Soixante sixième épisode dans la communication entre les différents intervenants autour du site LinuxFr.org : l’idée est tenir tout le monde au courant de ce qui est fait par les rédacteurs, les admins, les modérateurs, les codeurs, les membres de l’association, etc.

L’actu résumée ([*] signifie une modification du sujet du courriel) :

Statistiques

• 1459 commentaires publiés (dont 1 masqué depuis) ;
• 215 tags posés ;
• 87 comptes ouverts (dont 3 fermés depuis) ;
• 49 entrées de forums publiées (dont une masquée depuis) ;
• 16 dépêches publiées ;
• 23 journaux publiés (dont 0 masqué depuis) ;
• 3 entrées dans le système de suivi (dont 0 fermée depuis) ;
• 0 sondage publié ;
• 3 pages wiki publiées.

Listes de diffusion (hors pourriel)

Liste linuxfr-membres@ — [restreint]

• R.A.S.

Liste meta@ - [restreint]

• R.A.S. (visiblement j'ai oublié d'y faire suivre le résumé de la seconde quinzaine de janvier)

Liste moderateurs@ - [restreint]

• [Modérateurs] Rien de neuf…

Liste prizes@ - [restreint]

• [Prizes] LinuxFr prizes recap du samedi 4 février 2017, 10:44:13 (UTC+0100)

Liste redacteurs@ - [public]

• R.A.S.

Liste team@ - [restreint]

• [team linuxfr] FI - Livret Numérique - Soirée de présentation - 17/02
• [team linuxfr] Participation à LinuxFr.org

Liste webmaster@ — [restreint]

• [webmaster] compte ferme?

Canal IRC adminsys (résumé)

• Mettre plus en avant le https, avoir du CSP, passer en jessie, avoir du http 2 via le nginx de jessie-backports
• Sept commentaires perdus en base de données ont refait surface sur le site
• Stretch en approche
• Soirée contribution au libre du 16 février. Voir pour le 2 ou le 9 mars ensuite ? Et la soirée déc-ouverte du 7 mars ?
• Planification de l'intervention au DC pour changement de disque
• LinuxFr.org cité dans le rapport moral de l'April
• Bot scanneur bloqué
• Discussion sur le salaire moyen pour les emplois Linux
• Du mieux côté nombre de HTTP 500 : il reste les IPFuckers, les pipoteurs d'AuthenticityToken et ceux qui veulent afficher nos pages en JSON
• Quels sont les sites web qui proposent de l'écriture collaborative de dépêches ?
• Habituelles mises à jour de sécurité

Tribune de rédaction (résumé)

• signalement d'un souci de flou sur les avatars sur une mauvaise taille affichée, non reproduit
• signalement d'un souci sur les crochets d'un hyperlien Wikipédia visible dans le sommaire d'une dépêche en rédaction

Tribune de modération (résumé)

• gestion du spam
• collision d'URL en modération suite à la migration utf8mb4
• première soirée déc-ouverte le 8 février

Commits/pushs de code https://github.com/linuxfrorg/

• Merge pull request #209 from tsacha/master
• Remove external asset in Spasibo CSS
• Fix 500 when putting a space after ```
• Fix OAuth2 app administration
• Fix collation issue in admin

Divers

• toujours un disque dur HS à remplacer sur un des serveurs ;
• déjà trois Soirées de contribution au Libre (merci Parinux) où LinuxFr.org est présent. À quand la prochaine ?
• toujours à lister les différences détectées entre les schémas de base de données de test, de prod et fraîchement installées

Lire les commentaires

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 6

• [Génération-NT] L'utilisation des logiciels open source encouragée dans les services publics
• [NewZilla.net] Munich abandonne l’open-source
• [ZDNet France] L'April a 20 ans, et toutes ses dents pour défendre le logiciel libre
• [RTBF Info] Bilan de santé: internet est malade et son avenir compromis
• [Journal du Net] L'évolution du modèle des logiciels libres, source d'inspiration pour la stratégie IT de l'entreprise
• [Libération] Logiciel libre: à la conquête du grand public
• [Mediapart] Continuons à Dégoogliser Internet avec Framasoft

[Génération-NT] L'utilisation des logiciels open source encouragée dans les services publics

Par Christopher Potter, le dimanche 12 février 2017. Extrait:
> Jusqu’à présent, les collectivités et les administrations françaises utilisaient en grande majorité des outils Microsoft, notamment Office et Sharepoint. Aujourd’hui, dans un souci d’économie et d’efficacité, elles sont sont invitées à passer à l’open source.
Lien vers l'article original: http://www.generation-nt.com/logiciels-open-source-services-publics-actualite-1939112.html

[NewZilla.net] Munich abandonne l’open-source

Par Philippe Crouzillacq, le dimanche 12 février 2017. Extrait:
> La capitale de la Bavière devrait décider la semaine prochaine d’abandonner les solutions logiciels en open-source déployées depuis 2004 auprès de ses 15 000 collaborateurs et de repasser sous Windows 10, au plus tard en 2021.
Lien vers l'article original: https://www.newzilla.net/2017/02/12/munich-abandonne-lopen-source

[ZDNet France] L'April a 20 ans, et toutes ses dents pour défendre le logiciel libre

Par Thierry Noisette, le dimanche 12 février 2017. Extrait:
> L'association libriste (4.090 adhérents, dont près de 400 personnes morales) fait le point avec nous à l'occasion de ses 20 ans: interview de Frédéric Couchet, délégué général de l'April.
Lien vers l'article original: http://www.zdnet.fr/blogs/l-esprit-libre/l-april-a-20-ans-et-toutes-ses-dents-pour-defendre-le-logiciel-libre-39848430.htm

[RTBF Info] Bilan de santé: internet est malade et son avenir compromis

Par Jean-Claude Verset, le mardi 7 février 2017. Extrait:
> Il parait qu’internet va mal. De mauvaises langues prétendent même qu’il va mourir. Réalité, jalousie, stratégie ou simple crise d’internet bashing? C’est Mozilla qui lance le débat en publiant cette sorte de bulletin de santé de la situation d'internet.
Lien vers l'article original: http://www.rtbf.be/info/medias/detail_bilan-de-sante-internet-est-malade-et-son-avenir-compromis?id=9523958

[Journal du Net] L'évolution du modèle des logiciels libres, source d'inspiration pour la stratégie IT de l'entreprise

Par Romain Le Merlus, le mardi 7 décembre 2017. Extrait:
> Des tout premiers ordinateurs livrés avec leurs sources à la révolution numérique portée par le cloud, la puissance d’innovation du logiciel libre a toujours été l’un des terreaux les plus fertiles pour la mise en œuvre de stratégies IT innovantes et pertinentes.
Lien vers l'article original: http://www.journaldunet.com/solutions/expert/66315/l-evolution-du-modele-des-logiciels-libres--source-d-inspiration-pour-la-strategie-it-de-l-entreprise.shtml

[Libération] Logiciel libre: à la conquête du grand public

Par Amaelle Guiton, le lundi 6 février 2017. Extrait:
> Comme chaque année depuis 2000, les «libristes» se sont retrouvés ce week-end à Bruxelles. Même si des géants comme Microsoft ou Google s’y sont partiellement convertis, beaucoup reste à faire pour sortir de leur logique purement commerciale.
Lien vers l'article original: http://www.liberation.fr/futurs/2017/02/06/logiciel-libre-a-la-conquete-du-grand-public_1546749

Et aussi:
• [Libération] Fosdem: la plaque tournante des logiciels libres

[Mediapart] Continuons à Dégoogliser Internet avec Framasoft

Par Jean-Pierre Favier, le lundi 6 février 2017. Extrait:
> En 2014, l'association Framasoft a lancé une initiative planifiée sur trois ans pour Dégoogliser Internet: proposer une trentaine d’alternatives «Libres, Éthiques, Décentralisées et Solidaires» aux services des multinationales GAFAM (Google, Apple, Facebook, Amazon et Microsoft). Certains candidats à la présidentielle ont intégré cette thématique dans leur projet et parlent de logiciels libres.
Lien vers l'article original: https://blogs.mediapart.fr/jean-pierre-favier/blog/060217/continuons-degoogliser-internet-avec-framasoft

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

Pour la dix-septième année consécutive, l'initiative Libre en Fête est relancée par l'April. Entre le vendredi 4 mars et le dimanche 2 avril 2017 inclus, dans une dynamique conviviale et festive, des événements auront lieu partout en France pour permettre au grand public de découvrir les logiciels libres. La thématique optionnelle de cette édition étant « la priorité au logiciel libre au quotidien ».

Depuis 2001, l'April invite les groupes d'utilisateurs de logiciels libres et les associations de promotion de ces logiciels à organiser, pour l'arrivée du printemps, des événements de découverte à destination du grand public.

Libre en Fête 2017 peut être notamment l'occasion pour la mise en place de partenariats réguliers entre les groupes d'utilisateurs de logiciels libres et les cyber-bases, les espaces publics numériques (EPN) et autres espaces d'initiation à l'informatique et ses enjeux. Ces groupes d'utilisateurs ont pour objectif de faire découvrir le logiciel libre et ses applications au grand public à travers des actions locales. Ces actions sont non seulement complémentaires aux activités d'un espace Cyber-base ou d'un EPN mais leurs objectifs est le plus souvent intégré à leurs missions.

Les logiciels libres sont des logiciels que tout un chacun peut utiliser, étudier, copier, modifier et redistribuer. Au travers des événements du Libre en Fête, le grand public est invité à découvrir tous les avantages de ces logiciels : des valeurs d'entraide et de coopération, un bien commun accessible à tous favorisant le partage des connaissances, une communauté vivante prête à aider les nouveaux venus.

Le référencement d’un évènement se déroule au travers de Agenda du Libre. Sur la page de soumission d’un évènement de l’Agenda du Libre, vous pouvez indiquer toutes les informations concernant votre évènement (date, lieu, horaires, description, etc.). Pour que votre évènement soit référencé dans le cadre du Libre en Fête 2017, il est nécessaire d’ajouter le mot-clé libre-en-fete-2017.

Proposer un événement pour le Libre en Fête 2017

Autour du 21 mars, de très nombreux événements auront donc lieu : ateliers de découverte, conférences, débats, fêtes d'installation1, projections, rencontres, etc. Le public découvrira ainsi des applications comme la suite bureautique LibreOffice.org, le lecteur multimédia VLC, le navigateur Web Mozilla Firefox, des systèmes d'exploitation (GNU/Linux, *BSD…) ou des projets tels que l'encyclopédie libre et collaborative Wikipédia, la cartographie libre collaborative OpenStreetMap et bien d'autres.

Pour cette édition 2017, les animateurs proposent aux organisateurs d'événements la thématique optionnelle de « la priorité au logiciel libre au quotidien ».

Une liste de diffusion a été mise en place pour que les organisateurs d'évènements puissent échanger leurs expériences et idées. L'inscription est ouverte à tous.

Faites circuler cette annonce, merci !

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 10 heures de travail sur les mises à jour de sécurité pour Debian 7 Wheezy qui ont été subventionnées. Elles ont été consacrées aux tâches suivantes :

• J’ai passé en revue de multiples CVE affectant ntp, et décidé de les marquer comme « no-dsa » (de manière identique à ce qui a été réalisé pour Jessie);
• J’ai relancé les auteurs amont de jbig2dec (ici) et XML::Twig (par message privé) concernant les rapports de bogue n’ayant pas encore eu de retour de leur part;
• J’ai demandé plus de détails sur la liste oss-security au sujet de la CVE-2016-9584, car le fait qu’elle ait déjà été remontée à l’amont n’était pas évident. Il s’est avéré que c’était bien le cas, j’ai donc mis à jour le suiveur de sécurité en conséquence;
• Après avoir obtenu une réponse sur jbig2dec, j’ai commencé à rétroporter le patch désigné par l’amont, ce qui ne fut pas chose facile. Lorsque cela a été fait, j’ai également reçu le fichier permettant de reproduire le problème qui est à l’origine du rapport… et qui ne provoquait malheureusement plus le même problème avec la vieille version de jbig2dec présente dans Wheezy. Cela étant, Valgrind a tout de même identifié des lectures en-dehors de l’espace mémoire alloué. C’est à partir de cet instant que j’ai examiné avec plus d’attention l’historique Git, et découvert que les trois dernières années n’avaient vu principalement que des correctifs de sécurité pour des cas similaires n’ayant jamais été remontés en tant que CVE. En conséquence, j’ai ouvert une discussion sur comment régler cette situation;
• Matthias Geerdsen a remonté dans le n°852610 une régression concernant libtiff4. J’ai confirmé le problème et passé de nombreuses heures à élaborer un correctif. Le patch ayant entraîné la régression était spécifique à Debian, car l’amont n’avait pas encore corrigé le problème. J’ai publié un paquet mis à jour dans la DLA-610-2.

Empaquetage Debian

La période de gel « fort » approchant, j’ai procédé à quelques mises à jour de dernière minute :

• schroot 1.6.10-3 : correction de quelques problèmes anciens avec la manière dont les montages bind sont partagés, et autres corrections importantes;
• live-boot 1:20170112 : correction d’un échec au démarrage sur système de fichier FAT, et autres corrections mineures;
• live-config 5.20170112 : regroupement de plusieurs patchs utiles en provenance du BTS;
• J’ai fini la mise à jour de hashcat 3.30 avec sa nouvelle bibliothèque privée, et corrigé en même temps le bogue critique pour la publication n°851497. Le travail avait été initié par des collègues de l’équipe pkg-security team.

Travaux divers

Parrainages J’ai parrainé un nouvel envoi de asciidoc abaissant une dépendance en recommandation (cf. le n°850301). J’ai parrainé une nouvelle version amont de dolibarr.

Discussions J’ai appuyé plusieurs modifications préparées par Russ Allbery sur debian-policy. J’ai aidé Scott Kitterman au sujet d’une incompréhension sur la manière dont les fichiers de service Postfix sont supposés fonctionner, en lien avec le rapport n°849584. J’ai discuté dans le rapport n°849913 d’une régression dans la compilation des compilateurs croisés, et fourni un patch afin d’éviter le problème. Guillem est finalement parvenu à une meilleure solution.

Bogues J’ai analysé le n°850236 concernant l’échec d’un test Django durant la première semaine suivant chaque année bisextile. J’ai créé le n°853224 afin de remonter plusieurs petits problèmes en lien avec les scripts mainteneur de desktop-base.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in January 2016 contribuée par Weierstrass01.

Aucun commentaire pour le moment | Vous avez aimé ? Cliquez ici. | Ce blog utilise Flattr.

Titre : Cybersécurité et collectivités territoriales
Intervenants : Général Marc Watin Augouard - Colonel Laurent Vidal - Gérard de Boisboissel, ingénieur - Delphine Sabattier - François Sorel
Lieu : FIC 2017 - Lille - 01netTV
Date : Janvier 2017
Durée : 22 min 38
Visualiser le plateau de 01netTV
Licence de la transcription : Verbatim

Description

Gérard de Boisboissel du CREC Saint-Cyr, Laurent Vidal du CREOGN et le général Marc Watin Augouard, fondateur du FIC étaient présents sur le plateau de 01netTV lors de l’édition 2017 du Forum international de la cybersécurité. Ils étaient interviewés par Delphine Sabattier, Directrice des rédactions de 01net, et François Sorel, Rédacteur en chef de 01netTV sur la question de la cybersécurité dans les collectivités territoriales

Transcription

François Sorel : Ce 9ème Forum international de la cybersécurité, ce 9ème FIC est à vivre sur 01Net TV durant ces 48 heures avec Delphine Sabattier, avec nos invités. Et puis je vous rappelle que nous sommes au Grand Palais, à Lille, donc si vous êtes dans les parages, n’hésitez pas à venir nous voir. Delphine, on va parler maintenant de cybersécurité, de collectivités territoriales et peut-être même, aussi, revenir sur la genèse du FIC.

Delphine Sabattier : Oui. Parce qu’on a un invité prestige autour de la table. Je commence par vous présenter colonel Laurent Vidal, vous êtes directeur adjoint du Centre de recherche de l’École des officiers de la Gendarmerie nationale.

Laurent Vidal : Bonjour.

Delphine Sabattier : Bonjour. À côté de vous Gérard de Boisboissel. Vous, vous êtes ingénieur au Centre de Recherche des écoles de Saint-Cyr Coëtquidan.

Gérard de Boisboissel: Tout à fait. Bonjour.

Delphine Sabattier : Bonjour. Et notre invité spécial, le général Marc Watin Augouard. Alors pourquoi je dis spécial, vous êtes général d’armée, mais surtout vous êtes le fondateur du FIC, donc l’endroit où on se trouve actuellement. Racontez-nous un petit peu comment est né ce Forum international de la cybercriminalité au départ et cybersécurité aujourd’hui.

Marc Watin Augouard : L’histoire du FIC est déjà ancienne, 2007. À l’époque, l’idée était de décloisonner. J’avais travaillé avec Thierry Breton qui était président de France Télécoms sur un groupe de travail et, affecté dans le Nord, à Lille, je me suis dit il faut impérativement mettre en application les conclusions de nos travaux. Et donc, j’ai créé ce forum pour décloisonner : que la France parle avec les pays voisins ; que le public parle avec le privé ; que les entreprises parlent avec les universités et les centres de recherche ; que la police, la gendarmerie parlent avec les autres acteurs ; que l’État parle avec les collectivités territoriales ; que ce soit un centre d’échanges, car nous savons bien que la cybersécurité, la sécurité de notre système internet, de nos échanges, du Web, ça passe par la coopération. Personne n’a la clef, n’a la réponse à la question, mais nous l’avons tous ensemble. Or, ce qui est intéressant dans le FIC, c’est de rassembler des personnes qui connaissent le sujet, mais chacune dans son domaine. Voilà, c’est une approche collégiale, une approche partenariale.

Delphine Sabattier : Il y a des choses qui ont changé ? Parce que là, c’est la 9ème édition. Je le disais, au départ ça s’appelait le Forum de la cybercriminalité, aujourd’hui c’est la cybersécurité. Qu’est-ce qui a changé ? Qu’est-ce qui a évolué ? Le nombre de participants déjà, peut-être, parce que c’est plutôt un beau succès.

François Sorel : Le premier FIC il y avait quoi ? Vous aviez 500 intervenants au premier FIC, c’est ça ?

Marc Watin Augouard : 250 intervenants, à peu près.

François Sorel : D’accord, 250.

Marc Watin Augouard : Oui, 250.

François Sorel : Et aujourd’hui plusieurs milliers ?

Marc Watin Augouard : Le premier FiC, le pré FIC, la numéro 0, c’était à peu près 250 personnes. Le premier vrai FIC c’était 500. Et nous fûmes 500 au commencement et nous fûmes une somme maintenant de 9 000 ou 8 000 en arrivant au port ! Voilà !

François Sorel : Vous devez être fier de la croissance exponentielle de ce FIC. Vous devez en être fier mon général ?

Marc Watin Augouard : Oui. C’est dû à deux choses. La première, bien évidemment, mais je ne le dirai pas, à la qualité de ce salon. La deuxième, c’est parce que le problème de la cybersécurité est de plus en plus un problème que chacun prend à son compte, s’approprie, que ce soit les entreprises, que ce soit les particuliers, que ce soit l’État. Ici, vous avez toutes ces entités représentées et chaque année on est de plus en plus conscients de la nécessité de faire quelque chose. Et vous voyez, on est dans une année électorale, la question sera « est-ce qu’on sera une France numérique » ou on ne sera pas ! C’est ça le vrai enjeu des cinq ans à venir, mais je ne fais pas de politique !

François Sorel : Très bien.

Delphine Sabattier : C’est vrai que c’est, aujourd’hui, la question de toutes les entreprises. Peut-être qu’avant c’était davantage la question des entreprises d’informatique, aujourd’hui, ça touche vraiment tous les secteurs et on va parler, aujourd’hui, d’une cible qui est de plus en plus fragile.

François Sorel : Oui, et sensible.

Delphine Sabattier : Ce sont les collectivités territoriales qui manipulent, finalement, énormément de données des citoyens et qui ne sont pas forcément les plus protégées ou les mieux armées.

Marc Watin Augouard : Les collectivités territoriales, c’est ce dont on va parler ce matin, tout à l’heure, c’est que, aujourd’hui, elles sont le témoin de notre vie quotidienne. Prenez une commune, un département. La commune c’est l’état civil ; c’est le cadastre ; c’est la bibliothèque municipale qui est maintenant numérisée ; ce sont souvent des dispensaires ; c’est un service social ; ce sont des établissements pour les personnes âgées dépendantes ; ce sont les transports scolaires ; ce sont les transports publics. Ce sont toutes sortes d’activités qui vont glaner, à un moment donné, collecter vos données et notamment vos données à caractère personnel. Et vous voyez bien que si on arrive à puiser dans cette richesse, dans ce réservoir, toutes ces données, eh bien on peut profiler les personnes. Il y a donc un enjeu majeur, parce que les communes sont souvent de petite taille, elles n’ont pas forcément de RSSI [Responsable de la sécurité des systèmes d’information, NdT], elles n’ont pas forcément de DPO [Data Protection Office, NdT], c’est-à-dire, en fait, de responsable de protection des données. Et donc aujourd’hui, il faut véritablement leur dire : « Attention, vous êtes directement concernées, ça n’arrive pas qu’aux autres ! » C’est par des petites communes qu’on peut avoir des soucis importants par rapport aux données à caractère personnel. Et vous voyez, je pense que les communes en ont pris conscience, hélas, en début janvier 2015, après les attentats à Paris, eh bien 19 000 communes ont vu leur site défacé, c’est-à-dire modifié.

Delphine Sabattier : C’est-à-dire la home du site était différente ? Il y avait des messages de propagande sur ces sites ?

Marc Watin Augouard : La propagande de Daech. Et là, elles ont pris conscience du fait que leur système était attaquable. Et ce sont parfois des petites associations communales ou des entités qui n’avaient pas une importance considérable qui ont vu leur site défacé.

François Sorel : Très bien. Gérard de Boisboissel, quels types de données peuvent stocker et collecter, comme ça, les collectivités territoriales, la mairie ?

Gérard de Boisboissel: Eh bien écoutez, je pense que le général les a déjà citées. Mais, grosso modo, c’est évidemment tout ce que sont les données qu’une mairie gère en priorité, donc les états civils qui définissent, pour chaque personne, un certain nombre d’informations de sa vie privée ; le recensement citoyen ; l’organisation aussi des élections. Tout ce qui est enseignement : les écoles primaires, les cantines. L’entretien et les protections de la commune aussi, ça va des travaux de voirie, mais aussi le cadastre, les permis de construire. L’aide sociale dont le général parlait. Le centre communal d’action sociale, avec tout ce qui est gestion du RMI, des logements sociaux.

Delphine Sabattier : Et tout est numérisé aujourd’hui ?

Gérard de Boisboissel: Énormément de ces données sont numérisées ou numérisables ou, en tout cas, stockées sur ordinateur, donc sous une forme numérique- Et effectivement, l’ouverture de la transformation numérique fait qu’il y a des incitations pour que ces données, ou certaines de ces données, puissent être ouvertes. Or les collectivités ont le devoir de préserver ces données parce qu’elles sont sensibles et, dans des mains mal intentionnées, elles pourraient avoir une valeur, une valeur qui soit même monnayable et qui puisse se faire rançonner à travers certaines techniques d’attaque. On en parlera peut-être plus tard, le ransomware.

François Sorel : C’est déjà arrivé ou pas ?

Gérard de Boisboissel: Pour des mairies, oui, tout à fait. En tout cas chez les individus, c’est quelque chose qui arrive maintenant de plus en plus fréquemment, chez vous. Vous avez certaines méthodes de ce qu’on appelle le ransomware : vos données sont chiffrées et si vous ne payez pas une rançon, vos données peuvent être détruites à distance. C’est quelque chose qui va se généraliser dans les administrations, et les mairies doivent vraiment faire très attention à ce genre de choses, tout comme les hôpitaux.

François Sorel : D’autant qu’elles sont responsables de ces données. Ce sont elles qui sont responsables ?

Gérard de Boisboissel: Absolument ! La mairie, notamment le maire, est responsable des données de sa collectivité et il a d’abord un devoir de, à la fois, les préserver et les sécuriser, et c’est une responsabilité assez lourde qu’il doit endosser. Et pour ça, il doit se donner des moyens pour pouvoir les protéger.

François Sorel : Colonel.

Laurent Vidal : En fait, les maires doivent considérer leur commune un petit peu comme un chef d’entreprise considère son outil de travail. Il conserve des données qui concernent non pas ses clients mais ses concitoyens, qui vont toucher des sphères très profondes de leur intimité – le général parlait des parents qui sont dans un établissement de santé ; il parle des enfants avec tout ce que ça implique pour la cantine, avec les particularités pour l’alimentation, liées parfois à la religion – toutes ces données sont extrêmement sensibles. Et comme un bon chef d’entreprise, le maire doit, finalement, prendre des mesures pour interdire ou éviter que quelqu’un d’autre se les approprie, parce que ces données elles ont toutes une valeur, elles peuvent être utilisées à des choses très diverses.

François Sorel : Est-ce que tous les maires sont sensibilisés à cette importance et ont conscience de la gravité de toutes ces données et de l’importance de ces données ?

Laurent Vidal : La sensibilisation, ça fait partie du travail notamment de la gendarmerie mais pas que. Je pense qu’il y a une prise de conscience qui se fait progressivement. Lors d’un congrès qui avait été organisé à Vannes conjointement par le Centre de Recherche des écoles de Coëtquidan, un professionnel nous expliquait qu’un maire avait découvert, grâce à l’intervention d’un professionnel, que le réseau Wi-fi ouvert au public qui alimentait la mairie, en fait, était une porte ouverte à l’ensemble des données, parce qu’il n’y avait absolument aucun pare-feu pour mettre à l’abri les données. Il le disait en termes de plaisanterie, mais le maire a vraiment réagi lorsqu’il a compris que finalement cette salle, qu’il prêtait également à son groupe d’opposition, permettait également à ce groupe d’accéder à l’ensemble des données de la mairie. Voilà ! Donc il y a une prise de conscience qui doit se faire. Je pense qu’elle est en cours.

Delphine Sabattier : En cours ? C’est-à-dire vous avez un état des lieux ? Vous avez une idée, à peu près, du pourcentage de communes qui ont conscience et qui sécurisent aujourd’hui leur site internet ?

Laurent Vidal : L’actualité nous aide, malheureusement, parce que le général parlait des cas de défaçage qui ont fait suite aux attentats. Mais on a également évoqué, dans la presse, le cas de ces hôpitaux américains qui se sont faits rançonner par le cryptage de leurs données. Ce sont des informations qui sont publiques et que les maires entendent comme tous nos concitoyens. Et je pense que, petit à petit, ils prennent véritablement conscience de leur responsabilité vis-à-vis de l’ensemble de ces données et ils commencent à réfléchir vraiment à la manière de s’organiser. Je pense qu’ils ont compris que de la même manière qu’on ne confie pas à son voisin le tractopelle de la commune pour faire des travaux de voirie parce que c’est quelqu’un de sympathique, eh bien c’est fini l’époque où on peut confier la sécurité informatique de la mairie à l’amie de la secrétaire de mairie parce qu’elle bidouille bien son ordinateur.

François Sorel : Ou parce qu’il s’y connaît en Wi-fi !

Laurent Vidal : Exactement.

François Sorel : Donc il faut quoi ? Il faut un DSI là ? [Directeur des systèmes d’information, NdT]

Laurent Vidal : Eh bien ça peut être une solution. Et si la mairie n’a pas les moyens pour engager en propre un DSI elle peut, peut-être, se regrouper avec d’autres communes pour payer ce professionnel et répartir, en fait, le service de ce professionnel entre diverses communes et collectivités territoriales. C’est quelque chose qui existe déjà pour les polices municipales, par exemple. Ça peut être tout à fait envisageable pour ce type de professionnel. Je pense qu’il y a vraiment un marché pour ce genre de choses et des possibilités financières, même pour les communes les plus petites.

Delphine Sabattier : Et ça, Gérard de Boisboissel, vous avez des conseils à donner pour les aider à mieux se protéger quand on sait qu’il y a des communes ou même des collectivités territoriales qui ont des problèmes de budget ? Et le budget de la sécurité peut s’avérer très, très élevé.

Gérard de Boisboissel : Effectivement. Je pense que la taille de la commune c’est quand même un facteur majeur dans l’organisation de cette réponse aux menaces. Je crois que les grandes communes ont les moyens de pouvoir avoir une politique précise et des moyens à disposition, humains notamment, et techniques pour résoudre ces questions. Les petites communes, elles, doivent se regrouper. Ceci étant, je souhaiterais ajouter qu’il y a tout de même dans chaque commune, quelle que soit la taille, une politique de sécurité à avoir. Donc c’est à la fois une sensibilisation, une formation des personnes. C’est une politique de sécurité d’accès aux données : tout le monde ne peut pas accéder aux données, donc il faut définir une politique. Une politique, aussi, de stockage des données : comment stocker les données ? Où ? Selon quels critères d’accès, également ? Et puis, se faire aider et se faire aider par des audits extérieurs, si les compétences ne sont pas dans la commune - ce qui est souvent le cas dans les petites communes - eh bien il faut aller les chercher à l’extérieur et, pourquoi pas, des partenariats externes avec des personnes qui sont expertes dans le monde privé. Et puis, on peut aller jusqu’aux tests, en final, effectuer des tests pour voir si les systèmes sont bien protégés.

François Sorel : 50 % des communes ont un site qui n’est pas à jour ? 50 % des communes ! C’est impressionnant !

Gérard de Boisboissel : Beaucoup de communes ont délégué ce fameux site à une connaissance qui leur a fait les choses de façon amicale et ça, dans notre monde technologique actuel, ça n’est plus un jeu, c’est une expertise qui est demandée.

François Sorel : Oui, évidemment !

Delphine Sabattier : Des outils qui ne sont pas tenus à jour, aussi, ça c’est un principe même dans le grand public et il n’y a pas de raison que ça ne se retrouve pas au niveau local.

Gérard de Boisboissel : Bien sûr.

Laurent Vidal : Le rôle des collaborateurs est également important. Je reprends l’exemple de l'entreprise. Dans une entreprise, on va développer un esprit de responsabilité, de sécurité, une hygiène informatique. Le directeur de l’ANSSI [Agence nationale de la sécurité des systèmes d’information, NdT] c’est quelque chose qu’il essaye de promouvoir, cette hygiène informatique : bien se comporter de manière générale lorsqu’on agit dans l’espace numérique, eh bien, encore une fois, c’est vrai dans l’entreprise, c’est également vrai dans la mairie. Et les employés de mairie, quels qu’ils soient, les collaborateurs du maire, doivent également développer cette hygiène de vie informatique. Et, j’allais dire, ça concerne à la fois leurs activités professionnelles, mais également leur vie privée puisque, sur les réseaux sociaux, si on est indiscret, si on commente, si on explique des choses, eh bien ma foi, on ouvre la porte à des gens qui savent trouver l’information puisqu’elle est disponible quelque part dans le nuage.

François Sorel : Oui. Bien sûr. Il y a un travail de sensibilisation qui est énorme. D’autant que, à partir de mai 2018, il y aura donc un nouveau règlement européen. On parlait tout à l’heure de responsabilité, mais cette responsabilité va être accrue, alourdie pour ces collectivités. Mon général, qu’est-ce qui va se passer à partir de mai prochain, donc mai 2018 ?

Marc Watin Augouard : Oui, mai 2018 !

François Sorel : Mai 2018, ne stressons pas trop, on a encore un peu plus d’un an. C’est vrai que la responsabilité va être encore accrue pour les collectivités.

Marc Watin Augouard : Bien sûr leur responsabilité va être accrue. Il s’agit d’un règlement européen, et je rappelle qu’un règlement ce n’est pas une directive. La directive, on est obligé de la transposer : le Parlement va voter une loi de transposition. Le règlement s’impose automatiquement en loi française.

François Sorel : Voilà ! Et on ne discute pas.

Marc Watin Augouard : Simplement il s’agit de codifier, de mettre les articles dans le code qui convient. Ce règlement est autrement plus contraignant en même temps qu’il est aussi, je dirais, unitaire que possible, sachant qu’il a quand même fallu quatre ans pour arriver à sa négociation. Quatre ans, c’est important, parce que ça montre que tous les pays d’Europe n’ont pas forcément la même maturité en matière de protection des données. Mais il est là, il arrive, il sera là, présent, obligatoire, le 25 mai 2018. Ça implique, pour tous les détenteurs de données à caractère personnel, de prendre des mesures de précaution de protection exceptionnelle. Pourquoi ? Parce que les contraintes et les sanctions seront autrement plus fortes que celles qui existent aujourd’hui. On va renforcer les pouvoirs des CNIL européennes, le fameux G29, le groupe des CNIL européennes, va avoir plus de rôle à jouer a posteriori pour vérifier que les détenteurs de données à caractère personnel les ont protégées. Mais en même temps, c’est un règlement protecteur pour les individus, notamment le droit à la portabilité, c’est-à-dire, en fait, le droit de récupérer ses données, de les transférer et donc on est vraiment dans un changement complet de portage qui va concerner, bien sûr, les individus, les citoyens, les entreprises, l’État, et aussi les collectivités territoriales

Delphine Sabattier : Mais c’est plutôt une bonne nouvelle parce que, du coup, elles vont être obligées de prendre en compte cette problématique de la sécurité. C’est une bonne nouvelle ! C’est-à-dire qu’elles vont davantage vous écouter, vous entendre, sur la nécessité de protéger les données : avec ce règlement on n’a plus le choix. Ce n’est pas une prévention, c’est vraiment une obligation.

Marc Watin Augouard : Il y aura des obligations extrêmement strictes et vous voyez que le temps qui nous sépare de l’échéance est un temps court.

Delphine Sabattier : Très court !

Marc Watin Augouard : Qui oblige tous les acteurs à vraiment prendre conscience de leurs responsabilités. Et là, le mot est très fort, c’est le mot « responsabilité ». Jusqu’à maintenant on a eu des traitements de données à caractère personnel qui étaient respectueux de la loi, mais qui n’étaient pas, sans doute, aussi protégés que ce qu’ils devront être demain.

François Sorel : Gérard de Boisboissel, c’est bien gentil tout ça, mais ça va coûter beaucoup d’argent. Qui va payer ?

Gérard de Boisboissel : Eh bien, c’est probablement la mutualisation des efforts et des moyens qui permettra de payer pour, là encore, les communes qui ont peu de moyens. C’est à peu près la seule solution.

François Sorel : Il va y avoir des fonds ? Il y aura des aides ? Comment ça va se passer ?

Gérard de Boisboissel : Il y a quelques aides de l’État, mais dans l’accompagnement des solutions technologiques plus que dans les ressources humaines à trouver.

Delphine Sabattier : En termes de formation par exemple. Vous pourriez proposer des formations ?

Gérard de Boisboissel : Alors des formations, elles seront faites au niveau intercommunal, voire régional, et mises à disposition des collectivités. Je sais que sur la région Bretagne, c’est une réflexion qui a commencé à être menée pour l’ensemble des communes : quelles solutions apporter d’aide à ces communes qui se posent ce genre de question ? Je me permettrai d’ajouter, quand même, un point qu’on a omis. Là on est petit peu dans les responsabilités, les contraintes, les risques, mais il y a aussi des opportunités pour les collectivités territoriales à suivre cette transformation numérique. D’ailleurs, ne pas la suivre serait pour elles un risque de fracture numérique, fracture numérique qui fait qu’il y aurait celles qui auraient les moyens de pouvoir suivre la transformation numérique et celles qui ne le pourraient pas. Or, on peut rapprocher au niveau social, les individus des collectivités avec, justement, l’administration de ces collectivités par un accès plus facile aux données. Donc c’est aussi quelque chose qui doit encourager, les collectivités territoriales à prendre à bras le corps cette question, se donner les moyens de la sécurité, mais les moyens de la transformation qui accompagneront les nouveaux usages qui en découleront.

Delphine Sabattier : Il faut avoir accès aussi au réseau. C’est toute la question des infrastructures. Pour les collectivités territoriales, c’est un enjeu très important aujourd’hui. Et là, il y a des aides de l’État qui sont prévues, mais c’est très long.

Gérard de Boisboissel : Voilà. Et là effectivement, je laisserai peut-être le colonel compléter, mais il y a des choses que les communes ne peuvent pas faire par elles-mêmes. La diffusion du réseau de fibre optique sur le territoire, ça c’est quelque chose qui est vu à l’échelon de la région. En Bretagne, il y a un projet qui s’appelle « Bretagne Très Haut Débit » qui vise, pour 2030, à connecter toute collectivité avec de la fibre optique.

François Sorel : Donc 2030, toutes les collectivités françaises seront connectées ?

Gérard de Boisboissel : Non, non, en Bretagne.

François Sorel : En Bretagne.

Gérard de Boisboissel : En Bretagne, c'est le « projet Bretagne Très Haut Débit ».

François Sorel : Oui, parce que c’est bien beau de parler de tout ça, mais c’est vrai qu’il y a encore énormément de petits villages, même de petits hameaux, qui n’ont pas de connexion très haut débit qui, parfois même, sont dans des zones où il n’y a rien ou pas grand-chose. Donc c’est vrai qu’il y a du travail aussi à ce niveau-là.

Gérard de Boisboissel : Et justement je parlais d’opportunité. Pour éviter que ces territoires ne rentrent dans une sorte de situation de deuxième zone, leur donner un accès à la fibre optique, c’est le pari que fait la région Bretagne pour que ces villages redeviennent attractifs, en tout cas sur le plan des usages numériques de demain. Et les grandes villes c’est une solution. Le village connecté, à la campagne, c’est peut-être ce qui va leur permettre de survivre dans les années à venir.

Delphine Sabattier : Et le point d’entrée, aujourd’hui, dans les collectivités territoriales, c’est quoi ? Il y a un directeur des systèmes de sécurité ? Est-ce que vous avez un point de contact ?

Laurent Vidal : Ça peut-être effectivement cette personne qui est responsable de la sécurité informatique de la mairie. Si ce n’est pas le cas, si ça n’existe pas ou si ça n’est pas encore en place, le maire peut s’adresser lui-même, directement, à la gendarmerie. Il y a des référents sûreté qui existent et qui sont capables de fournir des conseils. La gendarmerie étoffe son réseau de spécialistes des nouvelles technologies, en matière d’investigation notamment judiciaire, et elle développe, maintenant, une capacité à aider et à, comment dirais-je, à conseiller les mairies qui en font la demande, de manière importante. Voilà. Donc il a cette aide-là aussi qui existe. On peut toujours demander conseil, au moins sur la fiabilité des installations telles qu’elles sont envisagées. On ne donnera jamais d’avis sur les matériaux eux-mêmes ou sur les matériels qui seront installés, on n’est pas là pour vendre tel ou tel produit, en revanche pour dire « voilà, il risque d’y avoir un vrai problème de sûreté », ça c’est possible de le directement.

Delphine Sabattier : Très bien. Merci beaucoup.

François Sorel : Très bien. Merci beaucoup au général Marc Watin Augouard d’avoir été avec nous, le papa du FIC, on peut le dire. Gérard de Boisboissel et le colonel Laurent Vidal, merci beaucoup.

Gérard de Boisboissel et Laurent Vidal: Merci à vous.

Paris 13 February 2017 — Tonight the Members of the European Parliament (MEPs) of the Committee on Civil Liberties, Justice and Home Affairs (LIBE) will have to decide which political group will be in charge of the draft report and thus to supervise the negotiations over the future ePrivacy regulation concerning respect for private life and the protection of personal data in electronic communications. The choice of political group, and therefore of the rapporteur, is often neglected in following up a legislative dossier, and yet it has substantial implications for the negotiations to come, because this person will set the general orientation and have a preponderant weight in these negociations.

La Quadrature du Net wishes to remind Members of the LIBE Committee, that the ePrivacy rule's rapporteur should be aware of the text's importance so as to respond to the expectations of millions of Europeans.

Dear Members of the LIBE Committee,

The concept of "confidentiality of electronic communication" may seem abstract, yet it is crucial for each of us because it guarantees that only the participants in the communication know its contents and information about the communication, whether it be a call, an SMS, e-mail, an instant message, or through a social network. The ePrivacy rule seeks to guarantee that all the messages we send and receive cannot be intercepted, eavesdropped, surveilled or recorded.

In the context of widespread mass surveillance -- domestic and international -- and how individuals are tracked by companies, the future rule is of overriding importance. Europeans have responded powerfully to the many disclosures of state surveillance since the Snowden episode in 2013, which have come to general awareness. The Eurobarometer of ePrivacy published by the European Commission in December 2016 states that "More than nine in ten respondents say it is important that personal information (such as their pictures, contact lists, etc.) on their computer, smartphone or tablet can only be accessed with their permission, and that it is important that the confidentiality of their e-mails and online instant messaging is guaranteed (both 92%)." That also goes for surveillance and tracking by private companies, which are less and less accepted by European internauts. According to the same Eurobarometer: "A large majority of respondents find it unacceptable to have their online activities monitored, to have companies share information about them or to have to pay not to be monitored".

The use of tools that assure some confidentiality in our communication or some anonymity on line has grown, and a great many people are using them. It is time for European political decision-makers to act on this change in society and enact suitable legislation. If the private members of the sector don't seize the current opportunity to line up with society's needs, this new legislation will force them to open their eyes.

Civil society organizations have turned their eyes today toward the European Parliament, and more specifically toward you, members of the LIBE Commission. The choice of which political group to put in charge of writing the report, from which the choice of the rapporteur will follow, will be critical for the text's future, and you can't take that lightly. The assignment of the ePrivacy rule shouldn't be bartered irrationally. On the contrary, it should be a subject of serious reflection, and should be based on certain criteria in order to assure balanced negotiations.

Therefore La Quadrature du Net calls on you to choose a rapporteur who

• has some knowledge of the subject as well as the political, societal, and technical matters;
• recognizes Europeans' current aspiration to greater confidentiality in electronic communication and their private lives;
• understands that the electronic communication sector needs special rules to protect them where what their content could disclose extremely sensitive personal information, and where the use is constantly growing;
• is convinced the general data protection regulation adopted last April, and the coming ePrivacy regulation, can represent competitive advantages for European companies;
• understands the decisions of European courts concerning metadata. 1

These demands are not ideological, they are are only the bare minimum needed to begin on a basis coherent with the general data protection regulation which you adopted by a very large majority last year. They are similarly the conditions needed so as not to come directly and frontally into conflict with the interests and expectations of millions of Europeans.

It does not matter which political side the future rapporteur will be from, as the right to respect for one's private life and for one's communications has no political color. Nevertheless, it would be neither reasonable nor acceptable to entrust with the task of overseeing this text a person who considers that these principles are ancillary or already sufficiently framed.

La Quadrature du Net remains attentive to the process of negotiation that will lead to choosing the rapporteur of the future ePrivacy regulation, and calls on you to take these few basic criteria into account during your discussions.

• 1. Point 99 of the CJEU's decision on 21 December 2016 : Taken all together, these data can be used to draw very precise conclusions about the private life of persons whose data have been kept, such as the conduct of their daily lives, the places they stay permanently or temporarily, where they go, what they do, their social relationships and the social milieux they frequent (see, by analogy, the concerns of directive 2006/24, Digital Rights order, point 27). In particular, these data make it possible to establish, along with the General Counsel's report on points 253, 254, and 257-259 of its conclusions, the profiles of persons concerned, information just as sensitive -- with respect to law about the respect for privacy -- as the content of communications itself; and agrees about their personal nature and thus their specific need for protection.

En vedette :

Hervé Le Crosnier, mon éditeur, me fait passer ce lien, Le despotisme, expliqué en 1946 par l’Encyclopedia Britannica. Cette vidéo explique en substance que le despotisme (on dirait plutôt dictature, aujourd’hui) peut être caractérisé par deux choses :

1. un respect limité à quelques groupes de personnes et
2. un pouvoir concentré dans les mains de quelques personnes.

Par ailleurs, la vidéo note qu’il y a deux conditions ont souvent permis l’arrivée du despotisme dans l’histoire :

1. la distribution inégale des richesses et
2. le contrôle de l’information.

Ces 4 points sont particulièrement saillants en ce moment . Un critique de ce petit film relève très justement qu’en ce début de XXIe S., ce n’est pas tant l’information qui est contrôlée que dévaluée. Surabondante, contradictoire, bourrée de fake news et d‘alternative facts, fait qu’elle perd en qualité et en crédibilité alors qu’elle gagne en quantité. C’est Garry Kasparov (le champion d’échecs devenu défenseur des droits de l’homme) qui le dit très bien :

L’objectif de la propagande moderne n’est pas juste de vous désinformer ou de promouvoir des idées. C’est d’épuiser votre pensée critique, pour détruire la vérité.

En vrac

• Comment Donald Trump a utilisé Facebook pour cibler très précisément les internautes. Un jeune chercheur « prouve qu’à partir d’un minimum de 68 likes par un internaute, il est possible de prédire sa couleur de peau (à 95%), son orientation sexuelle (88%) ou ses convictions politiques (85%). Il est même possible de déterminer si les parents de l’utilisateur sont divorcés ou non.» (…) À partir de ce ciblage, il alors possible d’envoyer des messages (vidéo ou texte) spécifique pour influencer son vote ;
• Stephen Bannon, éminence grise de Trump, sort de l’ombre. Citation merveilleuse en conclusion : « Les médias devraient se sentir embarrassés et humiliés, ils devraient la fermer et écouter. Vous êtes le parti de l’opposition. Les médias sont le parti de l’opposition. Et je veux que vous me citiez » ;
• Is Steve Bannon the Second Most Powerful Man in the World? ;
• Parallèle “frappant” :
  • Donal Trump, alors candidat à la présidentielle, fait virer manu militari un journaliste accrédité qui ose lui poser une question qu’il n’aime pas ;
  • Marine Le Pen, alors candidate à la présidentielle, fait virer manu militari un journaliste accrédité qui ose lui poser une question qu’elle n’aime pas ;
• Très bon article sur comment utiliser Twitter pour faire de l’activisme politique en restant anonyme. La liste de contraintes est étonnamment longue !
• Excellente lecture pour ceux qui sont impactés par ce qu’ils lisent en ligne : How to Avoid Being Psychologically Destroyed by Your Newsfeed ;
• Je découvre ci-dessus un nouveau concept : Restorative Narratives: Defining a new strength-based genre. « a steady diet of trauma and disaster triggers stress, fear and trauma in those consuming the stories. What if the news media covered stories of recovery and resilience as much as they cover stories about devastation and despair? ». « A restorative narrative is a story that shows how people and communities are learning to rebuild and recover after experiencing difficult times. »
• Quand un auteur américain prédisait l’élection de Trump…dès 1935 ;
• What The Fuck Just Happened Today?, un site qui recense au quotidien les extravagances, bévues et assauts contre la liberté de Donald Trump.
• Geoffrey Dorne annonce Hackstock_, un podcast sur la vie privée, le design et la surveillance !
• L’ergonomie, indispensable pour permettre l’adoption massive du logiciel libre, une conférence en vidéo (et transcrite par les bénévoles de l’APRIL !) par mes brillants collègues Luc Chaffard (designer) et Matthias Dugué (développeur front-end) ;
• Réflexion, empathie et recul anti-troll… l’art d’une conversation réussie sur Internet ;
• Mozilla abandonne les derniers vestiges de Firefox OS, licencie 50 personnes ;
• Bon tuto de la CNIL : Pourquoi sécuriser au maximum le mot de passe de votre boite email ? (je connais un paquet de monde qui devrait lire et mettre en pratique cela, suivez mon regard !)
• Mentionné dans l’article ci-dessus, essayer l’excellent haveibeenpwned.com (“ai-je été piraté ?”) qui, sur la base de votre pseudonyme ou votre adresse email, permet de voir si un de vos identifiants a vu son mot de passer fuiter auprès de pirates. ;
• Le blog de Nicolas Friedli : surveillance:// de Tristan Nitot. « Lorsqu’un (vrai) spécialiste du web se donne le temps de synthétiser sa pensée, de trouver des exemples pertinents dans la durée et qu’il est un bon vulgarisateur, le résultat est à la hauteur. » ;
• Un ex-ingénieur de Mozilla accuse les antivirus d’être un poison pour les ordinateurs ;
• Un hacker révèle les outils de cracking d’iOS de Cellebrite
• La police de Washington veut accéder aux comptes Facebook de plusieurs manifestants anti-Trump. Voilà une méthode supplémentaire pour dissuader les gens de manifester…
• This Teen Hacked 150,000 Printers to Show How the Internet of Things Is Shit. Un lycéen qui s’ennuie “hacke” 158’000 imprimantes et leur fait imprimer des robots en caractères ??ASCII|American Standard Code for Information Interchange]. Ses compétences en programmation n’étant pas reconnues, il a de mauvaises notes…
• Le délit de consultation des sites terroristes : l’éblouissante démonstration de François Sureau (vidéo et transcription). ;
• Le Conseil d’Etat empêche définitivement JCDecaux de pister les téléphones des passants. « JCDecaux souhaitait collecter les identifiants des téléphones portables des personnes passant à côté de ses panneaux publicitaires à La Défense. Le Conseil d’Etat le lui a interdit, en confirmant une décision de la CNIL.» ;
• Fichier #TES : le CNNum veut impliquer les candidats à l’élection présidentielle. Voilà le CNNum que j’aime et que je regrette ! Avoir une fonction de « poil à gratter », nous disait Fleur Pellerin lors de l’annonce du CNNum 2.0… Le CNNum 2.1 a bien pris la relève !
• Faire suer Donald Trump et son conseiller Steve Bannon en envoyant des cartes postales au ‘Président Bannon’ (souvenez-vous, résister doit être amusant si on veut pouvoir le faire sur le long terme !) ;
• Fascinant : I Helped Create the Milo Trolling Playbook. You Should Stop Playing Right Into It. ;
• The Next Big Blue-Collar Job Is Coding ;
• Censure du délit de consultation de sites terroristes : victoire pour la liberté d’information ! C’est une grande nouvelle. Voici le communiqué de presse du Conseil Constitutionnel, que je remercie au passage… Comme titre NextINpact : c’est une bouffée d’oxygène dans un contexte sécuritaire.
• Je parle rarement des pipoles, mais là j’adore le titre : Amal Clooney et son mari (un acteur) attendent des jumeaux. Il est acteur, le mec ? j’étais persuadé qu’il était garçon de café !
• Aux Etats-Unis, un ex-contractuel de la NSA inculpé pour vol de données secrètes. 50 Tera-octets de données tout de même… Il semblerait qu’il n’ait pas communiqué les données à des intérêts our gouvernements étrangers.
• L’historique de navigation supprimé, mais conservé dans iCloud : Apple va rectifier (via Clochix);
• JCDecaux privé de flicage à La Défense ;
• Lancement du HWC.brussels (homebrew website club) #Indieweb. Ceux qui s’intéressent à l’approche IndieWeb auront donc la possibilité de se rencontrer à Bruxelles, et c’est bien !
• Quelques photos prises au FOSDEM, dont la très longue file d’attente pour participer à la salle Décentralisation d’Internet.
• Mon compte-rendu de FOSDEM, grande réunion de libristes à Bruxelles : FOSDEM : construire un mouvement pour un Internet décentralisé.

Titre : Pas de vie privée sans petits sacrifices
Intervenant : Zenzla
Lieu : Ubuntu Party - Paris
Date : Novembre 2016
Durée : 52 min 23
Visualiser la conférence
Licence de la transcription : Verbatim

Transcription

Bonjour à toutes et à tous. Merci d’être présents en nombre à cette conférence-là. Le titre de la conférence que je vais donner c’est : Pas de vie privée sans petits sacrifices. Je me présente : Zenzla, je suis un animateur des Cafés Vie Privée depuis un peu plus de trois ans. Les Cafés Vie Privée sont des événements qu’on organise sur Paris. Il y a plusieurs collectifs. Je fais partie du collectif parisien. Il y a d’autres collectifs partout en France. Et donc on organise des événements, justement pour sensibiliser les gens qui viennent à la protection des données personnelles et à la vie privée. Donc ces événements-là sont sur Paris. Vous pouvez les trouver sur le site, justement, café-vie-privée.fr1. Je suis aussi membre d’un Gull [Groupe d’utilisateurs de logiciels libres, NdT] qui est Root662, qui est un Gull qui se situe dans les Yvelines. N’hésitez pas à venir nous voir.

Donc le pourquoi de cette conf-là ? En fait, il y a eu deux anecdotes. La première anecdote c’était lors des Journées du logiciel libre à Lyon. En discutant, comme ça, avec des amis, on était un groupe, et je leur disais « pour avoir la main sur sa boîte mail, pour éviter, par exemple si vous êtes sur Gmail, Gmail peut lire vos mails, ça veut dire que Google peut lire vos mails, avec des algorithmes – ce n’est pas une personne physique derrière qui les lit, mais ce sont des algorithmes – pour justement capter des mots-clefs et vous proposer de la publicité. Je leur ai dit justement, pour éviter cela, pour éviter que les algorithmes lisent les mails, il serait bien d’acheter un nom de domaine chez OVH ou Gandi et comme ça avoir sa propre boîte mail. » Cette personne-là a fait un bond en arrière et m’a dit : « Moi, jamais je n’achèterai quelque chose que je peux avoir gratuitement ! »

Il y a aussi une autre anecdote d’un informaticien qui connaissait très bien le logiciel libre, qui pouvait installer facilement Ubuntu ou Mint, mais qui ne voulait pas. Pourquoi ? Parce que, pour lui, il fallait qu’il garde Windows pour jouer. Et c’est vrai qu’il avait vraiment la réticence de passer sur un OS libre, eh bien tout simplement parce qu’il avait des jeux et qu’il adorait jouer.

Justement, avec ces deux cas, on voit bien que, d’une part, il faut un effort économique pour pouvoir acheter, par exemple un nom de domaine, c’est un sacrifice quand même économique et le deuxième, c’est un sacrifice d’un loisir qui est le jeu.

Je ne vais pas refaire toute la panoplie de comment on capte vos données, mais seulement on va voir quelques exemples. Je prends l’exemple le plus parlant : si vous allez sur Internet, vous savez que vous n’êtes pas les seuls à savoir où vous allez. Là j’ai pris des exemples : Le Monde et L’Express. Je suis allé sur Le Monde, je suis allé sur L’Express, et avec l’extension de FireFox Lightbeam3, donc je ne suis allé que sur deux sites et je me retrouve avec une vingtaine d’entités extérieures qui savent ce que je suis en train de faire. Ce qu’ils savent : ils savent que je suis en train de lire tel article, donc ils connaissent mes intérêts, ce que j’aime, ce que je n’aime pas. Ils peuvent savoir combien de temps je passe à lire un article ou les articles, ou combien de temps je passe sur ces articles-là.

Il y a aussi la cession des données, quelquefois il y a beaucoup de données qu’on donne nous-mêmes. Il faut savoir que les plus grands fournisseurs de données personnelles, c’est nous-mêmes. Vous mettez vos photos sur Facebook, vous mettez votre date de naissance sur Facebook, des événements, donc voilà ! Mais il faut savoir aussi que vous avez des données que vous envoyez sans le savoir. Par exemple les User-Agents. Les User-Agents c’est quoi ? Ce sont des données qu’envoie votre navigateur au site internet pour essayer de dialoguer, de dire « voilà, moi j’ai ça, essaye de t’adapter à mon navigateur et au système ». Donc on voit bien qu’on peut connaître nos systèmes d’exploitation, on peut connaître l’IP, on peut connaître le navigateur qu’on utilise, on peut connaître la résolution de l’écran, l’architecture. Et avec ces données-là, en fait, on peut deviner, on sait combien il y a d’ordinateurs chez vous, même si vous êtes derrière une box. Mais comme ces données-là sont différentes d’un ordinateur à l’autre, ou d’une tablette à un ordinateur ou un smartphone, ces données-là sont différentes, donc on peut savoir combien il y a d’écrans derrière la box. Cela est très important. Si vous avez trois ordinateurs, déjà, ça donne une information que, peut-être, vous êtes quelqu’un qui a un CSP élevé, ça veut dire une classe socioprofessionnelle A+, par exemple.

Et le plus grand, en fait, collecteur de données, c’est bien notre ami Google, parce que Google c’est le leader incontestable : c’est le moteur de recherche et leader incontestable depuis les années 2000. Donc dans plusieurs pays, que ce soit l’Allemagne, que ce soit en France ou en Angleterre, donc Google, le moteur de recherche Google, peut connaître énormément sur vous : peut savoir si vous êtes fort en orthographe ou non, vu qu’il corrige ; peut connaître vos centres d’intérêt, ce que vous cherchez, si vous aimez la mode, si vous aimez le sport, si vous aimez… Voilà ! Tous les centres d’intérêt ! Peut savoir dans quelle ville vous habitez non seulement avec l’IP, mais quand vous allez chercher, par exemple, « plombier à Versailles », il sait, il peut dire : « Tiens, il cherche un plombier à Versailles, donc il habite Versailles ! » Et voilà donc le moteur de recherche.

Et Google n’est qu’un moteur de recherche. Il faut savoir qu’il y a quinze ans, Google n’était qu’un moteur de recherche, mais aujourd’hui Google ce n’est plus un moteur de recherche, mais c’est énormément d’applications qui gravitent autour. Donc on a parlé des moteurs de recherche, mais il y a aussi Gmail. Il y a aussi Gmail, donc on en parlé tout à l’heure. Gmail, il faut savoir que vos mails sont lus par un algorithme de Google et tout ça, pour compléter le profil qu’ils ont, capter des mots clefs et ainsi vous proposer des publicités personnalisées. Donc c’est pour ça qu’il faut se débarrasser le plus rapidement de Gmail !

Il y a aussi, même si vous n’utilisez pas les moteurs de recherche de Google ou si vous n’utilisez pas le mail, eh bien il y a Chrome. Il y a le navigateur Chrome qui envoie des données personnelles et donc, qui complète la panoplie de données que peut avoir Google. Il y a beaucoup de personnes qui utilisent Chrome, tout simplement parce qu’il est plus rapide. Oui, mais il ne faut pas oublier que Chrome est plus rapide de quelques, même pas des millisecondes, par rapport à Firefox.

En complément il y a YouTube. YouTube lui, qu’est-ce que fait YouTube ? Il permet de savoir quels sont vos loisirs, quel type de musique vous aimez, quel type de vidéo vous aimez regarder : si vous aimez la politique, si vous aimez les recettes de cuisine, si vous aimez le DIY, par exemple, le Do it yourself, et voilà. Donc plein de loisirs que peut renvoyer YouTube sur vous.

Et ces données-là peuvent être complétées, justement, par Google Actualités. Donc on connaît vos loisirs et Google Actualités connaît…

Donc les solutions ? Les solutions, les compromis qu’on doit faire pour protéger sa vie privée et je ne vais pas donner de solutions, une liste de solutions, je pense que lors des Cafés Vie Privée, si vous venez nous voir, vous allez en avoir. Mais la solution, surtout, c’est de faire l’effort de sortir de nos habitudes. C’est essayer de faire autrement, essayer de se faire violence. Si on utilise énormément les réseaux sociaux, c’est essayer d’en utiliser un peu moins. Si on est sur Windows, essayer d’utiliser le plus possible des logiciels libres. Et tout ça, ce sont des vrais sacrifices, tout simplement parce que ce sont des habitudes qu’on a prises. Et parmi tous ces efforts qu’on va faire, il y a des efforts qui sont psychologiques, parce que, déjà, il faut être convaincu de protéger sa vie privée et ce n’est pas donné tout le monde, en fait. Tout le monde ne veut pas protéger sa vie privée. J’ai vu des personnes qui me disent : « Moi, je n’en ai rien à foutre ! Moi, que mes données soient chez Google, que mes données soient sur Facebook, je l’ai choisi, je l’assume et je le fais. » Ces personnes-là, oui, vous pouvez leur parler pendant deux heures, trois heures, ça ne sert absolument à rien. Jusqu’à ce que peut-être un jour elles vont trouver leurs photos sur Internet en libre accès, peut-être que ce jour-là elles vont se poser des questions. Mais déjà, pour protéger sa vie privée il faut absolument être convaincu. Il faut se dire « oui, moi j’ai envie de protéger ma vie privée ». Et cela va nous motiver à aller plus loin, va nous motiver d’une part, pour changer nos habitudes, parce que les habitudes c’est la chose la plus difficile à changer. Les habitudes qu’on a depuis tout le temps : on s’est habitué à utiliser son PC avec Windows, eh bien c’est compliqué, après, de passer à autre chose.

Et de ce fait-là, justement, le contrat qu’a passé l’Éducation nationale avec Microsoft4est très dangereux parce que dès le jeune âge on habitue, on enferme les enfants sur l’utilisation d’un logiciel qui est privateur, qui est Windows. Et ce contrat-là est très dangereux justement parce que Microsoft y gagne. Et je pense que Microsoft est davantage heureux d’avoir eu le contrat avec l’Éducation nationale que son contrat avec la Défense5, le ministère de la Défense, parce que, avec l’Éducation nationale, il a des futurs clients assurés.

Selon une étude de l’université de Duke, il y a 40 % des actions qu’on effectue tous les jours qui ne sont pas des décisions, en fait. Ce sont des habitudes. Je pense que quand vous sortez de chez vous le matin, vous fermez votre porte à clef, vous partez et vous vous posez la question « est-ce que j’ai fermé la porte ? » Parce que tellement on le fait machinalement qu’on oublie qu’on l’a fait. Les habitudes deviennent des automatismes et les automatismes ça sert à quoi, en fait ? Que notre cerveau arrête de réfléchir : on fait ça automatiquement, et ça permet d’économiser de l’énergie. Comme ça notre cerveau ne va pas énormément utiliser d’énergie, il va faire appel à un automatisme et, de ce fait-là, donc quand vous fermez la porte le matin vous dites : « Est-ce que j’ai vraiment fermé la porte, ou non ? ». Vous l’avez fermée, mais vous ne savez pas, quelquefois.

Et après, c’est vrai que changer ces automatismes-là c’est le plus compliqué. Si vous êtes habitué à Windows, vous avez des automatismes sur Windows. Si vous êtes habitué à avoir votre téléphone, vous l’utilisez uniquement pour les réseaux sociaux, c’est dur à supprimer ces automatismes-là.

En fait, le schéma des automatismes, le schéma des habitudes c’est un peu celui-là, que vous pouvez trouver sur un livre, si vous êtes intéressé, de Charles Duhigg, The Power of Habit, La force des habitudes, qui est un livre intéressant sur, justement, les habitudes et comment changer nos habitudes.

Donc une habitude, il y a un déclencheur. Il y a un déclencheur qui va lui-même engendrer une routine pour avoir une récompense. Et donc ça, c’est un peu le schéma des habitudes.

Je vais prendre, par exemple, quand quelqu’un à côté de vous a la même sonnerie. Déjà dès que votre téléphone sonne, il y a un SMS qui arrive, c’est le déclencheur, et la routine c’est d’aller voir qui vous a envoyé un SMS. La récompense c’est la lecture de ce SMS-là. Donc c’est dur, quand votre téléphone est de l’autre côté de la salle, de ne pas aller. Vous entendez la petite sonnerie du SMS, donc votre cerveau vous dit : « Il faut aller lire le SMS. » C’est dur de résister, déjà. Vous vous dites « je dois aller voir qui m’a écrit ». Donc c’est exactement ça. La sonnerie du SMS c’est le déclencheur. La routine c’est d’aller chercher son téléphone, ouvrir l’application des SMS, et la récompense c’est la lecture, que ce soit une bonne ou une mauvaise nouvelle. En tout cas, c’est la récompense et c’est le but. Et je pense que ça nous est arrivé, à tout le monde : quand il y a un voisin qui a exactement la même sonnerie que vous, vous savez que le téléphone sonne chez le voisin et pourtant, vous ne pouvez pas vous empêcher de sortir votre téléphone et de regarder votre téléphone. Eh bien pourquoi ? Parce que simplement, le déclencheur ça a été la sonnerie et que votre cerveau s’en fout : ça a été un déclencheur, il lui faut sa récompense ! C’est pour ça qu’en général, quand il y a quelqu’un à côté de vous qui a la même sonnerie du SMS, vous le voyez qui sort son téléphone, c’est vraiment lui, mais vous ne pouvez pas vous empêcher de sortir votre téléphone et de regarder. Voilà, c’est Pavlov, c’est un réflexe pavlovien.

Et donc changer ses habitudes. Quand je dis qu’il faut faire un effort psychologique, c’est essayer de migrer vers les logiciels libres. C’est un effort qu’on fait qui est, pour moi, intellectuel, on va voir après, un tout petit peu, les efforts intellectuels, mais l’effort psychologique déjà, c’est essayer de migrer, utiliser de plus en plus les logiciels libres. Et si possible, d’adhérer à la philosophie et aux valeurs. Parce que, pour adhérer à la philosophie des logiciels libres, il ne suffit pas uniquement d’installer un logiciel libre, mais il y a une philosophie qui est une philosophie de partage derrière, c’est une philosophie de tolérance, une philosophie d’égalité entre toute l’humanité. Donc voilà, il y a aussi une philosophie derrière les logiciels libres.

C’est aussi d’accepter le fait, ça aussi c’est un aspect psychologique, c’est accepter le fait qu’un logiciel libre ne soit pas la copie conforme d’un logiciel privateur. Pourquoi ? Parce qu’énormément de personnes disent : « Oui, mais est-ce que ça je vais le retrouver sur Ubuntu ? » Je pense que ça a été aussi l’erreur, à un moment donné, des logiciels libres, de faire exactement ce que font les logiciels privateurs. À un moment donné, je pense que ça a été une petite erreur. Et on voit, de plus en plus aujourd’hui, de logiciels novateurs dans le logiciel libre. J’en discutais tout à l’heure, je prends l’exemple du logiciel R6, qui est un logiciel de traitement statistique et de modélisation. En fait aujourd’hui, hélas, c’est vrai que ça fait déjà un moment que je travaille dans le milieu scientifique et au début, les étudiants qui venaient demandaient toujours Windows avec Excel, parce qu’ils faisaient leurs statistiques sur Excel. Aujourd’hui, quand ils viennent, ils demandent Windows et R. R, c’est un logiciel libre de traitement statistique et donc, de ce fait-là, il y a une évolution, et R ne ressemble pas du tout à Excel, ne ressemble à aucun logiciel qui existe. Et donc, ça a été une innovation. Il ne faut pas vraiment aller chercher, quand vous utilisez, quand vous voulez aller vers le logiciel libre, accepter le fait qu’un logiciel libre n’est pas forcément une copie du logiciel privateur. Et aussi il faut quelquefois, c’est un petit sacrifice, c’est de dire que peut-être le logiciel libre ne sera pas aussi bon que le logiciel privateur. Mais la récompense que vous avez derrière, c’est que vous savez que vous utilisez un bon logiciel, même si, peut-être, il lui manque quelques fonctionnalités pour être super.

Moi, j’ai fait des interventions dans des collèges et c’est dingue comment les réseaux sociaux font partie de la vie des collégiens, même plus – donc des lycéens, je suppose – mais c’est fou que les réseaux sociaux, aujourd’hui, ils ne peuvent pas s’en passer. Parce qu’ils sont, à un moment donné, le mot ne me plaît pas, mais c’est presque esclaves des réseaux sociaux. Parce que s’ils ne sont pas sur les réseaux sociaux, c’est qu’ils n’existent pas. C’est fou à dire, mais pour un collégien, s’il n’est pas sur les réseaux sociaux, c’est qu’il n’existe pas, parce que tout le monde est sur les réseaux sociaux ! Et c’est dur de dire à un collégien qui a treize ans, quatorze ans : « Écoute, non, ne va pas sur Facebook », alors que tous ses copains y sont. Donc c’est un peu compliqué ! Moi je ne dirai jamais, même à tout le monde, « ne va pas sur Facebook ! » Je ne vais jamais leur dire de quitter les réseaux sociaux, seulement de ne plus être esclave des ces réseaux-là, mais d’en être le maître. Ça veut dire mettre les informations qu’on veut et ne pas mettre les informations que les autres veulent. Mettre uniquement ce qu’on veut mettre, des photos et dire « attention, je sais ce que je vais mettre sur Facebook, je vais mettre telle photo-là, donc je sais quelle donnée je vais donner à Facebook ou aux réseaux sociaux. »

Il y a aussi le truc c’est d’avoir la dernière application à la mode ou le dernier téléphone à la mode. C’est aussi psychologique. Justement, je pense qu’il y a beaucoup de sociétés qui jouent dessus. Ils sortent tous les deux ans, chaque année, ils sortent quelque chose de nouveau pour dire : « Regardez ce super téléphone, quand vous appuyez sur le bouton, vous allez vous sentir libre, heureux. » Ils vous sortent toutes les conneries du monde en fait, et c’est vrai qu’on est tenté. C’est la tentation d’avoir quelque chose de nouveau, d’avoir le téléphone dernier cri. Je prends, par exemple, les smartphones, ça fait maintenant presque plus de deux ans que je n’utilise plus du tout Google Play, donc ça veut dire que je n’ai pas la dernière application à la mode, je n’ai pas Candy Crush, je n’ai pas Zombies Vs Plants, ou une autre application et pourtant, je suis toujours vivant : j’arrive à vivre, je respire et ça ne me manque pas. Pourtant, quand j’utilisais mon téléphone, c’est un réflexe, je sais que je jouais énormément avec. Aujourd’hui, je ne joue plus avec mon téléphone. C’est aussi ça un sacrifice, c’est se dire « je veux protéger ma vie privée », donc le compromis c’est de ne plus utiliser Google Play. Après, je vous avoue que c’est un peu extrémiste, mais c’est ce que je fais. Je ne demande à personne de faire comme moi je fais. Mais à chacun de voir quelle est son utilité aujourd’hui des smartphones, comment il peut faire.

Là je parle du dernier truc à la mode, mais ça peut-être par exemple : si je choisis un téléphone, aujourd'hui je dois choisir un téléphone, je ne vais pas choisir le téléphone parce qu’il vient de sortir ou c’est un super téléphone à la mode. Je vais choisir un téléphone à condition que je puisse enlever l’OS par défaut qui est dessus – l’OS ça veut dire le système d’exploitation – et que je puisse mettre Cyanogen7. Voilà. Même si je vais acheter un Galaxy S4, un Samsung Galaxy S4, un vieux téléphone, pour moi le plus important, c’est que je puisse changer ce qu’il y a dans le téléphone par défaut.

Il y a aussi savoir demander de l’aide et sortir un petit peu de sa bulle. C’est aussi un frein psychologique parce que, quelquefois, les personnes hésitent, hésitent énormément à demander de l’aide ou à demander, simplement, un petit conseil. Donc ça, je le mets dans tout ce qui est aspect psychologique, parce que c’est une barrière psychologique. Personne ne va vous refouler parce que vous allez lui demander de l’aide. Peut-être qu’il y a une quinzaine d’années, on lui disait RTFM, mais ça n’existe plus, maintenant. Read The Fucking Manual, aujourd’hui je ne pense plus que lorsque vous allez demander de l’aide, quelqu’un va vous envoyer balader. Que ce soit au niveau des logiciels libres, surtout au niveau des logiciels libres, je pense que personne ne va vous envoyer balader parce que vous êtes quelqu’un qui découvre et qui veut apprendre.

On reprend un tout petit, en fait, ce que disait l’auteur du livre. On a le schéma : pour changer nos habitudes, eh bien il faut garder le déclencheur, si on a la possibilité de garder le déclencheur, et garder la récompense aussi. Et interagir, agir sur la routine. Par exemple, je prends juste pour les fumeurs, l’exemple des fumeurs, quand vous voyez un café, eh bien le fumeur veut allumer sa cigarette. La routine c’est d’allumer une cigarette, la récompense c’est la nicotine. En changeant la routine, c’est d’avoir le déclencheur, eh bien c’est le café il est là, et au lieu de fumer sa cigarette mettre un patch nicotine et la récompense elle est la même, en fait. C’est qu’on garde le déclencheur, on garde la récompense, mais on change la routine. C’est peut-être pareil, aussi, pour passer, par exemple, à un OS libre. Le déclencheur c’est de pouvoir aller sur Internet. La récompense c’est d’avoir des nouvelles des proches si on va sur les réseaux sociaux ou utiliser Office, eh bien la routine ça serait de lui proposer quelque chose : au lieu d’aller sur Windows, c’est d’aller sur Ubuntu.

En fait, qu’est-ce qu’on fait ? C’est presque moi, quand j’ai lu ça, je disais « tiens, c’est presque qu’on va hacker l’habitude : on va intervenir sur l’habitude et essayer de changer la routine. »

Voilà, au niveau des habitudes je pense que c’est quelque chose qui est très compliqué à changer et que ça induit de se faire violence et de se dire « voilà, moi ce que j’ai envie de changer, c’est ça », et de s’en donner les moyens et d’en être convaincu.

Après, il y a l’effort intellectuel. Pourquoi je mets ça comme sacrifice pour la vie privée, eh bien parce que l’effort intellectuel demande du temps. Tout le monde n’a pas énormément de temps. Ça veut dire que c’est du temps, au lieu de le passer en famille, vous allez le passer en train de lire un bouquin. Au lieu de le passer avec vos enfants, vous allez le passer à écrire un tuto ou à lire un tuto. Donc voilà ! Donc c’est un sacrifice, quand même, de temps que vous allez faire. Passer du temps pour s’autoformer, pour chercher l’information, suivre des tutos et les comprendre. Ici j’ai oublié « et les comprendre », ce n’est pas suivre uniquement les tutos : c’est « suivre les tutos et essayer de les comprendre ».

Et vous avez aussi une veille qui est techno. Une veille technologique, eh bien parce que ça va vite. Aujourd’hui l’informatique, ça va vite, le numérique ça va vite et il faut rester, je ne vais dire à la pointe, mais il faut rester là. Je vais prendre, par exemple, le jour où il y avait TextSecure sur les téléphones et d’un coup Textsecure a décidé de changer la logique pour envoyer des SMS qui sont chiffrés. Il y a eu Silence après, eh bien à ce moment-là, il faut être là. Il faut se dire « moi je vais enlever TextSecure, je vais mettre Silence ». Aujourd’hui TextSecure, c’est Signal en fait.

Se déplacer aussi lors de ces événements-là, ça prend du temps, et on n’a pas tout le temps envie. Moi ça m’est arrivé au début ; je savais qu’il y avait tel événement, tel événement, mais je n’y allais pas. Je disais « aller, je vais y aller », mais arrivé le jour même, eh bien je n’y venais pas. Parce que ça demande du temps, ça demande de l’organisation, ça demande énormément de choses, mais vous pouvez le faire ! Il suffit juste d’avoir une petite organisation, de vouloir le faire et vous pouvez le faire. Justement, se déplacer permet d’échanger et de discuter avec des personnes et aussi, pourquoi pas, participer et vous engager dans une association.

Après l’aspect psychologique, l’aspect intellectuel, [on ne voit pas très bien dommage, en fait c’est un chat qui protège ses deniers, ses petits dollars], donc il y a aussi un aspect économique à prendre en compte pour protéger sa vie privée, c’est-à-dire de payer pour les services qu’on a l’habitude d’avoir gratuitement. Avoir des mails, oui c’est gratuit avoir un mail, mais rien ne vous dit que le mail, il protège votre vie privée, quoi ! Et aujourd’hui aussi, il y a un mélange qui est fait entre le libre et le gratuit. Le libre ne veut pas dire forcément gratuit. Ça vient de l’anglais, de free qui veut dire gratuit et libre, mais le libre n’est pas forcément gratuit. On peut dire « oui j’utilise les logiciels Framasoft » par exemple, et derrière Framasoft8, il y a une association, il y a des dons. Même vous, on va voir après pourquoi ce n’est pas forcément gratuit. Je vous donne l’exemple Gmail, le mail vous pouvez l’avoir certes gratuitement chez Google, mais vous n’êtes pas client de Google, c’est ce qu’il faut savoir : vous êtes un utilisateur. Vous êtes un utilisateur d’un mail, vous n’êtes pas le client. Le client c’est celui qui achète vos données.

Et justement, pour essayer d’avoir un mail qui respecte votre vie privée, c’est, par exemple, acheter un nom de domaine chez Gandi9. Ça vous coûte vers les 15 euros, vous avez 5 boîtes mails et vous avez 1 giga d’espace. Oui, ce n’est pas beaucoup 1 giga, après vous pouvez acheter encore 1 giga à 1,20 euros, mais vous êtes sûr que vos mails vous appartiennent et que vos mails ne vont pas être lus par Google et compagnie. OVH aussi, vous avez OVH10. Et donc OVH qui lui, propose aussi d’avoir une boîte mail.

Je vous laisse regarder. Copiez si vous voulez.

Et sinon, il y a d’autres solutions comme des messageries mais qui elles, au moins, respectent mais qui ont besoin de dons c’est comme Mailpile, Riseup ou ProtonMail. Vous pouvez avoir ces mails-là et là, ce sont des sociétés, en fait, qui s’assurent que vos données ne seront pas lues par d’autres personnes que vous.

Sinon il y a aussi les CHATONS, le collectif CHATONS11, en fait. C’est un acronyme qui veut dire Collectif des hébergeurs alternatifs, transparents ouverts neutres et solidaires. C’est ça ? Yes ! Donc les CHATONS, en fait ça regroupe des associations qui peuvent vous proposer, justement, d’héberger vos mails, d’héberger vos données, d’héberger vos sites internet, mais ce n’est pas gratuit.

Vous pouvez trouver peut-être des solutions de base qui sont gratuites, mais en général il faut adhérer à l’association, soit un don, soit c’est un prix libre ou soit c’est payant. Mais en tout cas, vous pouvez tranquillement mettre vos mails chez eux, vos données. Ils ne vont pas aller fouiller dedans.

Il y aussi, comme effort économique pour s’autohéberger, c’est le truc peut-être qui est un peu difficile à faire. Soit vous allez vous autohéberger chez un fournisseur comme OVH, comme Online, comme Gandi, ça coûte vers les 40/50 euros par mois. Ou sinon, le faire à la maison. Mais pour le faire à la maison, déjà, il vous faut des connaissances techniques et si vous n’avez pas de connaissances techniques, eh bien il y a la solution de La Brique Internet12, en fait. Le problème c’est que ce n’est pas gratuit. Si on vous dit que c’est gratuit, non, ce n’est pas gratuit. Déjà c’est un fournisseur, il faut payer le fournisseur du service et, à la maison, eh bien il y a le coût de l’électricité. Là, par exemple, moi c'est mon serveur à la maison, c’est un serveur 4 téras, c’est un ordinateur que j’ai trouvé dehors, donc je l’ai monté. Le matériel ne m’a rien coûté, mais je paye l’électricité qui est, en général, de 8 à 10 euros par mois. Donc on paye, quand même, l’électricité. Il y a des personnes aussi qui ont dit : « Ouais, mais attends, tu consommes trop, utilise une Raspberry ! » Oui, d’accord, mais la Raspberry d’une, il faut l’acheter, donc vous devez l’acheter. Après il faut acheter la carte mémoire et après, une Raspberry, ça ne va pas suffire pour vos données. « Oui, mais si ça ne suffit pas pour tes données, tu peux brancher un NAS. » Oui, mais un NAS [Network Attached Storage, NdT] ça va consommer de l’électricité. Donc ça revient presque au même.

Donc voilà ! Pour avoir un serveur à la maison, oui vous avez le coût de l’électricité à payer, vous avez le coût du matériel, un disque dur parce que vous devez sauvegarder ce qu’il y a dans votre cloud personnel, il faut souvent acheter une nouvelle carte SD [Secure Digital , NdT] aussi. Il y a le coût du VPN, parce que là vous avez la Brique internet, en fait, qui est un truc qui est fait, justement, pour ceux qui ne bidouillent pas énormément. Vous la branchez chez vous, mais il vous faut absolument avoir un VPN [Virtual Private Network, NdT]. Et le VPN ce n’est pas quelque chose de gratuit. Ce n’est pas très cher un VPN, c’est 7 euros par mois, 5 euros, 7 euros par mois, mais il faut quand même mettre la main au portefeuille. Et la sauvegarde, j’en ai un tout petit peu parlé.

Et comme effort économique aussi, c’est dire aussi adieu aux cartes de fidélité. Parce que oui, vous faites des économies en utilisant vos cartes de fidélité : à chaque fois que vous allez acheter, on va vous dire « moins 50 %, moins 10 % », vous allez accumuler des sous dans une carte et vous pouvez les utiliser après, vos sous. Mais seulement, en contrepartie, vous donnez plein, plein, plein de données. On sait tout ce que vous êtes en train d’acheter. Justement, vous devez connaître l’anecdote du père de famille, aux États-Unis, qui retrouve dans sa boîte aux lettres des coupons de réduction pour des couches pour bébé, des affaires pour bébé. Il est sidéré parce que sa fille n’était qu'au lycée, en fait, et donc avait 16 ans. Il est allé se plaindre chez Target qui est l’équivalent, à peu près, de Carrefour ici et le directeur de Target lui a dit : « Je suis désolé, je ne sais pas pourquoi vous avez reçu de telles publicités ou de tels bons de réduction. » Il disait : « Oui, vous incitez ma fille à faire des choses en lui envoyant de telles publicités. »

Le papa est rentré chez lui furieux. Une semaine après il y a le directeur qui l’appelle parce que, aux États-Unis ils ont un suivi client, ils suivent le client, vraiment c’est bien fait. Le directeur a rappelé la personne en s’excusant encore une fois, lui dire : « Voilà, je m’excuse, franchement je ne sais pas pourquoi vous avez reçu de telles publicités ! » Le père lui dit : « Non, c’est moi qui m’excuse, parce que, apparemment, il est arrivé des choses sous mon toit que je ne connaissais pas. » Et donc sa fille était vraiment enceinte.

Pourquoi on a su ? Pourquoi Target savait que sa fille était enceinte ? Parce qu’ils avaient engagé un excellent statisticien, un excellent scientifique qui avait étudié les millions de données qu’ils avaient accumulées depuis déjà une quinzaine, voire une vingtaine d’années. C’est Andrew Pole, ce scientifique s’appelle Andrew Pole et donc, à un moment donné, le but c’était de connaître si une femme était enceinte au début de son deuxième trimestre. Parce que c’est au début du deuxième trimestre que, apparemment, les femmes enceintes commencent à acheter des affaires pour leur bébé. Donc en analysant toutes les données, Andrew Pole a identifié 25 produits qu’utilisaient les femmes enceintes en général. Et si une femme achetait au moins 4 produits de ce lot de 25, eh bien à 80 % elle était enceinte, au troisième [deuxième, NdT] trimestre. Ça veut dire qu’il a développé un modèle prédictif en se basant uniquement sur l’achat de 25 produits. Et comment ils ont eu toutes ces informations-là ? Eh bien uniquement avec les cartes de fidélité.

Il y a aussi les traces qu’on oublie quelquefois, ce sont les cartes bancaires. Les cartes bancaires savent énormément sur vous. La carte bancaire sait où vous êtes :dès que vous faites un achat, vous partez en vacances à Biarritz, on sait que vous êtes à Biarritz. Elle sait dans quel type de restaurant vous allez, si vous mangez Mac-do ou si vous allez dans un restaurant 5 étoiles et à quelle fréquence. On sait si vous mangez halal, kascher, ou non. Il y a une étude, à un moment donné, qui avait dit qu'en étudiant tout ce que fait une carte bancaire on peut prédire si la personne va se marier ou va divorcer.

Ici en France, moi personnellement j’utilise cette carte bancaire-là. Bon c’est un peu quelquefois compliqué parce qu’il faut acheter la carte bancaire, déjà elle s’achète, 14 euros. Il y a des frais d’utilisation et surtout, il y a un téléphone qui est lié. Donc si vous achetez cette carte bancaire qui est prépayée, il faut avoir un téléphone et je ne vais pas utiliser mon propre téléphone, sinon ça ne sert à rien du tout. Il faut avoir une autre puce qui soit anonyme, on tourne un tout petit peu, mais c’est faisable. Il y aussi Transcash qu’on peut trouver.

Oui, peut-être c’est en mode parano ++, mais il faut se donner les moyens pour protéger sa vie privée. Et même, je fais quelque chose, une fois il y a un ami qui m’a dit : « Tu es vraiment dingue ! », c’est que, quand je regarde la télé, j’évite de regarder la télé, je regarde la télé en branchant la télé sur le râteau. C’est rare que je regarde la télé via la box. Parce que via la box, en fait, on sait ce que vous êtes en train de regarder, à quel moment, quelle chaîne vous regardez. Après, je m’en fous qu’ils sachent si je regarde de la pornographie ou non, mais je ne veux pas qu’on sache ce que je regarde, les émissions que je regarde et tout ça. Est-ce qu’on peut le faire ? Oui, ils peuvent savoir. Est-ce qu’ils le font ? Ça je ne sais pas. J’ai envoyé des courriers à Free, à Orange et à SFR. Ils ne m’ont jamais répondu. Est-ce que vous vendez vos données ? Est-ce que vous pouvez savoir ce que je regarde en temps réel ? Ils ne m’ont jamais répondu, mais je sais qu’ils peuvent le faire. Donc c’est pour ça que quand je regarde les chaînes en général, si je regarde la télé, ça m’arrive quelquefois, je regarde directement : ma télévision est branchée sur le râteau.

Public : Inaudible.

Zenzla: Oui, mais je pense que c’est un peu plus compliqué quand même, parce que la box est directement chez vous et donc c’est faisable.

Donc en résumé, en fait, pour protéger sa vie privée, il ne suffit pas d’installer deux ou trois extensions ou d’utiliser Tor13 cinq minutes par semaine. La protection de la vie privée c’est un processus et la complexité de ce processus-là dépend du modèle de menace : un lanceur d’alerte ne va pas se protéger comme une personne lambda va se protéger. Mais le modèle de menace qu’on a tous, aujourd’hui, c’est la collecte massive de données. Je ne dis pas qu’il faut se couper du monde, mais, comme je l’ai dit tout à l’heure, c’est reprendre en main le contrôle de nos données : il faut être acteur de notre vie numérique et ne pas subir le numérique.

Vu que nous sommes en période de dons j’en profite, justement, pour vous inciter. C’est comme vous voulez. Il y a plusieurs associations qui ont besoin de dons et ça serait sympa de leur donner un peu de sous. Donc voilà. Merci et si vous avez des questions, n’hésitez pas.

Public : La question est la suivante : qu’est-ce que vous pensez de Qwant, q, w, a, n, t.

Zenzla : Oui, je connais bien Qwant14, c’est un moteur de recherche, je ne dis pas alternatif, parce que ce n’est pas un moteur de recherche alternatif, c’est un moteur de recherche. Et ce moteur de recherche-là, au moins, il est clair qu’il ne va pas fouiller dans vos données personnelles. La seule chose qu’il va afficher, en fait, ce sont des publicités selon le thème de recherche que vous allez mettre, mais il ne va jamais enregistrer votre IP. Il ne va jamais enregistrer, il ne va jamais construire de profil. Donc moi je recommande Qwant. Le problème après, c’est que Qwant, moi ça m’est arrivé de chercher des choses que je ne trouve pas sur Qwant. Après, comme j’ai dit, même sur DuckdDuckGo, c’est un peu pareil. Il faut dire aujourd’hui que Google, le moteur de recherche est vachement bien fait. Ce que je recommande aussi c’est d’utiliser StartPage ou Ixquick qui vont chercher dans les résultats de Google aussi. Donc si vous utilisez Qwant pour des choses qui sont vraiment générales, Qwant va suffire. Mais après, quand vous voulez des choses vraiment spécifiques, quelquefois Qwant a du mal à aller chercher l’information.

Organisateur : Il y a un ordre pour les questions.

Public : Bonjour. J’ai des questions par rapport au traçage. Je trouve ça très intéressant. C’est vrai qu’en désactivant le GPS, logiquement, on ne devrait pas se faire tracer. Moi je trouve ça pas possible ! Mais par contre, il faut voir aussi les avantages. Je m’explique. Moi je suis randonneur, j’utilise mon téléphone portable pour prendre des photos. Je me pète une jambe. Là c’est dommage, je ne peux plus bouger, je n’arrive pas à appeler à l’aide. La dernière solution c’est qu’on peut, éventuellement, me tracer. Deuxième chose, il y a un informaticien, un jeune informaticien, jeune développeur qui s’appelle Paul Duan. Lui, il a proposé quelque chose qui n’était pas mal, c’est d’utiliser les données des téléphones portables, mais c’est à nous de les signaler, qu’il y a un danger quelque part, il y a un accident où une personne est blessée et on appelle tout de suite les ambulances qui vont regarder ces données-là. Qu’est-ce que vous en pensez ?

Zenzla : Moi, comme j’ai dit tout à l’heure, je ne suis pas anti technologie, quand même. Je ne demande pas aux gens de ne plus utiliser d’applications de randonnée, d’applications de GPS ou tout ça. Seulement il faut savoir. Il faut savoir le couper. Par exemple votre téléphone : vous êtes chez vous, votre téléphone portable est sur le Wi-fi et que vous oubliez de désactiver le Wi-fi, vous allez dans les grandes surfaces, vous êtes suivi à la trace par le Wi-fi. Vous êtes suivi à la trace dans les grandes surfaces parce que votre téléphone veut absolument se connecter au Wi-fi et donc, se connecte aux petits boîtiers – eux ils mettent des petits boîtiers partout dans les grandes surfaces ; ça existe dans les aéroports, à la gare, aux grandes surfaces – et donc le simple fait de ne pas désactiver le Wi-fi, vous êtes suivi. Ce que je dis « oui il y a des applications qui ne sont pas mal, j’en suis convaincu ». Comme j’ai dit, moi j’utilise uniquement les applications libres. Après, je ne demande pas aux gens de se couper du monde. Non c’est d’utiliser leurs applications, mais il faut qu’ils soient maîtres de leurs données.

Aeris des Cafés Vie Privée.

Aeris : Je m’incruste un peu dans la discussion parce que, justement, le GPS c’est le bon exemple. Effectivement, quand vous dites que quand vous avez désactivé le GPS vous ne pouvez pas être tracé, c’est complètement faux. Parce qu’aujourd’hui, la plupart des applications n’utilisent pas le GPS pour vous repérer, mais, par exemple, les réseaux Wi-fi ou les antennes auxquelles vous êtes connecté. Donc aujourd’hui, ce n’est pas le GPS le problème, c’est plutôt le forfait data. Aujourd’hui, on saurait, par exemple, faire une application de randonnée qui se base uniquement sur GPS et en plus, le GPS n’émet pas de données, il ne fait que les recevoir, qui serait très protectrice de la vie privée et ça ne poserait aucun problème de faire ça proprement. C’est juste le marketing, en fait, qui vous vend des applications qui violent votre vie privée, très violemment.

Zenzla : Merci Aeris.

Public : Juste une question, une remarque par rapport à l’utilisation des cartes bleues : le plus simple serait peut-être d’utiliser le liquide ?

Zenzla : C’est vrai que la solution, normalement je l’aurais dit, moi j’ai beaucoup utilisé le liquide, à un moment donné. Mais ça devient vite gavant, en fait. C’est qu’on a plein de monnaie dans sa voiture, on se balade avec. On peut mettre à la maison. C’est vrai qu’à un moment donné ça m’est arrivé.

Public : Inaudible.

Zenzla : Oui, oui, exactement je suis tout à fait d’accord avec vous. Si vous pouvez utiliser le liquide, utilisez le liquide. Ça il n’y a pas de souci. Oui, oui. Comme dit Chris aussi il y a le Bitcoin, là on monte d’un niveau parano ++++.

Public : Je ne sais pas si peux mettre, mais je vais abonder dans le sens de votre conférence. Je vais simplement dire qu’il y a un livre dont je viens de terminer la lecture et j’ai osé penser, à la fin de la lecture, qu’il devrait être obligatoire. J’exagère un peu ! Il s’appelle Surveillance://.

Zenzla : De Tristan Nitot. Oui.

Public : Voilà.

Zenzla : En fait c’est un livre, justement j’ai fait une critique sur mon site internet et c’est vrai que c’est un livre à mettre entre les mains de ceux qui sont un peu novices. Parce que, après, ceux qui connaissent, ceux qui sont dans le milieu ou qui essayent déjà de protéger leur vie privée, je pense que les informations on les a. Mais c’est vrai que c’est un livre qui est à mettre… Je suis tout à fait d’accord avec vous.

Genma : Justement, moi ce que je voulais dire, pour compléter la conférence de Zenzla, il y a deux livres. Effectivement Surveillance:// de Tristan Nitot, et un deuxième, que je suis en train de lire, qui s’appelle La nouvelle servitude volontaire de Philippe Vion-Dury. C’est La nouvelle servitude volontaire – Enquête sur le projet politique de la Silicon Valley où là ça vient vraiment en complément. Ça explique, en fait, tout ce qu’il y a derrière les algorithmes qu’utilisent Google, Facebook, Amazon, etc. Et on retrouve, de manière détaillée, l’exemple du magasin qu’évoquait Zenzla et tout un tas d’exemples. C’est un journaliste, donc c’est quelqu’un qui a fait énormément de recherches documentaires, avec beaucoup de sources. Et ça vient vraiment expliquer, ça va au-delà, et ça explique vraiment le côté algorithme, comment ça marche le profilage et tout ça. Donc Philippe Vion-Dury et c’est La nouvelle servitude volontaire. Voilà.

Zenzla : S’il y a d’autres questions ? Oui.

Public : Bonjour. Moi, par exemple, personnellement j’utilise Firefox donc très bien, je fais une démarche pour la vie privée. Par contre, il y a un lien vers Google. C’est-à-dire que quand on fait une recherche, il y a un lien vers Google. Et je trouve ça dommage parce que, d’un côté, on utilise un système qui protège la vie privée, mais d’un autre, il se lie à Google. Donc il y a peut-être, je ne sais pas !

Zenzla : En fait Firefox, à un moment donné, ou Mozilla, était obligé pour se financer de s’allier à Google. Aujourd’hui je pense que c’est Yahoo. Après, on peut facilement changer le moteur de recherche, on n’est pas bloqué.

Public : Oui. D’accord.

Zenzla : Si vous utilisez Firefox, vous allez choisir le moteur de recherche, vous pouvez choisir le moteur de recherche et le changer. Mais par défaut, c’est vrai qu’ils le mettent, parce que tout simplement, ce sont des fondations, elles ont besoin de sous.

Public : Ah, et c’est pour ça en fait ! D'accord ! OK, parfait.

Zenzla : Oui, c’est pour ça.

Public : Juste pour rebondir pour les moteurs de recherche. Tout à l’heure on parlait de Qwant par rapport à DuckDuckGo ou ce genre de chose. Il faut distinguer les moteurs, les métamoteurs, ceux qui se basent, en fait, sur Google mais, simplement, qui anonymisent les utilisateurs, donc typiquement DuckDuckGo ou ce que propose Framasoft, il y a Tonton Roger, Framabee, etc.

Zenzla : Frambee, oui.

Public : Par contre Qwant, c’est vraiment un moteur de recherche qui a été fait par des Français et qui s’est construit lui-même et c’est pour ça que, parfois, il a des réponses un peu moins bonnes parce qu’il faut le temps qu’il puisse un petit peu creuser. Qwant, moi je sais que ma fille s’en sert, il y a Qwant Junior qui est très bien. Et franchement c’est rare que je ne trouve pas le truc, quoi !

Zenzla : D’autres questions ?

Public : Bonjour. J’aurais juste un prolongement à proposer. C’est sûr que quand on va dans les Cafés Vie Privée on apprend à se protéger et plus ça se répand et plus on va arriver à un niveau d’anonymat, on va dire, correct. Moi la question que je voudrais poser c’est : est-ce qu’à terme on ne va pas arriver à une réaction politique opposée qui va dire : « On interdit l’anonymat. On interdit le chiffrement » ?

Zenzla : Sur une réaction politique « on interdit l’anonymat », pour moi, les politiques ne pourront jamais interdire l’anonymat. Après l’interdiction du chiffrement, l’ANSI qui est l’Agence, quand même nationale, de la sécurité des systèmes d’information, l’agence nationale, dit : « Attention ! » Parce qu’à un moment donné ils sont tentés, le gouvernement est peut-être tenté d’interdire tout ce qui est chiffrement justement en prenant tout ce qui est antiterroriste, pour essayer… En fait, tout passe par le terrorisme aujourd’hui. Ils essayent d’interdire plein de choses pour se protéger. Et, à un moment donné, je pense que la question sur l’interdiction du chiffrement était sur la table. Je ne pense pas, qu’un jour, on va pouvoir interdire le chiffrement. Justement que ce soit la CNIL ou l’ANSI a bien dit que le chiffrement, aujourd’hui, est nécessaire. Est nécessaire ! Rien que pour échanger entre les sociétés du CAC 40 ils sont obligés de chiffrer à un moment donné. Donc je ne pense pas qu’on arrivera à l’interdiction du chiffrement.

Je pense qu’on arrive à la fin de cette présentation. Je vous recommande la présentation qui va suivre, qui est à peu près dans les mêmes thèmes et merci beaucoup.

Organisateur : Il y a peut-être le temps pour une dernière question s’il y en a. Le prochain orateur n’est pas encore arrivé.

Public : Juste une petite remarque. Ubuntu est un logiciel, enfin un système d’exploitation libre. Cependant on a la possibilité d’associer notre compte Google, ou notre compte Facebook, donc du coup, c’est comme si un système d’exploitation libre nous tendait les bras pour utiliser des logiciels privateurs, des systèmes privateurs.

Zenzla : Oui, mais Ubuntu est un système d’exploitation comme Mint, comme d’autres. Mais Ubuntu, lui, justement si quelqu’un, une personne qui vient de Windows a l’habitude d’utiliser Facebook, on ne va pas lui interdire d’utiliser Facebook. Qu’il y ait la possibilité de se connecter avec Google ou qu’il y ait la possibilité de se connecter avec Facebook : on ne peut pas lui interdire de se connecter avec Google ou Facebook. Ubuntu peut-être ou d’autres, moi je ne connais pas cette fonctionnalité, mais là pour proposer des services, on peut trouver aussi sur Windows, ou non. Imaginez-vous que sur Ubuntu vous pouvez utiliser uniquement le chiffrement ou que vous ne pouvez pas installer Chrome, que vous pouvez uniquement installer des logiciels libres ! Justement, on ne veut pas. Le logiciel libre n’a pas intérêt à s’enfermer sur lui-même. On n’a pas intérêt. Même nous, les Cafés Vie Privée, on est présents sur Twitter. Justement, tout à l’heure, on a eu la discussion : on peut aller sur Framasphère et rester entre nous. Le but n’est pas de rester entre nous ! Le but c’est de s’ouvrir et de faire adhérer les gens à notre discours et voilà ! Parce que si on s’enferme entre libristes, on s'enfermera entre libristes et voilà ! Le but n’est pas là ! Le but c’est vraiment de faire adhérer des personnes au logiciel libre.

Organisateur : Bien. Je pense qu’il est temps de passer à la prochaine conférence. Nous remercions le conférencier pour sa présentation et ses réponses.

Applaudissements

• 1. Café Vie Privée
• 2. Root66
• 3. FireFox Lightbeam
• 4. Un partenariat indigne des valeurs affichées par l'Éducation nationale
• 5. Contrat « Open Bar » Microsoft - Ministère de la Défense français
• 6. Logiciel R
• 7. CyanogenMod
• 8. Framasoft
• 9. Gandi Mail
• 10. OVH
• 11. CHATONS, le collectif anti-GAFAM
• 12. La Brique Internet
• 13. Tor
• 14. Qwant

Par les temps qui courent, c’est une bonne idée de chiffrer les données que vous transportez sur une clé USB. C’est le genre d’objet qu’on perd ou qu’on oublie facilement, j’en ai personnellement laissé une dans l’ordi d’un cyber-café une fois. On regrette alors d’avoir laissé des informations importantes à la portée d’un quidam.

Mais quelle solution choisir ? Le wiki ArchLinux propose un tableau des différentes méthodes disponibles sous Linux et le site Phoronix a réaliser des tests pour mesurer l’impact que peux avoir le chiffrement d’une partition sur les performances en comparant dm-crypt + LUKS à eCryptfs. Le site Prism Break recommande d’utiliser dm-crypt + LUKS comme option de chiffrement. L’avantage d’utiliser LUKS (Linux Unified Key Setup) est que c’est un standard multi-plateforme et qu’il est supporté par toutes les distributions GNU/Linux.

1. On commence par vérifier que le paquet cryptsetup est installé. Vous pouvez le voir ou l’installer depuis votre gestionnaire de paquets, sinon, dans un terminal, lancez la commande : (pour Debian et dérivées Ubuntu, Linux Mint, …)

sudo apt-get install cryptsetup

Si vous compter utiliser la clé USB sur des postes avec Windows, il faut réserver la première partition en la formatant en FAT32. J’utilise une clé de 32 Go pour la démonstration. On va créer deux partitions chiffrée : une de 4 Go formatée FAT32, l’autre de 28 Go formatée EXT4.

Mise en garde : si vous avez déjà utilisé la clé USB, assurez-vous d’avoir sauvegardé son contenu sur un autre disque, les opérations suivantes vont totalement supprimer les donnés présentes sur la clé. Ne faite pas l’erreur de formater un autre disque par inadvertance, après avoir introduit la clé à chiffrer, vérifier le nom de périphérique attribué par le système dans le gestionnaire de disque ou avec la commande :

sudo dmesg

Les dernières lignes indiquent le nom de périphérique, ici sdf :

usb 1-1: New USB device found, idVendor=8564, idProduct=1000
scsi 6:0:0:0: Direct-Access     JetFlash Transcend 32GB   8.07 PQ: 0 ANSI: 4
sd 6:0:0:0: Attached scsi generic sg5 type 0
sd 6:0:0:0: [sdf] 62734336 512-byte logical blocks: (32.1 GB/29.9 GiB)

2. Démontage : La ou les partitions sont automatiquement montées lors du branchement, il faut les démonter (adaptez /dev/sdxx à votre cas) :

sudo umount /dev/sdf1

3. On supprime la table de partition et on en créé une nouvelle avec l’utilitaire fdisk. L’option o crée une nouvelle table vide de partitions DOS, w écrit la table sur le disque et quitte.

sudo fdisk /dev/sdf

Commande (m pour l'aide): o
Création d'une nouvelle étiquette DOS avec id de disque 0xc01b95b4.
Les modifications restent en mémoire jusqu'à ce que vous les écriviez.
Après quoi, bien sûr, le contenu précédent sera irrécupérable.

Commande (m pour l'aide): w
La table de partitions a été altérée.

Appel d'ioctl() pour relire la table de partitions.
Synchronisation des disques.

4. Création des partitions : on relance fdisk pour créer les deux partitions. L’option n ajoute une nouvelle partition. On fait entrée pour choisir les options par défaut sauf à l’étape dernier secteur : la taille de la première partition est 7 628 904 secteurs (4 Go). La taille d’un conteneur FAT32 ne peut dépasser 3 999 Mo. On continue pour la deuxième partition avec les valeurs par défaut, w pour écrire la table et quitter fdisk.

sudo fdisk /dev/sdf

Commande (m pour l'aide): n
Partition type:
  p primary (0 primary, 0 extended, 4 free)
  e extended
Select (default p):
Utiliser la réponse par défaut p
Numéro de partition (1-4, 1 par défaut):
Utilisation de la valeur 1 par défaut
Premier secteur (2048-62734335, 2048 par défaut):
Utilisation de la valeur 2048 par défaut
Dernier secteur, +secteurs ou +taille{K,M,G} (2048-62734335, 62734335 par défaut): 7628904

Commande (m pour l'aide): n
Partition type:
  p  primary (1 primary, 0 extended, 3 free)
  e  extended
Select (default p):
Utiliser la réponse par défaut p
Numéro de partition (1-4, 2 par défaut):
Utilisation de la valeur 2 par défaut
Premier secteur (7628905-62734335, 7628905 par défaut):
Utilisation de la valeur 7628905 par défaut
Dernier secteur, +secteurs ou +taille{K,M,G} (7628905-62734335, 62734335 par défaut):
Utilisation de la valeur 62734335 par défaut

Commande (m pour l'aide): w
La table de partitions a été altérée.

Appel d'ioctl() pour relire la table de partitions.
Synchronisation des disques.

5. Chiffrement des partitions : notez le F majuscule de la commande luksFormat. vous aurez le message « cryptsetup: Action inconnue » si vous mettez un f minuscule. Vous pouvez entrer la même phrase secrète pour les deux partitions. Par sécurité, générez une phrase complexe (ex.: 3c »M6YwmjiRMT*A~v(2! ). J’utilise l’application Revelation pour générer et stocker mes mots de passe dans une base de données chiffrée. KeePassX & KeePass2 ont les mêmes fonctions.

sudo cryptsetup luksFormat /dev/sdf1

WARNING!
========
Cette action écrasera définitivement les données sur /dev/sdf1.

Are you sure? (Type uppercase yes): YES
Saisissez la phrase secrète :
Verify passphrase:

Même chose pour la seconde partition :

sudo cryptsetup luksFormat /dev/sdf2

WARNING!
========
Cette action écrasera définitivement les données sur /dev/sdf2.

Are you sure? (Type uppercase yes): YES
Saisissez la phrase secrète :
Verify passphrase:

6. Formatez les partitions chiffrées : on doit utiliser la commande « cryptsetup luksOpen » pour déchiffrer la partition avant de la formater et lui attribuer un nom unique pour le mappage, ici LUKS01 et LUKS02. On donne le label « fat-chiffre » à cette partition qui apparaîtra dans le gestionnaire de fichier une fois montée.

sudo cryptsetup luksOpen /dev/sdf1 LUKS01
Saisissez la phrase secrète pour /dev/sdf1 :

sudo mkfs.vfat /dev/mapper/LUKS01 -n fat-chiffre
mkfs.fat 3.0.26 (2014-03-07)
mkfs.fat: warning - lowercase labels might not work properly with DOS or Windows
unable to get drive geometry, using default 255/63

pour la seconde partition (label ext4-chif) :

sudo cryptsetup luksOpen /dev/sdf2 LUKS02
Saisissez la phrase secrète pour /dev/sdf2 :

sudo mkfs.ext4 /dev/mapper/LUKS02 -L ext4-chif
mke2fs 1.42.9 (4-Feb-2014)
Étiquette de système de fichiers=ext4-chif
Type de système d'exploitation : Linux
Taille de bloc=4096 (log=2)
Taille de fragment=4096 (log=2)
« Stride » = 0 blocs, « Stripe width » = 0 blocs
1725136 i-noeuds, 6887666 blocs
344383 blocs (5.00%) réservés pour le super utilisateur
Premier bloc de données=0
Nombre maximum de blocs du système de fichiers=4294967296
211 groupes de blocs
32768 blocs par groupe, 32768 fragments par groupe
8176 i-noeuds par groupe
Superblocs de secours stockés sur les blocs : 
    32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
    4096000

Allocation des tables de groupe : complété                        
Écriture des tables d'i-noeuds : complété                        
Création du journal (32768 blocs) : complété
Écriture des superblocs et de l'information de comptabilité du système de
fichiers : complété

Voilà, la méthode en ligne de commande est longue et un peu fastidieuse mais permet de bien comprendre les différentes étapes. Vous pouvez plus simplement utiliser l’application « Disques » si vous préférez l’interface graphique.

Utilisation avec Windows :

Par défaut, Windows ne sait pas comment traiter la clé chiffrée lorsque vous la placez dans un port USB. Il propose de la formater, ne le laissez pas faire !! Il faut auparavant installer un petit utilitaire (un logiciel libre) disponible sur GitHub, LibreCrypt version 6.2. C’est une version béta mais je l’ai testé sans rencontrer de problème sous Windows 7. Après installation du programme, il est par contre nécessaire de contourner la protection de Micro$oft contre les pilotes non signés par une commande en mode administrateur (image suivante). Les instructions détaillées en anglais sont sur cette page.

Il faut rebooter l’ordi après avoir passé la commande avec succès. L’utilisation est ensuite asse simple et intuitive. Les copies d’écran suivantes vous aideront.

Cliquez sur l’icone « Open partition », sélectionnez la première partition du second disque (Disque n°1).

Tapez ou coller la phrase de passe (champ User entered).

Librement inspiré de cet article.

Update, 15 February 2017 — The European Parliament adopted CETA by 408 votes against 254 (and 33 abstentions). The “not mixed” parts of the text could thus enter into provisional application in April, until consultations of the regional and/or national Parliaments of the Member States.

Paris, 10 February 2017 — On 15 February, the European Parliament will decide whether to ratify the Canada-EU Trade Agreement (CETA)1. In choosing to back this agreement, MEPs would allow its partial implementation and would open the door for the next steps of the legislative process, which could lead to its complete and definitive implementation. On the other hand, rejecting it would be a death-blow for the agreement, just as it was for ACTA in July 2012. Beyond the unacceptable procedure of its elaboration, CETA is a grave threat to our liberties and fundamental rights. Therefore, La Quadrature du Net calls upon MEPs to oppose it strongly.

Negotiated behind closed doors by civil servants from Canada and the European Union between 2009 and 2013, CETA came up in public debate in July 2012, when a draft version leaked with complete sections copied directly from ACTA, and was rightly rejected by the European Parliament. Since then, demonstrations have taken place all through the European Union and Canada to protest the agreement and, more generally, world-wide against such commercial agreements, notably TAFTA, TISA or the TPP (fr).

From the very processes of working them out, these agreements constitute a serious problem: rather than being discussed by elected representatives – with the limits inherent to representative democracies – they are drafted in secret and under the eye and influence of lobbies from powerful multinationals. These negotiations are even less acceptable than agreements bearing on fundamental rights, and whose purpose is to supersede national legislation in the hierarchy of legal norms. Only once finalized are these agreements submitted to legislatures, with no possibility to amend them, and along with powerful pressure to adopt them, as can be seen in the conditions of the vote of the Wallonian legislature (fr).

What's even worse, should it be adopted by the European Parliament, almost all of CETA would be enforced before consulting the institutions of each Member State, a process that could last for years. Indeed, the deal's provisions deemed to be “not mixed” –i.e., covering only commercial matters– fall within the sole competence of the European Union; these provisions would be enforced on Day One, without the consent of the national and regional parliaments, even though some of them demand to be consulted on these matters (fr).

Entirely apart from how it has been worked out, the substance of the agreement endangers our freedoms and fundamental rights as demonstrated by – among others – the analyses of EDRI and the FFII. In the digital domain alone:

• Concerning personal data and private life: once CETA covers the transfer of personal data between the EU and Canada, it will be become impossible in practice to limit them later in the name of current or future European norms, for instance when there is an incursion on rights identical to what happened to the nullification of “Safe Harbor” by the EU Court of Justice. When Canada is a member of the “Five Eyes” alliance2 of which Edward Snowden's revelations and those of other whistleblowers have substantially shown that it engages in massive, illegal surveillance of entire populations, this is a particularly disquieting point.
• Copyright and patent law: if the repressive measures of the ACTA agreement have disappeared from CETA's final version, the agreement still contains very dangerous provisions in these fields and would impose a hardening of Canadian law, especially for the protection of patents. But above all it would write current law into a text superseding the current hierarchy of norms, and would greatly limit any possibility to modify the text in the future, for example in order to encourage access to knowledge or sharing and remixing culture.
• Parallel legal system : CETA would allow multinational companies to sue States before ad hoc arbitration courts if they their interests harmed or if they consider themselves victims of “indirect expropriation” or “unfair and inequitable treatment”. Several examples of abusive actions permitted by similar mechanisms in other agreements make us fear that such a provision would prevent member States from adopting progressive laws, for example in favour of Net Neutrality, free software, data protection or online sharing.

Beyond the digital issues, the agreement would endanger many other sectors, such as the environment, labour law or the protection of health. For all these reasons, La Quadrature du Net calls on MEPs to strongly and definitely reject CETA during the vote in the plenary session scheduled for the 15 February.

Just after the turbulent election of Antonio Tajani at the head of the European Parliament and shortly before major elections in the Netherlands, in Germany and in France, the power balance and the positions of the political groups of the institution are changing and make it difficult to foresee the result of the vote. Unsurprisingly, most of the the conservatives (EPP and ECR) and the centrists (ALDE) seem to be resigned to CETA, whereas the Greens (GREENS/EFA), the European United Left (GUE) and the nationalists (ENF) oppose it.

The key group that could tilt the balance of the vote will be the social democrats (S&D), who are divided on the question; while the German deputies of the groups are in favour of CETA, the French deputies openly oppose it – while their colleagues of the National Assembly are refining their convictions. The website CETA Check identifies and the promises of votes in one place, so we can oversee the current balance of positions.

In order to enable all of us to contact the Members of the European Parliament - simply and for free - and try to convince them to oppose CETA, La Quadrature du Net is launching a PiPhone campaign, and invites everyone to act and take part within all the different mobilisations now taking place. Right now and until the vote on the 15th, let's inform ourselves more on the consequences of the agreement, let's share this informations with those around us and make our voices heard in order to make CETA be rejected!

• 1. The free-trade agreement between the EU and Canada. The final version of the text is available online.
• 2. The alliance of the intelligence services of Australia, Canada, the USA, New Zealand, and the UK

Un tutoriel pour créer sa propre palette de couleurs et l'intégrer au profil de LibreOffice.

Un tutoriel pour créer sa propre palette de couleurs et l'intégrer au profil de LibreOffice.

Contrairement à d’autres langages, Go ne fournit pas un environnement d’exécution permettant de passer un service en arrière-plan. Cette action doit être déléguée à un autre composant. La plupart des distributions fournissent désormais systemd qui convient à cet usage. Il y a deux aspects intéressants à étudier : indiquer si le service est prêt et indiquer s’il est vivant.

À titre d’exemple, prenons ce service dont le but est de répondre à toutes les requêtes avec d’élégantes erreurs 404 :

package main

import (
    "log"
    "net"
    "net/http"
)

func main() {
    l, err := net.Listen("tcp", ":8081")
    if err != nil {
        log.Panicf("cannot listen: %s", err)
    }
    http.Serve(l, nil)
}

Il peut être construit avec go build 404.go.

Voici le fichier de service, 404.service¹, associé :

[Unit]
Description=404 micro-service

[Service]
Type=notify
ExecStart=/usr/bin/404
WatchdogSec=30s
Restart=on-failure

[Install]
WantedBy=multi-user.target

Être prêt§

Historiquement, un service Unix signale qu’il est prêt en se transformant en démon. Pour cela, il appelle deux fois fork(2) (ce qui a également d’autres usages). C’est une tâche très courante, au point que les BSD, et certaines autres librairies C, fournissent une fonction daemon(3) à cet effet. Un service se transforme en démon uniquement quand il est prêt (après avoir lu son fichier de configuration et mis en place une chausette d’écoute par exemple). Cela permet à un système d’initialiser les services avec un simple script linéaire :

syslogd
unbound
ntpd -s

Chaque service peut s’appuyer sur le précédent pour les fonctionnalités dont il a besoin. La séquence des actions est la suivante :

1. syslogd lit son fichier de configuration, active /dev/log et passe en tâche de fond.
2. unbound lit son fichier de configuration, écoute sur 127.0.0.1:53 et passe en tâche de fond.
3. ntpd lit son fichier de configuration, se connecte à d’autres serveurs NTP, attend que l’horloge système soit synchronisée² et passe en tâche de fond.

Avec systemd, ce type de service nécessite d’utiliser la directive Type=fork. Toutefois, Go ne permettant d’effectuer cette manipulation, nous nous rabattons sur la directive Type=notify. Dans ce cas, systemd s’attend à ce que le service lui indique qu’il est prêt en envoyant un message particulier sur une socket Unix. Le paquet go-systemd s’occupe des détails pour nous :

package main

import (
    "log"
    "net"
    "net/http"

    "github.com/coreos/go-systemd/daemon"
)

func main() {
    l, err := net.Listen("tcp", ":8081")
    if err != nil {
        log.Panicf("cannot listen: %s", err)
    }
    daemon.SdNotify(false, "READY=1") // ❶
    http.Serve(l, nil)                // ❷
}

Il est important de placer la notification après net.Listen() (en ❶) : si celle-ci était placée plus tôt, un client obtiendrait une « connexion refusée » lors d’une tentative d’accès. Une fois que le service écoute, les connexions sont mise en queue par le noyau jusqu’à ce que le service les accepte (en ❷).

Si le service n’est pas démarré via systemd, la ligne ❶ n’a pas d’effet.

Vivacité§

Une autre fonctionnalité intéressante de systemd est de surveiller un service et de le redémarrer s’il termine anormalement (grâce à la directive Restart=on-failure). De plus, il existe un mécanisme de « chien de garde » (watchdog) : le service envoie à intervalles réguliers des messages de vivacité (keep-alive). En cas de défaillance, systemd le redémarre.

Nous pourrions inclure le code suivant juste avant http.Serve() :

go func() {
    interval, err := daemon.SdWatchdogEnabled(false)
    if err != nil || interval == 0 {
        return
    }
    for {
        daemon.SdNotify(false, "WATCHDOG=1")
        time.Sleep(interval / 3)
    }
}()

Toutefois, ce n’est pas très utile : la goroutine est sans rapport avec l’objet du service. Si la partie HTTP se bloque, la goroutine continuera d’envoyer des messages à systemd.

Pour corriger ce problème, nous pouvons simplement ajouter une requête HTTP avant d’envoyer le message. La boucle interne peut être remplacée par ce code :

for {
    _, err := http.Get("http://127.0.0.1:8081") // ❸
    if err == nil {
        daemon.SdNotify(false, "WATCHDOG=1")
    }
    time.Sleep(interval / 3)
}

En ❸, nous nous connectons au service pour vérifier qu’il fonctionne toujours. Si c’est le cas, le message de vivacité est envoyé. Par contre, si le service refuse la connexion ou si http.Get() se bloque, systemd initiera un redémarrage de l’applicatif.

Il n’y a pas de recette universelle. Toutefois, les approches à adopter pour implémenter cette fonctionnalité se divisent en deux groupes :

• Avant d’envoyer le message de vivacité, une vérification active des principaux composants du service est effectuée. Le message n’est envoyé que si tous les indicateurs sont positifs. Les vérifications peuvent être internes (comme ci-dessus) ou externes (par exemple, en vérifiant que l’on peut lancer une requête vers la base de données).

• Chaque composant rapporte son état de santé. Le message de vivacité n’est envoyé que si tous les composants ont bien émis un rapport récemment et que ceux-ci sont positifs (vérification passive).

Il convient de privilégier la correction des erreurs (par exemple, en réessayant l’opération) ou l’autoguérison (par exemple, en établissant une nouvelle connexion réseau), mais le chien de garde est utile pour gérer le pire des cas sans implémenter une logique trop compliquée.

Par exemple, au lieu d’utiliser panic(), un composant qui ne sait pas gérer une condition exceptionnelle³ peut remonter son état avant de s’arrêter. Un autre composant peut alors tenter de résoudre le problème en redémarrant le composant fautif. Si ce dernier ne parvient pas dans un état sain en un temps raisonnable, le minuteur du chien de garde va se déclencher et le service entier sera redémarré.

En vedette :

How to #StayOutraged Without Losing Your Mind, quelques conseils pour résister au mandat de Trump. Tout à fait valable ailleurs (la neutralité du Net, la vie privée, les conditions des minorités…) et résister à l’insupportable sans y laisser sa santé mentale :

• déconnectez-vous régulièrement. Faites des pauses entre les mauvaises nouvelles. Ne vous sentez pas coupable de ne pas tout savoir sur le mandat de Trump (ou ce qui vous rend dingue). On a le droit de déconnecter de temps en temps !
• Concentrez votre énergie sur un ou deux sujets. La défense du féminisme, de l’immigration, etc. On ne peut pas lutter contre toutes les injustices à la fois en étant tout seul !
• Amusez-vous quand vous faites de l’activisme. Allez manifester avec des copines, allez boire un coup après une opération activiste, etc.
• Prenez soin de vous ! Prenez soin de votre santé, allez chez le docteur et le dentiste, chez un psy ou un coach, dormez suffisamment, prenez du temps pour vous, sortez et profiter de la nature, voyez vos amis, mangez sainement.

En vrac

• mon livre Surveillance://, qui était en promotion sur Amazon.fr le 22 janvier 2017 (et sur d’autres sites) s’est vendu à 540 exemplaires rien que chez Amazon, dans la journée ! J’attends les statistiques des autres sites…
• Is Donald Trump Just a Pawn in Steve Bannon’s Game? (Donal Trump n’est-il qu’un pion dans le jeu de son conseiller Steve Bannon ?). Quelques phrases font froid dans le dos, comme quand Bannon déclare à la presse : « You’re the opposition party » (« vous êtes dans le parti d’opposition »). Ou pire : « Trump n’est qu’un instrument grossier pour nous. Je ne suis même pas sûr qu’il le comprenne… »
• Ce que veut Steve Bannon. Ca tient en 3 concepts :
  • capitalisme
  • des valeurs judéo-chrétiennes
  • du nationalisme
• À quoi ressemblerait un second mandat de Trump : How to build an autocracy. Bien vu, passionnante et terrifiante vision d’une démocrature américaine ;
• Dans covering Trump the Reuters Way, l’agence Reuters l’explique clairement : il faut traiter l’actualité de Trump comme celle d’une dictature.
• Trump Posted A False News Report To His Facebook Page And Got Thousands Of Shares ;
• Google doit fournir aux USA des données stockées « en dehors des Etats-Unis », selon un juge américain ;
• Trump est plus innovant qu’on ne le pense. Trump, en croisant le matraquage de fausses vérités avec le Big Data, pourrait faire des dégats plus important encore qu’on pourrait le penser. Un genre d’Hitler 2.0 ?
• Mozilla Thinks That The Internet Is Under Attack, They Are Not Wrong ;
• Attention, c’est du lourd : Tempête sur les (méta-)données (CJUE 21 décembre 2016 . Dans cette analyse de l’arrêt « Tele2 Sverige » de la CJUE par l’avocat Marc-Antoine Ledieu, on apprend deux choses :
  • La CJUE pose toute la doctrine d’interprétation de l’accès à ces méta-données (et donc de leur exploitation) par les Etats membres de l’Union Européenne.
  • La CJUE affirme que l’ensemble des méta-données sont « aussi sensibles » que le « contenu des correspondances » en terme de risque pour la vie privée ;
• Il y a 20 ans cette semaine sortait le Manifeste du Web indépendant. Très en avance sur son époque, visionnaire, même, c’est frappant de voir ce texte de février 1997 (!) frappait déjà très juste : « Face aux sites commerciaux aux messages publicitaires agressifs, destinés à ficher et cibler les utilisateurs, le Web indépendant propose une vision respectueuse des individus et de leurs libertés » ;
• What Vizio was doing behind the TV screen?. Il collecte les émissions regardées, les associe à votre adresse IP et vend le tout à des tiers. Bilan : 11 millions de clients impactés et 2,2 millions de dollars de d’amende !
• Billionaire Peter Thiel makes fortune after ‘sweetheart’ deal with Government. Peter Thiel, qui a acheté 400 hectares en Nouvelle Zélande, vient d’arnaquer magnifiquement le gouvernement du pays. Ils ont investi ensemble dans des startups locales, mais si l’investissement était perdu, alors c’était au gouvernement de payer. En cas de gain, par contre, Thiel empochait l’essentiel…
• #DeleteUber reportedly led 200,000 people to delete their accounts. 200’000 personnes ont supprimé leur compte Uber pour protester contre le soutien du CEO de la société à Donald Trump. Par ailleurs, l’application Uber exige d’avoir accès à votre position GPS même lors qu’elle n’est pas activée. C’est pour cette raison que, pour ma part, j’ai supprimé l’application Uber de mon smartphone ;
• 11% des internautes dans le monde utilisent un adblocker !
• How to build a more organic internet (and stand up to corporations) ;
• Tu cherches un stage de développeur ? Tu aimes le libre et la Quadrature ? La Quadrature du Net propose un stage pour aider au développement de ses outils de participation citoyenne
• Fichier TES : le CNNum réaffirme ses préoccupations et invite le Gouvernement à expliciter le plan d’action correspondant aux recommandations de l’ANSSI et de la DINSIC. Plus étonnant : « le CNNum appelle les candidats à l’élection présidentielle à exprimer leur position sur le fichier TES et son évolution à moyen terme, ainsi que sur la construction d’une nouvelle gouvernance des choix technologiques au sein de l’État.» ;
• Audio : Benjamin Bayart et Pascal Hérard (Scani89) sur France Culture : pourquoi des associations et coopératives amènent Internet dans des villages mal connectés ;
• Vieux mais passionnant : How I got my attention back. (Via Karl). L’auteur, constatant à quel point son utilisation de son smartphone et de l’Internet lui polluaient la vie, a mis en place deux règles : 1 - il coupe le Net avant d’aller se coucher et 2 - ne le rallume qu’après le déjeuner. Pour ma part, j’essaye de ne pas regarder mon téléphone avant la fin de mon petit déjeuner, et quasiment pas d’Internet après le début du dîner, à part une rapide visite sur Twitter). On se souviendra, un peu dans la même veine, de l’excellent article de Tristan Harris, How Technology Hijacks People’s Minds — from a Magician and Google’s Design Ethicist, paru en mai 2016.
• Logiciel libre : à la conquête du grand public « la salle consacrée à la présentation de projets visant à «décentraliser» le réseau - des fournisseurs associatifs d’accès à Internet aux boîtiers permettant d’avoir son propre cloud chez soi, en passant par de nouveaux modèles de réseaux sociaux - a fait salle comble tout le dimanche. » \o/

J’étais un utilisateur heureux de rxvt-unicode jusqu’au jour où j’ai eu un portable avec un écran « haute définition ». Passer d’un écran externe classique à l’écran intégré était alors assez pénible : il fallait soit ajuster la fonte sur chaque terminal, soit redémarrer l’ensemble des terminaux.

VTE est une bibliothèque pour construire un émulateur de terminal utilisant GTK+ qui sait gérer le changement de définition. Elle est utilisée par de nombreux émulateurs tels que GNOME Terminal, evilvte, sakura, termit et ROXTerm. Elle est plutôt simple d’emploi si on se limite aux fonctionnalités prévues.

Un simple émulateur de terminal§

Commençons en se contentant des fonctionnalités par défaut. Nous utiliserons le C. Une autre option bien supportée est le langage Vala.

#include <vte/vte.h>

int
main(int argc, char *argv[])
{
    GtkWidget *window, *terminal;

    /* Initialise GTK, the window and the terminal */
    gtk_init(&argc, &argv);
    terminal = vte_terminal_new();
    window = gtk_window_new(GTK_WINDOW_TOPLEVEL);
    gtk_window_set_title(GTK_WINDOW(window), "myterm");

    /* Start a new shell */
    gchar **envp = g_get_environ();
    gchar **command = (gchar *[]){g_strdup(g_environ_getenv(envp, "SHELL")), NULL };
    g_strfreev(envp);
    vte_terminal_spawn_sync(VTE_TERMINAL(terminal),
        VTE_PTY_DEFAULT,
        NULL,       /* working directory  */
        command,    /* command */
        NULL,       /* environment */
        0,          /* spawn flags */
        NULL, NULL, /* child setup */
        NULL,       /* child pid */
        NULL, NULL);

    /* Connect some signals */
    g_signal_connect(window, "delete-event", gtk_main_quit, NULL);
    g_signal_connect(terminal, "child-exited", gtk_main_quit, NULL);

    /* Put widgets together and run the main loop */
    gtk_container_add(GTK_CONTAINER(window), terminal);
    gtk_widget_show_all(window);
    gtk_main();
}

Ce programme se compile avec la commande suivante :

gcc -O2 -Wall $(pkg-config --cflags --libs vte-2.91) term.c -o term

En lançant ./term, nous obtenons ceci :

Fonctionnalités supplémentaires§

L’étape suivante est de regarder la documentation afin d’ajouter quelques fonctionnalités ou de modifier le comportement. Voici trois exemples.

Couleurs§

Il est possible de redéfinir les 16 couleurs de base avec le code suivant :

#define CLR_R(x)   (((x) & 0xff0000) >> 16)
#define CLR_G(x)   (((x) & 0x00ff00) >>  8)
#define CLR_B(x)   (((x) & 0x0000ff) >>  0)
#define CLR_16(x)  ((double)(x) / 0xff)
#define CLR_GDK(x) (const GdkRGBA){ .red = CLR_16(CLR_R(x)), \
                                    .green = CLR_16(CLR_G(x)), \
                                    .blue = CLR_16(CLR_B(x)), \
                                    .alpha = 0 }
vte_terminal_set_colors(VTE_TERMINAL(terminal),
    &CLR_GDK(0xffffff),
    &(GdkRGBA){ .alpha = 0.85 },
    (const GdkRGBA[]){
        CLR_GDK(0x111111),
        CLR_GDK(0xd36265),
        CLR_GDK(0xaece91),
        CLR_GDK(0xe7e18c),
        CLR_GDK(0x5297cf),
        CLR_GDK(0x963c59),
        CLR_GDK(0x5E7175),
        CLR_GDK(0xbebebe),
        CLR_GDK(0x666666),
        CLR_GDK(0xef8171),
        CLR_GDK(0xcfefb3),
        CLR_GDK(0xfff796),
        CLR_GDK(0x74b8ef),
        CLR_GDK(0xb85e7b),
        CLR_GDK(0xA3BABF),
        CLR_GDK(0xffffff)
}, 16);

Bien que cela ne soit pas visible sur la capture d’écran suivante¹, le fond est légèrement transparent :

Paramètres divers§

VTE dispose de nombreux réglages. Voici quelques exemples :

vte_terminal_set_scrollback_lines(VTE_TERMINAL(terminal), 0);
vte_terminal_set_scroll_on_output(VTE_TERMINAL(terminal), FALSE);
vte_terminal_set_scroll_on_keystroke(VTE_TERMINAL(terminal), TRUE);
vte_terminal_set_rewrap_on_resize(VTE_TERMINAL(terminal), TRUE);
vte_terminal_set_mouse_autohide(VTE_TERMINAL(terminal), TRUE);

Respectivement :

• désactivation de l’historisation des lignes,
• pas de défilement en cas de nouvelle sortie,
• défilement en bas s’il y a interaction de l’utilisateur,
• reformatage du texte en cas de changement de taille de la fenêtre,
• cacher le curseur de la souris quand le clavier est utilisé.

Titre de la fenêtre§

Une application peut modifier le titre de la fenêtre en utilisant les séquences de contrôle XTerm (par exemple, avec printf "\e]2;${title}\a"). Pour que ce changement impacte la fenêtre GTK, il faut définir cette fonction :

static gboolean
on_title_changed(GtkWidget *terminal, gpointer user_data)
{
    GtkWindow *window = user_data;
    gtk_window_set_title(window,
        vte_terminal_get_window_title(VTE_TERMINAL(terminal))?:"Terminal");
    return TRUE;
}

Il convient ensuite de la connecter au signal approprié depuis la fonction main() :

g_signal_connect(terminal, "window-title-changed", 
    G_CALLBACK(on_title_changed), GTK_WINDOW(window));

Conclusion§

Je n’ai guère besoin de plus étant donné que j’utilise tmux à l’intérieur de chaque terminal. J’ai également implémenté une complétion dynamique permettant de compléter le mot sous le curseur à partir des mots présents dans le terminal courant ou un autre. Cela a nécessité de gérer toutes les fenêtres depuis un processus unique, comme avec urxvtcd.

Il est donc très simple de construire un émulateur de terminal de « zéro »². Cependant, ce n’est pas forcément une bonne idée. Il est facile de compiler evilvte avec les fonctionnalités que l’on désire et d’arriver à un résultat similaire. Considérez d’abord une telle solution. Honnêtement, je ne sais même plus pourquoi je ne l’ai pas fait.

MISE À JOUR : evilvte n’a pas été mis à jour depuis 2014. Son support GTK+3 est non fonctionnel. Il ne supporte pas les dernières versions de VTE. Il ne s’agit donc pas d’une bonne recommendation.

Un autre élément crucial est que VTE est une librairie de support pour GNOME Terminal uniquement. Une fonctionnalité qui n’est pas utilisée dans GNOME Terminal ne sera pas implémentée. Elle sera même retirée si elle existe déjà.

Meetup à Paris

Le meetup est accueilli par l'Institut des Systèmes Complexes de Paris Île de France (CNRS).

Informations pratiques

Comment s'y rendre?.

Les codes à l'entrée seront envoyés par mail. Contactez les organisateurs ou inscrivez vous ici.

Présentations / sujets de discussion

Les présentations seront à annoncer.

Soumettez vos propositions à: anoe AT debian DOT org

Titre : Heartbleed, faille de la décennie ? Contre Heartbleed, pour une hygiène des mots de passe !
Intervenants : Jean- Marc Manach - Éric Leblond - Daniel Schneidermann
Lieu : Émission 14h42 - #12
Date : Avril 2014
Durée : 43 min
Visualiser l'émission
Licence de la transcription : Verbatim

Transcription

Daniel Schneidermann : Bonjour et bienvenue dans ce douzième numéro de 14h42. La sécurité de nos achats en ligne, la confidentialité de nos mots de passe, et donc, de toutes nos données, sont-elles menacées, en plus de toutes les autres menaces évidemment par ce qu'on appelle la faille Heartbleed. Depuis quelques semaines, les articles se multiplient dans la presse en ligne, confus, parfois contradictoires, nous laissant dans l’incertitude sur le point de savoir, s'il faut, ou non, changer tous nos mots de passe. Pour une fois Jean-Marc Manach a changé de casquette et a troqué sa casquette d'animateur contre sa merveilleuse casquette d'expert. Mais il faudrait en avoir deux, pour de bon, la prochaine fois pour répondre à toutes les questions qu’on peut se poser sur Heartbleed. Également avec nous Éric Leblond. Vous êtes spécialiste en sécurité du logiciel libre et, par ailleurs, vous avez créé une société dans laquelle vous vendez des prestations de sécurité aux gens, aux sites et aux entreprises qui utilisent le logiciel libre, donc votre avis nous sera particulièrement précieux. Comme il s'agit de parler à tous ceux qui n'ont rien compris, voire pas lu un seul des articles consacrés à Heartbleed, on va essayer de poser, tout au long de cette émission, des questions vraiment basiques ; c'est pour ça qu'on a pris, dans l'équipe, le moins spécialiste imaginable de toutes ces questions et je commence donc par une question extrêmement large, Jean-Marc, Heartbleed, la faille Heartbleed, c'est quoi ? Comment est configurée cette faille ?

Jean-Marc Manach : En fait, c'est une faille dans un logiciel qui s'appelle OpenSSL1, qui est un logiciel qui est utilisé par plusieurs centaines de milliers de serveurs, et qui permet de sécuriser une communication entre votre navigateur et un serveur distant. Et cette faille, en fait, repose sur une extension du logiciel OpenSSL, qui s'appelle Heartbeat, donc le cœur qui bat, d'où le nom qui a été trouvé Heartbleed, le cœur qui saigne, et qui permettait de communiquer, de garder une communication active entre le client et le serveur, entre un ordinateur et le serveur distant.

Daniel Schneidermann : À l'intérieur du logiciel de sécurisation ?

Jean-Marc Manach : Au moment où il y avait une connexion qui se faisait, pour confirmer que la sécurité était bien enclenchée entre les deux ordinateurs, en fait il y a une faille qui existe et qui fait que, normalement l’ordinateur dit : « Dis-moi un mot de quatre lignes », et le serveur envoyait quatre lignes. Sauf que la faille, là, permettait à un attaquant de dire : « Renvoie-moi soixante-quatre kilos de données », et le serveur renvoyait soixante-quatre kilos, alors c'est kilo-octet, ce n'est pas des kilos, mais soixante-quatre kilo-octets de données, ce qui transitait sur le serveur.

Daniel Schneidermann : Trop bête le serveur !

Jean-Marc Manach : Dans ces données il peut y avoir des mots de passe, il peut y avoir des clefs de sécurité, il peut y avoir des cookies de session. C'est un petit fichier qui permet de vous identifier auprès du site que vous visitez et donc, par extension, on peut récupérer des données qui, normalement, n'auraient jamais dues pouvoir être consultées par un tiers.

Daniel Schneidermann : Ce que vous expliquez là a été expliqué magistralement par un dessinateur américain, auteur, dans une petite BD en ligne.

Jean-Marc Manach : XKCD.

Daniel Schneidermann : XKCD2 c'est le nom de son blog. Voilà.

Jean-Marc Manach : Là il explique : « Je te dis patate six lettres » et l'ordinateur, le serveur répond « Patate six lettres » et puis ensuite « Bird quatre lettres », il renvoie « Bird quatre lettres ».

Daniel Schneidermann : Jusque-là ça marche bien.

Jean-Marc Manach : Jusque-là ça marche bien, sauf là il dit : « Renvoie-moi chapeau cinq cents lettres » et là le serveur renvoie chapeau plus cinq cents lettres. Et donc, c'est là où dans ces cinq cents lettres, on peut trouver des données qui, normalement, ne devraient jamais sortir de cette conversation sécurisée entre un client et un serveur.

Daniel Schneidermann : D'accord. Donc si vous voulez tout savoir sur XKCD, Randall Munroe, lire le portrait qu'on vient de publier sur le site. Éric Leblond, évidemment Jean-Marc Manach parle sous votre contrôle, puisque j'ai dit que vous êtes spécialiste.

Jean-Marc Manach : Est-ce que j'ai dit des choses, qui ne sont pas tout à fait exactes ?

Daniel Schneidermann : Dans cette émission, quand on a un expert, on a un contre-expert. Pour l'instant ça va ? Il n'a pas trop dit de bêtises ?

Éric Leblond : Non, non, jusque-là c'est exactement ça. Il n'y a pas de souci.

Daniel Schneidermann : C'est exactement ça. Cette faille, elle existe depuis combien de temps ?

Jean-Marc Manach : En fait, ce qu'on a découvert : c'est donc un chercheur allemand qui, il y a deux ans, a rajouté quelques lignes de code dans OpenSSL. C'est un logiciel libre, donc ça veut dire que tout un chacun - plein de développeurs - contribue au développement de ce logiciel. Et donc, il y a deux ans, il a rajouté une fonctionnalité dans le logiciel et en fait, c'est là où est apparue la faille. C'est-à-dire qu'il a fait une erreur, une erreur triviale, mais personne n'a détectée. C'est-à-dire qu'à l’époque, les responsables du logiciel OpenSSL n'ont pas repéré cette faille de sécurité, personne n'avait repéré, jusqu’à fin mars, je crois, où fin mars il y a eu une première équipe.

Éric Leblond : Le 21 mars, il y a quelqu’un chez Google qui a trouvé de son côté, la faille. Il a fallu faire une étude du code. Quand on lit le code attentivement, la faille est assez facile à trouver, quand on sait ce qu'on cherche.

Daniel Schneidermann : Voilà. C'est ça !

Jean-Marc Manach : C'est trois cent mille lignes de code, quand même, le logiciel.

Éric Leblond : Ils ont regardé, à mon avis, l'implémentation pour voir ce qui se passait.

Daniel Schneidermann : Implémentation ?

Éric Leblond : Implémentation, c'est-à-dire la manière dont le fonctionnement du protocole était décrit en termes de code pour ordinateur.

Daniel Schneidermann : D'accord. Et donc il a trouvé ça le 21 mars.

Éric Leblond : Il a trouvé ça le 21 mars.

Daniel Schneidermann : Il y a plein de choses incroyables dans cette histoire. Il y a le fait que tant d'entreprises, tant de sites, utilisent ce logiciel et que personne n'ait décelé la faille jusqu'à présent.

Jean-Marc Manach : Il faut savoir que, quand ça a été rendu public la semaine dernière, on estime qu'il y a cinq cent mille serveurs qui étaient vulnérables. C’était 11 % des serveurs. Il y a un universitaire qui estime qu'il y avait 11 % des serveurs qui étaient vulnérables le lundi et que, le mercredi, c’était un peu moins de 6 %. Donc il y avait 5 % qui avaient patché, c'est-à-dire qui avaient corrigé le logiciel pour faire de telle sorte qu'on ne puisse pas exploiter la faille.

Daniel Schneidermann : Avant la découverte du 21 mars ?

Jean-Marc Manach : Ah non non.

Daniel Schneidermann : Après.

Jean-Marc Manach : Le 21 mars il y a la découverte. Ensuite, Google corrige la faille sur ses serveurs à lui. Google prévient OpenSSL, les gens responsables du logiciel, qui eux vérifient que la faille existe bien, qui développent un code pour patcher, pour réparer la faille et ils tombent d'accord sur le fait qu'il y ait un embargo jusqu'au 9 avril. Mais dans le même temps, fin mars ou 1er avril, il y a une équipe de finlandais, une entreprise finlandaise qui s’appelle Codenomicon, qui identifie, elle aussi, cette faille, qui prévient l'équivalent du CERT3 finlandais.

Daniel Schneidermann : C'est un hasard si les découvertes, apparemment, surviennent à quelques jours ?

Jean-Marc Manach : Apparemment oui.

Daniel Schneidermann : Alors pendant deux ans, personne ne voit rien et tout d'un coup, en dix jours, ils sont deux à découvrir la faille ? Question. Vous savez, on se méfie de tout dans ces histoires.

Éric Leblond : Je pense qu'il y a une évolution au niveau des mécanismes de détection de ce type de problème de sécurité. On a eu, quand même, un gros historique sur cette fonctionnalité de chiffrement fournie par le protocole SSL4, implémentée notamment dans OpenSSL, qui est donc la victime du jour, et donc on a eu, récemment, Apple qui a eu une jolie erreur de code.

Jean-Marc Manach : GoTo fail.

Éric Leblond : Avec le GoTo fail, voilà.

Jean-Marc Manach : C’est un autre bug.

Éric Leblond : Très, très bête, voilà. Si on a un niveau de complexité cinq sur Heartbleed, on a un niveau de complexité, en termes d'erreur, de niveau un sur celle Apple ; là c'était vraiment une erreur de débutant. Et donc, ce qui ne serait pas étonnant, c'est que je crois que Codenomicon ils travaillent sur des outils d'analyse du code source.

Daniel Schneidermann : Codenomicon c'est le deuxième découvreur ?

Éric Leblond : C'est le deuxième découvreur, oui, et je ne serais pas étonné, eh bien que ça soit dans l'air du temps de chercher ce genre d'erreur, et que ça soit la même chose que Google ait faite, et qui explique un peu la concomitance de la découverte.

Daniel Schneidermann : Pourquoi c’est dans l'air du temps de chercher ce genre d’erreur ?

Jean-Marc Manach : Snowden, entre autres.

Daniel Schneidermann : Ah !

Jean-Marc Manach : Parce que comme on sait, parmi les révélations Snowden, on a découvert, on sait que la NSA dépense énormément d'argent, un, pour installer des back doors, des portes dérobées, des failles de sécurité, dans certains logiciels ; deux, pour identifier des failles de sécurité pour que, eux, puissent les exploiter pour espionner. Et donc il y a un certain nombre de professionnels de la sécurité informatique et de développeurs, notamment de logiciels libres, qui ont entrepris le fait de vérifier le code source de leurs logiciels, pour être sûrs qu'ils ne puissent pas être exploités par la NSA.

Daniel Schneidermann : Donc il y a bien un rapport, enfin, sous réserve de confirmation, l'éventualité d'un lien avec Snowden, c'est clair ?

Jean-Marc Manach : C'est dans l'air du temps. Qu'il y ait un lien avec Snowden, non ! Mais c'est dans l'air du temps, depuis un an maintenant, de renforcer la sécurité des logiciels et la sécurité des infrastructures internet, et des protocoles.

Daniel Schneidermann : Juste, ce logiciel OpenSSL, là, il est monopolistique dans ce qu'il fait, ou il est en concurrence avec d'autres logiciels, pour le coup, qui ne seraient pas libres, qui seraient fermés, qui seraient propriétaires, propriétés d'entreprises ? Ou est-ce qu'il est le seul à faire ce qu'il fait ?

Jean-Marc Manach : Il n'est pas le seul à faire ce qu'il fait. Mais déjà, ce qu'il faut savoir, c'est qu'il y a certaines versions d'OpenSSL qui n'ont pas cette faille. Il y a plein de serveurs qui utilisent une autre version d'OpenSSL qui est plus ancienne, celle d'avant il y a deux ; ceux qui n'ont pas mis à jour le logiciel depuis deux ans, eh bien, il n'y avait pas la faille. Après, je ne sais pas, je vais plutôt demander à Éric quels sont les équivalents libres ou non-libres de OpenSSL.

Éric Leblond : Il y a les implémentations, notamment, dans le langage Java.

Daniel Schneidermann : Ça fait quatre fois que vous dites « implémentation », là je vais craquer.

Éric Leblond : Ah ! Pardon !

Daniel Schneidermann : Oui, il y a donc des ?

Éric Leblond : Il y a donc des versions.

Daniel Schneidermann : Voilà, c'est tellement mieux !

Éric Leblond : Donc des versions qui existent dans beaucoup de langages, en fait, puisque c'est quelque chose d'assez fréquent. OpenSSL est une des plus complètes et, par conséquent, une des plus utilisées, mais on se retrouve avec quelque chose où il y a beaucoup de différentes versions que ce soit en propriétaire ou en open source. Voilà. La problématique, c'est qu'on est sur quelque chose qui est extrêmement complexe puisqu’on a, par exemple, sept cent mille lignes de code, donc sept cent mille lignes écrites.

Jean-Marc Manach : C'est sept cent mille sur OpenSSL ?

Éric Leblond : Sur OpenSSL, oui.

Daniel Schneidermann : Vous aviez dit ?

Jean-Marc Manach : J'avais dit trois cents, oui.

Éric Leblond : Trois cents, oui, oui. C'est à vérifier.

Jean-Marc Manach : C'est plusieurs centaines de milliers de lignes de code.

Daniel Schneidermann : C'est beaucoup.

Éric Leblond : C'est plusieurs centaines de milliers de lignes de code et c'est excessivement complexe.

Daniel Schneidermann : C'est beaucoup. Ces découvreurs finlandais, là, cette boîte, Comecon, c'est ça ?

Jean-Marc Manach : Codenomicon.

Daniel Schneidermann : Codenomicon, c'est qui ?

Jean-Marc Manach : Codenomicon, c'est une boîte qui fait 60 à 70 % de son chiffre d'affaires avec des industriels liés au marché de la défense. Donc il y a des gens qui se demandent s'ils ne sont pas liés aussi, et s'ils ne comptent pas parmi leurs clients le ministre de la Défense américain, ou des services de renseignement et, potentiellement, la NSA, et eux, leur métier, c'est effectivement, eh bien de trouver des failles de sécurité pour arriver à les patcher, pour arriver à les corriger.

Daniel Schneidermann : Attendez, attendez, Jean-Marc, je n'y comprends rien ! Vous me dites « d'un côté Snowden, donc tout le monde se demande s'il n'y a pas des failles dans les logiciels, etc., donc tout le monde cherche.» Maintenant vous me dites « les mecs qui trouvent, c'est justement des gens qui sont peut-être liés… »

Jean-Marc Manach : Qui peuvent avoir pour clients…

Daniel Schneidermann : Qui sont peut-être liés, vous avez dit « qui sont peut-être liés au ministère de la Défense américain ». Alors !

Jean-Marc Manach : Là où j'ai dit qu'ils sont liés, là où je dis qu'ils sont liés, c'est qu'il y a un des principaux responsables de Codenomicon, qui est un Américain - c'est une boîte finlandaise, mais un de ses principaux responsables c'est un Américain - qui se trouve avoir été l'un des principaux responsables de la sécurité informatique sous Georges Bush, sous Obama, et qui était, également, le responsable sécurité informatique de Microsoft ; et qui, maintenant, est parti à la retraite de la fonction publique américaine et qui est advisory board de Codenomicon. Donc, il y a des gens qui ont commencé, comme ça, à se dire, mais c'est bizarre : ce mec-là il vient des Américains, il a bossé avec les présidents, avec Georges Bush, etc., et c'est sa boîte qui trouve la faille. Bon, je n'en sais rien ! Ce que je sais c'est que donc, fin mars/début avril, ils trouvent la faille, ils préviennent le CERT finlandais. Dans chaque pays, il y a un CERT qui est un Computer Emergency Responsive Team, une équipe pour répondre aux problèmes de sécurité informatique, donc ils préviennent le CERT, et ils ont un coup de génie. Ils identifient, donc, ça c’était le samedi, ils se disent « bon ben, si on suit la procédure classique, ça va s'appeler le bug CVE 2014-01 60. Ça, ça ne parle à personne ».

Daniel Schneidermann : Mais si !

Jean-Marc Manach : Donc, ils se disent « on va lui donner un nom de code ». Et comme la faille porte sur une extension qui s'appelle Heartbeat donc, battement de cœur, ils se disent on va appeler ça Heartbleed, le cœur qui saigne. Ils font appel à un designer qui dessine ce logo-là, d'un cœur qui saigne. Ils rachètent le nom de domaine heartbleed.com qui, auparavant, était un forum utilisé par les Émos, vous savez ces gens qui se mettent du maquillage noir et qui sont tout tristes, etc., un peu comme les Cure [Groupe de rock, NdT] dans les années 80. Donc, ils rachètent le nom de domaine, et puis ils font une page web où ils expliquent qu'est-ce que c'est que Heartbleed, qu'est-ce que c'est que cette faille de sécurité, pourquoi est-ce que c'est important, et ils le rendent public le 7 avril dernier.

Daniel Schneidermann : Là on parle toujours de Codenomicon, cette fameuse entreprise ?

Jean-Marc Manach : Cette fameuse entreprise finlandaise.

Daniel Schneidermann : Dirigée par un ancien responsable de la sécurité informatique sous Bush et sous Obama, c'est ça ?

Jean-Marc Manach : Voilà.

Daniel Schneidermann : On parle toujours de cette boîte-là.

Jean-Marc Manach : C'est un coup de pub monumental, pour leur boîte, mais, en même temps c'est un coup de génie d'un point de vue de comm' parce que jamais les médias n'en auraient parlé si c’était resté sous le nom CVE 2014-01 60. Alors que là Heartbleed, tout de suite ça a été repris par la presse informatique aux États-Unis, puis par la presse internationale et, effectivement, les médias, depuis maintenant une dizaine de jours, en parlent quotidiennement.

Daniel Schneidermann : D'accord. Et c'est une boîte qui vend de la sécurité informatique ?

Jean-Marc Manach : Oui.

Daniel Schneidermann : D'où évidemment soupçons. Est-ce que cette boîte qui vend de la sécurité informatique n'a pas tendance à grossir le danger ? Je veux dire plus les gens vont penser que « hou là là, c'est très dangereux, il y a des risques, il y a des trous dans les dispositifs de sécurité, il faut changer tous vos mots de passe, etc. », plus les gens vont penser ça, plus les gens vont acheter de la sécurité informatique. Est-ce qu'il n'y a pas un risque qu'on se laisse manipuler par cette opération de comm', de Codenomicon, autour de Heartbleed ?

Éric Leblond : Il y a quelque chose d'assez intéressant qui s'est produit avec la société qui s'appelle Cloud ?

Jean-Marc Manach : CloudFlare.

Éric Leblond : CloudFlare, voilà, une société qui fournit du service aux États-Unis et qui a lancé un challenge en disant « on pense qu'on n'est pas impacté, notamment, sur une des ressources principales qui est le secret déposé sur le serveur qui permet de garantir la validité de tous les échanges qui ont été faits ». Ils se sont dit ce n'est pas possible que… Ils ont fait une magnifique entrée de blog, très bien détaillée, expliquant pourquoi ce n’était pas possible. Et puis neuf heures après, personne n'avait encore réussi, en utilisant les techniques qui avaient été dévoilées pour utiliser l'attaque, n'avait encore réussi à récupérer ce secret. Et puis donc ils ont dit : « Vous avez vu, ça ne marche pas ». Très bien. Et puis là ils ont fait une légère erreur, c'est dans leur blog, erreur de manipulation, ils ont redémarré le service qui fait fonctionner le système et là, ça a entraîné la possibilité de le faire. C'est-à-dire qu'il y avait un effet de bord auquel ils n'avaient pas pensé.

Daniel Schneidermann : D'accord.

Éric Leblond : Qui a permis à des attaquants d'accéder à la ressource la plus secrète du serveur.

Daniel Schneidermann : Alors ça ça ne répond pas à ma question : « est-ce qu'il n'y a pas un risque qu'on se fasse tous un peu manipuler par cette fameuse boîte Codenomicon, là, qui a un intérêt objectif à exagérer le danger ? »

Éric Leblond : Non. Si on récupère, si cette ressource a été récupérée.

Daniel Schneidermann : Cette ressource ? C'est-à-dire ?

Éric Leblond : Le secret du serveur, disons, ce qu'on appelle la clef privée du serveur, pour parler techniquement. Donc cette clef privée, en fait, si on la récupère, on peut déchiffrer l’intégralité du trafic qui a été émis par le serveur, sauf conditions spécifiques d'implémentation. Je retire !

Daniel Schneidermann : C'est bien, vous vous êtes repris.

Éric Leblond : Il faut que j’arrête. Et donc c'est possible de récupérer cet élément clef, d'arriver donc à déchiffrer le trafic qui s'est produit sur le serveur, qu'on aurait pu capturer avant, donc ça veut dire qu'on peut remettre en jeu l'intégralité de la confidentialité.

Daniel Schneidermann : D'accord. Ce que vous êtes en train de nous dire c'est que c'est, effectivement, dangereux.

Éric Leblond : C'est effectivement très dangereux.

Daniel Schneidermann : D'accord, en même temps, excusez-moi, ce n'est pas contre vous, mais vous aussi vous êtes quelqu'un qui, d'une certaine manière, vend de la sécurité informatique.

Éric Leblond : Oui, bien sûr.

Daniel Schneidermann : Donc, ça parait logique que disiez ça. Et je pose la question à Jean-Marc qui, lui, ne vend pas de la sécurité informatique, enfin pas que je sache !

Jean-Marc Manach : Non.

Daniel Schneidermann : Non, voilà. Est-ce que ce risque existe ? Est-ce qu'il peut arriver que des consultants en sécurité, des entreprises qui vendent de la sécurité, grossissent ?

Jean-Marc Manach : Ce sont des pratiques qui ont existé dans les années 90. Mais là, ce qu'il faut bien comprendre, c'est qu'on parle d'un logiciel libre. Donc ce n'est pas un fonctionnement marchand comme un logiciel propriétaire.

Daniel Schneidermann : En tout cas il y a toujours des marchands derrière !

Jean-Marc Manach : Certes.

Daniel Schneidermann : Il y a des gens qui l’entretiennent, qui le mettent à jour.

Jean-Marc Manach : Mais ce n'est pas une stratégie publicitaire, au sens où il y a réellement un problème. Pour expliquer un petit peu différemment, Bruce Schneier, qui est une des autorités en matière de sécurité informatique, le premier jour il dit : « Sur une échelle de un à dix, on est à onze. » Donc là, effectivement effet de panique.

Daniel Schneidermann : Et lui, il ne vend rien lui, Bruce Schneier ?

Jean-Marc Manach : Si, il bosse aussi dans la sécurité informatique.

Rire de Daniel Schneidermann

Daniel Schneidermann : Ah ! Pas de bol.

Jean-Marc Manach : Je vais donner un autre exemple, Tor, la fondation Tor, qui elle ne vend rien, son logiciel c'est gratuit, qui est très utilisé, notamment depuis les révélations Snowden, eux, sur leur blog, ils expliquent : « Si vous voulez vraiment être en sécurité sur Internet, ne venez pas sur Internet pendant quelques jours, faites autre chose, mais ne vous connectez pas à Internet, en tout cas en utilisant des logins/mots de passe, des choses sécurisées, parce qu'il faut quelques jours pour qu'on arrive à mesurer l'ampleur du problème ». Quelques jours après, Bruce Schneier revient en disant : « En fait, là on est petit peu dans une configuration, un petit peu comme avec le bug de l'an 2000. C'est-à-dire que potentiellement ça peut avoir des effets catastrophiques, colossaux, sauf que concrètement, on est en train d'essayer de savoir si oui ou non ça a été exploité depuis deux ans, parce que si réellement ça a été exploité depuis deux ans c'est catastrophique. Si personne n'a exploité la faille depuis deux ans, c'est beaucoup moins catastrophique parce que, concrètement, là si on prend combien d’entreprises, combien de sites web ont demandé à leurs utilisateurs de changer de mot de passe parce qu'il y a eu risque. »

Daniel Schneidermann : Juste, Jean-Marc, sur cette question est-ce qu'on peut savoir si la faille a été exploitée depuis deux ans, ou pas ?

Jean-Marc Manach : Pour l'instant les gens qui ont commencé à chercher, un travail de police, presque d'expert de la police technique et scientifique - il faut rechercher dans les archives - pour l'instant on n'a pas trouvé. Il y a eu deux traces qui ont été trouvées, mais une c'est ce qu'on appelle un faux positif, c'est-à-dire ça ressemble à une exploitation de la faille, mais ce n’était pas une exploitation de la faille et l'autre, on en parlait tout à l'heure, c’était un cas. Enfin, il y a une transaction.

Éric Leblond : Une fois. Sachant que dans le cas dont je parlais tout à l'heure de CloudFlare, il a fallu trois cent mille essais pour arriver à récupérer la donnée secrète.

Jean-Marc Manach : Là on a trouvé un essai.

Éric Leblond : On a trouvé un essai. Ce n'est pas, donc, une exploitation massive qui a été prouvée par cet échantillon qui a été trouvé.

Jean-Marc Manach : Donc. si ça a été exploité depuis deux ans, c'est catastrophique. Si ça n’est exploitable que depuis la semaine dernière, sachant que la majeure parties des sites web ont patché dans les heures qui ont suivi la révélation du bug, ont mis à jour leur logiciel pour empêcher l'exploitation, c'est moins catastrophique. Aujourd’hui, il y a deux cas avérés d'exploitation de données où il y a des informations sensibles qui ont fuité. Il y a une autorité administrative, au Canada, qui a reconnu que neuf cents numéros d'assurance sociale de leurs utilisateurs avaient été volés, en exploitant cette faille de sécurité. Donc l’administration canadienne s'est engagée à leur écrire par courrier papier, pour ne pas passer par Internet, à changer leur mot de passe, et à leur fournir des systèmes d'assurance en cas d'exploitation de leur numéro d'assuré social. Et sinon on a, ce matin, un forum utilisé par un million cinq cent mille personnes en Grande-Bretagne, qui est un forum de mamans, qui, lui aussi, pendant quelques heures, a été exploitable. On ne sait pas encore combien de données.

Daniel Schneidermann : Exploitable, mais pas forcément exploité.

Jean-Marc Manach : Si. Il y a une faille de sécurité qui a été exploitée, maintenant on ne sait pas encore, sur les 1,5 millions d'utilisateurs, combien de mots de passe ont été compromis. On a également le cas de Darty, où on sait que Darty, pendant 48 heures, son site web de commerce électronique était vulnérable. Darty a contacté les utilisateurs de ses services, les clients qui auraient vu potentiellement leurs données sensibles siphonnées par des assaillants, mais on ne sait pas combien sont contactés. Donc là on est encore en gestion de crise. On ne sait pas encore combien de personnes ont vu leurs données siphonnées.

Daniel Schneidermann : D'accord. Mais alors du coup, moi internaute, qui ai un compte sur Darty éventuellement, sur PriceMinister, sur Le Bon coin ou sur le site du Monde, etc., quels sont les moyens que j'ai de savoir si les sites sur lesquels je vais sont affectés ou pas ?

Jean-Marc Manach : Il existe plusieurs serveurs, enfin plusieurs sites web, qui permettent de vérifier si la faille existe. Vous rentrez Heartbleed test, vous rentrez le nom du site web qui vous intéresse, vous appuyez sur le bouton Go, et ensuite il va vous dire si, oui ou non, le serveur est vulnérable à cette faille de sécurité.

Daniel Schneidermann : Pour nos abonnés, le site sur lequel il faut aller c'est celui-là, c'est Heartbleed test ?

Jean-Marc Manach : Il y en a cinq ou six.

Daniel Schneidermann : Le meilleur c'est lequel ?

Jean-Marc Manach : Le meilleur c'est celui de Qualys qui s'appelle SSL ?

Éric Leblond : SSL Labs.

Jean-Marc Manach : SSL Labs5, c'est le plus complet.

Daniel Schneidermann : SSL Labs point ? Point quoi ?

Jean-Marc Manach : Point com, je pense, mais vous tapez SSL Labs dans un moteur de recherche, il va vous renvoyer vers ce serveur-là.

Daniel Schneidermann : De toutes façons, on va vous donner la liste de ces sites sur l'article accompagnant l'émission.

Jean-Marc Manach : C'est le plus complet. Sachant que, sur ce serveur, ça va vous dire si aujourd'hui il est vulnérable ou pas. Sauf que le problème, typiquement on prend le cas de Yahoo ou de Darty, aujourd'hui on va vous dire que le serveur n'est plus vulnérable, sauf qu'il l'a été.

Éric Leblond : Si on prend le cas du problème qu'il y a eu au Canada, ils ont été vulnérables, enfin, entre l'annonce publique de la faille et le fait qu'il aient patché et donc fixé le problème sur leur système, il s'est passé six heures. Et les six heures ont suffit à ce qu'il y ait des données exploitées.

Daniel Schneidermann : Ils ont quand même réagi très, très vite.

Éric Leblond : Ils ont réagi très, très vite, il n'y a rien à dire là-dessus. Il ont réagi très vite. Ils ont réussi à trouver qu'il y avait, effectivement, une fuite de données qui avait été faite. Mais l’une de problématiques de cette faille, c'est qu'elle ne laisse pas de traces. Il y a beaucoup d'attaques où, lorsqu’on fait l'attaque, on a tout de suite une trace qui est laissée. Mais celle-ci se passe de telle manière que lorsqu'on a vu descendre de XKCD, tout à l'heure, on récupère l'intégralité des données, eh bien on est en plein milieu des transferts du protocole et des échanges et donc, par conséquent, c'est tout à fait normal.

Daniel Schneidermann : Alors si elle ne laisse pas de traces comment on peut savoir que ce fameux site canadien, par exemple, a été infecté ?

Éric Leblond : On peut faire a posteriori, savoir, regarder l'intégralité des échanges du protocole. C'est-à-dire tout ce qui a été transité sur votre lien internet en direction de ce serveur-là, on peut le stocker, et après dire « maintenant je vais faire une étude a posteriori, maintenant que je sais qu'il y a la faille, et je vais chercher les motifs qui correspondent à cette faille et faire une alarme derrière».

Daniel Schneidermann : OK. Donc elle laisse quand même des traces ?

Éric Leblond : Elle laisse des traces.

Jean-Marc Manach : Ça dépend si vous avez une caméra de surveillance ou pas.

Éric Leblond : Exactement. Si on a fait la démarche de tout stocker ce qui passait, peu vraisemblable, parce que ça veut dire qu'on a stocké l'intégralité des échanges qui ont transité sur le serveur depuis des mois, depuis deux ans, quasiment, il faudrait garder pour savoir si on été impacté ou pas. Il y a très peu de sociétés ou d'organismes qui peuvent se permettre ça.

Daniel Schneidermann : Et alors, les cinq ou six sites, Jean-Marc, dont vous parliez, qui vont me permettre à moi, internaute, de savoir si mes sites préférés sont infectés ou pas, eux, comment ils le savent ? C'est-à-dire eux, ils sont allés chercher eux-mêmes dans les sites de la SSL point, ou je ne sais quoi ?

Jean-Marc Manach : Non, quand la faille a été rendue publique, tout de suite il y a des développeurs qui ont fait ce qu’on appelle, un proof of concept. Proof of concept c'est : ils ont développé un petit script qui permet de tester un serveur pour savoir est-ce que ce serveur-là, la faille marche ou pas. Et donc, les sites web en question ont fait un front-end, ont développé une page web qui permet de lancer ce script sur les sites web qui nous intéressent, et donc de vérifier si, oui ou non, la faille existe, si elle a été patchée. Et donc concrètement, pour répondre à votre question, ce qu'il faut faire, c'est lire la presse, c'est se renseigner auprès des sites web en question, éventuellement les contacter, contacter les services clients pour savoir si, oui ou non, il faut changer les mots de passe.

Daniel Schneidermann : Oui. Mais enfin aujourd’hui, je peux imaginer qu'ils vont avoir tendance à être plutôt rassurants et à me dire : « Oui, oui, tout va bien. »

Jean-Marc Manach : C'est ce qu'on constate au niveau des banques, en France, qui sont très rassurantes. Pour l'instant les seuls qui ont communiqué ouvertement en disant : « Changez vos mots de passe », ce sont les utilisateurs de Wikipédia, les contributeurs de Wikipédia, donc ceux qui se connectent sur Wikipédia avec un login et un mot de passe. Là, Wikipédia leur demande de changer de mot de passe. C'est Tumblr, c'est Yahoo, je crois, non Yahoo était faillible, mais Yahoo n'a pas demandé. Il y a quelques sites, il y a une dizaine de sites, qui ont enjoint leurs utilisateurs de changer les mots de passe, une dizaine sur les cinq cent mille serveurs qui étaient initialement vulnérables.

Daniel Schneidermann : Pour prendre un exemple très concret, Gmail ?

Éric Leblond : Ça, c'est un bon cas.

Jean-Marc Manach : C'est un bon cas.

Éric Leblond : Parce que c'est eux qui ont découvert la faille le 21 mars.

Daniel Schneidermann : Oui.

Éric Leblond : Ils ont eu le temps de se préparer, ils ont eu le temps de se dire que personne n'avait trouvé avant, ou personne n'avait exploité. Je ne comprends pas comment ils ont acquis cette certitude que ça n'a pas été exploité. Ou alors, ils ont des mécanismes de stockage des traces, comme je l’évoquais tout à l'heure, pour arriver après à faire de l'a posteriori.

Daniel Schneidermann : Ils ont patché ?

Éric Leblond : Ils ont patché tout de suite. Ils ont patché le 21 mars.

Daniel Schneidermann : Ils disent avoir patché !

Éric Leblond : Non, non, ils ont patché, c’est sûr.

Daniel Schneidermann : C'est sûr ?

Éric Leblond : Le 21 mars c'était déjà patché chez eux d'après ce qu'ils annoncent et, forcément, au moment de l'annonce, au moment où l'annonce a été faite publique, c'était déjà patché.

Jean-Marc Manach : C'était le 7 avril que ça a été rendu public, donc on a eu. Bon ! J'ai envie de dire que là où c'est un très bon cas d’école également Google, c'est que, on va dire que, par principe de précaution, comme la faille existait depuis deux ans, eh bien oui, a priori, sur les serveurs sensibles, typiquement Gmail ou en tout cas tous les serveurs de mails, eh bien oui, il faudrait changer le mot de passe, par mesure de précaution, parce qu'on ne sait pas. Parce que si, effectivement, la faille a été exploitée, ça veut dire que, potentiellement, votre mot de passe a pu être rendu en clair, auprès de l'assaillant. Donc on n'a pas de preuves, pour l'instant, que ça a été exploité, mais, dans le doute !

Daniel Schneidermann : D'accord. Le dernier aspect de toute cette affaire c'est que ça pose des questions sur le logiciel libre. Déjà, on découvre à l'occasion de cette affaire que, on va dire, une bonne partie du commerce mondial, du développement du commerce en ligne, repose, notamment, sur un logiciel libre. C'est-à-dire sur quelque chose qui a été créé par des bénévoles, par des gens qui n'en ont tiré aucun revenu. Sauf si, après, ils ont créé des boîtes pour, effectivement, j'allais dire, implémenter - vous voyez, c'est contagieux - pour customiser ces logiciels chez des clients, etc., mais je veux dire, on découvre l'importance, y compris dans l'univers marchand, du logiciel libre.

Jean-Marc Manach : Ça pose plein de questions sur le logiciel libre, mais c'est très intéressant, parce que, si ce n’était pas un logiciel libre, on n'aurait pas trouvé la faille. Ça c'est la première chose. Ça ne veut pas dire qu'elle n'aurait pas pu être exploitée. On n'aurait pas pu trouver la faille aussi facilement.

Éric Leblond : Aussi facilement, je suis d’accord là.

Jean-Marc Manach : On peut trouver des failles dans des logiciels propriétaires.

Daniel Schneidermann : Eh bien oui. J'imagine qu'il y a des gens qui sont payés pour ça, pour chercher les failles.

Jean-Marc Manach : Bien sûr, il y a énormément de failles dans les logiciels Microsoft, certaines ne sont pas forcément patchées, d'autres sont patchées relativement rapidement. Mais là, l’avantage, c'est que comme le code source est disponible, on peut le vérifier, et c'est ce pourquoi, d'ailleurs, la vulnérabilité a été identifiée par Codenomicon et par l'ingénieur de Google. Après, il y a eu un texte qui était très intéressant, qui a été fait, qui a été écrit par un des responsables d'OpenSSL, donc le logiciel où il y a la faille Heartbleed et qui disait : « Non mais attendez ! Nous, on vous fournit gratuitement un logiciel de sécurité, qui est utilisé par des centaines de milliers d'utilisateurs, vous ne payez pas pour l'utiliser, et après vous dites que c'est de notre faute si on a mis vos utilisateurs en défaut. Mais non, c'est vous, qui avez énormément d'argent, qui gagnez de l'argent grâce à notre logiciel, eh bien contribuez ! Donnez-nous des développeurs, donnez-nous un peu d'argent pour que nous, on puisse recruter des développeurs ». Il faut savoir qu'OpenSSL c'est un employé à plein temps.

Éric Leblond : C'est une fondation, américaine je crois, je n’ai pas vérifié, américaine je pense, où ils n'ont jamais dépassé le million de dollars de revenu annuel.

Daniel Schneidermann : Et un employé à plein temps, OpenSSL.

Éric Leblond : Un employé à plein temps et quelques contributeurs.

Daniel Schneidermann : OpenSSL, qui est une de, enfin je veux dire, qui est un des piliers.

Jean-Marc Manach : C'est le fameux « https », c'est une des composantes du fameux « https », qui permet de sécuriser la communication entre un navigateur web et un serveur distant.

Éric Leblond : C'est peut-être 70 %. C'est une bibliothèque qui prend en compte 70 % des trafics chiffrés sur Internet.

Daniel Schneidermann : D'accord ! Et ça, c'est une personne à plein temps ?

Éric Leblond : C'est une personne à plein temps, quatre contributeurs majeurs et des contributeurs externes, plus réduits. Comme la personne qui a introduit le bug en 2011.

Jean-Marc Manach : Qui était un chercheur en sécurité informatique, allemand, qui lui, il a été soupçonné de malveillance. Il a dit : « Non, j'ai fait une erreur triviale, que personne n'a vue, je suis vraiment désolé, mais bon ! Ça peut vraiment arriver ! » Et donc, là où c'est très intéressant, c'est que, d'un côté, ça montre l'importance de pouvoir accéder au code source, et de l'autre, ça montre également le fait qu'il y a énormément de personnes, d'entreprises, notamment des administrations, qui vont se servir de cette bibliothèque, enfin de ce logiciel. Là on a le cas avec OpenSSL, mais on aura peut-être le cas avec d'autres logiciels, mais qui ne reversent pas au pot commun. C'est-à-dire que le principe du logiciel libre, c'est le principe du partage. On partage les codes sources, on vous permet d'utiliser gratuitement le logiciel, mais la contrepartie c'est : aidez-nous à améliorer ce logiciel.

Daniel Schneidermann : Par des dons ?

Jean-Marc Manach : Ça peut être des dons, ça peut être le fait de financer des développeurs OpenSSL, enfin OpenSSL ou autres, pour implémenter, customiser, développer in situ, pour tel ou tel logiciel ou tel ou tel serveur. C'est le principe du don contre don. Et là on s'aperçoit qu'il y a une différence colossale entre le nombre d'utilisateurs professionnels et le nombre de contributeurs qui sont financés pour améliorer le code. Donc c'est là où c'est, en même temps, une très bonne nouvelle, parce que, potentiellement, suite aux révélations Snowden, il y a énormément d'entreprises, de chercheurs, de militants, qui ont commencé à revoir les codes sources des logiciels utilisés en matière de sécurité informatique, pour les renforcer, pour voir s'il n'y avait pas de faille de sécurité. Là, avec Heartbleed, et toute la médiatisation et la panique qu'il y a eu autour de cette faille-là, on peut raisonnablement estimer qu'il va y avoir des efforts, encore plus accrus, de vérification de l'intégrité des codes sources des logiciels libres utilisés en matière de sécurité informatique et donc, ça va dans le bon sens.

Daniel Schneidermann : Oui. Et d'une manière générale sur le logiciel libre ?

Éric Leblond : Sur le logiciel libre, il y a, effectivement, un énorme problème de différence entre les utilisateurs et les contributeurs et, en fait, si je reprends les propos d'un industriel qui m'avaient beaucoup énervé à l'époque, un industriel français qui parlait de commodité, voilà.

Jean-Marc Manach : Le logiciel libre c’était une commodité ?

Éric Leblond : Le Logiciel Libre est une commodité. J'ai trouvé ça assez révélateur. C’est-à-dire c'est un truc qu'on peut utiliser, ça existe dans la nature, comme l'air quoi ! On peut le prendre et c'est bon ! Et sans considérer que ça soit un bien commun, en fait. Et cette notion de bien commun, pour moi, elle est essentielle. C'est dire « j'ai trente mille serveurs qui tournent et qui utilisent les bibliothèques OpenSSL pour valider ma sécurité, pour mettre en œuvre ma sécurité, pourquoi est-ce que je ne consacrerais pas dix mille euros ? » Vous prenez cinq cents boîtes qui font ça, on se retrouve à cinq millions d'euros.

Daniel Schneidermann : Oui, oui.

Éric Leblond : Un financement qui permet d’assurer une bonne qualité du produit.

Jean-Marc Manach : Il faut savoir qu'on vient de très loin en matière de sécurité informatique. Parce que si on prend l'exemple de Microsoft, Microsoft, il a fallu attendre le début - je parle sous votre contrôle - le début des années 2000, pour que, réellement, Microsoft mette l'accent sur son département sécurité, parce que, dans les années 90, il y a énormément de gens qui ont eu des virus sur leur ordinateur Windows - vu que la majeure partie des ordinateurs sont sous Windows. Et donc, il y a eu toute une campagne violente contre Microsoft en disant : « Mais c'est intolérable que vous laissiez, comme ça, des virus se propager sans mettre vraiment des kits dédiés à la sécurité ». Il a fallu attendre donc, le début des années 2000, pour que la sécurité devienne un des cœurs de métier de Microsoft. Jusque là c'était, effectivement, voilà, c'est peanuts, ce n'est pas grave, ce n'est pas fondamental. Et ça a été le cas en France. Pendant des années, en France, le mot hacker était assimilé à pirate informatique. Il a fallu attendre la montée en puissance de l'ANSSI et la fin des années 2000.

Daniel Schneidermann : L'ANSSI ?

Jean-Marc Manach : L'ANSSI qui est l’Agence nationale de la sécurité des systèmes d'information, qui est en charge de la cyberdéfense en France. Il a fallu attendre, donc, la fin des années 2000 pour qu'on ait un festival de hackers en France, pour que le mot hacker, en France, soit moins diabolisé, et qu'on commence à mettre en avant les métiers de sécurité informatique, les filières de recrutement de sécurité informatique. Mais on a tellement de retard, en France, comparé à d’autres pays, qu'aujourd'hui il y a plein de boîtes françaises qui sont obligées d'aller recruter des ingénieurs ou des spécialistes de sécurité à l'étranger, parce qu'on n'a pas formé suffisamment de professionnels de la sécurité informatique, en France. Ce n'est pas que en France, c'est au niveau mondial, c'est pour ça que je parlais de Microsoft. Mais on a une vision de la sécurité informatique qui a été, pendant très longtemps, complètement biaisée, à la fois dans les médias, du côté des responsables informatiques ou des responsables d'entreprises et, pendant très longtemps, c'est clair que la sécurité informatique c’était comme les ingénieurs informaticiens. C'est la personne qui répare les claviers. Ce n'est pas quelque chose d'important, sauf que, si la sécurité n'est pas au cœur du commerce électronique, de l’administration, eh bien, en cas de faille de sécurité, ça peut avoir des effets catastrophiques.

Daniel Schneidermann : D’accord. Écoutez, vous avez été parfaitement clairs tous les deux. Je vois à mon formidable chronomètre qu'il nous reste dix minutes, ce qui est bien la preuve qu'on a tous été très synthétiques sur ce plateau. Je voudrais, si vous êtes d'accord, qu'on utilise ces dix minutes à faire de la pédagogie très concrète pour les internautes qui vont chercher à savoir si tel site qu'ils fréquentent a été infecté par Heartbleed, ou pas. Je ne sais si, en régie, François Rose et Vincent Coquaz vont pouvoir aller se brancher sur un des sites de vérification dont vous nous avez donné le nom. Alors qu'est-ce qu’on leur conseille ?

Jean-Marc Manach : SSL Labs.

Daniel Schneidermann : Pour que ce soit le plus rapide.

Jean-Marc Manach : Ah, le plus rapide ! Ce n'est pas la même chose.

Daniel Schneidermann : Il reste dix minutes

Jean-Marc Manach : Il y a filippo.io qui était un des premiers.

Daniel Schneidermann : Un conseil.

Jean-Marc Manach : Filippo.io, qui était un des premiers. On peut aller sur SSL Labs.

Daniel Schneidermann : SSL Labs.

Jean-Marc Manach : Là, on va sur SSL Labs, à droite « testez votre serveur ».

Daniel Schneidermann : Voilà, ici, très bien.

Daniel Schneidermann : Là on rentre.

Daniel Schneidermann : Moi, je veux savoir, par exemple. on va prendre le site le plus fréquenté par les Français.

Jean-Marc Manach : arretsurimages.net

Daniel Schneidermann : Juste après Arrêt sur images, il y a Le Bon Coin.

Jean-Marc Manach : D'accord. Donc Le Bon Coin.

Daniel Schneidermann : Je veux savoir si Le Bon Coin est infecté. Alors qu'est-ce qu'on fait là ? On arrive là, on arrive sur cette page-là, on fait quoi ?

Jean-Marc Manach : L'un des deux.

Daniel Schneidermann : On choisit ?

Jean-Marc Manach : Ça marque unable to connect a server, donc pas possible de se connecter au serveur, pourquoi ? Parce qu'il n'y a pas de https quand on se connecte sur Le Bon Coin.

Daniel Schneidermann : Attendez, là donc il y a deux numéros.

Jean-Marc Manach : Là, il y a les adresses IP.

Daniel Schneidermann : Il y a deux adresses IP, la une et la deux. On va indifféremment sur chacune des deux, c'est la même chose ? Alors quand vous avez cette réponse, en dessous, enable to connect to server, ça veut dire quoi ?

Jean-Marc Manach : Ça veut dire qu'on ne peut pas se connecter de façon SSL au Bon Coin.

Daniel Schneidermann : Ça veut dire qu'il n'y a aucun risque que ce soit infecté. C'est bien ça ?

Jean-Marc Manach : Oui, mais ça veut dire que quand vous vous connectez au Bon Coin, votre login et votre mot de passe circulent en clair.

Daniel Schneidermann : Ah oui !

Éric Leblond : Ou qu'ils utilisent un autre sous-domaine pour faire la négociation du login/mot de passe.

Jean-Marc Manach : C'est possible aussi. Il faudrait se connecter sur Le Bon Coin.

Daniel Schneidermann : En clair ça veut dire quoi ? Ça veut dire que c'est menacé aussi, ou pas ?

Éric Leblond : Non. Ça veut dire, logiquement, s'ils ne l'ont pas, vous êtes encore plus encore exposé que s'il y avait la faille. Ça c'est déjà le premier point.

Daniel Schneidermann : Ah bon ! Mais là, je n'ai pas de moyen de le savoir, par exemple, sur le Bon coin.

Éric Leblond : Ah, si si! En fait, ce qu'il faudrait faire, c'est se connecter sur Le Bon coin, ça sera trop long, je pense, ça serait se connecter sur Le Bon Coin, essayer de se connecter, et puis de voir quelle page il a ouvert derrière, de manière cachée, donc c'est un peu trop compliqué.

Daniel Schneidermann : Non, Vincent ce n'est pas la peine, on n'y arrivera pas. Un autre site, je ne sais moi, la SNCF ?

Éric Leblond : Par exemple.

Daniel Schneidermann : La SNCF, toujours en retournant…

Jean-Marc Manach : Sauf que voyage-sncf.com, sur SSL Labs.

Daniel Schneidermann : Toujours en retournant sur SSL Labs. Ce qui est notre site de vérification recommandé, certifié, par Jean-Marc Manach.

Jean-Marc Manach : Ce n'est pas par moi, c'est connu.

Jean-Marc Manach : Pardon !

Jean-Marc Manach : voyage-sncf.com.

Daniel Schneidermann : voyage-sncf.com. On va y arriver.

Jean-Marc Manach : Là c'est marqué sncf-voyages.com Ça ne va pas le faire.

Daniel Schneidermann : Non, ça ne va pas le faire. On repend voyages au pluriel, tiret sncf.com.

Jean-Marc Manach : Ça c'est du live !

Daniel Schneidermann : On est totalement en live. Donc voyages-sncf.com. Voilà, parfait. Allons-y. Alors là, il va indifféremment sur les trois adresses IP qui sont proposées ?

Jean-Marc Manach : En fait, c'est parce que quand il y a des serveurs qui sont très sollicités, ils utilisent, ils dupliquent, sur différents serveurs, le trafic pour éviter les pannes.

Daniel Schneidermann : D'accord. Mais Jean-marc, moi, utilisateur, qui veux savoir si voyages-sncf.com est infecté, ou pas, je vais sur laquelle des trois propositions ?

Éric Leblond : En fait, les trois propositions ne fonctionnent pas, c'est ça la réponse. Vous êtes vraiment très doué, il faudrait vous faire faire de la qualité logiciel, vous trouvez des très bons exemples où ça ne fonctionne pas.

Daniel Schneidermann : Ça doit être un don !

Éric Leblond : En tout cas, ce n'est pas un bon exemple, ils ont sous-traités une partie de leur trafic chez Akamai.

Daniel Schneidermann : Ça veut dire quoi ?

Jean-Marc Manach : Ça veut dire que là, concrètement, on ne sait pas. On ne peut pas savoir.

Daniel Schneidermann : Là, concrètement, on ne sait pas. Ça c'est du français. Une autre proposition ?

Jean-Marc Manach : Eh bien yahoo.fr. Vu qu'on a eu le cas avec yahoo.fr.

Daniel Schneidermann : yahoo.fr

Jean-Marc Manach : Ou yahoo.com.

Daniel Schneidermann : yahoo.fr ou yahoo.com, à vous de choisir. C'est la même chose ? Enfin, je veux dire, les risques ?

Jean-Marc Manach : Là où c'est compliqué, c'est Éric qui avait raison tout à l'heure, c'est, qu'en fait, quand on se connecte sur le webmail de Yahoo, je ne sais pas sur quel… Très bon exemple. Là on voit, la première adresse, c'est w2.rc.vip.ird.yahoo.com.

Daniel Schneidermann : Ça veut dire quoi ?

Jean-Marc Manach : En fait, c'est le véritable nom. Nous, on voit un yahoo.com mais, en fait, le nom qui circule, le DNS qui circule sur les réseaux, est plus complexe que ça. Le problème c'est que, quand on se connecte sur le webmail de Yahoo, si ça se trouve, ça va être mail.yahoo.com, qui n'est pas la même adresse que yahoo.com. Ou ça va peut-être être webmail.yahoo.com. Donc, c'est là où ça devient compliqué.

Daniel Schneidermann : Attendez, je suis désolé Jean-Marc. Je reviens sur yahoo.com. Si je suis logué, si j'ai un identifiant et un mot de passe sur yahoo.com, est-ce que là, j'ai un moyen de savoir si je dois changer mon mot de passe ?

Éric Leblond : On a un moyen de savoir s'ils sont vulnérables à la faille.

Daniel Schneidermann : Alors comment on fait ?

Éric Leblond : Il faut attendre.

Jean-Marc Manach : Eh bien là, ils disent Wait. Il est en train de charger.

Daniel Schneidermann : Il est en train de charger.

Éric Leblond : En fait, les test réalisés par SSL Labs sont assez longs. Ah, donc là, on a un échec.

Jean-Marc Manach : Il y a un échec encore.

Jean-Marc Manach : Il y a un échec. On revient en arrière. On va essayer autre chose.

Daniel Schneidermann : Un échec, ça veut dire que ?

Jean-Marc Manach : No secure protocols supported.

Daniel Schneidermann : Ce qui veut dire ?

Jean-Marc Manach : Ça veut dire que là il n'y a pas de protocole, sur ce domaine-là, il n'y a pas de protocole, sauf que ce qui ne veut pas dire que la connexion à Yahoo n'est pas chiffrée, puisque Yahoo a annoncé, récemment, qu'ils allaient chiffrer le fait de se connecter au webmail ; mais c'est juste que le webmail de Yahoo, ce n'est pas yahoo.fr, c'est peut-être mail.yahoo.fr. Donc là c'est une liste.

Daniel Schneidermann : C'est quoi cette liste ?

Éric Leblond : Mais il n'y a pas de point fr, elle serait vulnérable.

Daniel Schneidermann : Scoop sur Arrêt sur images, le nom de Mediapart…

Jean-Marc Manach : Est-ce qu'on peut essayer sur SSL Labs mediapart.fr

Daniel Schneidermann : Alors mediapart.fr. Si on détecte qu'ils sont vulnérables ils vont nous faire la gueule, ou nous remercier. Alors, là suspense insoutenable.

Jean-Marc Manach : Alors là, on voit please wait. En attendant que le rapport arrive, ce qu'il faut savoir c'est que, pour savoir si effectivement un site est vulnérable ou pas, déjà, effectivement, il faut lire la presse, il faut se renseigner, éventuellement, auprès des services clients, les contacter. On peut essayer avec ça, mais ça ne marche pas forcément sur tous les sites web, on vient de le voir

Daniel Schneidermann : C'est ce qu'on vient de voir, oui.

Jean-Marc Manach : Après, principe de précaution. De toutes façons, un truc qu'il faut bien comprendre, c'est que, normalement un mot de passe, il faut idéalement, dans le meilleur des mondes, il faut en changer tous les trois mois. Depuis combien de temps vous n'avez pas changé vos mots de passe ?

Daniel Schneidermann : Vingt-huit ans, à peu près.

Jean-Marc Manach : Nous sommes d'accord ! Donc c'est peut-être le bon moment, pour avoir une bonne hygiène du mot de passe, à savoir changer de temps en temps de mot de passe et apprendre à choisir des bons mots de passe.

Daniel Schneidermann : Vous dites tous les combien ?

Jean-Marc Manach : Ça fait des années qu'il y a des gens qui disent tous les trois mois. Pourquoi ? Je réponds.

Daniel Schneidermann : Jean-Marc. Il faut être réaliste, c'est une galère.

Jean-Marc Manach : Alors là on voit que Mediapart, le serveur de Mediapart n'est pas vulnérable. Il l'a peut-être été, mais aujourd'hui…

Daniel Schneidermann : A quoi on le voit ?

Jean-Marc Manach : C'est marqué.

Daniel Schneidermann : Ah D'accord. C'est dans la bande verte qui est en bas de l'écran. D'accord, il n'est pas vulnérable.

Jean-Marc Manach : Qui serait rouge s'il était vulnérable.

Daniel Schneidermann : Et comment ça se fait, alors, que le nom de Mediapart apparaissait dans la liste, tout à l'heure ?

Jean-Marc Manach : Parce qu'il l'a peut-être été, au moment où la liste a été publiée. Ce n'est pas une liste qui est en temps réel. Ça, c'est une liste qui a été faite la semaine dernière. Et donc visiblement, à un moment donné, ça a été répertorié comme vulnérable.

Daniel Schneidermann : D'accord. Et cette liste on l'a trouvée sur quel site, en fait. On est où là ?

Jean-Marc Manach : Je ne vois pas l'URL. On mettra ça sur l'article. Ce sont des chercheurs qui ont testé sur les mille sites les plus populaires, les plus fréquentés, ou les dix mille sites, dix mille sites - c'est marqué - les plus fréquentés dans le monde. Ils ont regardé, ils ont lancé des scripts pour savoir quels étaient ceux qui étaient vulnérables ou pas vulnérables. Ce qui est très intéressant, c'est que moi, sur cette liste-là, il y avait une dizaine de sites français, je les ai essayés, et sur ces sites français, il y en avait un seul qui proposait un accès par login/mot de passe. Et ce site-là proposait un accès login/mot de passe sans le https. Donc, oui, le site était vulnérable, mais de toutes façons, on rentrait en clair son login et son mot de passe. Donc c'est presque pire que, enfin, non, ce n'est pas pire, c'est encore une autre faille. Ce n'est pas une autre faille de sécurité, mais le login/mot de passe circule en clair. Mais il y a plein de sites qui sont répertoriés dans cette liste de sites vulnérables, mais qui n’utilisent pas de login/mot de passe. Ce n'est pas fiable, pour faire simple.

Daniel Schneidermann : Très bien. Pour terminer, proposition qui ne mange de pain : changer ses mots de passe tous les trois mois, vous pensez vraiment que c'est nécessaire ?

Éric Leblond : Ce serait une bonne hygiène.

Jean-Marc Manach : Quelqu’un qui est à risques, oui, il devrait changer tous les trois mois. Quelqu’un qui n'est pas à risques, qui ne risque pas de perdre ou qui ne fait pas l'objet d'espionnage industriel ou ce genre de choses, ce n'est pas forcément dramatique. Par contre, changer régulièrement de mot de passe, une fois par an, une fois tous les six mois, sur les comptes les plus sensibles, typiquement son adresse mail par exemple, oui, c'est quelque chose qui relève de l'hygiène. Enfin, ça fait des années qu'on parle d'hygiène du mot de passe. Et donc ça veut dire aussi apprendre à choisir un bon de passe.

Éric Leblond : Et avoir des mots de passe différents selon les services.

Jean-Marc Manach : Un mot de différent sur l'ordinateur du travail, sur l'ordinateur à la maison, sur le mail. Et quand on utilise Le Bon Coin, eh bien ce n'est pas le même mot de passe que le mot de passe pour son adresse e-mail.

Daniel Schneidermann : Pour terminer, Jean-Marc, un bon mot de passe c'est quoi ?

Jean-Marc Manach : C'est là où on vous a ressorti un autre dessin de Randall de XKCD. En fait, XKCD a fait un test. Il a comparé la difficulté, pour un ordinateur, à ce qu'on appelle cracker un mot de passe complexe, typiquement $ # M a : $ …, et puis, le fait de choisir trois mots, trois quatre mots, qui sont courants, donc là c'était troubadour, cheval, batterie et agrafe, et il s'est aperçu que troubadour, cheval, batterie, agrafe c'était plus compliqué à cracker que le mot de passe le plus compliqué. Et donc, il en ait arrivé à la conclusion, qu'il faut mieux choisir une phrase de passe, longue, avec des mots simples, mais qui n’existe pas. Typiquement c'est « je est un autre », ce n'est pas bien parce que « je est un autre », il y a tellement de phrases qui disent dans des dictionnaires « je est un autre ». Il faut choisir une phrase qui n'existe pas telle que. C'est beaucoup plus difficile de cracker ça, qu’un mot de passe compliqué. Et donc là, on peut relativement facilement se créer une phrase de passe, qu'on retiendra très facilement, mais qui sera quasiment impossible à un pirate de casser.

Daniel Schneidermann : Donc il faut changer, de site en site.

Jean-Marc Manach : Il ne faut pas utiliser le même.

Daniel Schneidermann : C'est-à-dire il faut avoir plusieurs phrases de passe.

Jean-Marc Manach : On peut avoir une phrase de passe. Ce que font certains, également, c'est qu'ils prennent une phrase de passe et, ensuite, quand ils la donnent à Windows, ils rajoutent le mot Windows ; quand ils la donnent à Yahoo, ils rajoutent le mot Yahoo ; quand ils la donnent à Gmail, ils rajoutent le mot Gmail. etc. Comme ça on a une phrase de passe pour tous et ensuite des mots. Sinon il y a un autre, c'est ce que recommande la CNIL, qui a fait une vidéo6 là-dessus il y a un mois, c'est ce qu'on appelle les portefeuilles de mots de passe. En fait, ce sont des logiciels qu'on installe sur son ordinateur ou sur son smartphone ; on n'a besoin de se souvenir que de la phrase de passe qui ouvre le coffre-fort et, à l'intérieur de ce coffre-fort, eh bien vous avez, stockés, tous les mots de passe que vous utilisez sur tous vos sites web et qui là peuvent être très complexes. Mais vous n’avez besoin de retenir qu'un seul mot de passe, celui du coffre-fort.

Daniel Schneidermann : Super. Merci à tous les deux pour cette émission absolument pédagogique et garantie sans implémentation, ou presque. Jean-Marc, rendez-vous dans quinze jours, avec cette fois votre vraie casquette d'animateur et ce sera la conclusion : vive les phrases de passe ! À dans quinze jours.

• 1. OpenSSL
• 2. XKCD
• 3. CERT - Computer emergency response teams
• 4. Protocole SSL - Secure Sockets Layer
• 5. SSL Labs
• 6. Vidéo - Comment sécuriser ses mots de passe ?

• lien n°1 : Ensemble des statistiques du site
• lien n°2 : Proposer une dépêche
• lien n°3 : Tribune de rédaction
• lien n°4 : Dépêche sur les statistiques 2015 du site LinuxFr.org

/ Only one formal notice in the default \
\ install, in a heck of a long time!    /
 ---------------------------------------
   \
    \
        .--.            / Ouep...  \
       |o_o |           \ Euh coin /
       |:_/ |            ----------
      //   \ \              \ 
     (|     | )               \
    /'\_   _/`\                \ >()_
    \___)=(___/                   (__)__ _

Lire les commentaires

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 5

• [Archimag] Open data: Paris, capitale mondiale d'un gouvernement ouvert
• [France 24] CHATONS, ces hébergeurs alternatifs qui ne collectent pas vos données personnelles
• [Journal du Net] L'open source veut démocratiser l'intelligence artificielle
• [Le Monde.fr] «Internet, un libre marché des idées qui peut facilement dérailler»
• [usine-digitale.fr] 2017: quelle est la vision numérique de la gauche?
• [Next INpact] Au Sénat, nouveau coup de semonce contre l’accord Microsoft-Éducation nationale

[Archimag] Open data: Paris, capitale mondiale d'un gouvernement ouvert

Par Bruno Texier, le jeudi 2 mars 2017. Extrait:
> La France a accueilli au mois de décembre dernier le 4e sommet mondial du Partenariat pour un gouvernement ouvert. L'occasion de promouvoir l'ouverture des données publiques et de nouveaux modes de gouvernance.
Lien vers l'article original: http://www.archimag.com/vie-numerique/2017/02/03/open-data-paris-capitale-mondiale-gouvernement-ouvert

[France 24] CHATONS, ces hébergeurs alternatifs qui ne collectent pas vos données personnelles

Par la rédaction, le samedi 4 février 2017. Extrait:
> Le réseau Framasoft a organisé jeudi à Paris un atelier pour présenter CHATONS, le Collectif des hébergeurs alternatifs, transparents, ouverts, neutres et solidaires. Mashable FR y était.
Lien vers l'article original: http://mashable.france24.com/tech-business/20170204-chatons-collectif-hebergeurs-framasoft

[Journal du Net] L'open source veut démocratiser l'intelligence artificielle

Par Lélia De Matharel, le jeudi 2 février 2017. Extrait:
> Ces logiciels ouverts et gratuits peuvent être implémentés par de grands groupes mais aussi de petites entreprises qui veulent résoudre des problématiques business précises.
Lien vers l'article original: http://www.journaldunet.com/economie/services/1191268-open-source-democratiser-intelligence-artificielle

[Le Monde.fr] «Internet, un libre marché des idées qui peut facilement dérailler»

Par William Audureau, le jeudi 2 février 2017. Extrait:
> Pour Benjamin Loveluck, chercheur au CERSA et à Télécom ParisTech, le succès des «fake-news» dérive des inspirations libérales du Web et de ses modes d’organisation.
Lien vers l'article original: http://www.lemonde.fr/pixels/article/2017/02/02/internet-un-libre-marche-des-idees-qui-peut-facilement-derailler_5073445_4408996.html

[usine-digitale.fr] 2017: quelle est la vision numérique de la gauche?

Par la rédaction, le mardi 31 janvier 2017. Extrait:
> Que disent les candidats de gauche à la Présidentielle 2017 sur les sujets numériques? Quelques jours après les primaires de gauche, il est intéressant de faire un point sur les valeurs qu’ils incarnent, leurs similitudes et leurs différences. Y a-t-il une gauche du numérique qui se dessine pour les élections? Renaissance Numérique fait le point pour L'Usine Digitale.
Lien vers l'article original: http://www.usine-digitale.fr/article/2017-quelle-est-la-vision-numerique-de-la-gauche.N495339

[Next INpact] Au Sénat, nouveau coup de semonce contre l’accord Microsoft-Éducation nationale

Par Xavier Berne, le mardi 31 janvier 2017. Extrait:
> L'accord de «partenariat» entre Microsoft et le ministère de l'Éducation nationale continue de faire des vagues. Craignant de nombreuses «dérives», une sénatrice vient d'interpeller Axelle Lemaire, la secrétaire d'État au Numérique.
Lien vers l'article original: https://www.nextinpact.com/news/103102-au-senat-nouveau-coup-semonce-contre-l-accord-microsoft-education-nationale.htm

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

Soixante cinquième épisode dans la communication entre les différents intervenants autour du site LinuxFr.org : l’idée est tenir tout le monde au courant de ce qui est fait par les rédacteurs, les admins, les modérateurs, les codeurs, les membres de l’association, etc.

L’actu résumée ([*] signifie une modification du sujet du courriel) :

Statistiques

• 1478 commentaires publiés (dont 0 masqué depuis) ;
• 249 tags posés ;
• 100 comptes ouverts (dont 1 fermé depuis) ;
• 70 entrées de forums publiées (dont quatre masquées depuis) ;
• 14 dépêches publiées ;
• 22 journaux publiés (dont 0 masqué depuis) ;
• 5 entrée dans le système de suivi (dont 0 fermée depuis) ;
• 1 sondage publié ;
• 0 page wiki publiée.

Listes de diffusion (hors pourriel)

Liste linuxfr-membres@ — [restreint]

• R.A.S.

Liste meta@ - [restreint]

• [Meta] Première quinzaine de janvier 2017
• [Meta] Soirée(s) déc-ouvertes ?

Liste moderateurs@ - [restreint]

• [Modérateurs] Annulation de la dépêche "Sortie de Bokeh 7.8"

Liste prizes@ - [restreint]

• R.A.S.

Liste redacteurs@ - [public]

• R.A.S.

Liste team@ - [restreint]

• [team linuxfr] Projet sur le Libre

Liste webmaster@ — [restreint]

• R.A.S.

Canal IRC adminsys (résumé)

• Bug GoDaddy et certificats
• Lobbies GAFAMUT
• Migration utf8mb4 pour la base de données, suivi de divers soucis et corrections
• Soirée contribution au libre du 19 janvier avec Parinux, productive en terme de commits
• Étranges connexions permanentes pour la récupération d'images par img sur le port 5281 pour libervia.org et goffi.org
• Habituelles mises à jour de sécurité
• Des différences détectées entre les schémas de base de données de test, de prod et fraîchement installées

Tribune de rédaction (résumé)

• quelques corrections post-publication à gérer

Tribune de modération (résumé)

• annonce de la vidéo de la conférence LinuxFr.org à Capitole du Libre
• 10000 auditeurs de gazouillis sur un réseau social propriétaire
• gestion du spam
• collision d'URL en modération suite à la migration utf8mb4
• soirée de contribution au libre du 19 janvier

Commits/pushs de code https://github.com/linuxfrorg/

Partie site web :

• Update annotate comments
• Fix collation for login
• Fix collation for login
• Fix migration
• Fix a race condition on votes

Partie admin :

• We don't need that file
• We don't need lxc-check.txt because its more or less a log file :
• Actually, these scripts are used and useful !
• corrected .gitignore
• These scripts are server-specific and will be deployed
• These files have been moved away.
• We don't need this file anymore.
• scripts/duplicity_backup.sh don't belong here

Divers

• un disque dur HS à remplacer sur un des serveurs ;
• la traditionnelle dépêche sur les statistiques 2016 est en modération
• déjà deux Soirées de contribution au Libre où LinuxFr.org est présent. À quand la prochaine ?
• une solution pour retirer le blob Intel ME ?

Lire les commentaires