Mise à jour de la base de données, veuillez patienter...

Sommes-nous réellement en droit de penser que Google, Apple et leurs concurrents se sentent concernés par la protection de notre vie privée ?

Google, Apple…FAM

Depuis quelques temps déjà, des géants du numérique soutiennent la protection de nos données personnelles et de notre vie privée. Si c’est une très bonne chose, devons-nous pour autant leur faire confiance et se dire qu’ils ont enfin décidé de nous protéger ?

Soyons lucides, l’espace d’un bref billet : non. Les Google, Apple, Facebook, Microsoft et les autres s’en moquent éperdument de notre vie privée. Ce sont des sociétés, le principe de chaque société, même s’il est évident, c’est de faire rentrer de l’argent, de nouveaux clients et de garder les actuels.

Parlons peu mais parlons bien : aller chercher de nouveaux clients, cela coûte très, très, très cher. Il faut innover, avoir une campagne marketing à la hauteur de la réputation de la société, être visible partout et d’une façon positive … c’est beaucoup plus rentable de garder son parc actuel que de chercher à le faire grandir.

La Sécurité comme moteur d’achat …

Dans le monde du commerce, des concepts qui ne datent pas d’hier parlent d’une approche marchande de son public : le S.O.N.C.A.S. Derrière cet acronyme se cachent des motivations d’achats, le premier S étant pour Sécurité, suivi d’Orgueil, de Nouveauté, de Confort, d’Argent et enfin, de Sympathie. Apple est, par exemple, une société modèle en la matière car elle arrive à communiquer sur tout ceci, via sa publicité WEB, TV, ses spots, via sa communauté et ses « fans ».

Ces sociétés là savent que la sécurité de leurs clients, c’est important. Pas pour moi, pas pour nous, mais pour eux. N’allez pas croire que Google s’inquiète un seul moment de votre vie privée, non….

… et de confiance

Si ces grosses sociétés « militent » pour la protection de la vie privée et donc, militent pour la protection de leurs produits, c’est parce qu’ils ont besoin de quelque chose de très fragile : notre confiance.

Depuis les révélations de Snowden, de nombreuses entreprises ont pris conscience que la protection de la vie privée pouvait être un moteur d’achat, que cette protection nous engageait à leur accorder, dans une certaine mesure, notre confiance.

Et si nous avons confiance, nous sommes fidèles, nous allons jusqu’à défendre la marque, jusqu’à dire qu’elle nous protège, qu’elle a une sorte de devoir de nous protéger et qu’elle a décidé de remplir ce devoir.

Faux.

Alors, pourquoi protéger la vie privée ?

Pour nous garder. Apple, Google et le reste des GAFAM protègent effectivement notre vie privée de plus en plus efficacement, mais dans leur propre intérêt, tout en nous faisant croire que c’est dans le notre et que c’est pour nous qu’ils font tout ceci.

Les vrais acteurs de la protection de la vie privée… c’est vous, c’est nous. Parce que si nous sommes de plus en plus sensibles et nombreux à vouloir protéger un certain nombre d’informations, les marques devront nous suivre et s’adapter à nos exigences de clients.

Il est temps de prendre conscience que si ces sociétés tiennent des positions en faveur de la protection de la vie privée, c’est grâce à nous. Ils veulent nous garder et investissent du temps, de l’argent et des moyens humains pour répondre à nos exigences et… plus nous seront nombreux à faire de la vie privée un élément important, plus il y aura de sociétés pour mettre en avant cette protection.

Moralité : arrêtez de croire que ces marques nous protègent… elles ne le font que pour répondre à nos exigences et c’est en continuant d’affirmer nos exigences que cela avancera « dans le bon sens »

Cet article [En bref] Google, Apple, les autres et ta vie privée est apparu en premier sur Pixellibre.net.

La CNCTR, fameuse Commission Nationale du Contrôle des Techniques de Renseignement, se déclare dépassée et partiellement opérationnelle. Retour sur un problème plus que prévisible.

Lors des débats particulièrement mouvementés sur la loi relative au Renseignement, nous (comprenez les « exégètes amateurs nazis pédophiles dangereux crypto-anarchistes ») avions souligné un point : la CNCTR aurait besoin de beaucoup de ressources, tant humaines que matérielles, afin de mener à bien sa mission.

La CNCTR, qu’est-ce que c’est ?

Si vous découvrez cet acronyme ou si vous avez passé la moitié de l’année dernière enfermé dans une grotte, sachez que la CNCTR est donc une commission qui sert de « garde fou » pour les services du renseignement, c’est cette dernière qui doit rendre un avis (purement consultatif) pour chaque demande de mise sous surveillance qui émane des services du renseignement.

Le problème

Cette CNCTR était critiquée à l’époque du vote sur la loi car ses membres ne sont pas de membres à plein temps et qu’elle ne dispose pas assez d’experts techniques, sur des sujets qui peuvent l’être. Elle était présentée comme un cache misère qui devait rassurer le citoyen « lambda », comme le disait Bernard Cazeneuve, mon ministre préféré : « le projet de loi met en place un contrôle effectif du renseignement, plus efficace et plus étendu que celui exercé aujourd’hui ».

Manifestement, M. Cazeneuve nous a raconté un vilain mensonge.

« Pas contents, pas contents »

Depuis quelques semaines, la CNCTR se plaint de plus en plus fort de la difficulté qu’elle rencontre à effectuer correctement son travail et commence à « simplifier » le travail.

Dans un article du journal « Le Monde« , daté du 4 février, nous pouvions déjà lire :

« Le souci réside dans le fait que les moyens humains et techniques de la CNCTR étant, pour l’heure, largement sous-dimensionnés pour une telle tâche, il a été décidé de procéder par un examen « simplifié » et «  groupé », le temps de pourvoir aux besoins de l’instance de contrôle. »

Nous étions sur une route dangereuse. La commission doit surveiller les surveillants, assurer qu’une mise sous surveillance est justifiée, proportionnée et que les outils de surveillance utilisés sont en adéquation avec la finalité recherchée par les services du renseignement… mais si elle commence à faire du traitement « simplifié et groupé », cela pose problème, puisqu’elle peut passer à côté de quelque chose et déclarer une surveillance « ok » sans que cette dernière le soit.

Manifestement, cela ne suffit pas. Face à la masse d’information et aux nombreuses demandes émises par les services du renseignement, la CNCTR se déclare dépassée et personnellement, je ne sais si je dois rire ou pleurer.

Des ONG avaient, à l’époque, expliqué que la CNCTR allait être débordée. D’autres commissions comme la CNCDH (la Commission Nationale Consutative des Droits de l’Homme) avaient critiqué la composition de la commission et dénonçaient déjà son inévitable manque d’efficacité dans les mois à venir.

Dans la situation actuelle, à savoir l’état d’urgence, à savoir des services du renseignement très fortement sollicités, il était plus que prévisible que la commission allait se retrouver dépassée…

Du coup, qui surveille ceux qui surveillent les surveillants ?

Cet article Le garde fou des services du renseignement se déclare dépassé est apparu en premier sur Pixellibre.net.

La nouvelle n’est pas récente : il vaut mieux éviter de tenir des propos confidentiels ou privés près d’une Smart TV Samsung.

Cette nouvelle aurait dû faire l’objet d’un billet il y a un peu moins d’un an, lorsque l’information était connue uniquement en anglais et que la moitié des personnes s’en moquaient … sauf qu’entre temps, Samsung avait corrigé quelques lignes dans ses conditions d’utilisation. Finalement, c’est maintenant qu’elle sort, mieux vaut tard que jamais.

Le problème

« Faites attention à ce que vos paroles ne contiennent pas d’informations personnelles ou confidentielles, ces dernières étant captées et transmises à un tiers », voici, en résumé, les propos tenus par la marque.

Un début de petit scandale a éclaté face à cette réponse, si bien que Samsung s’est fendu d’une réponse pour rassurer ses utilisateurs, « non, Samsung n’espionne pas vos conversations » (en anglais).

La réponse

Pas rassurante ? Peut-être trop tardive ? Peut-être est-ce un problème de confiance envers Samsung, la réponse n’est pas véritablement convaincante à mes yeux.

Samsung explique que des données sont effectivement transmises à un tiers, en précisant cette fois le nom dudit tiers. La firme prend le temps de dire que les données sont chiffrées, de la TV jusqu’au serveur tiers, qu’elle prend au sérieux la protection de la vie privée de ses utilisateurs et qu’il est facile d’activer ou de désactiver la reconnaissance vocale et ce, à n’importe quel moment.

Elle prend aussi le temps de préciser que, pour faire fonctionner la reconnaissance vocale, il faut appuyer sur un bouton qui se situe, au choix, sur la télécommande ou sur l’écran.

Mon avis

Ce n’est donc pas une activation via un bouton « on/off » s’il est possible de l’activer depuis l’écran, c’est une fonction logicielle. Donc potentiellement activable à distance et sans votre consentement.

Nous ne pouvons, à l’heure actuelle, que nous baser sur des déclarations écrites et n’avons pas de matière pour affirmer ou réfuter ces déclarations. Problème d’autant plus important lorsqu’on sait que la solution de Samsung est fermée, qu’il n’est pas réellement possible de savoir comment elle fonctionne et que les données transmises sont chiffrées.

Comprenez-moi, je suis absolument ravi que Samsung chiffre les données de ses utilisateurs, mais l’utilisateur reste incapable de savoir ce que son écran transmet réellement ou non, puisqu’il ne peut pas déchiffrer les données…

Alors, la Smart TV connectée, bonne ou mauvaise idée ?

Cet article [En bref] Samsung, smart TV et vie privée est apparu en premier sur Pixellibre.net.

Un lycéen de Dijon est placé sous le status de témoin assisté dans une affaire de fausses alertes à la bombe visant divers lycées parisiens. Son crime ? C’est une bonne question.

De quoi est-il accusé ?

« refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie », c’est le motif retenu contre ce jeune homme de 18 ans par le juge, malgré l’avis du ministère public, qui avait ouvert une information judiciaire pour d’autres chefs d’accusation, en demandant de plus lourdes sanctions.

Revenons-en au sujet : « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie ». Le jeune homme est suspecté d’être responsable d’un serveur qui aurait peut-être été utilisé pour diffuser les alertes à la bombe.

Le « problème » est qu’il refuse de donner les clefs de chiffrement du serveur dont il est question.

Que dit la loi ?

Le code pénal, par la loi relative à la sécurité quotidienne du 15 novembre 2001, dit la chose suivante (Art. 434-15-2 du Code pénal) :

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

C’est au titre de cet article que le jeune dijonnais est accusé, il risque donc jusqu’à 5 ans de prison et 75 000 euros d’amende.

Certains n’y verront que la stricte application de la loi, il aurait dû garder le silence car le refus, dans la loi, est radicalement différent du silence. Même moi j’ai eu cette réaction lorsque j’ai eu vent de cette information…

Mais la logique ?

Reprenons les faits qui ont conduit à venir chercher ce jeune homme, pour commencer. Il met à disposition un serveur Jabber. Jabber est – pour résumer grossièrement – un service qui permet à des internautes de dialoguer ensemble. Ce serveur aurait été utilisé par des personnes pour faire circuler de fausses alertes à la bombe. Il s’avère que pour assurer un maximum de confidentialité à ses utilisateurs, ce jeune homme n’enregistre aucune donnée sur ses utilisateurs, ni adresse IP, ni les logs et qu’il chiffre tout le trafic dudit serveur pour assurer un maximum de confidentialité, ce qui n’est jamais de refus lorsqu’on cherche un peu d’intimité sur Internet, à une époque où elle existe de moins en moins.

Observons cela sous un autre angle que celui de l’information judiciaire. Cette nouvelle pose de nombreuses questions :

Doit-il être tenu responsable des actes d’autres personnes, dans lesquels il est peut-être ou n’est peut-être pas impliqué, de près ou de loin ? Pourquoi lui demander les clefs de son serveur s’il n’enregistre absolument rien, puisque cela ne servira à rien ?

Est-ce que les personnes qui administrent ou mettent à disposition un petit morceau de vie privée doivent prendre peur de cette nouvelle ?

Le fait de chiffrer des communications est-il risqué ?

Doit-on continuer de chiffrer « pour nous » et de laisser les autres dans la mer… ?

Je suis sans doute trop idéaliste, mais ce n’est simplement pas envisageable pour moi. Il est hors de question de garder « le savoir » ou le service pour « ceux qui savent ». Le principe est de faire en sorte que la protection de notre intimité sur Internet soit accessible au plus grand nombre et non à une élite.

Malheureusement, avec des nouvelles comme ça, on imagine aisément des personnes prendre peur, d’autres jeter l’opprobre sur le chiffrement, quitte à considérer que chiffrer ses communications, c’est un délit en soi, que c’est parce que nous avons quelque chose de mauvais ou d’illégal à cacher.

A celles et ceux qui se disent ça, voici mon point de vue : je revendique le droit de mettre une lettre dans une enveloppe afin de protéger le contenu de mon message.

Chiffrer ses communications, c’est la même chose, ce n’est pas illégal, ce n’est pas avoir quelque chose à se reprocher. C’est simplement considérer qu’une partie de sa vie est privée et que cela ne regarde pas les yeux trop indiscrets présents partout sur la toile.

Est-ce que le fait de permettre à d’autres de protéger leurs communications est un délit ? J’imagine déjà les déclarations du monde de la politique … et vous ?

Cet article Privés de vie privée ? est apparu en premier sur Pixellibre.net.

La DLPAJ (Direction des Libertés Publiques et des Affaires Juridiques) vient de faire sa liste au père noël et autant dire qu’elle est chargée. Très chargée. Et qu’elle présage des jours encore plus sombres si le père noël débarque avec de tels cadeaux.

Un article publié sur Le Monde (édition abonnés) présente une liste de courses d’un document interne du ministère de l’Intérieur que le journal a pu consulter, on y découvre une série de souhaits exprimés par la police et la gendarmerie pour 2016, souhaits qui pourraient se retrouver dans différents projets de loi qui devraient être présentés début 2016.

Voici quelques éléments de cette liste.

Interdiction de TOR… sur le papier.

Paf ! Terminé TOR ! La DLPAJ souhaite interdire l’utilisation de ce réseau d’anonymisation, au motif, sans doute, qu’il permet aux terroristes d’être très difficilement traçables lorsqu’ils utilisent ce réseau.

A ce titre-là, autant interdire les voitures également, puisqu’elles permettent aux terroristes de s’enfuir. Puis autant interdire les téléphones portables également, puisque nous savons qu’au moins un terroriste des attentats de Paris a envoyé un SMS non chiffré, depuis un smartphone jetable.

Si le réseau TOR permet effectivement à des terroristes de se planquer, il permet aussi à des journalistes de travailler, il permet de protéger certaines sources aux informations particulièrement sensibles, il permet à des activistes de pouvoir en aider d’autres. TOR n’est, en soi, ni bien ni mal, comme Internet. TOR est un réseau, un outil, par définition il est neutre. L’attaquer ou l’interdire ne supprime pas le mal, il le déporte ailleurs, sur d’autres réseaux encore plus profonds, plus masqués.

Si la DLPAJ pense qu’interdire TOR va compliquer la préparation d’actes terroristes, ils se trompent. Comme lorsqu’on souhaite interdire TOR pour lutter contre la pédophilie, les efforts sont louables mais ne visent pas la bonne cible.

D’un point de vue plus « technique », interdire complètement TOR relève de l’impossible, il y aura toujours quelqu’un pour contourner le blocage, les mesures instaurées, la France devrait s’inspirer de la panoplie d’outils de contournement disponible en Chine pour comprendre en quoi cette mesure est absurde.

Plus de Wi-Fi public

Alors, oui, on dit Wi-Fi et pas Wifi, pour commencer. La DLPAJ souhaite interdire ces réseaux publics pendant toute la durée de l’état d’urgence… partant du principe que certains souhaitent rendre cet état permanent, ça promet…

Résumons-donc : pour lutter contre des gens qui savent parfaitement s’adapter à de très nombreuses situations, qui savent protéger leurs communications, qui sont entrainés pour passer sous les radars, cette mesure sera, autant le dire, sans doute inefficace.

Cette mesure va profondément déranger de nombreuses personnes qui ne disposent pas d’un accès Internet fixe et qui se servent de ces points d’accès publics pour rester connectés, ça c’est certain. Mais rien n’est moins sûr quant au fait que ladite mesure soit d’une efficacité quelconque contre le terrorisme.

Fournir les clefs de chiffrement

La DLPAJ souhaite également obtenir les clefs de chiffrement des services et applications de VoIP (Voice over Internet Protocol, la voix sur Internet si vous préférez).

Il est assez étrange de croiser une telle demande ici, lorsqu’on sait que la loi relative au renseignement le permet déjà. Ladite loi impose aux fournisseurs d’outils de chiffrement de remettre les clefs de chiffrement dans un délai de 72 heures.

Autre point, peut-être évident pour moi mais pas pour la DLPAJ : l’utilisation de solutions « perso ». J’ai les compétences de monter un serveur de VoIP et d’y connecter des personnes où qu’elles soient sur la planète. Si j’ai cette capacité, d’autres l’ont et il serait absurde de croire que des terroristes ne l’ont pas.

Je me souviens avoir été surpris la première fois que j’ai traqué des pédophiles, parce qu’ils utilisaient les mêmes outils de chiffrement que moi, qu’ils disposaient de FAQ et de notices extrêmement claires et précises, parfois plus que les nôtres, parce qu’en résumé, ils maîtrisaient des outils de protection et d’anonymisation depuis déjà très longtemps, bien avant nous, petits libristes naïfs que nous sommes.

Pourquoi cela serait différent avec des terroristes ?

Prendre ces dispositions ne va rien arranger et ne va clairement pas déranger les personnes que l’Etat traque. Ces derniers doivent d’ailleurs bien se marrer en lisant tout ça.

En revanche…

Prendre de telles dispositions nous fait un peu plus avancer vers un état numérique totalitaire. Si je comprends parfaitement ce qui pousse les forces de l’ordre à demander de telles mesures, je doute sincèrement de leur utilité et de leur efficacité.

En revanche, je ne doute pas des abus qui arriveront avec tout ceci, des abus qui arrivent déjà, d’ailleurs, depuis la mise en place de l’Etat d’urgence, des personnes interpelées pour des motifs étranges, des perquisitions douteuses dans des milieux activistes ou hacktivistes, des justifications plus que douteuses qui seront fournies par les forces de l’ordre ou par l’Intérieur.

J’en viens même à me demander si je ne vais pas finir par avoir des soucis avec les outils que j’utilise, avec les propos que je tiens, avec les écrits de ce blog qui contient quelques liens vers des outils de chiffrement. J’en viens à me demander si je vais pouvoir continuer à écrire ainsi et à m’opposer à toutes ces mesures prises…

Bref, continuons d’écrire et de lutter pour le Juste, tant que nous pouvons le faire.

Cet article Cher père noël, je voudrais un état totalitaire est apparu en premier sur Pixellibre.net.