans. Suite aux révélations d’Edward Snowden, on est tombé à treize, et quand je dis « on » c’est le directeur de la NSA, enfin le responsable de la NSA, qui reconnaît devant une commission sénatoriale, oui, en fait ce n’est pas 54, c’est 13. Et là, aujourd’hui, on n’a pas le chiffre exact, mais en fait on parle peut-être d’un ou deux cas dans lesquels ça aurait réellement été efficace et sinon, c’est juste que ça a donné des informations complémentaires aux services de renseignement, mais c’était déjà les services de renseignement qui avaient de l’information sur telle ou telle personne et c’est juste que ça a permis de croiser de l’information, de confirmer de l’information.

Donc est-ce que, sur quelque chose dont on ne sait pas évaluer l’efficacité, on peut permettre une surveillance généralisée ?

Et je vais terminer avec, pour moi, ce qui est la cerise sur le gâteau, c’est la mise en place de boîtes noires. On ne sait absolument pas qui a décidé de rajouter ça dans le texte. Ce ne sont pas les services de renseignement. Encore une fois, les juges antiterroristes disent : « Non, mais on ne va pas rajouter du foin dans la botte de foin pour trouver la paille ; ça ne va pas nous aider ! Ce qu’il nous faut ce sont des moyens humains ; il nous faut des humains pour aller regarder à l’intérieur ». Et ça pose un vrai problème d’efficacité, d’évaluation de cette loi. Et cette surveillance généralisée est pour nous mise en place par ce dispositif technique de boîtes noires. S’il n’y avait pas cette question des boîtes noires, je trouverais que c'est une loi mal foutue, mais ce ne serait pas la première, ce ne serait pas la dernière. La procédure accélérée, on l’a vu, si vous avez suivi un petit peu les projets législatifs de ces derniers temps, la loi sur la santé, elle aussi, a tendance à passer en procédure accélérée, etc. Donc il y a un changement de la façon dont les députés et dont le gouvernement fait passer des lois, peut-être parce que les élections arrivent et que, du coup, ils essayent d’en faire passer maximum. À titre personnel je trouve que ça poserait déjà moins de soucis. Ça poserait des problèmes démocratiques, mais on ne serait pas nécessairement dans une surveillance généralisée.

Or, ce dispositif de boîte noire, je terminerai là-dessus, qu’est-ce que c’est ? Ça revient, en fait, à aller poser – encore une fois je ne connais pas votre niveau en informatique, etc. – ça revient à aller poser, en gros, des routeurs sur les dispositifs, enfin sur l’infra réseau d’hébergeurs, donc ça peut être Orange, ça peut être Free, ça peut être Bouygues ; ça peut être des hébergeurs de sites internet, typiquement OVH, Ikoula ou ce que vous voulez ; ça peut être d’aller surveiller, justement, des gros sites type Doctissimo, vu que là ce sont les dernières rumeurs qui sont sorties il y a 24 ou 48 heures, donc je ne confirme pas, mais potentiellement, ça veut dire qu’on va mettre un matériel dans lequel il y a un algorithme. J’adore ! Quand on est informaticien et qu’on vous dit : « C’est un algorithme qui va chercher », non ; l’algorithme ne cherche rien ! L’algorithme est écrit par quelqu’un. Le matériel et les puces sont produites par quelqu’un. Vous devez savoir qu’en France, la production de puces électroniques est quand même relativement limitée aujourd’hui. Le gros des puces est produit à l’étranger. Donc qui fait le design de ces puces ? C’est-à-dire qu’on ne va pas mettre juste un routeur Cisco et l’installer. On sait très bien, on remercie encore Edward Snowden, que dans les routeurs Cisco il y a des back doors qui permettent à la NSA de rentrer, de surveiller le trafic de certains routeurs.

Si jamais, demain, on a du matériel et qu’on vient brancher du matériel chez Orange, Bouygues ou Free, quelle est la garantie que ce matériel est propre ? Et là, moi ça me ferait doucement sourire que le gouvernement nous réponde : « Non, non, mais on va avoir des agents qui vont surveiller la chaîne de production 24 heures sur 24 ». Les agents ne sauront pas ce qui est gravé au micron près. On ne va pas savoir qui écrit le logiciel ; on ne pas savoir si la personne qui écrit le logiciel n’est pas soudoyée par un gouvernement tiers. En gros, pour moi, ça revient au système de vote électronique. Le jour où on vous dit qu’on remplace les urnes avec le bout de papier par des urnes électroniques, en tant qu’ingénieurs, flippez ! Ça voudra dire qu’on laisse le pouvoir à un technicien – et ce n’est pas du tout péjoratif dans ma bouche, j’en suis un – mais on laisse le pouvoir à un technicien de décider. Finalement, quand on appuie sur le bouton A, on sort le papier « vous avez voté pour le candidat A », mais qu’est-ce qui vous prouve que c’est bien le candidat A qui a été enregistré ? Est-ce que dans la récupération et la transmission des données entre chaque boîte noire, entre chaque boîte à voter électronique qui va être dans chaque bureau de vote, nécessairement, il n’y a pas de détournement d’informations, de modification d’informations ? Vous devez être suffisamment au fait des choses pour vous dire que oui, à tous ces endroits-là, il peut y avoir un problème. Je ne dis pas que la bonne vieille urne avec les assesseurs c’est nécessairement parfait, mais j’ai beaucoup plus confiance dans ce système-là que dans un système de vote électronique.

Et donc, le fait qu’on vienne me dire : « Non, non, mais ces boîtes sont produites par le gouvernement, écrites par le gouvernement, contrôlées par le gouvernement », en dehors même du côté 1984, moi ça me fait doucement sourire qu’un gouvernement dont François Hollande se fait écouter par les services allemands, dont le téléphone privé d’Angela Merkel est mis sur écoute, puisse croire que les gens qui sont capables de ça ne sont pas capables de détourner une boîte noire, puisqu’il ne va pas y en avoir qu’une, il va y en avoir probablement des dizaines, voire des centaines.

Donc dire que la collecte n’est pas généralisée et sûre, c’est faux !

Et enfin je termine, du coup je reviens sur la protection des données personnelles. On vous dit que cette collecte est anonyme. À quoi servirait une collecte anonyme ? Si elle est 100 % anonyme, ça ne marche pas ! Si vous savez que quelqu’un dit : « Je vais faire un attentat » et que vous ne savez pas qui, ça n’a aucun intérêt ! Nécessairement cette collecte n’est pas anonyme. Alors OK, on peut peut-être supprimer un certain nombre de données totalement personnelles, le nom et le prénom. Du coup, Éric donnait un très bon exemple avec les téléphones. Aujourd’hui, quand je suis venu, mon téléphone est géolocalisé par mon opérateur téléphone – à la limite je suis même géolocalisé par Google parce que j’ai un téléphone Android – mais quand bien même je désactive la géolocalisation, soi-disant désactivée, parce que OK, j’ai désactivé l’option, mais rien ne me prouve que Google ne continue pas à récupérer des données, mais mon opérateur téléphonique sait où je suis. Donc j’ai beau passer en mode avion là, quand j’appuie sur le mode avion, est-ce que vous avez tous des appareils qui permettent de vérifier qu’on n’envoie plus de données. Le mode avion, je suis désolé, c’est une image, c’est un bête gif, ou un bête png, sur lequel on appuie et, du coup, ça vous dit : « Vous êtes en mode avion ». Prouvez-moi que c’est vraiment du mode avion ! À moins d’être ingénieur, vous ne pouvez pas !

Donc dire que la collecte est anonyme, on se fiche de vous ! Nécessairement on va recroiser des données et ça pose un dernier problème selon moi, c’est qu’il n’y a plus de professions protégées. Jusqu’à présent les parlementaires, les avocats, les lanceurs d’alerte étaient protégés. Clairement, si on accepte la mise en place de ce type de projet de loi, ça ne sera plus le cas, vous n’aurez plus d’affaires qui sortiront et notamment plus d’affaires sur le gouvernement. Voilà moi les cinq problèmes que j’ai identifiés sur la loi.

Deuxième question

Si vous ne voulez pas être repérables, mettez votre téléphone dans du papier d’aluminium.
Ma question est sur le point un. Si la loi s’oppose à la Constitution européenne, il n’y a pas une chance qu’elle soit, après acceptation, retoquée par le Conseil constitutionnel ?

Pierre-Yves Gosset : Oui. C’est ce qui vient de se passer plus ou moins, je ne voudrais pas dire une bêtise, en Slovaquie, puisqu’ils avaient fait passer une loi aussi de collecte assez massive d’informations personnelles et, du coup, l’Europe a dit non. Le problème c’est le délai. Et le problème c’est le poids du pays. C’est le cas aussi, je crois, aux Pays-Bas sur lesquels une loi qui portait relativement atteinte à la liberté personnelle des citoyens des Pays-Bas posait un certain nombre de problèmes et l’Europe a dit non.

Le problème c’est que l’Europe fait plutôt bien son boulot, et ça veut dire qu’ils prennent du temps. Si pendant deux ans on a de la collecte d’informations, eh bien je vous laisse imaginer qui peut être président ou présidente en 2017 et qui pourrait dire à ce moment-là : « Non, mais en fait la décision européenne ne va pas venir chez nous en France enlever les boîtes noires, donc on va les garder. » Et c’est potentiellement – encore une fois je ne cherche pas du tout à politiser le débat – mais si le Front national devait être élu en 2017, sachant la position que le Front national a sur l’Europe, la décision de la Cour de justice de l’Union européenne, ils s’assiéront dessus bien gentiment.

Donc l’Europe pourra bien dire non ce n’est pas bien. Donc voilà, pour l’Europe.

Troisième question

On a déjà eu il y a 40 ans ce genre de débat sur les écoutes téléphoniques, au final la technologie a changé, est-ce que le débat éthique est vraiment différent ? Est-ce que les questions qui ont été plus ou moins tranchées sur les écoutes téléphoniques il y a 40 ans peuvent s’appliquer aujourd’hui ?

Pierre-Yves Gosset : À ce moment-là on surveillait. Quand François Mitterrand faisait des écoutes téléphoniques, il surveillait quatre/cinq journalistes. Pardon ?

Public : C’est un problème de masse ?

Pierre-Yves Gosset : Le problème c’est qu’on renverse : pour moi d’un point de vue législatif et judiciaire et moral, on est tous présumés terroristes. Il y avait un problème d’éthique à l’époque, puisque c’est, encore une fois, un président, un Premier ministre, en tout cas des services de renseignement qui mettent sur écoute des gens qui ne devraient pas l’être. Edwy Plenel était mis sur écoute soi-disant parce qu’il était un agent de la CIA. Bon ! Aujourd’hui, 20 ans après, on voit bien qu’a priori Edwy Plenel n’est pas un agent de la CIA. Mais ça permettait de le mettre sur écoute. Sa femme était mise sur écoute parce qu’on disait que c’était sa secrétaire, alors qu’en fait non, c’était sa compagne. On détourne un peu la loi et puis on l’arrange. Ça pose des problèmes éthiques, oui.

Mais c’est pour nous, pour répondre à ta question, beaucoup plus vaste comme sujet vu qu’on va surveiller potentiellement 65 millions de Français pour, c’est ce qu’on nous dit, mieux surveiller 1000 à 3000 potentiels terroristes, alors que le champ de cette loi permet de faire bien plus. Sur les 65 millions de Français, on a tous quelque chose à cacher. Et ce qu’on a à cacher n’est pas forcément quelque chose d’illégal, mais ça peut être quelque de honteux ; ça peut quelque chose de très personnel, ça peut être son orientation sexuelle ; ça peut être, je ne sais pas, son passé, le fait qu’on ait été adopté. On a tous quelque chose à cacher !

Et vraiment, partir du principe qu’on va pouvoir surveiller tout le monde et collecter des métadonnées, ces métadonnées en apprennent plus que le contenu. Peu importe qu’on capte le contenu du sexto : à partir du moment où vous envoyez 50 SMS à une personne dont on sait qu’elle est de genre féminin – pour peu qu’on respecte la proportion hétéro-homo – du coup nécessairement on va se dire tiens il envoie des textos à trois heures du matin, ils en échangent 40 en un temps relativement court, il n’y a pas besoin d’être ingénieur à la NSA pour savoir ce qui peut s’échanger.

Donc on a nécessairement renversé les choses et on est tous présumés, vous êtes tous présumés terroristes !

Quatrième question

On n’aurait jamais accepté que tous les téléphones soient mis sur écoute, nos conversations écoutées par une batterie d’experts il y a 15 ans. Aujourd’hui, personne ne s’y intéresse… Est-ce un problème de communication et que la loi va passer en vitesse ?

Pierre-Yves Gosset : Moi je pense vraiment que le fait de passer en procédure accélérée et que les médias ont mis longtemps à se mettre dedans – et longtemps ça veut dire ils ont mis 15 jours quoi – mais parce que c’est un débat compliqué. Et quand vous avez le gouvernement qui vous dit : « Mais non, on ne va pas faire, si je me fais mon Bernard Cazeneuve, ne vous inquiétez pas ce n’est pas du tout de la collecte généralisée. On va faire de la collecte ciblée, voire hyper ciblée, parce qu’on ira repérer uniquement le terroriste sur tel ou tel mot-clef qui renverra, du coup, de l’information à nos agents qui en feront de l’analyse, etc. » Et on te noie sous ce discours-là ! Mais, encore une fois, si on met une boîte noire qui va surveiller ! Enfin, c’est un bête problème technique ! Ce qui me permettra de faire la transition, de donner la parole à Éric, c’est un bête problème technique. Quand vous surveillez un flux de données pour aller piocher des métadonnées, vous devez surveiller l’ensemble des données ; c’est aussi con que ça !

Là, pas besoin d’être ingénieur. N’importe quel étudiant va comprendre que suivant ce qu’est Internet, on pourrait prendre la même chose en mécanique des fluides, si vous voulez surveiller telle particule d’eau dans un tuyau dans lequel passe de l’eau, il faut surveiller tout ce qui passe dans le tuyau.

Et ça, cette chose-là, elle est un petit peu compliquée à faire comprendre au grand public. Elle a été compliquée à faire comprendre aux journalistes. Et le temps qu’on leur explique et qu’ils fassent : « Ah ! Mais merde ! Ça veut dire que moi, en tant que journaliste aussi, on va me mettre sur écoute ! » Voilà ! Donc il y a un problème de décalage. Si la loi ne passait pas en procédure accélérée, je suis certain que dans huit mois, elle n’aurait pas été votée. Là je Je suis certain que ce soir elle va passer avec 500 députés qui vont voter pour. Et ça pose le problème, du coup, du rapport entre l’État et les citoyens.

Cinquième question

Vous avez insisté tout à l’heure sur la notion de technique maîtrisée. On a beaucoup copié sur la facilité et l’assurance technique, mais moi je me demande si finalement ce n’est pas un problème de riches cette histoire de sciences des données, de sensibilité par rapport à la science des données. C’est-à-dire que ceux qui s’inquiètent de l’assurance de leurs données, ce sont ceux qui ont les moyens de s’en protéger. Moi je vais voir pour vous si on nous catégorise pas pour notre culture et on va l’accepter de pouvoir être surveillé comme on est déjà surveillés sur nos boîtes mails perso et nos géolocalisations, sans problème en fait ?

Éric Guichard : Je peux ?

Pierre-Yves Gosset : Oui, oui, vas-y. Je me suis un peu emballé. Excusez-moi. La passion !

Éric Guichard : Ça fait quelques minutes que j’avais envie de vous citer quelques lignes qui sont de M. Peuchet, qu’on trouve dans l’Encyclopédie méthodique publiée en 1790. C’est quelqu’un qui se bat contre la « burocratie » ; il écrit ça b, u, r, o, etc. « Ne frémit-on pas quand on voit parmi les objets livrés à la police l’ouverture des lettres, cette infraction de la confiance et de la foi publique. Ne peut-on penser quand on sait que la dispensation des ordres arbitraires est attribuée aux mêmes commis qui ont des maisons de force dans leurs départements » etc.

C’est très intéressant de voir que ce débat n’est pas que d’actualité. Et pour répondre à votre question, à un moment Peuchet dit : « Mais ceux qui ont voulu en abuser, donc de cette surveillance, en ont eu toute impunité. Ils sont juge et partie dans leur propre cause. La crainte retient le citoyen qui voudrait se plaindre. Note : je prierais mes lecteurs de bien vouloir faire encore remarquer que les désordres que produit la « burocratie » de la police sont bien moins sensibles parmi les gens riches ou puissants que chez le peuple. C’est là que tout l’odieux de ce gouvernement se fait sentir. C’est le peuple qui supporte tout le poids de ce fléau, qui souffre sans savoir, etc. »

C’est-à-dire qu’on pourrait dire, effectivement, à la fois ce sont des plaintes de riches et d’instruits que de dire qu’on ne veut pas qu’il y ait une surveillance généralisée, mais, en même temps, ce sont ces personnes riches et instruites qui vont pouvoir détourner la loi. Ça veut dire que si vraiment on sait à peu près comment se passent les choses, on peut d’abord commencer à crypter des données, à les faire circuler par des réseaux. Ça va ralentir la transparence, l’accès transparent à nos données personnelles. Mais sinon on se dira, comme on se dit assez souvent, ça donne au moins du fil à retordre au policier qui est derrière.

L’idée qu’on puisse imaginer une sorte de transparence tous azimuts, parce que ça serait un ordre normal de la société, je n’en suis pas tout à fait d’accord. Mais auparavant je voudrais faire quelques remarques, certaines évoquées d’ailleurs tout à l’heure, sur l’efficacité de la loi, sur la question des faux positifs. Quelqu’un dans Mediapart disait : « Mais si nos algorithmes arrivent à repérer 99 % des terroristes, séparer le bon grain de l’ivraie à 99 %, il reste 1 % d’erreur. » 1 % d’erreur, pour la France entière, ça fait 600 000 personnes surveillées abusivement. Ça fait beaucoup !

Je voudrais juste prendre un exemple. Supposez qu’à mes étudiants je dise : « On va faire une analyse syntaxique des discours médiatiques sur le terrorisme et sur la surveillance sur Internet. » Je vais être obligé d’utiliser un stock de mots-clefs qui vont faire que wouf, directement ça va me tomber dessus.

Le deuxième point que je voudrais signaler, c’est qu’on est toujours dans l’idée qu’on n’est pas coupable, ça ne s’adresse pas à nous, etc. Je vais donner, ce serait presque du off, les informations d’un ami, à l’étranger, dans un pays qu’on pourra appeler une dictature et qui envoie des lettres, notamment à Amnesty International et qui les relaie pour expliquer ce qui s’est passé hier et avant-hier dans telle ville, etc. Ça circule. Moi, c’est par un autre biais. Il envoie des pdf, vous pouvez tout de suite trouver son nom, et pourtant il anonymise ses rédactions.

Donc ce que je veux dire c’est que par solidarité, par des formes d’altruisme, on est directement visés et on est des dangers potentiels pour les personnes qu’on voudrait protéger.

Si je lis un peu plus en détail le texte de loi, il faut que je le retrouve, c’est tout à fait explicite : « Peuvent être autorisées les interceptions de correspondance des personnes appartenant à l’entourage de la personne visée et susceptibles de jouer un rôle d'intermédiaire, volontaire ou non, pour le compte de celle-ci ou de fournir les informations au titre de la finalité faisant l’objet de l’autorisation. »

Évidemment, on va dire à un journaliste qui veut prendre rendez-vous avec Assange, tout de suite, repéré ! Mais peut-être tout simplement la personne qui travaille dans l’hôtel qui va accueillir le journaliste, hop, repérée ; indirectement elle peut donner des informations.

Et ça me gêne un petit peu de voir que globalement on est tous vraiment menacés et là c’est le texte de loi, ce n’est pas moi qui dis ça, alors que s’il y a vraiment des gens à protéger, ce sont nos pauvres policiers. Je cite : « En premier lieu les agents des services spécialisés de renseignement demeurent exposés à des risques pénaux injustifiés. En deuxième lieu l’absence de règles claires approuvées par le Parlement en matière de renseignement favorise les suspicions infondées sur l’activité des services spécialisés et fragilise leur action. »

Ça veut dire que globalement, je ne sais pas, et je pense que je n’exagère pas, vous voulez d’un seul coup vous montrer solidaire d’un militant ukrainien ou d’un autre pays et vous exposez cette personne en même temps que vous êtes menacé. Et en revanche, la loi dit expressément qu’il faut absolument protéger le pauvre policier qui travaille sans filet quand il essaye de poser les micros chez vous. Je trouve que ce n’est pas vraiment fabuleux !

Alors après, quant à l’idée qu’on a droit, après tout on est passé d’un régime historique où le sens de la vie privée, du secret, commence à se diluer dans un régime où il y a une transparence totale, etc., moi j’ai envie de dire deux choses.

La première chose c'est, et là on va oublier le cas de l’État pour passer plutôt au cas de l’industrie de l’Internet, vous acceptez qu’on vous filme quand vous vous douchez en échange du don d’une savonnette ? C’est ce qui se passe en ce moment. Ouais, je veux dire les cas limites et je n’ai pas pris le plus… On peut en trouver des pires, vous voyez ce que je veux dire ! Donc là, il y a quand même un problème. Et comment ça se fait qu’il y ait des choses auxquelles je n’aie pas accès, moi ? Ça veut dire comment ça se fait que si je demande à Orange ou à Google de me donner toutes les informations que cette entreprise a sur moi, on me dit : « Ah non, c’est interdit ; c’est interdit par la loi. »

Donc je crois que l’idée de la transparence pour le grand public est une idée qui fonctionnerait si elle était proprement universelle.

Qu’après il y ait des déplacements des relations entre ce qu’on va appeler la sphère publique, la sphère privée, ça, on peut en parler. Mais la chose sur laquelle je voulais insister c’est qu’il y a quand même un renforcement de ce qui est la sphère privée, mais de quoi ? Des entreprises, de l’activité scientifique.

« Les services spécialisés peuvent recueillir des renseignements relatifs, c’est le point 3, aux intérêts économiques et scientifiques essentiels de la France. » Et effectivement, le point 7 « relatifs à la prévention des violences collectives de nature à porter gravement atteinte à la vie publique ».

Et ça c’est effectivement, on avait déjà vu ça, une loi un peu analogue, et ce sont les journalistes qui se sont battus pour qu’elle ne soit pas votée, très récemment. C’est tout le problème des lanceurs d’alerte, des anti-totalitaires, etc. C’est vous commencez par exemple à être quelques-uns à évoquer par mail la loi que nous critiquons aujourd’hui, ou à vouloir vous réunir ou, pire, éventuellement Place Bellecour, etc., tout de suite vous êtes des cibles.

Donc faisons très attention et ça, ça permettra mais je vais laisser place au débat et on peut rebondir sinon, de profiter de ces questions sur l’éthique, sur les lois française, américaine, sur les relations entre les entreprises, pour voir de manière un peu plus générale quelles sont nos représentations sur le numérique, sur la technique, sur l’innovation, etc. Et là, on a énormément de choses à apprendre et moi je dis toujours avec humour, on nous explique benoîtement que la technique est fille de la science donc elle devrait hériter de la rationalité scientifique, alors que c’est le domaine dans lequel s’exprime le maximum de religiosité humaine en ce moment. Ça veut dire qu’on est en train de déployer des régimes de croyance, voire de superstition, de magie, par rapport à la technique, qui sont hallucinants.

Et ça c’est quelque chose qui est aussi proprement intéressant et si je voulais, peut-être quand même, un peu introduire une première conclusion parce que l’heure passe. Effectivement, aujourd’hui, va être voté un texte de loi qui est particulièrement menaçant. La question de savoir pourquoi aujourd’hui personne ne réagit alors qu’il y a 40 ans, je me rappelle très bien, il y avait 300 000 personnes pour manifester dans Paris et c’est ça qui a créé la CNIL, CNIL débarrassée d’à peu près tout son pouvoir aujourd’hui. Effectivement, on peut se demander ce qui se passe. Et c’est là que je pense que des activités pédagogiques, militantes, comme celles de Framasoft, mais aussi les vôtres, peuvent être particulièrement prometteuses parce que ce que moi j’appelle la culture numérique, ce que tout le monde appelle la culture numérique, c'est quelque chose de drôlement compliquée, je peux vous l’assurer. J’arrive à y comprendre quelque chose parce que j’ai fait, je pense, des maths, de l’anthropologie et de l’informatique. C’est quelque chose qui est à peu près aussi compliqué que la culture de l’écrit au 13e siècle, c'est-à-dire les gens qui étaient capables de commenter des textes. La culture de l’écrit, au 17e siècle, qui les commente en oubliant un peu la religion, en s’intéressant au livre de la nature. Vous avez des montagnes comme Galilée, Descartes, etc., qui inventent complètement des processus très complexes, qui se mettent par écrit, mais qui nécessitent des apprentissages très forts. La preuve, à l’École centrale on n’y rentre pas à l’âge de quatre ans. Rappelez-vous vos douleurs en Maths sup et en Maths spé. C’est un agrégé de maths qui parle et là, je jubile un petit peu.

Donc on a aujourd’hui une culture numérique qui est l’équivalent de la culture de l’écrit imprimé, mais qui fonctionne avec d’autres systèmes.

Ce qui se passe, qui est assez réjouissant, c’est qu’il y a des gens qui sont au cœur de ce truc-là, ce sont les spécialistes du numérique. Le numérique c’est le nom. Donc en général, ceux ou celles qui ont une culture un peu mathématique et, a fortiori, informatique, baignent un peu là-dedans. Il se passe que ce sont sont aussi, par défaut, les lettrés du numérique. Le seul fait que les principaux opposés à cette loi, au moins sur Lyon vous le voyez, c’est à peu près toutes les associations d’informaticiens, de militants du logiciel libre, etc. Essayez de trouver des syndicats traditionnels, vous n’en avez pas. C’est normal, ils ne comprennent pas !

Donc ce que je pense, et peut-être que après tu compléteras, mais on pourrait conclure là-dessus, les porteurs de la culture numérique c’est vous ! Les érudits façon les historiens du 19e siècle qui étaient un peu les gens qui savaient tout, etc., c’est vous ! Vous êtes à peu près les seuls à avoir cette compétence « scribale » qui manque à énormément de gens.

Le problème, c’est qu’à partir du moment où vous acquérez cette culture technique, ce savoir écrire, vous acquérez automatiquement toutes les choses qui en découlent, c’est-à-dire la capacité à penser, à critiquer, à comparer, à construire une pensée critique. Et ça, c’est quelque chose ! C’est pour ça que je vous remercie aussi d’avoir parlé d’éthique, parce que ça permet de donner une dimension un peu optimiste, c’est-à-dire comment on va façonner le monde. Ça vous donne une opportunité absolument hallucinante. J’ai envie de dire vous pouvez faire comme Larry Page : vous pouvez façonner le monde à votre image. Si vous voulez mettre de l’éthique, si vous voulez faire en sorte que les gens ne soient pas surveillés, qu’ils soient libres, qu’ils vivent, qu’il n’y ait pas seulement une propriété privée, hyper privée, mais aussi des formes de propriété collective qui existent, notamment dans le domaine des savoirs, vous pouvez le faire. Et vous savez, qu’en fait, il suffit de pianoter et d’écrire trois lignes de code. J’exagère un peu, mais il y a des réseaux, il y a des gens, il y a des solidarités, il y a énormément de choses à faire.

Donc je pense qu’effectivement la question c’est développer une réelle culture numérique. Cette culture numérique, on en a conscience, tu l’as bien dit, elle n’existe pas chez les députés, elle existe assez faiblement chez les journalistes. Il faut faciliter son appropriation et son enseignement au sein de l’université dont j’ai dit qu’en Sciences humaines, notamment parce que les gens sont complètement enveloppés sous des logiciels mainstream ; ils ne connaissent pas la différence et ils ont excessivement de difficultés à penser le numérique. Je peux vous assurer : ils me plaquent même comme expert, donc ça en est peut-être une preuve, dirais-je avec humour. Et réintroduire, effectivement, l’éthique ; notamment profiter de tous les discours sur le développement durable qui disent : « Mais attendez on peut construire une société autrement ! » Et là, dans ce domaine vous avez pas mal de gens. Par exemple il y a toute l’histoire des designers qui, en ce moment, prennent langue avec les informaticiens, avec les ingénieurs, pour façonner des nouveaux objets numériques, peut-être plus élégants, plus confortables, plus faciles d’appropriation et peut-être moins soumis, moins introducteurs de surveillance.

Donc, peut-être que la conclusion c’est soyons très vigilants, notamment en sachant dénoncer des lois comme aujourd’hui ou des abus de surveillance et de profilage qui, globalement, font faire fortune à une industrie qui n’est pas très imaginative. On pourrait imaginer des systèmes économiquement viables. Je donne juste un exemple : Mediapart ne fonctionne pas comme Le Monde. Le Monde, quand j'essaye de le regarder, je suis obligé d’utiliser Lynx7, sinon j’ai une publicité invasive, je trouve ça absolument insupportable ! Mediapart il n’y a pas de pub. Ils me cassent les pieds parce qu’ils imposent des cookies, quand même.

Mais surtout rester optimistes, ne pas accuser la technique de tous les maux et partir du principe que l’avenir c’est vous qui en êtes les sculpteurs.

[Applaudissements]

vbernat.png Vincent BERNAT

Fonctionnement de la table de routage IPv4 sous Linux

Le 21 June 2017 à 09:19:33

En bref : Avec une implémentation des tables de routage IPv4 utilisant les tries « LPC », Linux offre de bonnes performances pour la recherche de routes (50 ns pour une vue complète d’Internet). L’utilisation mémoire est de plus très modérée (64 MiB de mémoire suffisent pour 500 000 routes).


Une étape importante du voyage d’un datagramme IPv4 à l’intérieur du noyau Linux est la recherche de la route à utiliser via la fonction fib_lookup(). À partir des informations essentielles concernant le datagramme (addresses IP source et destination, interfaces, …), cette fonction doit fournir rapidement une décision. Quelques unes des options possibles sont :

  • livraison locale (RTN_LOCAL),
  • routage via un intermédiaire fourni (RTN_UNICAST),
  • destruction sans notification (RTN_BLACKHOLE).

Depuis la version 2.6.39, Linux stocke les routes dans un arbre préfixe compressé (commit 3630b7c050d9). Auparavant, un cache des routes était maintenu mais celui-ci a été retiré1 de Linux 3.6.

Recherche d’une route dans un trie

Rechercher une route dans une table de routage revient à trouver le préfixe le plus spécifique correspondant à la destination. Considérons par exemple la table de routage suivante :

$ ip route show scope global table 100
default via 203.0.113.5 dev out2
192.0.2.0/25
        nexthop via 203.0.113.7  dev out3 weight 1
        nexthop via 203.0.113.9  dev out4 weight 1
192.0.2.47 via 203.0.113.3 dev out1
192.0.2.48 via 203.0.113.3 dev out1
192.0.2.49 via 203.0.113.3 dev out1
192.0.2.50 via 203.0.113.3 dev out1

Voici quelques exemples de recherches et les décisions associées :

IP destination Prochain saut
192.0.2.49 203.0.113.3 via out1
192.0.2.50 203.0.113.3 via out1
192.0.2.51 203.0.113.7 via out3 or 203.0.113.9 via out4 (ECMP)
192.0.2.200 203.0.113.5 via out2

Une structure très courante pour rechercher une route est le trie, une structure de recherche en arbre où chaque nœud a son père pour préfixe.

Recherche dans un trie simple

Le trie suivant encode la table de routage exposée ci-dessus :

Simple routing trie

À tout moment, la longueur du préfixe correspond à la profondeur actuelle et le préfixe lui-même correspond au chemin depuis la racine.

Une recherche dans un tel trie est simple. À chaque étape, récupérer le nème bit de l’adresse IPn est la profondeur actuelle dans le trie. Si celui-ci est 0, continuer avec le fils de gauche. Sinon, continuer avec celui de droite. Si un fils est manquant, remonter dans l’arbre jusqu’à trouver une entrée de routage. Par exemple, pour 192.0.2.50, le parcours de l’arbre se termine sur la feuille correspondante. Par contre, pour 192.0.2.50, lorsque le nœud 192.0.2.50/31 est atteint, il n’y a pas de fils à droite. On remonte donc l’arbre jusqu’à trouver l’entrée 192.0.2.0/25.

Ajouter ou retirer des routes est trivial. Du point de vue de la performance, la profondeur étant bornée par 32, la recherche se fait en temps constant par rapport au nombre de routes.

Quagga est un exemple de logiciel de routage utilisant toujours cette approche.

Recherche dans un trie compressé

Dans l’exemple précédent, la plupart des nœuds n’ont qu’un seul fils. Cela entraîne beaucoup de comparaisons bit à bit ainsi qu’un usage sous-optimal de la mémoire. Pour résoudre ce problème, il est possible de compresser les chemins : chaque nœud ayant un fils unique (et n’hébergeant par une entrée de routage) est supprimé. Les nœuds restants gagnent une propriété supplémentaire indiquant le nombre de bits en entrée qui doivent être ignorés. Un tel trie est aussi connu sous le nom d’arbre Patricia ou d’arbre radix. Voici la version avec des chemins compressés du trie précédent :

Arbre Patricia

Parce que certains bits ont été ignorés, une vérification finale est nécessaire pour s’assurer que l’entrée trouvée correspond à l’IP recherchée. Dans le cas contraire, on considère que l’entrée n’a pas été trouvée et on remonte l’arbre pour trouver une route adéquate. La figure ci-dessous montre deux adresses IP qui aboutissent à la même feuille :

Recherche dans un arbre Patricia

La réduction de la profondeur du trie compense la complexité supplémentaire résultant de la nécessité de gérer les faux positifs. L’insertion et la suppression de routes restent relativement aisées.

De nombreux systèmes de routage utilisent des arbres Patricia :

Recherche dans un trie doublement compressé

En plus de la compression le long des chemins, il est possible de compresser certains sous-arbres2. Cela consiste à détecter les sous-arbres densément peuplés et de les remplacer par un unique nœud contenant un vecteur de 2k fils. Ce nœud consomme donc k bits en entrée au lieu d’un seul. Par exemple, voici une version doublement compressée de notre trie précédent :

Trie doublement compressé

Un tel trie est appelé trie LC (level compressed trie) ou trie LPC (level and path compressed trie). Il offre des performances plus élevées par rapport à un arbre radix.

Une heuristique est utilisée pour décider combien de bits un nœud doit traiter. Linux considère que si le ratio du nombre de fils non vides sur le nombre total de fils est supérieur à 50% quand le nœud traite un bit supplémentaire, alors le bit en question est alloué au nœud. Par contre, si le ratio est actuellement inférieur à 25%, le nœud perd la responsabilité d’un bit. Ces valeurs ne sont pas configurables.

L’insertion et la suppression d’une route devient une tâche beaucoup plus complexe mais la temps de recherche est également sensiblement réduit.

Implémentation sous Linux

L’implémentation pour IPv4 existe depuis Linux 2.6.13 (commit 19baf839ff4a) et est utilisée par défaut depuis la version 2.6.39 (commit 3630b7c050d9).

Voici la représentation en mémoire de notre table de routage3 :

Représentation en mémoire d'un trie

Plusieurs structures sont utilisées :

  • struct fib_table représente une table de routage,
  • struct trie représente un trie,
  • struct key_vector représente un nœud interne (quand bits est différent de 0) ou une feuille,
  • struct fib_info contient des attributs partagés par plusieurs routes (comme l’adresse du prochain saut ou l’interface de sortie),
  • struct fib_alias assure le lien entre les feuilles et les structures fib_info.

Le trie peut etre visualisé à travers /proc/net/fib_trie:

$ cat /proc/net/fib_trie
Id 100:
  +-- 0.0.0.0/0 2 0 2
     |-- 0.0.0.0
        /0 universe UNICAST
     +-- 192.0.2.0/26 2 0 1
        |-- 192.0.2.0
           /25 universe UNICAST
        |-- 192.0.2.47
           /32 universe UNICAST
        +-- 192.0.2.48/30 2 0 1
           |-- 192.0.2.48
              /32 universe UNICAST
           |-- 192.0.2.49
              /32 universe UNICAST
           |-- 192.0.2.50
              /32 universe UNICAST
[...]

Pour les nœuds internes, les trois nombres suivant le préfixe sont :

  1. le nombre de bits consommés par ce nœud,
  2. le nombre de fils qui ne gèrent qu’un seul bit,
  3. le nombre de fils vides.

De plus, si le noyau a été configuré avec l’option CONFIG_IP_FIB_TRIE_STATS, des statistiques sur la structure sont disponibles dans /proc/net/fib_triestat4:

$ cat /proc/net/fib_triestat
Basic info: size of leaf: 48 bytes, size of tnode: 40 bytes.
Id 100:
        Aver depth:     2.33
        Max depth:      3
        Leaves:         6
        Prefixes:       6
        Internal nodes: 3
          2: 3
        Pointers: 12
Null ptrs: 4
Total size: 1  kB
[...]

Quand une table de routage est très dense, un nœud peut gérer de nombreux bits. Par exemple, si une table de routage contient un million d’entrées /32 placées dans un /12, un seul nœud interne peut gérer 20 bits. Dans ce cas, la recherche se réduit à récupérer l’élément adéquat dans un tableau.

Le graphique suivant montre le nombre de nœuds internes utilisés par rapport au nombre de routes insérées. Différents scénarios sont envisagés (routes provenant d’une vue complète d’Internet, routes /32 réparties sur 4 sous-réseaux différents avec des densités variées). Lorsque les routes sont denses, le nombre de nœuds internes est très réduit.

Nœuds internes et pointeurs nuls

Performance

À quel point la recherche d’une route est-elle performante ? La profondeur maximale du trie reste limité (environ 6 pour une vue complète d’Internet) ce qui rend la recherche particulièrement rapide. À l’aide d’un petit module noyau, il est possible de mesurer précisément5 le temps utilisé par la fonction fib_lookup() :

Profondeur maximale et temps de recherche

Le temps de recherche est empiriquement lié à la profondeur maximale. Quand la table de routage est densément peuplée, la profondeur maximale est limitée et les temps de recherche sont rapides.

Pour router à 10 Gbps, le budget pour le traitement d’un paquet est d’environ 50 ns. C’est aussi le temps nécessaire pour rechercher une route dans certains scénarios. Il n’est donc pas possible de router à pleine vitesse avec un seul cœur. Toutefois, les résultats restent très bons.

Un autre chiffre intéressant est le temps pour insérer un grand nombre de routes dans le noyau. Linux est également particulièrement efficace dans ce domaine puisque deux millions de routes sont insérées en moins de 10 secondes :

Temps d'insertion

Utilisation mémoire

La quantité de mémoire utilisée est indiquée directement dans le fichier /proc/net/fib_triestat. Cela ne prend pas en compte l’espace utilisé par les structures fib_info. Toutefois, celles-ci sont normalement peu nombreuses (une par saut possible). Comme on peut le voir sur le graphique ci-dessous, la quantité de mémoire utilisée est linéaire avec le nombre de routes insérées, quelle que soit la forme des routes.

Utilisation mémoire

Les résultats sont très bons : deux millions de routes tiennent dans 256 MiB !

Règles de routage

À moins d’être configuré sans l’option CONFIG_IP_MULTIPLE_TABLES, Linux gère plusieurs tables de routage et dispose d’un système de règles pour choisir la table à utiliser. Ces règles peuvent être configurées avec ip rule. Par défaut, il en existe trois :

$ ip rule show
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

Linux va d’abord utiliser la table local et en cas d’échec se rabattre sur main puis default.

Tables par défaut

La table local contient les routes pour la livraison locale :

$ ip route show table local
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1
broadcast 192.168.117.0 dev eno1 proto kernel scope link src 192.168.117.55
local 192.168.117.55 dev eno1 proto kernel scope host src 192.168.117.55
broadcast 192.168.117.63 dev eno1 proto kernel scope link src 192.168.117.55

Cette table est gérée automatiquement par le noyau quand des adresses IP sont configurées. Regardons d’abord les trois dernières lignes. Quand l’adresse IP 192.168.117.55 a été configurée sur l’interface eno1, trois nouvelles routes ont été ajoutées automatiquement :

  • une route pour 192.168.117.55 pour la livraison locale en unicast,
  • une route pour 192.168.117.255 pour une livraison de type « broadcast »,
  • une route pour 192.168.117.0 pour une livraison de type « broadcast » vers l’adresse de réseau.

Quand 127.0.0.1 est configurée sur l’interface de loopback, des routes similaires sont ajoutées. Toutefois, une adresse de loopback reçoit un traitement spécial et le noyau ajoute également le sous-réseau entier à la table local. Cela permet d’utiliser n’importe quelle adresse dans 127.0.0.0/8 :

$ ping -c1 127.42.42.42
PING 127.42.42.42 (127.42.42.42) 56(84) bytes of data.
64 bytes from 127.42.42.42: icmp_seq=1 ttl=64 time=0.039 ms

--- 127.42.42.42 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.039/0.039/0.039/0.000 ms

La table main contient habituellement toutes les autres routes :

$ ip route show table main
default via 192.168.117.1 dev eno1 proto static metric 100
192.168.117.0/26 dev eno1 proto kernel scope link src 192.168.117.55 metric 100

La route default a été mise en place par un démon DHCP. La route connectée (scope link) a été ajoutée automatiquement par le noyau (proto kernel) lors de la configuration de l’adresse IP sur l’interface eno1.

La table default est vide et est rarement utilisée. Elle reste là depuis Linux 2.1.68 en hommage à la première tentative de routage avancé dans Linux 2.1.156.

Performance

Depuis Linux 4.1 (commit 0ddcf43d5d4a), quand les règles de routage ne sont pas modifiées, les tables main et local sont fusionnées en une seule table. Ainsi, il n’y a pas d’impact sur les performances à utiliser un noyau supportant plusieurs tables de routage. Toutefois, dès qu’une nouvelle règle est ajoutée, quelques cycles CPU sont utilisés pour chaque datagramme à l’évaluation des règles. Voici une paire de graphiques démontrant l’impact des règles de routage sur les performances :

Impact des règles de routage sur les performances

La relation est linéaire quand le nombre de règles est entre 1 et 100 mais la pente augmente sensiblement au-delà. Le second graphique met en évidence l’impact négatif de la première règle de routage (environ 30 ns).

Une utilisation courante des règles de routage est la création de routeurs virtuels : les interfaces sont isolées en domaines et quand un datagramme entre par une interface du domaine A, la table de routage A est utilisée :

# ip rule add iif vlan457 table 10
# ip rule add iif vlan457 blackhole
# ip rule add iif vlan458 table 20
# ip rule add iif vlan458 blackhole

Les règles de type « blackhole » peuvent être supprimées si on s’assure qu’il y a toujours une règle par défaut dans chaque table de routage. Par exemple, on peut y ajouter une route par défaut qui rejette silencieusement tout datagramme. Une métrique importante est utilisée pour cohabiter avec une éventuelle route par défaut existante :

# ip route add blackhole default metric 9999 table 10
# ip route add blackhole default metric 9999 table 20
# ip rule add iif vlan457 table 10
# ip rule add iif vlan458 table 20

Pour réduire l’impact sur les performances quand de nombreuses règles de ce type sont utilisées, les interfaces peuvent être attachées à des instances VRF et une unique règle de routage permet de sélectionner la table de routage adéquate :

# ip link add vrf-A type vrf table 10
# ip link set dev vrf-A up
# ip link add vrf-B type vrf table 20
# ip link set dev vrf-B up
# ip link set dev vlan457 master vrf-A
# ip link set dev vlan458 master vrf-B
# ip rule show
0:      from all lookup local
1000:   from all lookup [l3mdev-table]
32766:  from all lookup main
32767:  from all lookup default

La règle spéciale l3mdev-table est ajoutée automatiquement lors de la définition de la première interface VRF. Cette règle sélectionne la table de routage associée à l’instance VRF à laquelle l’interface d’entrée (ou de sortie) a été attachée.

VRF a été introduit dans Linux 4.3 (commit 193125dbd8eb). Les performances ont été grandement améliorées dans Linux 4.8 (commit 7889681f4a6c). La règle de routage générique a également été introduite dans Linux 4.8 (commit 96c63fa7393d, commit 1aa6c4f6b8cd). La documentation du noyau contient des détails supplémentaires sur son utilisation.

Conclusion

Les points à retenir sont :

  • le temps de recherche d’une route augmente très peu avec le nombre de routes,
  • la recherche d’une route parmi des /32 densément distribuées est extrêmement rapide,
  • l’utilisation mémoire est très modérée (128 MiB par million de routes),
  • aucune optimisation n’est effectuée sur les règles de routage.

  1. Le cache des routes était une cible facile pour des attaques par déni de service. Il était également supposément inefficace sur des sites importants bien que j’aie personnellement mesuré le contraire. 

  2. IP-address lookup using LC-tries”, IEEE Journal on Selected Areas in Communications, 17(6):1083-1092, Juin 1999. 

  3. Pour les nœuds internes, la structure key_vector est incluse dans une structure tnode. Cette dernière contient des informations jamais ou rarement utilisées pour une recherche, notamment la référence au père qui n’est généralement pas nécessaire pour remonter l’arbre car Linux mémorise le parent le plus proche dans une variable lors de la traversée initiale. 

  4. Une feuille peut contenir plusieurs préfixes (struct fib_alias est en réalité une liste). Le nombre de « préfixes » peut donc être supérieur au nombre de feuilles. Le système garde également quelques statistiques sur la répartition des nœuds selon le nombre de bits qu’ils consomment. Dans notre exemple, les trois nœuds internes utilisent tous 2 bits. 

  5. Les mesures sont faites dans une machine virtuelle équipée d’un seul CPU. Le CPU hôte est un Intel Core i5-4670K tournant à 3,7 GHz durant les mesures (le gouverneur CPU est configuré en mode performance). Le noyau est Linux 4.11. Une phase de chauffe est suivie par l’exécution chronométrée de 100 000 itérations. La TSC est utilisée pour mesurer le temps pris par chacune des itérations. Le résultat reporté sur le graphique est la médiane. 

  6. Histoire vraie : la documentation de cette première tentative est toujours présente dans les sources du noyau et explique l’utilisation de la classe de routage « default »

20 June 2017

tnitot.png Tristan NITOT

En vrac du mardi caniculaire

Le 20 June 2017 à 16:28:00

Tristan à moto au col du Mont Cenis

En vedette : déclarations tonitruantes et lois liberticides pour avoir l’air de faire quelque chose contre le terrorisme

c’est clair : si les doits de l’homme nous empêchaient de résoudre les problèmes de l’extrémisme et du terrorisme, nous changerons ces lois pour garder les anglais en sécurité  ;

En vrac

quitte à puiser dans la technologie de son époque le modèle d’un gouvernement, pourquoi emprunter celui des plateformes et des start-up ? (…) Après tout, quitte à puiser un modèle dans ce que nous permet la machine, il y a autre chose. Pourquoi ne pas aller voir quelles formes de gouvernement nous pourrions puiser du logiciel libre (“l’Etat logiciel libre”, ç’aurait de la gueule, non ?) ? Ou même du wiki, comme espace de partage et de co-élaboration (“Le wiki-état”, pas non plus, non ?”) ?

Isabelle DUTAILLY

Grammalecte, le retour

Le 20 June 2017 à 14:03:29

Nouvelle campagne de financement participatif pour Grammalecte.

- Culture numérique

april.png Nouvelles April

L'April participe à la Fête des Possibles, du 18 au 30 septembre 2017

Le 20 June 2017 à 13:30:32

Image de la Fête des Possibles

Du 18 au 30 septembre 2017, nous participons avec 60 autres organisations et réseaux de la transition à la Fête des Possibles (nouveau nom de la Journée de la Transition). Plus de 2000 rendez-vous sont attendus aux quatre coins de la France et de la Belgique pour rendre visibles les milliers d’initiatives locales qui embellissent la société et construisent un avenir plus durable et solidaire. Et nous faisons partie de cette incroyable dynamique !

“C’est possible” est le mot d’ordre de la Fête. C’est possible de manger bio et à moindre coût, c’est possible de se déplacer au quotidien sans polluer, c’est possible d'utiliser des logiciels libres, etc.

Nous appelons les Créateurs des possibles, en d’autres termes celles et ceux qui agissent au quotidien, à organiser un rendez-vous pour valoriser leurs initiatives. Tous les formats d’événements sont possibles : atelier participatif, balade urbaine, repas partagé, rassemblement public…

Nous donnons rendez-vous à la rentrée 2017 pour aller rencontrer ces acteurs des possibles près de chez eux. Ce mouvement citoyen global dont nous sommes partie prenante, qui construit jour après jour une société plus juste soucieuse des générations à venir est en forte croissance. Les initiatives citoyennes se multiplient. Il suffit de regarder autour de nous pour nous en rendre compte.

En organisant des rendez-vous près de chez eux, les acteurs locaux (associations, coopératives, citoyens concernés...) donneront un aperçu de cette révolution citoyenne douce qui s’amplifie de jour en jour.

Préparez dès maintenant votre événement et rendez-vous du 18 au 30 septembre dans toute la France et en Belgique pour découvrir et agir !

Voici une vidéo de présentation de la Fête des possibles (1 minute 26 secondes).

Découvrez le site de la Fête des Possibles

19 June 2017

april.png Nouvelles April

Revue de presse de l'April pour la semaine 24 de l'année 2017

Le 19 June 2017 à 17:55:19

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 24

[Numerama] Vous avez un problème avec un DRM? La Hadopi veut le savoir et vous aider

Par Julien Lausson, le jeudi 15 juin 2017. Extrait:
> La Hadopi lance un service qui permet aux internautes de lui signaler un problème avec les DRM, ces mesures techniques de protection fixées aux œuvres au nom de la lutte contre le piratage.
Lien vers l'article original: http://www.numerama.com/politique/267281-vous-avez-un-probleme-avec-un-drm-la-hadopi-veut-le-savoir-et-vous-aider.html

[Le Monde.fr] Lutte contre le terrorisme sur Internet: le flou des propositions d'Emmanuel Macron et Theresa May

Par Damien Leloup, le mercredi 14 juin 2017. Extrait:
> La première ministre britannique et le président de la République ont présenté une série de mesures sans détailler leurs modalités.
Lien vers l'article original: http://www.lemonde.fr/pixels/article/2017/06/14/lutte-contre-le-terrorisme-sur-internet-le-flou-des-propositions-d-emmanuel-macron-et-theresa-may_5144279_4408996.html#link_time=1497433524

Et aussi:
[Le Monde.fr] Terrorisme sur Internet: le plan d’action détaillé de Macron et May en 4 points
[ZDNet France] Contenus illégaux: France et UK plaident pour une responsabilité légale des GAFA

[francetv info] Alexandre Zapolsky, candidat En Marche! à Hyères et jugé en correctionnelle à Toulouse

Par Fabrice Valery, le mercredi 14 juin 2017. Extrait:
> Le candidat dans la 3ème circonscription du Var comparaît mardi 20 juin, 48 heures après le second tour, dans une affaire d'injures publiques et de diffamation contre une société toulousaine. L'entreprise qu'il dirige vient aussi d'être condamnée en appel pour harcèlement moral.
Lien vers l'article original: http://france3-regions.francetvinfo.fr/occitanie/haute-garonne/toulouse/alexandre-zapolsky-candidat-marche-hyeres-juge-correctionnelle-toulouse-1275943.html

Et aussi:
[ZDNet France] Législatives: Mounir Mahjoubi, Alexandre Zapolsky, Bruno Bonnell, Parti pirate
[Industrie et Technologies] Alexandre Zapolsky: un entrepreneur du logiciel libre en tête des législatives dans le Var

Voir aussi:
Législatives 2017 - Pacte du logiciel libre: le deuxième tour, c'est maintenant!

[ZDNet France] Comptabilité: Les autoentrepreneurs devront opter pour des logiciels certifiés

Par la rédaction, le lundi 12 juin 2017. Extrait:
> La nouvelle loi de Finances votée en 2016 prévoit une disposition nouvelle pour les autoentrepreneurs : afin d’éviter la fraude àa la TVA, ceux-ci seront tenus d’utiliser des logiciels répondant aux critères de l’administration. Même s'ils ne sont pas assujettis à cette taxe.
Lien vers l'article original: http://www.zdnet.fr/actualites/comptabilite-les-autoentrepreneurs-devront-opter-pour-des-logiciels-certifies-39853532.htm

Et aussi:
[L'Informaticien] Les auto-entrepreneurs contraints d’utiliser des logiciels certifiés

Pour ce sujet, lire surtout notre analyse qui tient compte des dernières précisions apportées par le gouvernement:
Loi de finances 2016: une doctrine fiscale qui reconnait les logiciels libres mais avec une marge de progression certaine

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

bsibaud.png Benoît SIBAUD

OpenSSH : configuration des algorithmes de cryptographie

Le 19 June 2017 à 16:22:01

Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).

Bannière openssh

Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).

Sommaire

Configuration par défaut après installation sur Debian

La configuration /etc/ssh/sshd_config par défaut après une installation est la suivante :

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key # absent en Stretch
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key # absent en Wheezy
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024 # en Jessie/Stretch et 768 en Wheezy
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin without-password # en Jessie/Stretch et yes en Wheezy
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

Algorithmes par défaut (selon la page de man de sshd_config) :

  • algorithmes de chiffrement :
    • Wheezy : aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,
    • Jessie/Stretch : chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com ;
  • algorithmes d’échange de clef :
    • Wheezy : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,
    • Jessie : curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,
    • Stretch : curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1 ;
  • algorithmes MAC :
    • Wheezy : hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-sha1-96,hmac-md5-96,hmac-sha2-256,hmac-sha256-96,hmac-sha2-512,hmac-sha2-512-96,
    • Jessie/Stretch : umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1.

Évolution du logiciel et correctifs de la distribution

Une partie des modifications vient de la distribution : par exemple, dans le paquet openssh-server présent dans Stretch (en l’occurrence dans le fichier openssh_7.4p1-10.debian.tar.xz), on peut trouver la modification de configuration no-dsa-host-key-by-default.patch qui enlève la génération d’une clef DSA ; plus, bien sûr, les correctifs de sécurité concernant openssh.

Mais la majorité des changements concernant les algorithmes vient de l’équipe openssh elle‐même :

  • la version 6.7 a notamment retiré du choix par défaut les algorithmes CBC et arcfour* ;
  • la 7.2 a retiré du choix par défaut blowfish-cbc, cast128-cbc, arcfour, rijndael-cbc et ceux basés sur MD5 et HMAC tronqué, et ajouté la prise en charge de RSA avec SHA-256/512 ;
  • la 7.4 a retiré du choix par défaut 3des-cbc ;
  • et la récente 7.5 va plus loin en retirant le protocole SSH v1, les algorithmes Blowfish, RC4 et RIPE-MD160 HMAC, en refusant les clefs RSA plus petites que 1 024 bits et en retirant du choix par défaut les derniers CBC.

Test via le site Rebex

Le site de test Rebex fournit pour un serveur SSH accessible publiquement :

  1. les infos techniques brutes et un peu de pédagogie en les catégorisant et en les explicitant (en anglais) ;
  2. une interface Web jolie et explicite ;
  3. une veille technologique et de la pédagogie en classifiant les algorithmes (non sûr, faible, sûr) et en fournissant des explications et des liens (SHA-1 devient obsolète, possible porte dérobée NSA, etc.).

Capture

  • algorithmes d’échange de clefs :
    • diffie-hellman-group-exchange-sha256 et curve25519-sha256@libssh.org sont considérés sûrs,
    • les trois ecdh-sha2-nistp256/384/521 classés « sûrs, mais possible porte dérobée NSA »,
    • diffie-hellman-group14-sha1 et diffie-hellman-group-exchange-sha1 sont considérés faibles,
    • diffie-hellman-group1-sha1 est considéré non sûr ;
  • algorithmes de clefs du serveur :
    • ssh-ed25519 est considéré sûr,
    • ecdsa-sha2-nistp256 est considéré « sûr mais possible porte dérobée NSA »,
    • ssh-rsa est considéré « sûr mais SHA-1 devient obsolète »,
    • ssh-dss « faible et SHA-1 devient obsolète » ;
  • algorithmes de chiffrement :
    • les six de Jessie/Stretch sont considérés sûrs, ainsi que les aes128/192/256-cbc et rijndael-cbc@lysator.liu.se,
    • 3des-cbc est considéré vraiment faible, blowfish-cbc et cast128-cbc faibles et les arcfour non sûrs ;
  • algorithmes MAC :
    • umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com, hmac-sha2-512-etm@openssh.com, umac-128@openssh.com, hmac-sha2-256, hmac-sha2-512, hmac-ripemd160, hmac-ripemd160@openssh.com sont considérés sûrs,
    • umac-64-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com, hmac-sha1, hmac-sha2-256-96 et hmac-sha1-96 sont considérés faibles,
    • hmac-md5 et hmac-md5-96 sont considérés non sûrs.

Test via le site CryptCheck

Le site de test CryptCheck fournit toujours pour un serveur SSH accessible publiquement :

  1. les infos techniques brutes et un peu de pédagogie en les catégorisant (en français) ;
  2. une interface Web jolie et explicite ;
  3. une veille technologique (mais sans explication particulière hormis le détail des algorithmes).

capture CryptCheck

On peut noter que hmac-sha1-etm@openssh.com apparaît en vert/sûr côté CryptCheck, alors qu’il apparaît en orange/faible côté Rebex. L’appréciation des algorithmes suivant les différents acteurs (OpenSSH, Debian, Rebex ou CryptCheck) peut être différente.

Modification post‐publication : après discussion avec l’auteur via IRC, le site classe désormais diffie-hellman-group14-sha1, hmac-sha1-etm@openssh.com et hmac-sha1 en rouge. Merci aeris.

Test avec le client OpenSSH

Par rapport aux deux sites précédents, il est possible de récupérer les infos techniques brutes facilement soi‐même avec un simple client OpenSSH (mais sans la belle interface, les couleurs et les explications) :

$ ssh -vv example.com -p 22
…
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4+deb7u6
…
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
debug2: host key algorithms: ssh-rsa
debug2: ciphers ctos: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
…
debug2: MACs stoc: hmac-ripemd160,hmac-sha2-256,hmac-sha2-512,hmac-sha2-512-96
debug2: compression ctos: none,zlib@openssh.com

Test avec SSHScan

Le projet SSHScan fournit un outil de test en ligne de commande sous licence MIT (merci à Walter de l’avoir pointé en commentaire).

$ python sshscan.py -t example.com
…
    [+] Detected the following ciphers: 
…
    [+] Detected the following KEX algorithms: 
…
    [+] Detected the following MACs: 
…
    [+] Detected the following HostKey algorithms: 
            ssh-rsa                              ssh-dss                              
…
    [+] No weak ciphers detected!
    [+] Detected the following weak KEX algorithms: 
            diffie-hellman-group14-sha1          ecdh-sha2-nistp384                   
            ecdh-sha2-nistp256                   ecdh-sha2-nistp521                   


    [+] Detected the following weak MACs: 
            hmac-sha1                            hmac-sha1-etm@openssh.com            
            umac-64                              umac-64-etm@openssh.com              


    [+] Detected the following weak HostKey algorithms: 
            ssh-dss                                                                   


    [+] Compression has been enabled!

Test avec l’outil ligne de commande CryptCheck

L’outil utilisé pour le site CryptCheck est disponible sous AGPL v3+. Merci à Aeris qui l’a signalé dans ce commentaire.

Capture cryptcheck en CLI

Conclusions

Voici donc ce que l’on peut déduire de cette analyse :

  • tenir son openssh-server (et ses dépendances) à jour vis‐à‐vis des correctifs de sécurité ;
  • profiter des changements de distribution pour renouveler les clefs SSH des serveurs avec une longueur et des algorithmes adaptés, plutôt que de les conserver telles que ;
  • la configuration de la distribution était peut‐être très bien lors de sa sortie, mais elle va nécessiter d’être révisée plus tard si l’on veut renforcer la sécurité ;
  • Mozilla fournit un guide de configuration (l’ANSSI aussi) pour faire le tri entre les algorithmes et ne garder que les meilleurs (choisir les bons paramètres HostKey, Ciphers, MACs et KexAlgorithms. Par exemple Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr. Contrairement au choix des algorithmes TLS pour Apache et nginx, on ne peut pas interdire des algorithmes (on avait, par exemple, des interdictions sous la forme !aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5), il faut explicitement lister ceux que l’on veut ;
  • le manuel de sécurisation Debian (Securing Debian Manual) ne couvre pas actuellement cet aspect ;
  • prendre un moment pour imaginer la galère que ça va être pour les objets connectés et autres périphériques réseau qui embarqueraient des serveurs SSH, qui resteront probablement non maintenus et non reconfigurés pendant des années ;
  • je me suis attardé sur la configuration des serveurs SSH, mais la même question se pose pour les clients SSH (et Mozilla fournit aussi les infos dans son guide) ;
  • les testeurs en ligne Rebex ou CryptCheck sont rapides et pratiques, mais si vous connaissez un outil en ligne de commande (comme SSHScan et CryptCheck signalés dans les commentaires), voire empaqueté Debian, qui permet la même chose, ça m’intéresse (pour tester des serveurs avant de les mettre en ligne ou des serveurs non accessibles publiquement, par exemple, et pour éviter de réimplémenter sa propre analyse de ssh -vv).

Lire les commentaires

april.png Nouvelles April

Nouvelle législature : déjà 26 député⋅e⋅s engagé⋅e⋅s en faveur de la priorité au logiciel libre dans les administrations publiques

Le 19 June 2017 à 13:14:57

Dans le cadre des élections législatives 2017 l'April a mené une nouvelle campagne du « Pacte du Logiciel Libre ». L'objectif était de sensibiliser candidat·e·s et élu·e·s aux enjeux du logiciel libre mais aussi de créer du lien entre les citoyens et citoyennes et les candidat⋅e⋅s. Au total 26 député⋅e⋅s nouvellement élu⋅e⋅s se sont engagé⋅e⋅s à défendre la priorité au logiciel libre et aux formats ouverts dans les administrations publiques.

Après un mois de campagne et grâce aux efforts et à l'enthousiasme de 92 bénévoles et de l'équipe des permanents de l'April :

Merci et bravo à toutes les personnes qui ont participé.

L'April félicite et remercie les 26 signataires élu⋅e⋅s et veillera à saisir avec eux toute opportunité visant à promouvoir et défendre le logiciel libre.

En revanche, certains ardents défenseurs historiques des libertés informatiques ne siégeront plus à l'Assemblée nationale. Citons Isabelle Attard, Patrick Bloche, Sergio Coronado, Christian Paul ou encore Lionel Tardy. L'April les remercie pour l'ensemble des actions qu'ils et elles ont su mener pour les libertés informatiques pendant leur mandat. Next Inpact s'est fait écho de cette « nouvelle configuration numérique de l’Assemblée nationale ».

Il est encore temps de contacter et sensibiliser les député·e·s et leur proposer de signer le pacte, disponible au format PDF et au format ODT.

17 June 2017

bsibaud.png Benoît SIBAUD

LinuxFr.org : première quinzaine de juin 2017

Le 17 June 2017 à 21:55:04

Septante-quatrième épisode dans la communication entre les différents intervenants autour du site LinuxFr.org : l’idée est tenir tout le monde au courant de ce qui est fait par les rédacteurs, les admins, les modérateurs, les codeurs, les membres de l’association, etc.

L’actu résumée ([*] signifie une modification du sujet du courriel) :

Statistiques

  • 1399 commentaires publiés (dont 2 masqués depuis) ;
  • 249 tags posés ;
  • 70 comptes ouverts (dont 4 fermés depuis) ;
  • 41 entrées de forums publiées (dont 4 masquées depuis) ;
  • 23 dépêches publiées ;
  • 23 journaux publiés (dont 0 masqué depuis) ;
  • 2 entrée dans le système de suivi ;
  • 0 sondage publié ;
  • 0 page wiki publiée.

Listes de diffusion (hors pourriel)

Liste linuxfr-membres@ — [restreint]

  • R.A.S.

Liste meta@ - [restreint]

  • R.A.S.

Liste moderateurs@ - [restreint]

  • [Modérateurs] RMLL 2017

Liste prizes@ - [restreint]

  • [Prizes] LinuxFr prizes recap du mardi 6 juin 2017, 20:22:41 (UTC+0200)

Liste redacteurs@ - [public]

  • R.A.S.

Liste team@ - [restreint]

  • R.A.S.

Liste webmaster@ — [restreint]

  • R.A.S.

Canal IRC adminsys (résumé)

  • recherche sur un ancien choix d'interface
  • pas ou peu d'isolation i/o sur LXC ? (peu de retour en raison de l'engouement docker)
  • organisation de la présence aux RMLL
  • sortie de Debian Stretch et mise à jour de nos serveurs
  • Firefox 52 arrive dans Jessie et Stretch, et devrait nous règler certains soucis

Tribune de rédaction (résumé)

  • Des propositions de sujet et des appels à contribution sur des dépêches
  • Peut-on mettre des .gif animés pour illustrer une dépêche ? Oui on peut.
  • Une taille max pour les images dans les dépêches ? Non pas vraiment mais on évite de surcharger les accès bas débit ou depuis un petit écran

Tribune de modération (résumé)

Commits/pushs de code https://github.com/linuxfrorg/

  • Security fix: update mail
  • Fix a typo
  • Fix toolbar for chromium

Divers

  • déjà trois Soirées déc-ouverte LinuxFr.org, et la quatrième en préparation
  • à venir aux RMLL un stand et une conférence

Lire les commentaires

16 June 2017

april.png Nouvelles April

Loi de finances 2016 : une doctrine fiscale qui reconnait les logiciels libres mais avec une marge de progression certaine

Le 16 June 2017 à 09:54:52

Mise à jour du 16 juin 2017 : précision sur le champ d'application suite à une déclaration du cabinet du ministre de l'Action et des Comptes publics.

Comme indiqué dans notre dernier point d'étape sur ce dossier l'article 88 de la loi de finances de 2016 marque la volonté du gouvernement français de lutter contre la fraude fiscale par un encadrement plus strict des logiciels de comptabilité, de gestion ou d’encaissement. Le texte aurait pu avoir pour effet de bord l'interdiction de détenir des logiciels libres de caisse. L'administration, que nous avons rencontrée, a visiblement été sensible à ce problème et a fait preuve d'une attitude conciliante et constructive. Notre principale crainte a été ainsi levée, même s'il reste des points d'amélioration. Les dispositions, codifiées à l'article 286, I. 3° bis du code des impôts, entreront en vigueur le 1er janvier 2018.

Pour des recommandations plus concrètes de mise en conformité avec la loi de finances vous pouvez notamment vous reporter à ce billet de l'éditeur Pastèque.

Doctrine de l'administration fiscale

En août 2016, l'administration fiscale a publié au BOFIP (Bulletin officiel des finances publiques — Impôts), son interprétation de l'article 88 de la loi de finances. Le BOI-TVA-DECLA-30-10-30 (« BOI » ci-après), correspond donc à la doctrine de l'administration, la manière dont elle entend appliquer la loi. Un document très important puisqu'il lui est opposable. Pour rappel, la publication du BOI s'inscrit dans la suite d'échanges avec l'administration fiscale qui avait communiqué son projet de commentaires au BOFIP et c'est notamment par les précisions apportées par ce texte que le risque d'une interdiction de fait des logiciels libres de caisse a été écarté.

Ci-dessous un résumé des principales questions et problématiques. Suivi d'une analyse critique plus détaillée dont il ressort que le texte reste mal adapté à la réalité du modèle de développement des logiciels libres dont les qualités intrinsèques sont pourtant des atouts pour la lutte contre la fraude fiscale. Il faut cependant garder à l'esprit que chaque loi de finances, et chaque nouvelle révision du BOFIP, sera une occasion d'inciter à une meilleure prise en compte des logiciels libres.

Résumé des principales questions et problématiques

Qui est concerné ?

À compter du 1er janvier 2018, toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui enregistre les règlements de ses clients au moyen d'un logiciel de comptabilité ou de gestion ou d'un système de caisse. S'il y a peu de doute sur le fait que ce soient les fonctionnalités d'encaissement qui sont visées, cela mériterait d'être explicité.

En cas de contrôle, il faudra fournir (ou « produire ») une certification ou une attestation délivrée par l'éditeur établissant que le logiciel satisfait les « conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale » (les « quatre conditions »).

Est-il possible d'utiliser des logiciels libres ?

Oui. Le paragraphe 40 du BOI le dit explicitement en reconnaissant aux utilisateurs la possibilité « d'adapter le logiciel à leurs besoins spécifiques ». Par ailleurs, le paragraphe 310 prend en compte le cas des logiciels « conçus de manière ouverte », c.à.d les logiciels libres.

L'utilisateur bénéficie de sa pleine liberté de modification en ce qui concerne les paramètres « triviaux » du logiciel. Si les modifications impactent les « quatre conditions » l'utilisateur, devenu éditeur, devra faire certifier, faire attester ou attester pour lui-même (s'il le peut, voire infra) que la nouvelle version du logiciel satisfait ces exigences.

Pour que l'attestation demeure valable en cas de modification triviale l'éditeur doit (§380) ; « identifier clairement la racine de la dernière version majeure à la date d'émission de l'attestation et les subdivisions de cette racine qui sont ou seront utilisées pour l'identification des versions mineures ultérieures ».

Ces précisions apportées par le BOI sont importantes mais perfectibles.

À propos de l'attestation :

Une attestation est « individuelle » (§370). Elle se fait donc au cas par cas, pour chaque client, sur la base du modèle BOI-LETTRE-000242. Un certificat, délivré par une autorité agréée, a une portée générale et concerne une version (majeure) d'un logiciel.

  • Qui peut attester ?

    N'importe qui peut attester « pour autrui ». Cela signifie que l'éditeur qui atteste engage sa responsabilité si le logiciel est contrôlé et ne satisfait pas les « quatre conditions ». Sauf si l'utilisateur a modifié un paramètre impactant les « quatre conditions » alors que ce paramètre était clairement identifié.

  • Est-il possible d'attester pour soi-même ?

    Oui. Mais le BOI conditionne cela à la détention du code NACE (nomenclature des activités économiques dans la Communauté européenne) d'une « activité d'édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse ». Le code le plus approchant est le 58.29 sur l' « édition d'autres logiciels ». L'administration devra préciser ce point. Sans le code approprié il faudra faire attester la nouvelle version du logiciel par un autre éditeur (qui n'aura pas besoin de ce code puisqu'il attestera pour autrui). Non bloquant dans la pratique, mais inutilement rigide.

Précisions pour les développeurs et utilisateurs de logiciels libres de caisse

Le BOFIP apporte des précisions aux développeurs et utilisateurs de logiciels libres de caisse nécessaires pour garantir leurs libertés informatiques. Toutefois, il reste encore trop d'incertitudes et d'imprécisions pour que ce texte soit pleinement satisfaisant.

Des définitions plus claires pour une meilleure prise en compte des logiciels libres

  • Une avancée symbolique : une définition plus juste des logiciels libres.

    Le projet de commentaires de l'administration qualifiait les logiciels libres comme des logiciels « dont la principale caractéristique est d'être librement paramétrables ». Désormais le BOI, au paragraphe 40, mentionne explicitement les quatre libertés et préfère le terme « adapter » à « paramétrer ». Ce changement n'est pas anodin ; il confirme la reconnaissance institutionnelle croissante de ce qu'est un logiciel libre et des libertés qu'il garantit.

  • Une définition de l'« éditeur » qui concilie mieux le lien de responsabilité et liberté de modification.

    Pour lutter contre la fraude fiscale, la nouvelle réglementation impose que les logiciels utilisés soient certifiés conformes par une autorité certifiante, ou soient assortis d'une attestation individuelle fournie par l'éditeur du logiciel qui peut donc voir sa responsabilité engagée en cas de fraude par l'utilisateur. Sans clarification, ce lien de responsabilité pouvait avoir des conséquences lourdes pour le modèle du logiciel libre, notamment en ce qui concerne la liberté de modification. Ce point était la source de la principale inquiétude de l'April et de certains éditeurs ; une responsabilité « infinie » imposant de fait aux éditeurs d'entraver la liberté de modification des utilisateurs. La définition inscrite aux paragraphes 300 et 310 du BOI circonscrit ce risque.

    Le paragraphe 300 du BOI définit ainsi comme « éditeur du logiciel ou du système de caisse la personne qui détient le code source du logiciel ou système et qui a la maîtrise de la modification des paramètres de ce produit. ». Le paragraphe 310 vient ensuite préciser que « lorsque le logiciel ou système est conçu de manière ouverte pour permettre son adaptation aux besoins spécifiques des clients » , l'éditeur est soit le concepteur d'origine si les modifications concernant les quatre conditions essentielles sont impossibles soit le dernier intervenant si « son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données ».
    Cette seconde option est importante puisqu'elle permet, sans restreindre la liberté de modification, à tout prestataire de fournir une attestation en tant qu'éditeur, tout en rompant le lien de responsabilité en cas de modification d'éléments non-triviaux du logiciel par l'utilisateur. L'utilisateur devient en ce cas lui-même l'éditeur, et doit alors faire certifier ou attester la conformité du logiciel ainsi modifié.

Pour résumer : large applicabilité du dispositif d'attestation de l'éditeur pour autrui et possibilité de modifier des éléments triviaux sans remise en cause de l'attestation (mếme s'il reste des points de vigilance, voir plus bas).

Petit bémol : le premier tiret du paragraphe 310 qui ne couvre pas le cas des logiciels libres puisqu'il interdit la possibilité de modification non-triviale par toute personne autre que le concepteur. Cela sous-entend-il la création de « boîtes noires » au sein des logiciels comme cela fut le cas — et un échec criant — en Belgique ? Cela s'oppose directement à la notion d'un système ouvert de la première partie de la définition et induit une incertitude inutile quant aux obligations que l'administration entend faire peser sur les éditeurs de logiciels libres. Un bémol aux conséquences certainement plus théoriques que pratiques.

Des aspects qui gagneront à être précisés

  • Un champ d'application défini de manière trop large par rapport à l'objet de la loi ?

    Lors des débats parlementaires, l'article 88 avait été justifié par la lutte contre « la dissimulation de recettes de taxe sur la valeur ajoutée (TVA) au moyen de logiciels de caisse frauduleux ». Autrement dit la soustraction de paiements en espèce au point de vente. La formulation du texte de loi est malheureusement ambiguë en ce qu'elle peut laisser craindre un champ d'application plus large, incluant les logiciels de comptabilité pure. Le paragraphe 10 du BOI reprend cette expression ambiguë sans la commenter.

    En cohérence avec l'intention du législateur, les organismes de certification considèrent que le champ d'application est limité aux logiciels incluant des fonctionnalités d'encaissement, à l'exclusion des logiciels de comptabilité pure. Voir en ce sens le référentiel du Laboratoire National de métrologie et d'Essais (LNE). Cet organisme précise ainsi qu'il « exclut du domaine d’application de la certification les logiciels servant au support des services après-vente (rapports de maintenance, rapports de services, génération de bons d’intervention, etc.) ainsi que les logiciels de comptabilité pure ou les applications monétiques (terminaux de paiement électroniques par exemple) ».
    La plupart des projets libres se basent sur cette interprétation.

    Une définition plus précise de la part de l'administration apporterait davantage de confiance en réduisant une potentielle insécurité juridique.

    Mise à jour du 16 juin 2017 :

    Suite à la mobilisation de la Fédération française des auto-entrepreneurs le cabinet du ministre de l'Action et des Comptes publics a annoncé le 15 juin 2017 que le dispositif de la loi de finances pour 2016 serait recentré et simplifié. « Seuls les logiciels et systèmes de caisse, principaux vecteurs des fraudes constatées à la TVA, seront ainsi concernés ».

    Le ministère assure ainsi que « cette modification fera l’objet de mesures législatives d’ici la fin d’année [2017] ». Précision utile et bienvenue. Cet amendement de la loi sera également l'occasion de clarifier d'autres sources d'insécurité juridique, en particulier : la notion de modification « majeure » du logiciel et la nature de l'impératif « d'inaltérabilité » des données. Enfin, la forte mobilisation de cette fédération sur un point qui semble surtout relever du flou dans la sémantique juridique montre que l'administration fiscale devra faire un important travail de pédagogie dans la mise en oeuvre du dispositif.

  • Paramètres triviaux et non-triviaux ; une distinction importante mais par aspect trop théorique.

    Le deuxième point du §310 laisse entendre qu'une nouvelle attestation du professionnel intervenant sur le logiciel est seulement nécessaire lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données. À contrario, l'attestation d'origine resterait donc valable dans le cas d'une modification « triviale ».

    Cette prise en compte de l'existence de fonctionnalités « triviales » révèle in fine une meilleure reconnaissance de la liberté de modification, et semble mieux préciser le partage des responsabilités que l'administration envisage entre l'éditeur et l'utilisateur.

    En somme, un utilisateur pourra modifier les éléments triviaux du logiciel sans entacher l'attestation ou certification qui lui a été remise par l'éditeur.

    À l'inverse, on pourrait ainsi considérer que si ce qui relève des quatre conditions essentielles d'inaltérabilité, de sécurisation, de conservation et d'archivage des données a été clairement identifié, alors la responsabilité de l'éditeur initial, ou du dernier à avoir valablement attesté, ne sera pas engagée en cas de modification majeure, voire d'utilisation frauduleuse du logiciel.

    Toutefois, cette prise en compte des modifications « triviales » gagnerait à être plus explicite. Les paragraphes 340 et 380 abordent la question des « versions majeures » et « mineures » du logiciel, mais en gardant comme seul critère distinctif l'impact sur les quatre conditions essentielles.

    En outre, dans la pratique, une telle distinction n'est pas aussi aisée que l'administration semble l'entendre. En effet, même un fonctionnalité d'apparence triviale, pourrait avoir des impacts sur le fonctionnement général du logiciel. Potentielle source d'insécurité juridique qui gagnera à être adressée par des critères plus fins et plus adaptés à la réalité du développement logiciel.

  • L'inaltérabilité des données : une obligation à la portée encore trop incertaine.

    Dès la publication de l'article 88 de la loi de finances 2016, la question de l'obligation d'inaltérabilité des données est apparue comme un des points de vigilance principaux pour le logiciel libre.

    Assez peu d'évolutions concernant cet aspect depuis le projet de commentaires, si ce n'est une structuration du texte peut-être un peu plus claire dans le BOI, mais la traduction en termes techniques du principe comptable d'« intangibilité des écritures » qui a été retenue crée encore trop d'incertitudes pour être pleinement satisfaisante. Ainsi le paragraphe 120 qui établit sans autre précision que « pour respecter la condition d’inaltérabilité, l'intégrité des données enregistrées doit être garantie dans le temps par tout procédé technique fiable », laisse une marge d'interprétation trop importante sur la portée de l'obligation.

    Ce point est important en ce qu'il se lie avec la problématique de la responsabilité. Aucune procédure techniquement fiable à 100% n'est possible. Pourtant la simple démonstration d'un usage frauduleux suffit à invalider l'attestation ou à la qualifier de « faux document » (paragraphe 570) : c.à.d attestant à tort de la conformité du logiciel et engageant donc la responsabilité de l'éditeur. La formulation retenue pourrait ainsi laisser entendre que les éditeurs sont soumis à une « obligation de résultat », un logiciel 100% fiable, plutôt qu'une « obligation de moyens » ; un logiciel le plus fiable possible selon l'état de l'art. Même si la seconde hypothèse semble l'interprétation la plus raisonnable de la doctrine fiscale, les conséquences potentielles qui s'y rattachent nécessitent un périmètre mieux défini. Ainsi, sans sombrer dans un alarmisme inutile, il s'agit avant toute chose de renforcer la sécurité juridique des TPE/PME, l'essentiel des acteurs du libre, pour qui la confiance est un élément clef.

    Cela étant dit, cette réflexion n'est pas propre aux cas des logiciels libres et ceux-ci ont l'avantage sur les logiciels privateurs de permettre une identification bien plus rapide de potentielles failles de sécurité.

Un système d'auto-attestation défini de manière trop rigide : l'enjeu d'une meilleure reconnaissance des vertus du libre

S'il est possible pour tout éditeur de fournir une attestation de conformité à un utilisateur — cette dernière engage sa responsabilité — la possibilité d'attester pour soi-même en cas de modification de paramètres non-triviaux du logiciel est restreinte. Elle s'appuie exclusivement sur le code NACE. Au paragraphe 370, il est ainsi précisé que seule une société dont l'activité déclarée « est une activité d'édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse » peut « auto-attester » de la conformité du logiciel de caisse avec les obligations issues de l'article 286, I. 3° bis du code général des impôts. Et dans la mesure où il est illégal d'utiliser un logiciel qui ne serait pas valablement certifiée ou attestée conforme, modifier pour soi-même son outil de gestion sans ce code NACE nécessitera, par exemple, de passer par des accords entre éditeurs d'une même solution libre. Procédure inutilement lourde. D'autant plus qu'il n'existe aucune classification NACE spécifique aux éditeurs de logiciel « comptabilité ou de gestion ou un système de caisse », celle la plus approchant est la 58.29 sur l' « édition d'autres logiciels ». S'agirait-il d'une imprécision visant à anticiper d'éventuelles évolutions ?

D'autre part, quand bien même le critère du code NACE serait pertinent, il est bien trop rigide comme critère exclusif, en particulier parce qu'il ne concerne que l'activité principale d'une société. Dans un modèle ouvert et contributif comme celui du logiciel libre cela est un frein évident, notamment dans le cas des sociétés ayant plusieurs secteurs d'activité ou dans le cas de contributeurs non professionnels. Particulièrement si l'on considère que l'implication des utilisateurs est au coeur de la dynamique de développement des logiciels libres. Cette limitation de la liberté de modification en cas de développement pour soi-même est d'autant plus disproportionnée que les risques de fraude « généralisée » seront largement contenus par un modèle ancré sur la transparence et la revue par les pairs. Les dérives dues aux boites noires ne doivent pas pénaliser les logiciels libres. Une attestation par la communauté, ou portant sur le modèle de gouvernance d'un projet, pourrait par exemple être une solution plus proportionnée à l'objectif poursuivi.

En conclusion, un texte mieux rédigé mais encore mal adapté à la réalité du modèle de développement des logiciels libres.

Pour résumer nos attentes : des définitions et des critères plus précis pour plus de sécurité juridique et donc de confiance, et davantage de souplesse dans les conditions d'auto-attestation. Une obligation d'identifier clairement ce qui relève des quatre critères essentiels, et donc du périmètre de l'attestation, combiné avec la facilité d'audit garanti par les logiciels libres, devrait être considérées comme suffisantes et proportionnées à l'objectif légitime de lutte contre la fraude fiscale.

Il est bien sûr entendu que ces problématiques sont complexes et que c'est aussi par l'usage et par l'échange qu'une doctrine fiscale plus claire se dégagera. Nous appelons en ce sens à la vigilance de l'administration et souhaitons qu'elle garde l'attitude ouverte qu'elle a eue jusqu'à présent.

Quoiqu'il en soit, la crainte initiale à la lecture de l'article 88 était l'interdiction de fait des logiciels libres «  de comptabilité ou de gestion ou un système de caisse ». Ce risque semble heureusement écarté. En revanche, la dynamique du texte initial ainsi que celle du BOI restent ancrées sur le modèle fermé du logiciel privateur comme norme, avec un aménagement en marge pour le modèle ouvert et contributif du logiciel libre. Les qualités intrinsèques du logiciel libre, particulièrement sa caractéristique de transparence, sont des atouts incontestables pour la lutte contre la fraude fiscale. Le recours au logiciel libre devrait en ce sens être privilégié et encouragé. Dans un tout autre domaine, l'exemple du scandale Volkswagen où un logiciel opaque a permis au constructeur de frauder sur les normes environnementales pendant plusieurs années l'illustre bien.

itopie - Et si on voulait des technologies éthiques

Le 16 June 2017 à 09:29:00

Samuel Chenal

Titre : itopie - Et si on voulait des technologies éthiques ?
Intervenants : Samuel Chenal, itopie - Héloïse Pierre, journaliste pour Radio Alto - Amélie Delalain, journaliste du blog EspritCréateur.
Lieu : Émission TIC - éthique #7 - Radio Alto
Date : Février 2017
Durée : 46 min 27
Écouter l'enregistrement de l'émission
Licence de la transcription : Verbatim

Transcription

Voix off : « Bonsoir. Gardons-nous de faire grief à la science des difficultés où elle nous mettra », écrivait quelque part Jean Rostand. Il pensait à toutes les révolutions techniques auxquelles il avait assisté ou participé, par exemple les techniques biologiques ou chirurgicales qui pourront un jour transformer l’homme à volonté. Mais, c’est aussi séduisant que redoutable. Eh bien, il se passe la même chose pour l’informatique. Au colloque qui se tient actuellement à Paris sur le thème « Informatique et société », où M. Giscard d’Estaing est venu dire ce qu’il pensait du sujet cet après-midi, on a parlé des grandes espérances mais aussi des grandes craintes que suscite l’informatique. Nous aidera-t-elle à simplifier nos problèmes au maximum ? — ça c’est certainement vrai — et à mieux nous informer ? — c’est sûr et plus vite — mais en même temps ne portera-t-elle pas gravement atteinte à nos libertés individuelles dans la mesure où nous serons partout mis en fiches. De toutes façons, il ne sert à rien de nier l’informatique. Il faut s’aligner sur ceux qui l’ont développée, au contraire. Mais il y a toutes sortes de façons de développer l’informatique. L’important est de se dépêcher de réfléchir et de faire les choix corrects. Et c’est ainsi que le président de la République demandera au gouvernement, par exemple, de réfléchir aux propositions du syndicaliste CFDT Edmond Maire, quand celui-ci a fait remarquer tout récemment que l’informatique des entreprises risquait de conduire, à court terme, à des transformations profondes donc traumatisantes. Une des propositions d’Edmond Maire, faite sur TF1, à 13 heures, il y a quelques jours, était que les travailleurs puissent s’exprimer sur leurs conditions de travail dans les services et dans les usines, pour faire en sorte que la façon d’appliquer l’informatique serve réellement au progrès au lieu servir aujourd’hui, à peu près uniquement, l’intérêt de quelques-uns. »

Journaliste : Vous venez d’entendre un extrait du journal télévisé de TF1 de 1976. Ça laisse un peu rêveur. Vous l’aurez compris, notre émission TIC éthique d’aujourd’hui aura un rapport avec l’informatique, mais pas celle de 1976. Non ! L’informatique d’aujourd’hui. Celle qui semble avoir oublié que derrière les machines il y a des hommes. Fort heureusement, certaines personnes se soucient encore de la place de l’humain à l’heure du tout technologique. Héloïse et Amélie ont rencontré Samuel Chenal qui travaille à itopie1 et qui a pour conviction profonde que l’informatique doit être service de l’homme et pas l’inverse.

[Musique]

Héloïse : Je suis avec Samuel Chenal, d’itopie, en plein cœur de Genève. Bonjour Samuel. Est-ce que tu peux te présenter et nous présenter un peu itopie ?

Samuel Chenal : Bien sûr. Moi je suis donc un informaticien de gestion, à l’origine, qui a passé une partie de sa première vie dans une grande entreprise internationale, classique, dans des fonctions informatiques où j’ai acquis un grand nombre des expériences que j’ai actuellement. Et j’ai quitté cette entreprise non pas que c’est une mauvaise entreprise, bien au contraire, mais c’est que son poids de multinationale me pesait. Une forme de rigidité aussi et un manque d’éthique, mais ça on va pouvoir le développer plus tard.

En fait, dans mon parcours personnel, depuis quand même une quinzaine d’années, je me suis intéressé à d’autres éléments de la société, des éléments plus politiques aussi, mais également le développement durable. Des problématiques environnementales qui m’ont passablement intéressé. Je me suis formé aussi, j’ai suivi une formation de conseil et communication en environnement qui était donnée par le WWF à Lausanne. Mais en parallèle, j’ai développé, alors là depuis plus d’années encore, depuis 20 ans, un intérêt marqué pour les logiciels libres, notamment GNU/Linux, qui est le système d’exploitation libre par excellence. Et en fait, je me suis posé la question : mais ces deux mouvements, donc le développement durable et le logiciel libre, ils ont quelque chose en commun ? Je n’arrivais pas bien à savoir de quoi il s’agissait. J’ai beaucoup fait des recherches sur Internet et j’ai trouvé très peu de choses. On trouvait beaucoup d’aficionados des logiciels libres, très, on va dire, enfermés dans leur propre discipline et très peu conscients des problématiques internationales, ou développement durable, ou des problèmes de société, etc.

Et a contrario, on trouvait beaucoup de militants environnementalistes ou dans les ONG qui n’avaient aucune conscientisation, aucune conscience, de l’informatique libre.

Héloïse : Donc toi tu as eu envie de lier ces deux domaines, ces deux aspects, que tu sentais liés, justement, dans les valeurs et les problématiques ?

Samuel Chenal : Voilà. Donc en fait, on a un peu creusé la chose et puis on s’est rendu compte que les valeurs étaient globalement similaires.

Héloïse : Lesquelles ?

Samuel Chenal : Les valeurs qui sous-tendent ces deux mouvements. On a des valeurs humanistes importantes, puisque dans le développement durable on a les trois domaines qu’on retrouve classiquement, donc l’environnement, le social et l’économie. Et en fait, on se rend compte que dans le logiciel libre on a le même genre de préoccupations sur le social, sur l’environnement et sur l’économie.

Héloïse : C’est sur cette base qu’est née l’idée d’itopie ?

Samuel Chenal : Moi je ne suis pas à la base d’itopie.

Héloïse : Tu les as rejoins alors.

Samuel Chenal : C’est mon collègue Maurizio Notarangelo qui a fondé la coopérative avec Esteban Briones, son collègue, il y a au moins quatre ou cinq ans je crois, basée sur une expérience individuelle, donc d’entreprise individuelle, et moi j’ai rejoint le bateau plus tard, il y a à peu près un an et demi.

Héloïse : Ce qui t‘as fait rejoindre le bateau d’itopie c’est parce que tu retrouvais ces valeurs-là, dont tu viens de parler, au sein de cette coopérative ?

Samuel Chenal : Exactement. En fait, c’est la pierre qui manquait à l’édifice, pour moi, en termes de valeur et en termes de cohérence dans mon engagement personnel. C’était le problème que je n’avais pas d’engagement professionnel. Et en fait, on passe le plus clair de son temps au travail. Donc je m’étais dit mais pour pouvoir m’investir, certes je peux donner quelque peu de mon argent à des associations pour me donner bonne conscience, mais ça ne suffisait plus. Et du coup, je me suis dit il faut vraiment que je change de travail. Il y avait effectivement cette lourdeur des grands groupes internationaux qui me pesait, le fait qu’il y avait un manque d’éthique, un manque de considération de l’humain, et une quête de sens aussi, pour moi. Effectivement, dans ces grandes entreprises, c’est clair que ce n’est pas l’endroit où il y a beaucoup de logiciels libres. Finalement c’est très schématique, on pourrait débattre là-dessus, mais on a effectivement une dichotomie entre les deux mondes.

Héloïse : Est-ce que tu pourrais nous dire que fait itopie ? Qu’est-ce que propose cette entreprise ?

Samuel Chenal : Itopie est une société coopérative active dans l’informatique. Donc c’est vraiment au sens de la raison sociale une coopérative avec des coopérateurs qui sont constitués en coopérative à un moment donné, avec des parts et avec un but commun et une charte.

Donc en fait, la charte d’itopie est vraiment centrée sur des valeurs humanistes et des TIC voulant remettre, finalement, l’homme au centre du débat et pas la technologie. Donc surtout dans le domaine informatique où c’est très sensible et où, finalement, l’humain est en train de prendre un certain de nombre de revers, on va dire, et perdre du terrain eh bien, itopie se positionne réellement comme une alternative contre ce mouvement, cette lame de fond si on veut, ramener l’homme au centre du débat et ne plus se faire, finalement, contrôler par la technologie.

Héloïse : Comment est-ce que vous réussissez cet exploit de mettre l’humain au cœur de la technologie ?

Samuel Chenal : C’est essentiellement une question d’approche. Parce que dans les faits, on fait de l’informatique : on installe des systèmes, on configure des systèmes, on fait de l’assistance à des clients. Au final, le métier est le même que celui que je faisais avant. Il y a des projets, il y a des nouvelles applications qu’on doit configurer, installer, etc. Finalement, le travail au jour le jour, c’est la même chose, mais c’est vraiment l’approche qui est différente. C’est-à-dire qu’on a une approche premièrement qui privilégie ce qu’on appelle en anglais le low-tech, la basse technologie, c’est-à-dire qu’on ne va pas faire de la technologie pour faire de la technologie. On va vraiment s’intéresser aux besoins des clients pour ne prendre que, par exemple, 80 % des besoins qui sont les plus importants et développer une solution informatique pour ces besoins-là.

Et on se rend compte que la plupart des gens achètent des systèmes informatiques, que ça soit des particuliers ou des entreprises, qui vont bien au-delà de ce qu’ils ont demandé ou de ce dont ils ont vraiment besoin.

Héloïse : Qu’ils n’utilisent pas, en fait !

Samuel Chenal : Qu’ils n’utilisent pas. Et en fait, il y a une tendance qui est liée à la notion de progrès, qui empile les couches de technologie. Et pour que ça soit bien il faut qu’il y ait ces couches-là qui soient superposées, pour que l’interface utilisateur soit jolie, pour que le que système soit réactif, pour qu’il puisse être interconnecté avec tous les objets de la terre.

Héloïse : C’est aussi une course à la consommation qui est globale, d’ailleurs.

Samuel Chenal : C’est une course qui peut avoir des côtés angoissants. Moi, lorsque j’ai commencé mon parcours professionnel à la fin des années 90, eh bien j’étais dans une structure à peu près avec trois/quatre cents employés et on avait un informaticien qui maîtrisait globalement tous les éléments de l’informatique de cette entreprise, aussi bien applicatifs qu'infrastructure.

Aujourd’hui, c’est juste peine perdue. Maintenant on est dans des systèmes, au niveau des grandes entreprises principalement, où les informaticiens sont devenus des spécialistes qui ne maîtrisent qu’une infime partie du système d’information. Et là où ça se gâte, c’est quand il y a des vrais problèmes, parce qu’il n’y a plus de vision globale et il y a une perte de maîtrise du système.

Héloïse : C’est ce que tu veux dire aussi quand tu dis que l’humain doit rester maître de la technologie et non pas l’inverse. C’est-à-dire que des fois, maintenant, ça a pris tellement d’ampleur et c’est tellement complexe que, du coup, il y a peu de personnes qui peuvent avoir une maîtrise sur l’ensemble des technologies et ce que tu disais sur la vision globale, etc.

Samuel Chenal : Oui, c’est exactement ça, ça rejoint la notion low-tech, justement. Ça revient aussi à une des branches, finalement, d’itopie, qui est la vente d’ordinateurs d’occasion pour la plupart sous GNU/Linux. Les ordinateurs d’occasion, ce ne sont pas forcément les ordinateurs du siècle passé. Ce sont des ordinateurs qui ont quatre/cinq ans, qui sont totalement actuels d’un point de vue performances.

Héloïse : C’est juste moins glamour que d’avoir le dernier ordinateur à la mode qu’on a vu passer à la télé.

Samuel Chenal : Voilà, tout simplement. Et si on revient sur les fonctionnalités et si on met bien sûr sur la table l’utilisabilité de l’informatique, parce qu’on dit souvent que GNU/Linux, les logiciels libres, ce n’est pas très joli. C’est faux ! Ils ont réussi en quelques années, grâce au modèle des logiciels libres, donc des libertés liées à l’application et à la liberté du code, un développement beaucoup plus rapide, un développement fulgurant de tout le retard qu’ils avaient, comparé, on va dire, aux suites privatives habituelles, et qui sont maintenant totalement comparables en termes d’ergonomie.

Héloïse : De performances et d’ergonomie, de design.

Samuel Chenal : Tout à fait.

Héloïse : Et ça, ça va être très intéressant ; je pense qu’on pourra vraiment en parler plus en profondeur pour que tu puisses expliquer c’est quoi Linux, c’est quoi le logiciel libre, parce que tout le monde ne connaît pas et ça peut être intéressant de savoir ce que c’est un peu mieux. Et par rapport, du coup, si on revient à itopie dont tu disais que c’était différent de ce que tu as vécu en entreprise ; il y a l’aspect low-tech, mais est-ce que tu as d’autres différences qui répondent aussi à ta quête de sens ou même dans la façon de travailler, dans ce que vous faites ? Qu’est-ce qu’il y a de différent, du coup, par rapport aux autres informaticiens classiques ?

Samuel Chenal : On a effectivement une approche qui est plus en accompagnement du client, pour tout ce qui est infogérance, donc tout ce qui est assistance des entreprises. Ça c’est l’autre branche que itopie gère ; la première branche c’est la réparation et la vente d’ordinateurs et la deuxième branche c’est plutôt l’assistance dans les entreprises. Il y a effectivement une approche qui est plus dans l’accompagnement. Si on nous demande des choses qui sont, selon nous, des demandes de confort, on va les relever – inévitablement, à la fin, c’est le client qui décide – mais on a un vrai accompagnement avec nos valeurs. C’est-à-dire que les clients, et ça c’est quelque chose qui est très important, ont la possibilité de devenir coopérateurs eux aussi.

Donc du coup on se retrouve nous fournisseurs d’un service, eux clients de ce service et eux sont copropriétaires, au même titre que nous, de la coopérative. Donc le client est copropriétaire du fournisseur. Ce qui crée, finalement, une situation très intéressante d’un point de vue de la gouvernance, parce que le client n’est pas uniquement un client qui a des demandes et des exigences, mais c’est aussi et surtout un partenaire, qui a droit à une voix à l’assemblée générale, qui peut demander de changer des conditions ou des fonctionnements, etc.

Héloïse : Pour que ce soit plus concret, peut-être, pour les gens, quand tu dis accompagnement, ça peut être des formations informatiques, etc. ?

Samuel Chenal : Oui. C’est aussi un des éléments que nous on prône dans les entreprises, mais aussi pour les particuliers, c’est une réappropriation de la technologie par l’individu, par le client, et une relocalisation de l’activité économique. Mais la réappropriation de la technologie il ne s’agit pas de rendre M. Lambda ou Mme Lambda informaticienne, bien au contraire, ce n’est pas de cela dont il s’agit.

Héloïse : Beaucoup de gens vont être plus détendus tout de suite !

Samuel Chenal : Il s’agit de faire en sorte que le consommateur ou l’utilisateur ait un minimum de contrôle et puisse lui-même faire un certain nombre de choses sur son appareil informatique.

Héloïse : Et qu’il puisse comprendre aussi.

Samuel Chenal : Et qu’il puisse comprendre.

Héloïse : C’est vrai qu’on a très peu d’éducation à la technologie.

Samuel Chenal : Très, très peu. Et quand on a peu d’éducation on se fait manipuler, on peut se faire manipuler très facilement, et c’est un des risques qui, à mon avis, menace ce siècle, ces prochaines décennies. C’est une forme d’inculture informatique qui devient de plus en plus risquée pour notre société.

Héloïse : Oui, ça a été tellement vite qu’on n’a pas eu le temps, on va dire.

Samuel Chenal : Il y a peu de maturité informatique. On ne sait pas ce qui se passe lorsqu’on valide, par exemple, des conditions générales sur Internet, à quoi ça nous engage. On a entendu que ça n’engageait en rien, mais on n’en sait rien, en fait !

Héloïse : On a même vu dans Les Nouveaux Loups du Web qu’on pouvait vendre son âme au diable dans les conditions générales.

Samuel Chenal : Sans s’en rendre compte !

Héloïse : Sans s’en rendre compte.

Samuel Chenal : Puisque de toutes manières, on ne lit pas ces conditions.

Voix off : En fait, si vous deviez lire tout ce que vous avez accepté, cela vous prendrez un mois entier par an.

Journaliste : Extrait du film documentaire Les Nouveaux Loups du Web.

Voix off : 180 heures chaque année pour être précis. Et d’après le Wall Street Journal, les consommateurs perdraient 250 milliards de dollars par an à cause de ce qui est caché dans ces contrats. Voici, par exemple, un extrait des conditions d’utilisation de LinkedIn : « Vous accordez à ce réseau une licence non exclusive, irrévocable, mondiale, perpétuelle, illimitée, transférable, pouvant donner lieu sans autre autorisation ou compensation financière, à l’octroi d’une sous-licence d’utiliser, de copier, de modifier, de distribuer vos données… [Accélération de la vitesse du son ; le sens devient incompréhensible]. En clair, vous cédez tout à LinkedIn, et à perpétuité.

On retrouve le même jargon chez Google, Facebook et tous les sites que les gens croient gratuits.
Instagram attache plus de prix aux photos qu’aux utilisateurs mécontents. Ayant modifié ses conditions d’utilisation, l’entreprise pourrait désormais vendre les photos mises en ligne, sans contrepartie, pour un usage publicitaire.
Et même si vous payez, ces entreprises peuvent vous faire accepter absolument n’importe quoi.

Si les conditions stipulaient que l’État peut vous mettre sur écoute ce serait fou, mais c’est le monde dans lequel nous vivons.
Un monde où le gouvernement peut vous mettre sur écoute en vertu des conditions d’utilisation ? Si on examine celles d’un iPhone, on ne trouve aucune mention de mise sur écoute. En revanche NT&T [Nebraska Technology and Telecommunications] indique qu’il peut se servir de vos données pour enquêter sur des activités illicites, les empêcher ou les contrecarrer.

Héloïse : Pour revenir aussi à ce que tu disais comme particularité sur l’association avec vos clients, pourquoi des clients qui cherchent juste un prestataire auraient envie, justement, de s’allier à une coopérative comme vous et même d’être partie prenante dans les décisions ? Qu’est-ce qui motive les clients qui vous rejoignent dans cette dynamique ?

Samuel Chenal : Encore une fois, on n’est pas extrémistes. C’est-à-dire que, typiquement, si un client souhaite utiliser des produits propriétaires, certains produits propriétaires, on ne va pas non plus forcément lui fermer la porte, ça c’est clair, puisqu’on a justement une approche ouverte qui est liée à l’éthique qu’on veut promouvoir. Mais on a une charte. Et donc du coup, avant que le client ne la signe et ne s’engage, eh bien il va être en accord avec cette charte, ou pas. Dans cette charte, effectivement, on fait la promotion des logiciels libres, on fait la promotion du matériel d’occasion, de la prolongation de la durée de vie du matériel informatique pour des aspects environnementaux, pour des aspects éthiques. Moi je fais juste peut-être une parenthèse sur cet aspect-là qui, à mon avis, est capital.

On dit souvent que prolonger la durée de vie de son ordinateur, c’est bien pour l’environnement. C’est vrai et c’est essentiel. Mais il y a un autre volet qu’on oublie tout le temps, c’est que c’est aussi très bien d’un point de vue social. Pourquoi ? Parce les ordinateurs sont tous fabriqués en Asie, dans des conditions souvent sociales et humaines extrêmement difficiles. Les métaux qui sont extraits de la terre pour pouvoir, on va dire, créer des composants électroniques des ordinateurs sont extraits en Afrique pour la plupart, voire certains en Russie – les terres rares sont beaucoup extraits en Russie et en Chine – sont extraits dans des conditions souvent atroces d’un point de vue du droit international, d’un point de vue du droit des enfants.

Héloïse : Ce que tu veux dire c’est qu’en fait, ça a aussi des conséquences sur les vies même humaines, puisque tu parlais c’est sur la vie sociale.

Samuel Chenal : Voilà. C’est le volet social.

Héloïse : Quand on rachète de la technologie, nous on est contents parce qu’on a le dernier iPhone, etc., mais derrière il y a des gens qu’on fait travailler peut-être…

Samuel Chenal : On alimente une machine qui, finalement, exploite un certain nombre de gens. C’est vraiment de cela qu’il s’agit. Il y a un aspect important au niveau environnemental parce qu’on est en train d’épuiser les ressources de la planète et, d’un autre côté, il y a cet aspect social qui est prépondérant au niveau de l’exploitation des êtres humains, en fait.

Héloïse : Est-ce que tu peux nous parler aussi d’itopie parce qu’en fait, c’est aussi un lieu très concret ; nous on y est, donc on le voit. Mais présenter un peu ce lieu qui est quand même très joli, très accueillant.

Samuel Chenal : C’est un local avec une vitrine. C’est là où on a notre magasin et notre atelier. Il y a deux parties, finalement, dans les locaux. Une partie qui est plus, on va dire, devant le client, devant la société. On aime bien dire ça aussi : on a un pied dans la cité, on est inclus en tant que citoyens actifs, on est inclus dans la cité. Et puis on a un côté plus en arrière qui est dédié, on va dire, aux coopérateurs et aux coopérateurs qui sont peut-être plus en lien avec les entreprises, pour l’assistance informatique dans les entreprises. C’est un lieu qui veut être accueillant. On essaye, en tout cas, de le rendre accueillant avec un mobilier en bois, etc., qui est plus chaleureux, et un espace commun pour pouvoir échanger, pour pouvoir dialoguer, pour pouvoir échanger d’un point de vue technique au niveau informatique – c’est bien sûr une partie de notre travail – mais aussi sur des considérations qu’on a vis-à-vis de l’évolution de l’informatique au sens large dans la société.

Héloïse : On va pouvoir en parler tout de suite. Mais Amélie est-ce que toi tu veux dire justement ce que tu penses de ce lieu ?

Amélie : Le premier point qui vient, je trouve c’est que ça ressemble beaucoup à un espace de coworking, avec pas mal de fils un peu partout, des écrans et tout, mais c’est vrai qu’on sent beaucoup l’accueil chaleureux et la convivialité. C’est agréable de travailler, je pense entre collègues, aussi sur des thématiques qui nous intéressent tous.

Héloïse : Donc voilà ! J’espère que ça vous donnera envie de venir à Genève rencontrer tous les coopérateurs d’itopie. Et justement, parlons un peu du dossier qui nous nous intéresse, c’est un peu notre enquête au sein de cette émission, ce sont les enjeux du Web aujourd’hui. Et notamment, nous on aime bien s’intéresser aux enjeux sur la vie privée et puis notre liberté, en fait, à chacun. Pour toi, pourquoi c’est important ? Et pourquoi chacun pourrait avoir envie de s’y intéresser, justement les simples citoyens, je dirais, qui ne sont pas informaticiens du tout pour un sou ?

Samuel Chenal : Moi je vois, en fait, des enjeux sociétaux très importants sur l’indépendance du Web. Pas uniquement des enjeux personnels ; il y a des enjeux personnels au niveau de la sécurité des données, de la sphère privée et de la confidentialité de nos propres vies, mais il y a surtout un enjeu sociétal. Parce que qu’est-ce qu’on est en train de voir dans la tendance informatique actuelle ? On voit une concentration qui est énorme au niveau des acteurs proposant l’Internet, on va dire, à la société. Et, en quelque sorte, les cinq plus gros acteurs fournissant des services internet dans la branche, on va dire, sont bien sûr américains et ils ont supplanté tous les concurrents qui n’étaient pas informatiques.

Héloïse : Tu peux les citer ?

Samuel Chenal : Oui. Ils sont souvent appelés les GAFAM, pour Google, Amazon, Facebook, Apple et Microsoft. Si on regarde l’évolution des grandes fortunes industrielles ou économiques américaines, ces quinze dernières années, eh bien, on va dire il y a quinze ans il n’y avait probablement que Microsoft qui était dans le top 5. Et progressivement, les très grandes boîtes américaines se sont effacées face à ces géants du Web.

Voix off : GAFAM. En fait ça regroupe les initiales de Google, Apple, Facebook, Amazon et Microsoft. Et puis NATU, c’est celles de Netflix, Airbnb, Tesla et Uber, le fameux Uber.

Journaliste : Extrait de l’émission Des souris et des hommes RCF Lyon.

Voix off : En gros, les dix plus grandes sociétés américaines de l’économie numérique. Deux acronymes pour une valorisation boursière comparable, tenez-vous bien, au budget annuel de la France. Et un chiffre d’affaires annuel supérieur à celui du Danemark, avec seulement 300 000 employés. Une sacrée efficacité économique par employé, une croissance annuelle supérieure à celle de la Chine et surtout une position dominante sur le marché qui commence sérieusement à faire réfléchir. Ces mastodontes de l’économie numérique représenteraient à eux seuls près de 60 % de nos usages numériques quotidiens !

Samuel Chenal : On se rend compte qu’il y a une prise, finalement, de position dominante par un secteur au niveau économique sur, non pas la société américaine, mais la société internationale.

Héloïse : Et en quoi ça peut être dérangeant ?

Samuel Chenal : D’un point de vue sociétal, ça coupe l’herbe sous les pieds à toutes les initiatives locales. Qui est-ce qui voudrait créer un réseau social maintenant, on va dire, dans sa ville ? Il n’aurait aucune chance, parce que les économies d’échelle que réalisent ces géants d’Internet, elles sont tellement énormes que d’un point de vue on va dire compétition, concurrence, c’est très difficile de régater.

Héloïse : Est-ce que tu veux dire que ces géants du Web non seulement dominent la sphère Internet, mais aussi dominent toute la sphère économique ?

Samuel Chenal : De plus en plus. Et quand on s’intéresse de près au programme, par exemple de Google, au plan d’évolution de Google – je voudrais dire pas vraiment Google parce que maintenant Google n’est qu’une des branches de la pieuvre, si on veut, c’est plutôt Alphabet qui est une forme de holding qui gère toutes les différentes branches qu’on appelait à l’époque Google.

Héloïse : Pour simplifier, ils ont changé de nom. Ils ont donné un nouveau nom à leur entreprise. Est-ce que tu peux expliquer juste pour les gens qui ne connaissent peut-être pas Alphabet ?

Samuel Chenal : Non, ce n’est pas une marque commerciale, Alphabet. C’est vraiment une entité économique qui regroupe toute une série de branches dans des domaines extrêmement divers.

Héloïse : Et donc Google est devenu une branche d’Alphabet, en fait.

Samuel Chenal : Voilà. Ouais. Maintenant, il ne faut pas non plus tout diaboliser. Google a des intentions qui sont louables dans certains domaines, mais ils ont une intention surtout très hégémonique. Et sur la gouvernance et la société, ça pose des questions qui ne sont pas débattues actuellement. Moi, à la limite, je ne suis pas forcément contre qu’il y ait une évolution de cette façon-là, mais il n’y a aucun débat dans la société qui accompagne ces changements technologiques.

Donc typiquement, je donne un exemple, Google se rapproche de gouvernements pour leur demander qu’est-ce qu’ils pourraient améliorer dans la marche des affaires d’un gouvernement. Et on sait très bien que les gouvernements, actuellement, ont passablement de peine pour de nombreux sujets, que ça soit au niveau judiciaire, que ça soit au niveau de la circulation dans les villes, que ça doit au niveau environnemental, etc. Ils ont beaucoup de défis, et Google vient avec des solutions technologiques qui sont, d’un point de vue pragmatique, extrêmement efficaces. Mais d’un point vue humain, elles sont extrêmement destructrices.

Héloïse : Pourquoi ?

Samuel Chenal : Parce que, justement, elles remettent la machine au centre. De plus en plus, des algorithmes commencent à prendre des décisions. C’est ça qu’il faut commencer à se dire. On prend par exemple la recherche Google, la recherche sur Internet. Quand vous tapez une recherche, ce n’est pas une recherche neutre et un résultat neutre qui va vous être retourné. C’est ce que vous êtes censé apprécier comme réponse. Donc il y a un double langage. C’est une recherche qui a été modifiée selon votre profil, votre localisation géographique, vos intérêts, et ce sont les résultats que vous souhaiteriez recevoir.

Héloïse : Est-ce que tu veux dire que c’est une forme, on pourrait dire, d’intelligence artificielle qui étudie ton profil sur Internet et te propose une réponse adaptée à ce qu’elle croit être bon pour toi ?

Samuel Chenal : Tout à fait. C’est de plus en plus le cas. On présente à l’internaute ce qu’il est censé apprécier, censé attendre d’un moteur de recherche. Donc il y a de moins en moins de chances d’être vraiment surpris.

Héloïse : Quelque part, les gens souvent disent que ça rend la vie plus facile. Là, tu peux dire ça peut rendre la vie plus facile aux internautes individuellement, ou peut-être ça peut rendre la vie pus facile à des gouvernements, etc., pour la justice, la circulation des routes, etc. Est-ce que les solutions de facilité c’est là un risque pour la liberté ? Et puis le fait que l’humain soit au centre de l’humanité, en fait.

Samuel Chenal : Oui. En fait, le sujet est terriblement complexe ; c’est pour ça que c’est compliqué de savoir par où commencer. Je vais donner un exemple, un exemple très concret. A Genève, le département de l’instruction a donné la possibilité à des institutions, des écoles donc, d’utiliser Google application pour les étudiants. Donc en gros, les étudiants ont un compte et ils ont le mail, le calendrier, le carnet d’adresses, les Google Docs, etc. et tout ça ; donc toute la panoplie, ça coûte 0 franc à l’État.

Héloïse : Pourquoi ? Parce que c’est une entreprise à la base ; ce ne sont pas des humanitaires, non !

Samuel Chenal : Ah non ! Ils gagnent de l’argent sur ces informations. Parce que les informations que vont utiliser les étudiants seront décortiquées par les algorithmes de Google pour pouvoir dégager des tendances de société, dégager des profils, pour pouvoir cibler de la publicité de manière beaucoup plus précise, individualisée. Donc il s’agit bien de surveillance, il s’agit bien de ciblage publicitaire de masse. Donc on est vraiment dans cette situation-là. Et c’est grâce à cette activité-là que Google finance son activité. Indépendamment du fait que, par sa taille, ils ont des coûts unitaires grâce à l’économie d’échelle dont je parlais tout à l’heure qui sont relativement faibles ; donc pour eux, de créer 5000 comptes pour une école, c’est quasiment rien du tout quoi ! D’un point de vue infrastructure, ils n’ont rien besoin de changer.

D’ailleurs c’est quelque chose d’assez terrible : nous avons par l’intermédiaire d’une représentante de parents d’élèves, demandé le contrat qu’avait signé le DIP [Département de l’instruction publique, NdT] avec Google et, en fait, ce qui nous a été retourné, c’était une impression des conditions générales de Google for Education. Donc il n’y a pas de contrat spécifique entre Google et le Département de l’instruction. Il y a simplement les conditions générales qui sont accessibles à tout le monde et qui sont les mêmes pour tout le monde. Donc il n’y a pas de distinction et on voit, là aussi, les économies que fait Google dans son activité.

Héloïse : Des conditions générales qui sont, par ailleurs, modifiables au cours du temps, si j’ai bien compris.

Samuel Chenal : Oui effectivement, on n’est pas très sûrs. Et c’est là où, justement, ces grands acteurs peuvent jouer un rôle un assez trouble dans la modification du passé. C’est-à-dire qu’ils peuvent tout à fait lister les différentes conditions générales qu’il y a eues pour leurs services ces dix dernières années, mais ils peuvent très bien se dire eh bien tiens, on va modifier les conditions générales de 2006, ça va nous arranger !

Voix off : « Il y a un slogan du parti qui se rapporte à la maîtrise du passé dit-il, répétez-le je vous prie. – Qui commande le passé commande l’avenir. Qui commande le présent commande le passé, répéta Winston obéissant. – Qui commande le présent commande le passé, dit O'Brien en faisant de la tête une lente approbation. Est-ce votre opinion Winston, que le passé a une existence réelle ? »

Journaliste : Extrait du livre 1984 de George Orwell.

Voix off : « O'Brien sourit faiblement. Vous n’êtes pas métaphysicien Winston, dit-il, jusqu’à présent vous n’avez jamais pensé à ce que signifiait le mot existence. Je vais poser la question avec plus de précision. Est-ce que le passé existe d’une façon concrète dans l’espace. Y a-t-il quelque part dans le monde ou ailleurs un monde d’objets solides où le passé continue à se manifester ? Non ! Où le passé existe donc, s’il existe ? – Dans les documents, il est consigné. Dans les documents et dans l’esprit, dans la mémoire des hommes. – Dans la mémoire, très bien. Nous, le parti, nous avons le contrôle de tous les documents et de toutes les mémoires, nous avons donc le contrôle du passé, n’est-ce pas ?

[Musique]

Voix off : Muse chante Resistance directement inspiré de 1984.

Journaliste : Mais 1984, ça ne nous fait pas vraiment rêver. Alors on regarde ce qui se passe autour de nous et on retrouve Héloïse, Amélie, avec Samuel Chenal et on parle encore un peu d’informatique et puis d’humain.

Héloïse : Alors c’est vrai que nous on est France, mais ce qui nous avait beaucoup interpellé, avec les acteurs un peu d’Internet et des droits de l’homme, c’est que, en fait, il y a très peu de mobilisation citoyenne. Pour toi, pourquoi est-ce que les gens, en fait, ne s’intéressent pas à ce sujet ou en tout cas ne se sentent pas forcément concernés ? Qu’est qui les motiverait ? Qu’est-ce qui motiverait chacun d’entre nous à changer sa pratiquesa et son rapport à la technologie ?

Samuel Chenal : C’est une réappropriation, justement, de la chose informatique par les individus. On considère, et ça c’est la société qui le veut, donc le marketing, la publicité notamment, qui considère l’informatique comme une clef à mollette si on veut. C’est un outil ; c’est un outil qui est neutre. Une clef à mollette jaune, une clef à mollette bleue, c’est pareil ! Et en fait, tout l’art qu’il y a derrière les marketeurs de ces produits est justement de cacher la complexité et de cacher les intentions. Ce qui fait que les gens ne se préoccupent pas de ça puisque ça reste des outils : on doit envoyer des mails, on envoie des mails. On peut envoyer des mails très engagés sur d’autres sujets, mais on ne se soucie pas de l’outil, justement, qu’on emploie. Or, c’est de cela qu’il faudrait parler, c’est-à-dire les outils informatiques, électroniques, qu’on emploie, il y a une intention derrière par les fabricants, et cette intention-là n’est pas claire, ou elle est très claire selon les personnes, elle n’est surtout pas débattue d’un point de vue démocratique.

Moi je voulais rajouter un point sur ce que tu as dit tout à l’heure concernant pourquoi, en fait, on devrait s’en soucier, pourquoi finalement des services très utiles – parce que je ne dis pas que les services de Google ou de Facebook ou d’autres ne sont pas bons ; ils sont excellents d’un point de vue technique ; ce sont vraiment des innovations qui ont surpris énormément de chercheurs dans la rapidité des évolutions qu’il y a eues – moi, ce que je vois, c’est une stérilisation, si on veut, de la créativité. C’est-à-dire que les solutions maintenant il y en a combien ? Il y a une dizaine de solutions pour le mail : il y a Google, il y a Yahoo, et puis il y a Microsoft, voilà ! On est en train de détruire la biodiversité informatique par cette concentration au niveau international. Et au même titre que ce qu’on pourrait dire sur la biodiversité dans la nature, la biodiversité est essentielle également en informatique.

Héloïse : C’est une uniformisation, on va dire, qu’on voit aussi dans tous les domaines de vie. C’est un peu ce qui est reproché dans la société actuelle à cause du marketing notamment.

Samuel Chenal : De masse !

Héloïse : On achète tous les mêmes vêtements ; on mange tous les mêmes choses ; voilà. Tu veux dire que dans l’informatique aussi.

Samuel Chenal : Je dirais qu’il y a un élément de risque. C’est très concret. Pourquoi il y a eu un exode massif des Irlandais par le passé aux États-Unis ? C’est parce qu’il y a eu, on va dire, une maladie qui a atteint les pommes de terre et qui a créé une famine ; mais c’étaient les mêmes pommes de terre partout dans le pays. Et une basse biodiversité crée un risque parce que si un problème survient sur l’élément qui est utilisé, eh bien c’est une catastrophe. Au même titre que si Google a un problème informatique grave ou subit une attaque grave dont il ne peut pas se prémunir, eh bien il y a tout un pan de l’économie mondiale qui est complètement paralysé, parce que Google ce n’est pas uniquement pour l’éducation. Tamedia, le groupe Tamedia qui édite le 24 heures notamment, mais d’autres journaux, utilise Google for Application.

Quand on commence à se poser la question, ces grands groupes internet scannent l’intégralité des contenus de nos mails, l’intégralité des échanges que l’on fait, avec des algorithmes – ce ne sont pas des êtres humains qui le font, évidemment, mais ce sont des algorithmes – pour pouvoir déceler des profils de personnes ou des tendances de société, ou même de pouvoir identifier un certain type d’individus et on se rend compte que des journaux, qui sont censés être indépendants, utilisent pour des raisons d’économie, utilisent ces solutions-là qui leur coûtent, de fait, beaucoup moins cher ; ça leur crée beaucoup moins de soucis, mais leur indépendance est en jeu.

Héloïse : Est compromise en fait.

Samuel Chenal : Complètement !

Héloïse : Là tu viens de dire que ces entreprises, ces magazines, ces journaux, utilisaient ces solutions, tout comme les internautes, parce que ça coûte beaucoup moins cher. Or il est avéré, maintenant, que les grandes, toutes les entreprises du Web collectent un maximum de données, de métadonnées, d’informations pour les revendre.

Samuel Chenal : C’est essentiellement pour ça.

Héloïse : Si on prend Google, si on prend Amazon, si on prend Apple et compagnie, du coup, pour l’ensemble, combien est-ce qu'on pourrait leur donner de sous par an. On était à 500 euros par an pour un utilisateur classique pour Facebook uniquement. On atteint des sommes incroyables.

Samuel Chenal : Et après on ne se pose plus trop de questions sur le fait que ces services soient gratuits et que ces entreprises soient florissantes. Comment peuvent-elles gagner de l’argent ? Comment peuvent-elles gagner de l’argent si ce n’est en exploitant économiquement les données des gens ?

Héloïse : Qui serait prêt aujourd’hui à payer 500 euros par an à Facebook pour utiliser ses services ?

Samuel Chenal : Mais personne ! C’est pour ça que des solutions alternatives émergent, pour justement proposer un autre modèle. Il ne s’agit pas de dire on détruit tout et on reconstruit quelque chose de mieux. Ça, ce n’est pas du tout l’idée. L’idée c’est de proposer une alternative pour que les gens aient le choix. Parce qu’actuellement on n’a plus le choix ! On n’a plus le choix du prestataire de mail. Qui dirait aujourd’hui : « Ah oui, je vais prendre un mail qui coûte très cher » alors qu’il y a des mails gratuits. Ça paraît évident. Les gens sont naturellement incités à aller vers ce qui est gratuit, sans se poser plus de questions en avant. Ou alors en se disant la fameuse phrase habituelle « Je n’ai rien à cacher ».

Héloïse : Phrase étonnante parce qu’en fait c’est vrai que c’est une phrase qui ressort dans la bouche de tout le monde, mais qui provient du PDG de Google. Donc c’est là où on voit aussi la force du marketing.

Samuel Chenal : Oui, tout à fait !

Héloïse : C’est vrai que les gens pensent vraiment, disent tous exactement cette phrase-là, mais qui est la phrase que le PDG de Google, justement lui, a immiscée ; c’est sa façon de penser à lui. On sent qu’il n’y a pas une réflexion propre, en fait, que ce qu’on leur redit par rapport à ce qu’est Internet ou ce que doit être Internet. Du coup, on le croit de fait.

Samuel Chenal : Complètement. Oui. Tout à fait. Et c’est quelque chose qui s’est immiscé, finalement, dans le débat, le fait de dire « Je n’ai rien à cacher » donc je peux me permettre de me faire scanner mes courriels. Mais parce que les gens ne savent pas réellement ce que font ces gens du Web. Ce qu’il faut savoir c’est que si vous êtes dans Facebook, vous mettez un message, mais vous ne le publiez pas parce que vous vous rétractez ; vous effacez le message que vous alliez envoyer, ça c’est enregistré. Vous vous rendez compte !

Héloïse : Et les brouillons dans nos mails, également, etc.

Samuel Chenal : Les brouillons, etc. Donc ça va très loin et ça va bien plus loin que ce que les gens peuvent imaginer.

Héloïse : Oui. On a fait plusieurs interviews. Je pense que de George Orwell, il avait peu d’imagination, en fait.

Samuel Chenal : Il est très en deçà.

Héloïse : Il est très en deçà de la réalité factuelle d’aujourd’hui. Et moi, du coup, j’avais deux questions. L’une c’était par rapport à Google. Tu disais tout à l’heure que Google avait un plan bien établi. C’est vrai que eux ils ont, pour le coup, une vision d’entreprise à long terme avec des idéaux qui leur sont propres mais justement qui sont un peu opposés je dirais à, peut-être, la philosophie d’itopie. C'est-à-dire eux, c’est plutôt que la technologie et l’humain soient fusionnés.

Samuel Chenal : Fusionnés. C’est vraiment une vision progressiste au sens des grands…

Héloïse : Est-ce que du coup tu peux expliquer c’est quoi la vision de Google pour que les gens, peut-être, sachent aussi ?

Samuel Chenal : Il y a une forme qui est aussi assez angoissante pour ma part. C’est le fait que les machines sont plus efficaces que l’être humain pour les tâches répétitives. Ça, ça a toujours été le cas depuis l’ère industrielle. Mais la barre est en train de progressivement, et même très rapidement, s’élever. C’est-à-dire que de plus en plus de métiers, de plus en plus de tâches, peuvent être pris en charge par des machines ou des automates. Ce qui veut dire que, finalement, l’emploi est en péril. Alors on applaudit quand, on va dire, un organisme met sur le marché un nouveau drone qui va faire beaucoup de choses tout seul. J’avais vu une Une d’un journal où on voyait un drone qui amenait les colis de la poste suisse. Là, tout le monde applaudit ; il n’y a pas de regard critique du tout. Mais le but c’est quoi ? C’est de remplacer les facteurs ! Alors on aura remplacé les facteurs, on aura des drones qui iront apporter les colis d’Amazon !

Héloïse : Soyons logiques !

Samuel Chenal : Ou ce seront les drones d’Amazon, comme ça la poste suisse n’existera plus et on aura gagné quoi ? En fait, on est dans une fuite en avant où on développe des automatismes, on développe des systèmes de gestion intégrée sans réellement se positionner dans la société de demain. Il n’y a pas de débat démocratique sur, on va dire, les effets sur l’emploi de ces nouvelles technologies et de ces automatismes-là. Ce nouveau paradigme, si on veut, va détruire une énorme quantité d’emplois. Les informaticiens ne sont pas du tout protégés. Il y a beaucoup de tâches en informatique qui sont de plus en plus automatisées. Donc c’est faux de dire qu’il y a des branches dans la société qui sont épargnées. C’est faux ! Elles sont toutes sous la cible.

Alors il y a des maigres, on va dire débats, sur le revenu inconditionnel, par exemple en Suisse. Mais voilà, les gens sont dans une pensée de société du 19 et 20e et la société technologique avance beaucoup plus vite. Moi je ne suis pas contre, en tout cas, l’automatisme en tant que tel comme, on va dire, idéologie ; je ne suis pas contre. Mais il faut qu’on en discute. Il faut qu’on en discute au niveau de nos modèles sociaux. Comment est-ce qu’on va financer la société s’il y a 40 % de chômeurs ? Comment les 40 % de chômeurs vont vivre leur situation vis-à-vis de l’autre moitié de la population qui aura la chance, les élus qui auront un travail ?

Voix off : C’est sur cette interrogation que nous finiront notre émission. Mais rassurez-vous Samuel Chenal n’est pas pessimiste et des solutions il en a plein. Ce sera l’objet d’une deuxième émission de TIC éthique consacrée itopie, ou comment relier l’informatique et l’humain.

15 June 2017

april.png Nouvelles April

Ambitions numériques du gouvernement : mission impossible sans logiciels libres

Le 15 June 2017 à 11:54:27

Communiqué de presse, le 15 juin 2017.

Mounir Mahjoubi, secrétaire d’État chargé du Numérique, a présenté en Conseil des ministres les « priorités du gouvernement en matière de numérique ». L'April appelle le gouvernement à mettre en œuvre une véritable politique publique en faveur du logiciel libre.

À l'occasion du Conseil des ministres du 14 juin 2017, Mounir Mahjoubi, secrétaire d’État chargé du Numérique, a présenté les « priorités du gouvernement en matière de numérique ». Il n'y a pas de compte-rendu écrit de cette communication, mais Christophe Castaner, porte-parole du gouvernement, a listé ces priorités dans son point à la presse (à partir de 14 min 30 de la vidéo).

Les priorités du gouvernement seraient donc :

  • « faire du numérique un moteur pour accélérer la croissance et l'innovation »
  • « faire du numérique un levier pour transformer les services publics »
  • « faire du numérique en sorte qu'il puisse profiter à tous, partout sur le territoire »
  • « faire en sorte que l'espace numérique soit un espace sûr dans lequel les citoyens puissent avoir confiance »

Donner la priorité au logiciel libre et aux formats ouverts dans le secteur public est une condition indispensable pour une informatique loyale au service de l'intérêt général. L'April tient à rappeler ce préalable, point d'appui de la mise en oeuvre des ambitions gouvernementales.

À l'occasion de la consultation sur le projet de loi pour une République numérique, notre proposition de donner la priorité au logiciel libre dans le secteur public avait été très largement soutenue. Malheureusement, au final, la disposition adoptée a été un simple « encouragement » à l'usage du logiciel libre dans le secteur public, disposition dénuée de portée normative.

L'April appelle le président de la République et le gouvernement à mettre en œuvre une véritable politique publique en faveur du logiciel libre.

À l'occasion des élections législatives, l'April a lancé la campagne du « Pacte du Logiciel Libre » afin de sensibiliser les futur⋅e⋅s élu·e·s aux enjeux des libertés informatiques. Nous comptons actellement 60 signataires présents au second tour dont M. Christophe Castaner. Il ne reste que quelques heures pour contacter les candidat⋅e⋅s qui ne l'ont pas encore été et leur proposer de signer le pacte. Plus le nombre de parlementaires qui s'engagent est élevé, plus il sera possible d'obtenir une priorité au logiciel libre.

Image d'illustration avec les engagements du pacte du logiciel libre

L'April rappelle également que « faire en sorte que l'espace numérique soit un espace sûr dans lequel les citoyens puissent avoir confiance » s'oppose notamment à toute mesure qui entraînerait un affaiblissement du chiffrement. Comme l'indique M. Guillaume Poupard, directeur général de l'ANSSI, le chiffrement est « une technologie de paix et de prospérité avant tout, même s’il y a des gens malfaisants qui peuvent s’en servir ». L'April vient d'ailleurs de contribuer à l'appel à financement de GnuPG, outil fondamental pour la protection de la vie privée, et encourage chacun à faire de même.

14 June 2017

jzimmermann.png Jérémie ZIMMERMANN

Encryption, security and liberties: position of the "Observatoire des Libertés et du Numérique"

Le 14 June 2017 à 09:07:34

Paris, 14 june 2017 — For some time, political authorities are trying to question the technical and legal protections guaranteed by encryption tools. To oppose these dangerous proposals, the Observatoire des Libertés et du Numérique (Freedoms and Digital Observatory)1 publishes its position on the defence of the right to encryption, a tool indispensable to protect freedoms in the digital age.

Press release by the Observatoire des libertés et du numérique (OLN)

Right click here to download the full position (PDF)

Position summary

In the digital age, legal and technical surveillance capabilities of States have become so advanced that fundamental right to privacy, cornerstone of freedoms of expression, opinion and information, has been challenged lately in France as well as throughout the world.

As such, the capability of encrypting digital communication and data is mandatory in order to preserve fundamental rights and liberties. Encryption remains one of the last barrier against arbitrary and illegal intrusions, either from States, the private sector or criminals.

However, encryption goes far beyond human’s right concerns: since digital technologies are now a part of all human activities, weakening encryption, no matter the technique used, would weaken the economy as a whole, as well as our collective public safety.

It is worth repeating that no technique of systemic weakening of encryption could only targets criminal activities: every citizen could also be a potential target. There is no encryption-weakening technique which would only benefit to “well-meaning actors”. If a backdoor is created for State activities (police, justice, intelligence services…), any other actor (other States, criminal organisations, hackers...) could potentially use it as well.

Is encryption used by criminals? Yes, because of their inner illegal nature, criminals try to hide their activities. But encryption is also used on a daily basis by every citizen, for almost every digital activity. Criminals can plan their activities in a closed car. Nobody would even think about banning cars, or systematically put a wire inside recording information directly accessible by State authorities.

However, this is the logic defended by those in favour of the criminalization or weakening of encryption. In the same way, technical capabilities for recording places (such as a car) where criminal activities may occur exists, and should be regulated by law, the technical and legal frameworks surrounding State capabilities for interception and decryption have been largely expanded in the last years, giving State agencies many opportunities to gather evidence against suspected criminal organisations.

Benefits provided by further weakening of encryption to fight criminality seem very low, if not uncertain. What is certain though, are the devastating consequences for citizens’ rights and liberties, for the country's economy and safety, and for society as a whole.

Proposals of the Observatoire des libertés et du numérique

Both technical and legal capabilities for surveillance in today’s digital age are such that the fundamental right to privacy that guarantees freedom of expression, opinion and information in a democratic society has been severely challenged for the past few years, both in France and the rest of the world.
In these circumstances, the capacity to encrypt one's digital communication and data is an essential condition for collective security and the proper functioning of the economy, on one hand, and for the preservation of fundamental rights and liberties on the other, as it prevents arbitrary and illegal intrusion of numerous actors, be they state actors, private companies, or criminals.

The “Observatoire des libertés et du numérique” calls on public and private actors in the digital sector to:

  • abstain from all initiatives, be they technological or legal, that would weaken encryption tools;
  • consult relevant civil society stakeholders and institutions sufficiently in advance of any project that would have consequences on encryption;
  • guarantee all individuals access to strong encryption, an essential tool for the respect of privacy in the digital sphere;
  • promote the importance of data and communication encryption to the public, and facilitate the use and development thereof.

The full position is available here (PDF)

Members of the OLN : Amnesty International France, Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM).

AttachmentSize
201701.oln_.encryptionsecurityandliberties.trad_.pdf388.66 KB

13 June 2017

candidats.png Candidats.fr

Législatives 2017 - Pacte du logiciel libre : manuel du « Super Contactheur »

Le 13 June 2017 à 17:10:00

Le contactheur averti a déjà lu le « Manuel du Contacthon ». Dans ce billet, nous allons voir comment devenir un « Super Contactheur ».

Définition

La plate-forme Candidats.fr met à disposition plusieurs centaines de courriels utilisables pour contacter des candidats.

Contacter un candidat déjà contacté (mais n'ayant pas signé le Pacte du Logiciel Libre) n'est pas un souci ; au contraire, solliciter à nouveau et massivement un candidat déjà contacté ne peut que l'encourager à réagir et prendre position.

Avec de l'expérience et de la méthode, il est possible de faire une action de contact par minute, soit environ 60 actions de contact à l'heure. C'est facile, juste un peu répétitif.

Le « Super Contactheur » est un contactheur capable d'actions de contact massives : plusieurs centaines. En fait, autant que de coordonnées disponibles.

Méthode

Voici une méthode éprouvée qui bien que manuelle donne de bons résultats en terme de rapidité :

  1. sélectionner les candidats cibles :
    • ouvrir la page web des candidats d'une circonscription ;
    • scroller du début de la liste jusqu'à la fin et pour chaque candidat :
      • regarder les colonnes de droite pour savoir si le candidat a des coordonnées de contact utilisables,
      • si oui alors ouvrir un onglet sur la fiche de ce candidat
      • puis passer au candidat suivant (traitement de l'onglet ci-après),
  2. pour chaque onglet ouvert :
    1. contacter :
      • copier l'adresse de courriel,
      • passer dans la fenêtre Thunderbird (ou de votre logiciel de messagerie préféré),
      • dans les messages envoyés, sur un message déjà envoyé, faire bouton droit « Utiliser comme nouveau message »,
      • écraser l'adresse de destination par un coller,
      • modifier le « Monsieur X »,
      • modifier l'argumentaire si l'on connait le candidat et son contexte,
      • envoyer le courriel,
    2. indiquer l'action de contact :
      • revenir dans la fiche du candidat, cliquer sur « Ajouter une action de contact »
      • cliquer sur la flèche verte pour mettre la date du jour
      • dans « détails » coller l'adresse de courriel
      • fermer l'onglet et passer à l'onglet suivant.

Astuce : pour passer de la fenêtre navigateur web à la fenêtre messagerie, pensez à utiliser le raccourci clavier Alt-Tab.

Certains candidats ont uniquement un formulaire web comme coordonnées de contact. Traitez-les aussi. La différence revient juste à copier/coller votre message dans le formulaire. Ça prend un tout petit peu plus de temps mais ça va vite aussi.

Astuce : comment trouver rapidement les candidats courrielables ?

Dans une liste de candidats, comment savoir rapidement lesquels vous n'avez pas contactés alors qu'ils ont une adresse de courriel ?

Réponse : les lignes contiennent le caractère « * ». Vous trouverez donc les candidats « courrielables » juste en faisant un « Ctrl-f * ».

Conclusion

Voilà, maintenant, vous savez comment devenir un « Super Contactheur ». En quelques heures, vous pouvez faire des centaines d'actions de contact et ainsi aider à « performer » la campagne Candidats.fr.

Certes, cela peut paraître rébarbatif, mais ça vaut le coup si l'on pense à l'action de sensibilisation réalisée.

N'hésitez pas à partager vos astuces et à remonter vos records de moyenne d'actions de contact à l'heure !

jzimmermann.png Jérémie ZIMMERMANN

ePrivacy : no time for weakness

Le 13 June 2017 à 10:14:55

Paris, 13 June 2017 — June will be a decisive month for the future of our privacy and the confidentiality of our electronic communications. The future "ePrivacy" Regulation now being debated in the European Parliament is divisive, brings back unpleasant memories from when the General Data Protection Regulation was negotiated. Since the publication for opinion of two utterly opposing reports, all eyes are now turned toward the main rapporteur, Marju Lauristin, who is supposed to present her text on June 21. Will we see courage or weakness in the face of the lobbies? Civil liberty and innovative models, or exploitation and surveillance capitalism? La Quadrature du Net has made its choice, and will certainly continue to defend it over the long months of negotiation ahead.

For the past year, the question of privacy and confidentiality of electronic communications has been on the agenda of European institutions.
By means of a revision an old 2002 "ePrivacy" directive, the EU wants to review the rules surrounding the confidenciality of our communications and devices (phones, computers, etc.). This is a very sensitive topic, because it aims to protect our personal privacy at a time when it's being seriously endangered by state surveillance and the constant tracking by private actors, mostly for commercial purposes.

After the European Commission presented its draft proposal in January, the file was sent to Parliament, which is now working on it. La Quadrature du Net -- along with other fundamental rights organizations -- has worked within the Parliament since the beginning of the year to assert the importance of strong, ambitious rules to break from the status quo and provide real protection for European citizens. Unfortunately is comes up against industry's furious lobbying and the ever-present argument over the "balance" we're supposed to find between fundamental rights and business.

This rhetoric of "balance" is intolerable, because it seeks to make us believe that today's "balance" currently leans in favor of protecting our rights and liberties, and that we have to re-balance things in favor of industry and business. That's a lie. Individuals have no power compared to service providers. Their personal information is wrenched from them without their free, informed consent, when it isn't simply ignored. This creation of wealth, created in the ignorance of users, also feeds the enormous databases that governments love to use for surveillance, and companies for social control, profiling, and advertising.

MEPs have a grave responsibility, because with the ePrivacy rule they have the chance to create a framework that truly protects our rights and liberties, which will lead European digital actors to invest in better models, and in that way to stand out from their competitors.

The rapporteur designated by Parliament to write the draft regulation is the Estonian Social Democrate Marju Lauristin. Her report, which should be presented to the Commission on Civil Liberties (LIBE) on June 21, is eagerly awaited. Familiar with these subjects, the rapporteur has a good understanding of the issues around ePrivacy, but she must remain firm and resist the power of industry lobbies, which will be many and diverse (telecoms operators, American net giants, the online advertising industry, the press, etc.).

Two other committees want to have a hand in the dossier: the committee for industry, research, and energy (ITRE), and the committee for the internal market and consumer protection (IMCO).

Within ITRE, the liberal Kaja Kallas has issued a half-hearted advisory. She actually improves the Commission's initial proposal on certain points:

  • Consent should be given freely and thus should not be a required compensation to access a service -- in other words, you can't be denied access to a service whose economic model is based exclusively on targeted advertising, only because you refuse to let your personal data be exploited;
  • Offline tracking of our devices should be subject to consent;
  • Member states derogations should be limited;;
  • End-to-end encryption should be encouraged and back doors forbidden.

Unfortunately Ms Kallas's report fails to limit the blank check given to service providers to exploit the data of electronic communications. Contrary to what La Quadrature recommended, consent from only one participant in a communication would be enough, according to her, to permit communications data (metadata or content) to be exploited. Moreover, Kaja Kallas didn't want to include in her report the possibility of really effective class actions for users, and hasn't increased the sanctions for enterprises which violate the rules on confidentiality for end devices.

Within IMCO, Eva Maydell (PPE) makes her business orientation quite clear, and nothing is worth keeping from her report. We won't bother listing here all the points that would have to be amended, but to sum up, Ms Maydell's report:

  • refuses to consider that the electronic communications sector requires specific reinforced protection, and instead adds exceptions to turn user consent on its head, framed as 'further purposes';
  • opposes requiring all users in a communication to consent to metadata or content collection;
  • shamelessly suppresses the entirety of Article 7, which requires service providers to delete or render anonymous the content of communications they handle, as well as metadata no longer needed to assure the communication and its billing.

Just these few examples -- if they were adopted by the IMCO committee, or worse, later picked up by the LIBE committee -- would considerably weaken the already-unambitious European commission proposal. La Quadrature calls on the European deputies of the IMCO committee to reject massively Eva Maydell's unacceptable and dangerous report.

Following on these two reports for opinion, rapporteur Marju Lauristin's proposal will be decisive, because it will be the one to guide how future debates and amendments will be organized. Should we continue to defend the few gains from the 2016 General Regulation on Data Protection (such as that consenting to the processing of personal data cannot be required for access to a service) and fight to not lower the standards set in the former 2002 ePrivacy directive (e.g., saying that consent is the sole legal basis for processing personal data)? Or should we finally abandon this defensive posture, turn to the future, and become a force in putting forward a truly innovative ePrivacy regulation? Right now the lobbying offensive, the positions of some member states, and IMCO's advisory report would tend to make us lean towards the former, but rapporteur Lauristin's proposal might -- with a bit of courage -- reverse that balance.

See also:

  • La Quadrature's reaction to the European Comission's project for a report (January 2017);
  • the recommendations for Eurodeputies on ePrivacy (March 2017). More up-to-date recommendations are being prepared;
  • LQDN's wiki on the project for the ePrivacy regulation.


Powered by Planet!
Mise à jour: Le 27 June 2017 à 15:32:52