Les basiques de la protection de données personnelles

Cet article a été initialement rédigé pour le blog d’ekino.

Trois femmes dans une loge de théâtre, l’une regardant avec des jumelles, Constantin Guys

À l’occasion de la journée internationale de la protection des données, mon collègue Maxime et moi avons rédigé un article orienté sur nos données personnelles, nos outils, nos habitudes et comment améliorer notre propre protection.

Nous nous sommes concentrés sur ce que seraient les premiers pas, en proposant des solutions accessibles aux profils non techniques. On n’a pas toujours des produits aussi faciles à utiliser que ceux des grands acteurs qui aspirent nos données mais, justement, on vous propose des solutions qui sont sur un autre modèle économique !
À vous de voir lesquels vous correspondent et ceux pour lesquels vous  n’êtes pas prêts.

Nous avons limité cet article (qui est finalement déjà bien long) à ce qui nous paraissait à la fois prioritaire et facile (techniquement mais aussi dans l’usage).

Pourquoi protéger ses données ? 

Vaste question ! Il faudrait plus qu’une introduction dans un article pour bien développer les raisons, donner des exemples concrets (qui hélas ne manquent pas).

Pour résumer grossièrement, nos données personnelles sont récoltées en masse pour être revendues (car oui, nos profils rapportent de l’argent à ceux qui les exploitent).

Elles permettent de tirer des conclusions sur nous : nos opinions politiques, notre statut amoureux, nos orientations sexuelles, nos amis, ce qui nous agace… Ne doutez surtout pas du fait que Facebook vous connaît (même si vous n’avez jamais créé de compte !) et que Google en sait plus sur vous que votre meilleur ami, voire que vous même.

Ces connaissances ne permettent pas seulement de vous vendre des produits ciblés (ah, la consommation de biens dont on ne savait pas qu’on en voulait !) mais aussi à vous influencer.

Les gouvernements, selon les lois locales, peuvent avoir accès à tout ou  partie de ces informations et récolter les leurs, à l’instar de la loi américaine qui permet au gouvernement d’accéder à tout ce que Facebook ou Google, par exemple, ont récolté sur une personne. Les dernières années ont prouvé que même les démocraties peuvent avoir un usage politique et excessif de ce pouvoir. Ne parlons même pas des possibilités que cela laisse aux régimes dictatoriaux et des conséquences dramatiques que  cela peut avoir.

Ajoutons à cela que le fait de se savoir surveillé change les comportements (et non, pas que les “mauvais” comportements), bride la créativité, l’expression de soi et l’innovation.

Bambou, Kishi Ganku

Beaucoup de ressources existent si vous voulez creuser le sujet. Nous vous renvoyons, par exemple vers :  

  • Cette conférence qui, en moins de treize minutes, vous convaincra mieux que notre petit paragraphe : Darknet, le grand malentendu ? par Jean-Philippe Rennard.
  • Le documentaire Nothing to hide (VOST) de Marc Meillassoux et Mihaela Gladovic, disponible gratuitement qui parle de surveillance gouvernementale et du citoyen X, qui pense que ce n’est pas très grave qu’on ait accès à ses données.
  • Le livre Surveillance:// de Tristan Nitot pour comprendre en quoi il y a des problèmes derrière les outils que nous utilisons.
  • Ou encore un site qui explique pourquoi il y a beaucoup de choses à redire quand quelqu’un avance “Je n’ai rien à cacher”. 

Alors comment commencer à protéger ses données ?

Le navigateur est votre porte d’entrée sur Internet : la sécurité de vos données personnelles dépendra des verrous activés sur celui-ci. Les navigateurs sont assez inégaux dans les protections, soit par choix politique soit parce que la configuration par défaut n’est pas suffisante. Voici une liste de navigateurs à adopter si vous souhaitez faire le premier pas dans un monde plus sûr pour vos données.

Firefox

Firefox de Mozilla est un des meilleurs navigateurs disponibles qui combine de bonnes fonctionnalités de sécurité des données, une sécurité accrue et des mises à jour régulières. Ce n’est plus le navigateur lent et lourd que l’on a connu, il est désormais rapide et léger.

Concernant la sécurité de nos données, Firefox bloque par défaut :

  • les traceurs, qui sauvegardent votre passage sur les sites web pour vous proposer une navigation personnalisée ;
  • les cookies tiers, sur lesquels s’appuie la pub personnalisée ;
  • les cryptominers, ces scripts qui utilisent les ressources de votre ordinateur pour miner des crypto monnaies à votre insu ;
  • Les fingerprinter, ces outils qui permettent d’identifier très précisément un utilisateur notamment à partir de son ordinateur et de la configuration de son navigateur (version, extension, taille de l’écran…).
Brave

Brave est un navigateur développé à partir de Chromium, la partie open source de Google Chrome (celle qui ne revend pas de données personnelles). Il a de gros avantages par rapport aux autres navigateurs basés eux aussi sur Chromium (Vivaldi par exemple)  :

  • Il bloque les traceurs et les pubs/cookies par défaut. Une exception est faite aux campagnes de pubs validées par Brave. Celles-ci ne vous ciblent pas grâce à vos données mais vous sont proposées sur les sites en rapport avec la campagne.
  • Son moteur de recherche par défaut n’est pas Google mais Qwant.
  • En navigation privée, il est possible d’utiliser le réseau Tor (voir ci-dessous) sans avoir à effectuer de configuration supplémentaire. C’est une entrée facilitée aux néophytes pour naviguer totalement anonymement sur Tor.
Tor Browser

Tor Browser est le navigateur officiel du projet Tor. Pour faire simple, Tor est un réseau permettant de naviguer anonymement : chaque requête à un site web passe par plusieurs serveurs avant d’atteindre le site cible, ce qui empêche le site web de connaître le visiteur. Ainsi, les traceurs et cookies personnalisés sont automatiquement invalidés. C’est le navigateur ultime pour protéger son identité et ses données en ligne. Cependant, son fonctionnement implique des temps de chargement plus longs et donc une navigation plus lente.

Tor browser est installé par défaut avec des extensions protectrices (HTTPS Everywhere et NoScript, voir ci-dessous dans la partie sur les extensions) et son moteur de recherche par défaut est DuckDuckGo (notre recommandation, voir plus bas).

Comment naviguer sur mon téléphone

Chacun des navigateurs présentés ci-dessus a une version mobile ayant les mêmes caractéristiques et avantages. Notez qu’utiliser un même navigateur dans ces deux contextes vous permet de synchroniser vos données utilisateurs entre vos appareils. 

Cependant, ils existent des navigateurs ayant une version mobile exclusive :

  • Firefox Focus est une version de Firefox avec des options de sécurité propres aux smartphones. En plus de bloquer les traceurs, cookies et publicités, il est possible d’activer un mode furtif qui empêchera les captures d’écran et masquera votre navigateur dès que vous changerez d’application. Il est même possible de verrouiller l’application dès lors que vous verrouillez votre téléphone ou changez d’application.
  • DuckDuckGo browser est le navigateur mobile créé par le moteur de recherche du même nom. Il partage les mêmes valeurs que Firefox pour le respect de la vie privée.

Pour améliorer tout ça, les extensions

Malgré la sécurité de votre navigateur, le Web est plein de gens malveillants. Pour éviter de se faire avoir et éviter les traceurs restants, il existe des extensions navigateurs.

  • HTTPS Everywhere 
    • Force la communication via HTTPS avec un site web dès que celle-ci est possible. Cela permet de s’assurer d’une connexion  sécurisée avec le site consulté.
  • uBlock Origin 
    • Bloque les requêtes faites vers des services tiers de tracking, de pubs, etc.
    • Se base sur des listes de domaines mises à jour par la communauté.
  • PrivacyBadger
    • Désactive les traceurs présents sur les sites.
    • L’extension ajoute un traceur à sa liste s’il le croise sur trois sites différents.

L’installation est simple mais leur utilisation peut s’avérer déroutante, elles peuvent potentiellement empêcher la navigation sur certains site mal construits qui chargent des éléments de publicité avant la structure du site lui même (particulièrement Privacy Badger et uBlock Origin). Si cela vous arrive, il suffit de les désactiver pour le site en question; vous pourrez continuer votre navigation.

Des recherches en tout anonymat

Le moteur de recherche par défaut sur un navigateur est (quasiment) toujours Google. Dans l’optique de contrôler et de refuser que vos données ne soient utilisées, il est vivement conseillé de changer de moteur de recherche pour un des suivants.

DuckDuckGo

DuckDuckGo est LE moteur de recherche pour votre vie privée. Il agit comme un intermédiaire avec Google empêchant ainsi ce dernier de récupérer vos informations.

  • Il ne stocke aucune donnée de recherche et n’utilise aucun traceur.
  • Il n’affiche aucune publicité ou résultats sponsorisés dans les résultats de recherche.
  • Les résultats de recherche sont très acceptables.

Le stockage

Les “CHATONS”

“Chatons” est un acronyme pour  le Collectif des Hébergeurs Alternatifs Ouverts Neutres et Solidaires”. Un chaton, à l’instar de Google mais avec moins de moyens, vous proposera un certain nombre de services. Un moteur de recherche est disponible sur le site pour choisir en fonction de ses besoins, du prix, du public, etc.

Un “cloud” personnel

Parmi les différentes possibilités, nous proposons de vous présenter Nextcloud. Nextcloud est un outil auto-hébergé permettant de remplacer des outils comme Google Drive en proposant une solution de stockage, de l’édition partagée de documents, un calendrier, un client mail, de la messagerie instantanée et même un chat vidéo (entre autres !)

Son premier avantage est d’être un logiciel libre, il est gratuit et open source. C’est-à-dire que son code source ainsi que celui des applications mobiles Nextcloud sont consultables par n’importe qui et tout le monde peut participer à l’amélioration du produit.

Son deuxième avantage est sa grande communauté participant au développement de l’écosystème de l’outil. Il existe des applications pour ajouter une application de carte, un lecteur de musique ainsi que pour synchroniser vos SMS avec votre instance Nextcloud. Toutes développées par des utilisateurs.

Par contre, Nextcloud va vous demander un peu plus de manipulation : soit créer un compte chez un hébergeur qui le propose (un des hébergeurs partenaires ou un “chaton”). Si vous êtes plus technique : installez votre propre instance Nextcloud sur un serveur, un ordinateur local ou un Raspberry Pi.

Liens et références

La famille du peintre, Henry Brokman

Une infographie pour comprendre le cadre législatif de l’accessibilité numérique en France en 2019

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Chaque internaute doit pouvoir accéder aux informations et services des applications web qu’il consulte. L’accessibilité numérique avec ses règles s’assurent que cela soit vrai.

En cette année de textes de loi sur l’accessibilité numérique, l’équipe Accessibilité d’ekino a voulu débroussailler tout ça. Nous nous sommes dit qu’une infographie nous aiderait tous à y voir plus clair.

Cette infographie est pensée comme une suite de questions que vous pourriez vous poser. Pour chacune, une réponse claire et concise. Suivez le guide !

Merci à Aurélien Lévy de Temesis et Stéphane Deschamps d’Orange pour leur aide et relecture.

Accessibilité Cadre législatif 2019

Est-ce que je suis concerné ?

Oui, si je suis :

  • un service d’État ;
  • une collectivité territoriale ;
  • un établissement public ;
  • une organisation légataire d’une mission de service public ;
  • une entreprise privée dont le chiffre d’affaires en France est supérieur ou égal à 250 millions € (chiffre d’affaires calculé par unité légale sur la base de la moyenne du chiffre d’affaires annuel réalisé en France des trois derniers exercices comptables précédant l’année considérée) ;
  • une organisation créée pour satisfaire un besoin d’intérêt général.

Je peux aussi me sentir concerné :

  • si je risque la discrimination (pages d’embauche, outils de travail) ;
  • si je veux prendre en compte l’accessibilité (principe, image, éthique, audience, etc.)

Ça s’applique à quels supports ?

  • Sites internet, intranet, téléphone, TV, appli métier, appli web, progiciel et mobilier urbain

Ah ben, oui alors. Je dois faire quoi ?

Déclaration d’accessibilité

  • État de conformité
  • Calcul du taux d’accessibilité
  • Lien vers le rapport d’audit
  • Liste des contenus non-accessibles et pourquoi
  • Date de la déclaration et de la mise à jour
  • Retour d’informations et de contact
  • Voies de recours
Quelle norme je dois suivre ?
  • Pour tous :
    • Norme européenne EN 301 549 Recommandations émises par l’ETSI (European Telecommunication Standards Institute )
  • Pour une entreprise privée, au choix :
    • Cette même norme européenne EN 301 549
    • Norme internationale WCAG 2.1 AA Recommandations émises par le W3C (Word Wide Web Consortium)

Et je peux m’aider du RGAA 4 pour en savoir plus.

Schéma pluriannuel

  • Plans d’action annuel (Ex : stratégie, référent, ressources, formation, sensibilisation, organisation, choix des prestataires, tests utilisateurs, mesures prises, bilans, etc.)

Et c’est pour quand ?

Dates s’échelonnant du 23/09/2019 au 01/07/2021 selon critères. Ex : le 1er octobre 2019 pour un site du secteur privé qui n’existait pas auparavant (1er octobre 2020 sinon).

En détail

Tous les acteurs concernés, sauf les entreprises privées :

  • Site internet, intranet, extranet
    • Existant depuis le 23 septembre 2018 : ⇾ le 23 septembre 2019
    • Existant déjà avant le 23 septembre 2019 : ⇾ le 23 septembre 2020
  • Téléphone, TV, appli métier, appli web, progiciel et mobilier urbain ⇾ le 23 juin 2021

Entreprises privées concernées :

  • Site internet, intranet, extranet
    • Existant depuis le 01er octobre 2019 :⇾ le 01er octobre 2019
    • Existant déjà avant le 01er octobre 2019 : ⇾ le 01er octobre 2020
  • Téléphone, TV, appli métier, appli web, progiciel et mobilier urbain ⇾ le 01er juillet 2021

Sinon ? Je risque des sanctions ?

Oui. (Jusqu’à 20 000 € par site / an.)

À propos

Cette infographie est un résumé vulgarisé du cadre législatif de l’accessibilité numérique en France en 2019. De nombreux détails et précisions ne sont pas présents.

Sources et références

♥️ Remerciements : Aurélien Lévy, Temesis ; Stéphane Deschamps, Orange ; Baptiste Feuillâtre, ekino

Mise à jour : octobre 2019 V.1.1 – Licence CC BY SA – Delphine Malassingne, ekino

Interview ekino à l’occasion de Pas Sage En Seine 2019

Cette interview a été faite par ekino et publiée en premier lieu sur le blog d’ekino.

Du 27 au 30 juin derniers se déroulait le festival Pas Sage en Seine, rencontre consacrée aux logiciels libres, au hacking et sa culture. Pour cette occasion, Delphine Malassingne, Responsable qualité chez ekino donnait une conférence sur “Mes mots de passe sécurisés et facile à gérer”. Interview.

Ekino : Tu as participé au Festival Pas Sage en Seine, peux-tu nous en dire plus sur l’événement ?

Delphine : Pas Sage en Seine est un rendez-vous annuel qui a lieu, depuis plusieurs années, dans la médiathèque de Choisy-le-Roi. L’avantage d’un tel lieu est que l’audience réunit à la fois les geeks experts et le grand public de passage ce jour-là. Ce festival réunit beaucoup de sujets autour de notre vie numérique (sécurité, protections de nos données personnelles, liberté) mais ouvre aussi beaucoup autour de tous les “hacks” de vie possible. C’est ainsi qu’on y retrouve des ateliers sur le café (le faire, le réutiliser) ou encore l’apiculture.

E : Pourquoi avoir souhaité être speaker ?

D : Être oratrice est pour moi une façon de partager. Que ce soit le partage des connaissances que j’ai acquises ou mon expérience personnelle et les leçons que j’en tire.

Dans le cas de cette conférence sur les mots de passe – mais sur le thème de l’hygiène numérique en général – j’ai la conviction que pour toucher le grand public, il faut un discours qui ne soit ni anxiogène, ni culpabilisant. Or, souvent, les “gens qui savent” en savent tellement que c’est difficile pour eux de ne pas donner toutes les informations, de ne pas dire “oui, mais ça ne suffit pas, ce n’est pas assez sécurisé, il pourrait se passer ça ou ça, etc.” Mon parti-pris est de profiter de ma position de “savante intermédiaire” (rires) pour dédramatiser le discours et amener les gens à plus facilement se sentir prêt à passer le pas. Sans les inquiéter, pas seulement leur dire que ça ne suffit pas, mais en les encourageant en disant que c’est déjà un pas de plus.

Il ne s’agit pas, bien sûr, d’infantiliser, mais de garder à l’esprit, que si tout le monde aujourd’hui est concerné par la sécurité informatique et la sécurité de sa vie privée, les enjeux du numérique sont encore bien peu dans les esprits et le fonctionnement informatique a souvent l’air, pour le grand public, d’un concept compliqué réservé aux “geeks”. Je veux aider les gens à prendre en main leur propre vie privée, à leur niveau.

E : Quel était le sujet de ta conférence ?

D : J’ai souhaité parler du premier pas à faire en matière de sécurité de nos données numérique : le mot de passe. Tout le monde est obligé de créer des mots de passe et tout le monde en as. Et, soyons honnêtes, c’est enquiquinant à gérer. De plus, le grand public ne connaît pas forcément les critères d’un bon mot de passe, les avertis ont quelques idées fausses et les experts ne savent pas toujours expliquer simplement. Du coup, j’ai voulu partager un peu tout ça. Pour ceux qui ont raté la conférence, voici deux éléments importants : le critère numéro 1, c’est la longueur (16 caractères minimum) et, dès que vous vous sentez prêts, passez à un gestionnaire de mots de passe serait une très bonne idée !

E : Comment passer à un gestionnaire de mots de passe ? Lequel choisir ?

D : Un gestionnaire de mots de passe est un logiciel qui va retenir pour vous tous vos mots de passe. Il va également les générer en respectant toutes les règles nécessaires et, via des applications, il peut aussi les “taper” pour vous. Bref, il vous facilite la vie ! Notez qu’il vous restera toujours au moins le mot de passe “maître” à retenir : celui qui vous permet de vous connecter au gestionnaire.

Passer à un gestionnaire implique “juste” d’en choisir un, de le télécharger ou de se créer un compte et d’y créer des entrées pour toutes les informations que vous voulez qu’il garde en mémoire pour vous (car il peut aussi retenir votre numéro de carte bleue, par exemple).

Pour le choisir, cela va dépendre de votre configuration, votre expertise et vos besoins ; donc personne ne peut choisir pour vous.

E : Un dernier mot ?

D : Seize caractères minimum, hein ? 😉

Interview ekino à l’occasion des Journées du Logiciel Libre 2019

Cette interview a été faite par ekino et publiée en premier lieu sur le blog d’ekino.

Les 6 et 7 avril prochains se déroulera la 20e édition des Journées du Logiciel Libre, placée cette année sous le thème de l’écologie. L’occasion pour le public de découvrir des modèles informatiques émergents et alternatifs à travers divers conférences et ateliers mais aussi de rencontrer des associations actives du monde du logiciel libre. Delphine Malassingne, Responsable qualité chez ekino donnera une conférence sur la gestion des mots de passe intitulée “Mes mots de passe sécurisés et faciles à gérer”. Interview.

Ekino : Tu participes au prochain JdLL, peux-tu nous parler de cet événement ?

Delphine : Je vais participer pour la première fois aux Journées du Logiciel Libre ; c’est donc une conférence que je ne connais pas encore. J’en sais néanmoins assez pour avoir envie d’y aller : cela parle de logiciel libre. Derrière cette évidence, j’y vois l’assurance non seulement d’entendre parler et d’échanger autour d’un thème qui me tient à coeur mais je m’attends également à y retrouver l’ambiance que j’ai pu connaître dans d’autres événements du même monde (Pas Sage En Seine, le Capitole du Libre) : ouverture, éthique, partage.

E : Pourquoi avoir voulu être speaker à cette conférence ?

D : Être oratrice est pour moi une façon de partager. Que ce soit le partage des connaissances que j’ai acquises ou mon expérience personnelle et les leçons que j’en tire.

Dans le cas de cette conférence sur les mots de passe – mais sur le thème de l’hygiène numérique en général – j’ai la conviction que pour toucher le grand public, il faut un discours qui ne soit ni anxiogène, ni culpabilisant. Or, souvent, les “gens qui savent” en savent tellement que c’est difficile pour eux de ne pas donner toutes les informations, de ne pas dire “oui, mais ça ne suffit pas, ce n’est pas assez sécurisé, il pourrait se passer ça ou ça, etc.” Mon parti-pris est de profiter de ma position de “savante intermédiaire” (rires) pour dédramatiser le discours et amener les gens à plus facilement se sentir prêt à passer le pas. Sans les inquiéter, pas seulement leur dire que ça ne suffit pas, mais en les encourageant en disant que c’est déjà un pas de plus. Il ne s’agit pas, bien sûr, d’infantiliser, mais de garder à l’esprit, que si tout le monde aujourd’hui est concerné par la sécurité informatique et la sécurité de sa vie privée, les enjeux du numérique sont encore bien peu dans les esprits et le fonctionnement informatique a souvent l’air, pour le grand public, d’un concept compliqué réservé aux “geeks”. Je veux aider les gens à prendre en main leur propre vie privée, à leur niveau.

E : Qu’est-ce que ta conférence va nous apprendre ?

D : L’ambition de ma conférence est assez modeste et me semble importante en même temps. En effet, le mot de passe est le premier niveau de la sécurité de notre vie privée, il concerne tout le monde.

L’idée est d’apprendre au grand public pourquoi un mot de passe est important, qu’est-ce qui fait qu’un mot de passe est bon et comment gérer la pléthore de mots de passe que nous avons.

Si je réussi mon objectif, mon discours devrait donner envie à ceux qui ne l’ont pas encore fait de passer au gestionnaire de mot de passe tout en ayant une phrase de passe “maître” remplissant tous les critères, y compris celui d’être retenue par une autre solution que le post-it 😉

E : Pourquoi selon toi, devrait-on se tourner vers les logiciels libres ?

D : Un logiciel libre est publié selon une logique de libertés. Sommairement, cela donne à l’utilisateur la possibilité de voir comment le logiciel est construit, d’y apporter les modifications dont il pense avoir besoin et de le retransmettre à d’autres, modifié ou non.

En terme de sécurité, savoir comment le logiciel est construit est une assurance supplémentaire non négligeable ! Pour ceux qui sont assez techniques, cela permet d’aller vérifier soi-même ce que fait le logiciel et comment il le fait. Au contraire, un logiciel propriétaire dont le code est caché peut avoir des fonctionnalités non-communiquées (comme la récupération de données, par exemple).

Une autre conséquence est que les failles de sécurité peuvent être repérées et corrigées bien plus rapidement quand toute une communauté monitore le logiciel, à la différence d’une équipe dédiée dans une entreprise, aussi sérieuse soit-elle.

C’est ainsi, par exemple, que le logiciel libre KeePass, gestionnaire de mots de passe, est le seul qui ait été certifié par l’Agence Nationale de la Sécurité des Systèmes d’Information.

Bien d’autres avantages sont liés aux logiciels libres, comme par exemple l’utilisation de formats ouverts et donc de pouvoir passer d’un environnement à un autre. Par exemple, si j’achète des livres pour ma liseuse dans un format propriétaire, je les perdrais si je change de marque de liseuse ; le logiciel libre n’utilise que des formats ouverts et favorise donc l’interopérabilité, le passage d’un environnement à l’autre.

Le logiciel libre a bien d’autres bénéfices. Il favorise l’innovation, favorise l’utilisateur plutôt qu’un éditeur propriétaire dont on est dépendant, etc. Autant de choses, et même plus, qui seront abordées dans le programme des JdLL et dans d’autres événements ouverts au grand public pour transmettre ces connaissances là.

E : Un dernier mot ?

D : Je suis contente d’avoir l’opportunité, grâce à ekino et grâce aux JdLL de pourvoir échanger autour de ces sujets qui sont (ou devraient être) au cœur des préoccupations numériques de chacun, expert, amateur ou même réfractaire.

Transcript du meetup Protection des données personnelles chez ekino le 25 octobre 2018

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Le 25 octobre 2018, nous avons eu le plaisir d’organiser un meetup autour d’un thème qui nous est cher : la protection de nos données.
Aeris, LaPalice et Kheltdire nous ont fait l’honneur d’une présentation chacun. Voici leurs diaporama et le transcript de la soirée.
Merci à nos orateurs et merci à vous qui êtes venus parler données personnelles avec nous.
Maxime, Sébastien et Delphine.

Transcript, à la main et avec beaucoup d’amour, du meetup « Protection des données personnelles », le 18 octobre, chez ekino, à Levallois-Perret

Avertissment : Ce transcript a été écrit à la volée, pendant le meetup, par des volontaires qui ont fait au mieux. Il n’a été qu’à peine retouché ensuite. Il peut donc contenir des erreurs et ne constitue pas la retranscription exacte de ce qui s’est dit.

Bonsoir, On va pouvoir commencer, merci d’être venu. Ici ce n’est pas la réunion Lycos, mais le meetup données personnelles. Je laisse la parole à LaPalice…

« Mais moi j’ai rien à cacher », la vie privée à l’ère de Trump et des vibromasseurs connectés

Vous n’avez rien à cacher, et moi non plus. Jusqu’à ce que mon vibromasseur fasse augmenter le prix de mes billets d’avion. Par LaPalice Sur Twitter : @NLaPalice Sur Mastodon : @LaPalice@framapiaf.org

Bonsoir, J’ai très peu préparé, parce que je veux plutôt une discussion ensemble 🙂 Merci d’etre venu malgré le titre douteux. On va parler de vibromasseur, de Trump etc. … Vous êtes familier adu sujet des données privées ? [beaucoup de gens lèvent la main] Vous êtes plutôt familier sur le sujet, donc ce soir on va voir comment s’adresser aux gens qui ne sont pas familier au sujet. « Toi tu n’as rien a caché, mais tes emails sont sur Gmail donc si quelqu’un qui a quelque chose à cacher te contact, alors google le saura.” C’est un bon argument mais ça ne convainc pas les gens qui disent n’avoir rien à cacher.

Généralement, les gens n’ont pas de problème de avec le partage de leur vie privée si ce n’est pas un humain derrière.

On va partir du principe que nous faisons confiance a Google, Amazon etc. et partir du principe que nous ne sommes pas activiste politique, criminel etc. ce qui nous donnera des exemples de discussion à mener avec des gens qui n’ont rien a cacher en leur présentant des situations qu’ils peuvent vivre.

On va parler de cul et de politique. Les gens, ils sont normaux, ils sont contents parce qu’ils n’ont plus à se soucier de leur vie privée. Les 3 histoires qu’on va raconter sont sur le confort, la centralisation, et le manque de sécurité.

Le confort aujourd’hui c’est : – Des enceintes connectées à qui tu vas pouvoir demander de monter le son pendant que t’es sous la douche. De plus en plus d’amis de mes parents en ont. Je leur ai fait le laïus sur la pose d’un micro chez eux, et ça ne les touchait pas. Jusqu’au jour où je leur ai envoyé cet article où Amazon n’a rien fait de mal ; il y a juste eu un bug qui s’est produit. L’histoire c’est un couple entrain de “parler” , et Alexa est dans le fond, elle croit entendre un ordre « message » donc elle demande si elle doit enregistrer. Le couple lui répond « oh oui », elle enregistre. Puis elle pense entendre « Envoyer », elle demande confirmation. Le couple « oui, oui », et donc tu as un enregistrement du couple qui est parti à un tiers et les gens sans contrôle. Alexa transfère mon orgasme à ma patronne. Tu es content qu’Alexa soit toujours entrain de t’écouter pour lui donner des ordres, mais tu ne fais plus attention et ça peut vite basculer sans que ce soit malveillant.

Deuxième histoire : centralisation Facebook est très très pointilleux sur la vie privée MAIS ça reste avant tout une régie publicitaire. Donc t’envoyer le bon message au bon moment ça reste quand même très pratique.

Quand tu es de l’autre coté, donc celui qui met en place une campagne de pub, tu as accès à un réglage très fin pour atteindre tes cibles. Je ne croyais pas trop à l’ingérence russe lors de la campagne présidentielle américaine, ou alors je pensais qu’ils avaient juste créé des milliers de bots pro-trump. Mais en fait c’était beaucoup plus fin : ils ont ciblé les écologistes, par exemple, pour les inciter à voter pour un autre candidat que Sanders ou Clinton. Ils ont pensé leur stratégie beaucoup plus en amont. Si quelqu’un votait pour un tiers candidat, c’est plus fin et ça évite d’être trop visible. Ça n’a été possible que parce que Facebook donne accès à un filtrage très précis.

Un jour normal sur Facebook ; Facebook leur envoie des infos qui sont censées être sensibles à la pub ciblée. Y’a des gens qui aiment ça, qui préfère une pub ciblée plutôt qu’aléatoire. Les Russes ont profité des de fuites de données bancaires des américains pour recréer des comptes paypal qui servait à financer les compagnes de pub Facebook. Les américains ont payé leur propre propagande.

Les américains n’avaient rien à cacher a priori, pas d’activiste etc. MAiS en partageant leurs données, ça a permis de les cibler très finement en tapant sur leur attentes en modifiant leur vote. Généralement les gens se foutent de savoir si ils sont influencés sur une pub de vêtement, mais pour la politique généralement c’est une autre histoire.

3e histoire : vibromasseur connecté Ça c’est un vibromasseur connecté, avec une caméra. Fabriqué par la société Svakom. Un jour des chercheurs en sécurité se sont demandés si c’était fiable comme objet. La réponse est non. Login : admin, pas de mot de passe, et tu te retrouves avec tous les données.

Alice ici passe un bon moment avec son vibromasseur, et elle veut partager ce moment avec Bob. Pendant ce temps la Sxavom enregistre tout. Un scammeur peut très bien tomber dessus et vous faire chanter avec le contenu volé de la sorte. Alice qui n’a rien à cacher, se retrouve dans une situation embarrassante malgré elle.

C’est tout pour moi, je souhaite surtout ouvrir la discussion avec vous. Ça fait 2 mois que je bosse dans la sécurité, et avant je bossais dans un milieu libriste avec des gens sensibilisés à la vie privée, maintenant c’est plus le cas. Mes collègues se moquent complétement de leur vie privée, et donc j’ai dû réadapter mon discours pour pouvoir discuter avec eux.

Donc j’ai envie de discuter avec vous, trouver des moyens moins humanistes pour convaincre les gens de l’intérêt de la vie privée. Je vous laisse sur cette citation (de moi) : « Ce n’est pas parce que vous n’avez rien à cacher que rien ne sera retenu contre vous. »

Merci beaucoup

Qui a les deux premières questions ?

Public : Du coup, tes collègues, est-ce qu’ils testent la sécurité ?

LaPalice : Oui. La notion de vie privée chez eux est assez inexistante. Pour eux, tant que c’est sécurisé, ça va. (c’est pas le transcript, c’est mon résumé). Des fois, Google, c’est vraiment la meilleure solution (quand c’est pour te protéger de ta mère, ton copain, etc.) C’est une question de modèle de menace. L’auto-hébergement n’est pas une solution pour se protéger contre sa mère et son copain.

Public :Généralement les gens qui s’intéressent à la vie privée sont plutôt politisés.

LaPalice : Ce sont des enjeux sociaux à long terme mais je ne veux pas laisser les autres à la traîne derrière. Si on explique comment fonctionne le marketing, les implications sociétales comme Trump / Russie, c’est un moyen de faire réagir avec un message qui est mieux reçu.

Public : Si on prend le temps d’expliquer aux gens, mais faut déjà avoir le temps d’expliquer. Et les gens vont trouver ça chiant. Si j’arrive a chopper une minute de temps à l’apéro avec ma famille c’est la fête. Il faut déjà une sensibilisation de base pour pouvoir pousser la discussion.

Public ou LaPalice ? : Est ce que tu fais aussi du bien aux gens malgré eux ? L’article des enceintes, c’est pour faire réagir mais c’est pas dit qu’ils aient compris les implications sociétales. Là ou le vibromasseur c’est déjà très lointain pour eux. Idem pour Trump ou on peut se dire que les mécanismes électorale française est différentes etc. De voir qu‘« un état « dissident » peut influencer les États-Unis avec cette histoire, on peut se dire qu’on pourrait subir des attaques sur nos politiques.

LaPalice : Le vibromasseur c’est parce que j’en parle dans mon titre, je ne sais pas pourquoi, mais j’aurai pu utiliser un objet connecté différent pour rendre le risque plus tangible. Comme par exemple la peluche qui enregistre ce que raconte les enfants et le stocke sur un serveur distant. Tu as des outils aussi pour localiser le magasin exact dans lequel tu te trouves pour te balancer la pub parfaite. Pour du marketing ça peut être utile, mais ça peut vite être détourné

La prochaine fois je parlerai de poupée, je suis triste parce que je referai mes dessins que j’ai fait moi même contrairement aux apparences [rires]] D’autres questions ?

Delphine: Je vais meubler, on va passer a la 2è présentation par aeris. On va parler Web et vie privée, c’est dire comme on est raccord ! 🙂

Web, extensions et vie privée

Le web est devenu une usine à nuire à la vie privée des utilisateurs. Découvrons les outils de protection pour reprendre le contrôle !

Par aeris Sur Twitter : @aeris22 Sur Mastodon : @aeris@social.imirhil.fr Diaporama

Je vais essayer de ralentir Public : « quel beau logo »

Présentation d’usage : je suis aeris, cryptotrerroriste radicalisé sur le darknet digital. C’est comme ça que je suis connu dans les services de renseignements. Les slides seront en ligne. Je travaille pas mal autour des cafés vie privée, développeur chez Cozy Coud. La question que je me suis posé c’est : quel est le plus grand méchant ? Et clairement, le pire du pire, c’est le web. C’est devenu un véritable enfer en terme de vie privée. Donc on va voir les risques, et comment s’en protéger.

Problème 1 : Bloatware Sur le Figaro, 9 MO à télécharger pour afficher le site, 12s de chargement, 10 CSS, 2 média…. Juste pour la home du Figaro. Tous les sites sont comme ça, on a eu un article qui parle d’un constat sur l’informatique en général avec des app de plus en plus lourdes sans qu’on sache pourquoi. C’est général.

Ça donne des trucs marrants, quand vous allez sur Medium sans JavaScript, vous n’avez pas d’image. La balise img existe depuis longtemps et ça marchait très bien avant. Le soucis de ces sites, c’est les sites tiers : pourquoi c’est aussi gros ? Pour pouvoir faire du tracking, mettre de la pub etc. et donc la majorité des sites du Figaro c’est des sites tiers. Là on voit bien le site du Figaro avec chacune une vingtaine d’appel. Tout le reste c’est du contenu tiers (il manque encore une image).

Du cloudflare, du Facebook, des trackers (outbrain, taboola…) qui dégueulent votre vie privée pour savoir vos centres d’intérêt , les pages visitées etc. et tout ça est envoyé à des tonnes de personnes. Y’a le JS aussi pour avoir de beau carousel, un menu déroulant etc. Avant on avait de la pagination sur de la donnée, maintenant c’est des requêtes AJAX.

Ça donne des sites tiers partout, partout, partout. Parmi les contenus tiers y’a les cookies qui servent à tracker. Au départ ça sert a vous authentifier. Sans cookie à chaque requête il faut s’identifier.Le marketing a trouvé ça intéressant parce qu’une info stockée sur la machine c’est super pratique pour identifier. Là, sur Madmoizelle.com, on a un cookie qui va on ne sait où, qui va charger du JS, de l’images etc. des données aléatoires etc. et je sais que ça va servir à faire du tracking. Tous ces gens (google etc.) vont savoir où vous allez. L’environnement de la pub c’est mis en place avec le JS et les cookies.

Ça c’est l’écosystème de la pub sur Internet : de la collecte de données, puis le marketing, ils vont s’échanger vos données, faire des centres d’intérêts. « Là il vient du Figaro, donc plutôt de droite, puis un site de sport, donc plutôt intéressé par le foot, puis la un site de l’Éducation Nationale, donc peut être un étudiant ou jeunes actifs »… C’est la qu‘on voit les méta données. Certaines boîtes se vantent d’avoir plus de 1500 données sur toute personne aux États-Unis.

Données : pointure, tailles des fringues… Quand une des boites de marketing veut afficher telle pub, ils vont pouvoir cibler une classe sociale. Si je veux vendre une voiture ça sera des CSP+, entre 35 et 40 ans etc. et cibler des consommateurs plus intéressants. Y’a les bourses d’échanges qui vont dire « j’ai un encart ici » puis une enchère va avoir lieu, en quelques millisecondes. En 100 millisecondes, y’a quelqu’un qui va dire qu’il a une meilleure enchère.

Et c’est pas le Figaro qui gère la pub, c’est un site tiers. Le Figaro ne fait qu’afficher le contenu. Tout ça ça ne marche qu’avec vos données. Y’a les CDN : pour la performance, pour héberger la donnée etc. Donc des gros sites de données utilisés par tout le monde genre Akamai, Cloudfront… qui vont héberger toutes les données statiques. Tu ne vas pas charger jQuery depuis le Figaro, mais plutôt depuis Cloudflair qui va s’en charger.

Ces sites sont énormes, 40°% du trafic mondial. Partout où vous irez, partout où y’a du jQuery, il est probable que ça passera par eux. Et donc ces CDN pourront vous suivre en voyant d’où vous télécharger les ressources.On a un example sur Twitter : Entre deux requêtes, on voit un changement de serveur parce que mon identité a changé. À chaque rafraîchissement je changeais de prestataire.

On va passer aux solutions ? Le but, ça va être de Bloquer le contenu tiers au maximum. La solution utile pour se protéger : Tor Browser. Un firefox customisé par le Tor Project. Isolation des pages (contexte différent, les cookies ne sont pas partagés) ce qui va beaucoup emmerder les plateformes marketing. Ils vont avoir l’impression que c’est un utilisateur différent et donc ils ne pourront pas recroiser les données. C’est un peu extrême, certains n’aiment pas Tor donc on peut avoir des services bloqués. Pas de customisation possible sinon ça redevient identifiable. Même une résolution d’écran peut vous trahir avec les tailles des menus etc… C’est magique, tu démarres et c’est bon.

En classique, HTTPS everywhere : installé par défaut dans Tor Browser Ça va transformer vos requêtes HTTP en version sécurisée (HTTPS). Donc mêmes des vieux liens qui trainent, ce module va réécrire les URL à la volée si HTTPS est installé. Pas d’effet de bord ! Celle là vous pouvez l’installer les yeux fermés. Sur Firefox on a les multi account containers, idée piquée chez Tor Browser. Ça permet de créer des groupes de conteneurs indépendants.

J’en ai un par asso que je gère, un pour Google. Les cookies sont pas partagés par défaut donc dans le container Google j’ai mes cookies Google, mais ils ne seront pas présents dans mes autres conteneurs.J’ai des règles donc si je tape google.fr ça ira directement dans ce container. Tout est cloisonné.

Une autre fonctionnalité c’est la First Party Isolation. Pousser au maximum la logique de container en isolant tout par onglet et site principal. Donc sur Figaro, si vous téléchargez du cloudflare et que vous allez sur madmoizelle qui a aussi cloudflaire, c’est 2 morceaux ne sont connectés entre eux. Il y a des effets bords légers, ça se désactive facilement en cas de soucis. Ils espèrent pouvoir l’activer par défaut a terme. Mon extension préférée : µMatrix

Au début, vous allez la haïr mais après c’est le kiff. Elle va vous afficher toutes les requêtes qui aurait dû partir lors de votre visite, seul le premier niveau est activé. Donc votre premier usage, tout sera blanc. Il va falloir activer au cas par cas pour autoriser les requêtes, les scripts etc. C’est un réglage fin, donc tu vas pouvoir débloquer uniquement le CDN du Figaro par exemple, sans laissé par cloudlare.

Au fur et à mesure vous allez mettre des règles, enregistrer vos règles d’une visite à l’autre, et donc au fur et a mesure ça va se débloquer petit à petit et retrouver une navigation presque normale. C’est très très efficace en terme de protection de la vie privée. Mais ça demande beaucoup de réglage. Vous allez savoir ce qu’on fait, comprendre ce qu’est un CDN « pourquoi j’ai un google.com ? » et un « apis.google.com » ? y’en a un c’est un CDN obligatoire par exemple. Faut y aller à tâtons.

Parfois, on utilise le bouton pause parce qu’on sait qu’on arrivera pas à paramétrer. (et les autres extensions prendront le relai)Les paiements en ligne, c’est une plaie ! c’est la purge absolue, tu vas activer une partie des scripts nécessaires, puis tu vas rafraichir et d’autres sites tiers vont arriver parce que le site tiers charge d’autres contenus etc. 3Dsecure pour ça c’est une catastrophe. C’est le cas aussi avec Google API par exemple, des sites tiers qui appellent des sites tiers etc. J‘ai des tickets ouvert sur le GitHub pour avoir des listes blanches etc.

Après y’a µBlock, si vous ne l’avez pas installé. Ça bloque uniquement la pub. Ça marche de moins en moins bien parce que les sites incrustent les pubs de plus en plus. Donc µblock s’adapte mais ça rate parfois. Sur têtu par exemple, on ne sait plus faire la différence entre contenus et pub. Y’a des listes qui existent pour avoir un pré-réglage adapté a votre profil (européen, US etc.). Assez efficace, 22% du trafic bloqué. NoScript bloque tous les JavaScript. Vous autorisez ensuite domaine par domaine. Je ne m’en sers plus parce que j’ai uMatrix mais c’est plus simple à utiliser, ça peut servir d’entrée en matière.

Si vous ne voulez pas galèrer avec µMatrix, installez NoScript. Disconnect s’occupe de tout ce qui est réseau sociaux. Les trackings etc. Ça bloque la pub mais moins efficacement que µblock. Quasiment tous les sites que vous visitez on des boutons « +1 », « j’aime » etc. et ça vient directement de Google ou Facebook, ce qui leur permet de vous tracker facilement. Vous pouvez l’installer les yeux fermés. En cas de pépin avec µmatrix, ça peut être une alternative. Decentraleyes : utile pour les sites tiers largement partagés.

L’extension va les embarquer nativement, donc elle est lourde mais quand votre navigateur va essayer de charger ces requêtes, l’extension va intercepter et utiliser ce qui est ne local. Donc c’est plus rapide, ça évite des requêtes, et ça rend aveugle les gros CDN etc. Les Cookies sont la plaie d’internet, il y a Cookie Autodelete qui va vous afficher tous les cookies qui essayent de s’installer et vous allez pouvoir autoriser au cas par cas. Par défaut il va tout autoriser, puis il supprimera après un certain temps. Si vous voulez garder un cookie en particulier vous allez pouvoir le sauvegarder plus longtemps.

En divers et varié : SmartReferer. À chaque page que vous visitez, le site sait d’où vous venez par défaut. Smartreferrer permet de bloquer ça. « Smart » parce que y’a des sites qui ne sont pas content sans cette info. Donc en remplaçant le referrer il essaye de mettre la page que vous voulez voir en origine ce qui feinte les outils. Redirect AMP to HTML

Les sites lourds à charger c’est une plaie, donc Google a dit « on va refaire HTML, on va appeler ça AMP et tout stocker chez nous ». On va bloquer JavaScript etc. et du coup ça chargera beaucoup plus vite. Donc ils ont réinventé le HTML mais version centralisée car tout est obligatoirement stocké chez Google. Donc cette extension va vous rediriger vers le vrai serveur du contenu et pas ceux de Google. Sans bloatware, on aurait pas eu besoin de ça.

Au revoir UTM :Mauvaise pratique des marketeux qui aiment bien savoir d’où vous venez, après quel bouton, lien etc. Donc il mette dans l’URL des paramètres qui vont dire ça vient de tel ou tel endroit. Google a été le premier avec les paramètres « UTM ». L’extension réécrit a la volée et vire ces paramètres.

En truc pénible et chiant : Behind the overlay : Après le RGPD c’est devenu quasi obligatoire, avec tous les fenêtres qui s’affichent par défaut pour recueillir vos consentements. La ça ferme la fenêtre et vous pouvez lire le contenu. Don’t fuck with my paste : autorise le copier coller même quand c’est interdit. Google search link fix. Quand tu cliques sur un lien tu as l’impression d’être envoyé directement sur le figaro.fr mais en fait tu es passé par 3 serveurs Google entre temps. Cette extension bloque ça et vous fait arriver directement sur le Figaro. [public] On le voit bien avec µMatrix. I don’t care about cookies ?

Avec tout ça vous devriez être bien protégé. Je ne peux pas garantir que vous ne serez pas trackés parce que les marketeux sont intelligents et réfléchissent beaucoup à ce sujet mais au moins ça sera plus complexe. Vous avez des questions ?

Public : Adblock ?

Aeris : Equivalent de µBlock. Le problème de Adblock c’est qu’il a décidé de passer des partenariats avec des régies de pub : si vous payez on ne bloque pas. « Les pubs acceptables » qui sont défini par l’argent versé. Sur µblock c’est pareil y’a eu des soucis, donc il faut utiliser µBlock Origin.

Public : Pour le blocage des copy/paste : tu as un paramètres sur Firefox qui permet de désactiver les événements sur le copy/paste si besoin.

Aeris : Des fois on aime bien, genre sur GitHub

Public : Y’a des équivalents sur mobile ? Vu que la consultation augmente.

Aeris : C’est plus compliqué parce que difficile d’installer des extensions Vous pouvez déjà utiliser Firefox focus. Vous pouvez installer blockada (c’est un peu violent), s’installe comme un VPN et lui va dégager les sites connus pour être traçant. Et pas que sur le web, mais pour toutes vos applications etc. C’est plus dur sur mobile, trop verrouillé.

Y’a des firewall pour autoriser l’accès à internet par application. Type un anti-moustique qui voulait accéder à internet. Déjà n’installez pas ça, mais si vous voulez, n’autorisez pas Internet. Iphone c’est mort, mais c’est plus propre : une meilleure analyse en amont par le store ce qui vous protège en partie.

Y’a une boite qui s’était fait prendre : ils ne demandaient pas la géolocalisation, mais via le bluetooth ils pouvaient savoir quel périphérique était autour et si ce périphérique était géolocalisé, alors l’app pouvait vous retrouver via du matching. Ils se sont fait avoir et ce n’est plus tellement répandu. Le marketing est intelligent, plein de ressources et sont capables de faire des trucs très très gores. On peut se faire peur avec… : Typiquement ça 1.1.1.1 l »‘ip n’est pas a eux, c’est juste intercepté à la volée.

Je vous invite à faire le test chez vous : amiunique.com. Ça vous donne l’empreinte de votre navigateur. Arrêtez de stocker vos font chez Google. Donc là j’ai quelques informations qui peuvent être recoupées. On est 40% sur linux etc. et, au final, avec toutes les empreintes on peut me retrouver.

Do not track permet de vous discriminer par exemple : la résolution de l’écran, stockage local, les canvas apparus en HTML5 qui permettent de dessiner et ensuite ils viennent relire ce qui a été dessiné parce que chaque carte graphique est différente et donc ils peuvent identifier la carte et recouper les infos. Y’a aussi panotpiclick.com Ah oui forcément startpage pas Google en page par défaut !

Juste pour rigoler…. (je débloque les scripts au fur et à mesure sur µmatrix…) Ils doivent détecter à peu près la même chose que l’autres, genre les canvas : le hash est le même. La taille de l’écran etc. les polices système installées sur le navigateur etc. Si l’écran supporte le tactile pareil c’est détecté etc. Éviter le web !

Signal vs. Silence

Présentation et comparaison de deux applications mobiles (Signal et Silence) améliorant la protection de votre vie privée en chiffrant vos communications textuelles (SMS) quotidiennes.

Par Kheltdire Sur Twitter : @kheltdire Sur Mastodon : @Rambobafet@mastodon.roflcopter.fr Diaporama

Sébastien from ekinoExperts.

Je suis un profane éclairé sur le sujet. On va parler de Signal et Silence, deux applications mobiles. Nous parlerons de sms et discussions instantanés. Ça c’est une citation de Snowden (Citation attribué à Richelieu) : “peu importe ce que vous raconter et à qui, on peut le retourner contre vous“. Dans le doute, ne rien dire. Le plus important c’est de définir son modèle de menace:

De qui on se protège ? État, Google ? Se protéger de la surveillance de masse ?

Une fois qu’on a répondu à cette question, on peut réfléchir aux outils à adopter. Aucune solution ne couvre l’ensemble des modèles de menaces (à part vivre dans une grotte, et encore, il y a des ours). Aujourd’hui, le téléphone est moins sûr qu’un pigeon voyageur. Un pigeon, on ne peut pas trop le tracker, on sait ou il va a la limite mais pas d’ou il part, contrairement à un message envoyé depuis votre téléphone.

Prenons un super SMS : il y a le contenu (« Salut lapin, je serai à Saint Laz à 18h »). Il y a également des métadonnées : qui parle à qui, quand ? à quelle fréquence ? Il n’y a pas besoin du contenu pour vous traquer, les métadonnées peuvent suffire.

Un exemple d’attaque : les IMSI catchers : une fausse antenne qui intercepte l’ensemble des communications dans un coin, et qui le transmet à une vraie antenne. C’est ce qui a permis de traquer Paul Bismuth (N. Sarkozy) Pour vous, c’est complètement transparent, mais tout est capté au milieu. Même si vous n’avez rien à vous reprocher, si il y a un suspect dans votre proximité géographiques, vos communications peuvent donc être interceptées.

À défaut de protéger le contenant, on va protéger le contenu : chiffrer ses communications, varier les canaux, changer d’outils.

Un des problèmes de la sécurité, c’est la friction : fermer la porte de chez soi à clefs, c’est 4 actions supplémentaires pour protéger ses biens. Donc : jusqu’où on veut aller pour se protéger.

Signal et Silence : Deux applis différentes, Signal est plus complète et est compatible iOS (et gère les appels téléphoniques). Pour choisir, examinons notre modèle de menaces :

  • CONTRE LES GAFAMS : Silence, pas besoin d’un compte Google
  • CONTRE MON ÉTAT : Signal : pas de FAI, pas d’hébergement sur le territoire, tout aux USA
  • CONTRE LA NSA : Silence, qui envoie de VRAIS SMS, contrairement à Signal. Le trafic internet est plus facile à mettre sur écoute. En plus, dans votre contrat téléphonique, vous avez un accord avec votre opérateur, c’est plus facile de se retourner contre lui.

En termes de facilité : Signal chiffre appels, messages, s’installe de partout, etc. Aucune configuration nécessaire, synchronisation, etc.

Pour masquer ses contacts : Silence, parce que pas de synchro sur un serveur distant. Si vous ne voulez pas activer la data en permanence : Silence. Récapitulatif disponible dans les slides .

Autres applis :

  • Whats app : bonne sécurité mais appartient à Facebook.
  • Telegram : sécurité mal conçue, chiffrement avec le serveur par défaut, pas end to end.

Personnellement j’utilise les deux : Silence par défaut, Signal pour iOS et pour le chat mobile desktop

TLDR : il est important de définir son modèle de menaces pour définir sa sécurité : ne pas recommander des outils trop techniques pour des gens pas techniques.. Par exemple, quand il s’agit de protéger ses sources, c’est peut-être pas idéal d’utiliser un téléphone mobile, même chiffré. Combien sont chiffrés à proximité ? Est-ce géolocalisable ?

Pour aller plus loin : bibliographie, la présentation sera disponible dans les heures qui suivent.

Remarque : Signal a beau être open source, ils ont une fâcheuse tendance à attaquer tous ceux qui essaient d’implémenter leur protocole.

Sensibilisation à l’accessibilité numérique

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Dans le cadre du GAAD 2018, journée mondiale consacrée à la sensibilisation autour de l’accessibilité, ekino organise, le 17 mai, un meetup dans ses locaux, dédié à l’accessibilité.

Avant cet événement, il nous a paru judicieux de faire quelques rappels autour des notions d’accessibilité numérique, de situation de handicap et de contexte d’utilisation.

Situation de handicap et déficience physique

En tout premier lieu, il nous paraît important de différencier la situation de handicap de la déficience physique. Prenons un exemple simple : une personne en fauteuil roulant est en situation de handicap face à un escalier. Mais, assise devant son ordinateur pour surfer sur Internet, elle est dans la même situation qu’un valide (une personne sans déficience physique), accédant parfaitement à son outil.

Contexte d’utilisation

C’est souvent le contexte d’utilisation qui détermine si on navigue en situation de handicap ou non.

Un écran qui rend l’âme, une souris dont les piles sont épuisées, un grand beau soleil qui éclaire l’écran de notre mobile, autant de contexte qui peuvent nous mettre en situation de handicap : naviguer sans voir, naviguer au clavier, être dépendant de la qualité des contrastes de couleurs.

L’aide technique

Une aide technique, c’est un dispositif qui va palier à une déficience (physique ou autre) pour éviter une situation de handicap. Un exemple courant : les lunettes de vue sont une aide technique qui palit à une déficience physique pour éviter le flou, le trop petit. Autre exemple : le lecteur vocal est une aide technique qui permet de naviguer sur Internet en se faisant lire les pages et en activant les liens via des touches et non des clics de souris.

Rendre accessible

En fait, toute personne qui navigue sur Internet le fait via un dispositif technique. Que ce soit un lecteur vocal, visuel (comme votre Google Chrome, Internet Explorer, Firefox, etc.) ou encore un robot d’indexation sur lequel vous compter pour donner de la visibilité à votre site, c’est toujours via une machine qu’on accède au web.

Rendre un site accessible, c’est donc rendre un site accessible à une machine – celle choisie par l’utilisateur – qui restitue alors les pages à l’utilisateur. Or, pour que notre site soit compréhensible par les machines, les recettes sont « simples » : respecter les standards.

Standards d’accessibilité

Les standards du web sont émis par le W3C. Le but est que les différents acteurs se réfèrent à des normes communes pour éditer et restituer des pages web. Au sein du W3C, un groupe dédié à l’accessibilité, le WAI, édite des spécifications comme, par exemple, les WCAG.

Les bénéfices

Mais du coup, si les sites sont « consommés » par des machines qui les restituent à des humains, et que ces humains sont dans des contextes toujours différents (déficience, contexte, panne temporaire, environnement, outils utilisés, etc.), toutes les machines bénéficient de l’accessibilité ? Oui. Et donc en visant l’accessibilité on vise un maximum de contextes d’utilisation ? Oui.

Notez qu’en dehors de l’audience, l’accessibilité favorise aussi l’utilisabilité, la portabilité, le SEO, l’image de marque, etc.

Quelques liens

C’était, bien sûr, un rapide panorama d’introduction à l’accessibilité numérique.
Autour de cette thématique, retrouvez notamment :

Les « makers » de demain

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

La [Coding School][1] est une structure qui a décidé de faire de nous des makers, des acteurs de notre quotidien, en utilisant les technologies à notre disposition. Si elle s’adresse aux enseignants, aux chercheurs d’emploi, aux salariés, etc., l’école s’adresse aussi aux enfants, à partir de 7 ans.

Le mois dernier, j’ai eu l’occasion de parler avec Sylvain Zyssman, de la Coding School, mais surtout avec Kylian, 14 ans, participant aux activités de la Coding School, et avec sa petite sœur, Aélita, 10 ans.

Kylian et Aélita sont des makers ; selon les propres mots de Kylian, ils “fabriquent des choses pour leur quotidien”.

Ce qui est ressorti de cette conversation raisonne avec nos métiers numériques (et peut-être encore plus pour ceux qui sont parents). En effet, les enfants sont les innovateurs de demain. Sans même parler d’innovation, les métiers qu’ils exerceront n’existent probablement pas encore [(1)][2]{#RetourNote1} mais on peut d’ores-et-déjà les y préparer.

Le parti-pris de ce type d’école, c’est de faire connaître aux enfants les technologies et leur montrer qu’ils peuvent les comprendre et s’en servir. À coup de visual programming, d’imprimante 3D, de servomoteur, ce sont des chaussures qui s’allument, des gamelles de chat qui préviennent quand elles sont vides ou des catapultes à compte-à-rebour par LED. Peu importe la finalité, on ouvre ainsi des portes dans l’esprit des enfants qui, plus tard, imagineront des usages – auxquels nous n’aurions jamais pensé – sans même se creuser la tête.

Et les enfants ne pensent pas qu’à jouer ! Lors de Coding Camp, ils ont imaginé un sac-à-dos équipé d’un accéléromètre et d’un feu stop qui s’allume automatiquement quand l’enfant freine à vélo. Ailleurs, on a vu des enfants concevoir une veste qu’ils destinent aux malvoyants et qui vibre quand on s’approche d’un mur.

Lors de notre conversation, Kylian me sort de sa boîte à outil un traqueur solaire et m’explique que, grâce à trois photorésistances qui vérifient qu’elles ont la même luminosité et entraînent un déplacement si ce n’est pas le cas, on peut optimiser la meilleure exposition possible au soleil.

Si toutes les inventions des enfants ne nous seront pas utiles (mais qui oserait dire qu’un tweet envoyé à chaque fois que le chat va dans sa litière n’est pas nécessaire à l’Humanité ?), leur ouvrir les portes des nouvelles technologies, de l’innovation et du pouvoir de faire soi-même est déjà énorme.

En apprenant des nouveaux outils, des nouvelles compétences, les enfants prennent confiance en eux, parfois en réalisant des choses que leurs parents ne savent pas faire, parfois en acquérant un savoir-faire qui leur sera utile par ailleurs mais qu’on avait pas pensé à leur apprendre (comme Aélita qui fait maintenant de la soudure).

On l’a vu, les enfants mettent ça à leur service (comme des chaussons qui s’allument la nuit) mais aussi au service des autres (des gants qui retranscrivent la langue des signes). La manipulation des nouvelles technologies devient aussi évidente pour eux que l’utilisation de réseaux sociaux l’a été pour la génération les précédant. De là, inventer les usages qui vont avec viendra naturellement et, comme ils auront les savoir-faire pour, ils pourront concevoir et produire ; être des makers.

Le projet en cours de Kylian : un bras articulé composé d’un arduino, de cinq moteurs et d’une led, programmé pour être contrôlé depuis le mobile par bluetooth.

Aller plus loin :

Zéro gâchis mais plein de questions

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Sud Web est une conférence surprenante où le programme a parfois l’air de nous parler de tout à fait autre chose que de nos métiers. Parmi les différentes présentations de cette édition 2016, la conférence sur la couture, « Zero waste » par Mylène L’Orguilloux, peut paraître hors sujet au premier abord. On se dit que c’est sympa parce qu’elle parle de limiter le gâchis et que ça fait partie des considérations actuelles de notre société, mais pas de notre domaine professionnel.

Et pourtant.

Pourtant, on peut (et Sud Web nous y incite fortement) faire plusieurs rapprochements avec nos façons de travailler.

Si on garde le point de vue citoyen, on a nous aussi des questions à se poser vis-à-vis de l’empreinte écologique de nos métiers. Je me rappelle d’ailleurs de la conférence « Internet et les TIC, pas très écologiques ? » de Luc Poupard où j’ai appris que ça allait bien plus loin que je n’imaginais.

À notre tour de nous poser des questions : Quels sont les gâchis dont nous sommes responsables, Quels sont les impacts de notre système sur les ressources de la planète ? Comment faire mieux ?

Mais on peut aussi y voir d’autres choses. Le jeu des questions-réponses à la fin de la conférence a donné des pistes en ce sens.

Car cette conférence n’a pas que proposé un système pour éviter le gâchis. Cette conférence nous dit qu’on peut – et doit – se poser des questions sur le domaine dans lequel on travaille. Et qu’on ne doit pas s’empêcher de remettre en question une industrie sous prétexte que les standards sont établis depuis des décennies et que les changer serait compliqué. On peut et on doit voir les problèmes que le système établi entraîne (depuis toujours ou parce que les choses changent) et chercher des solutions.

Pour ne ramener ce parallèle qu’à notre domaine professionnel, Sud Web nous parle là de garder l’esprit ouvert par rapport à nos habitudes (de conception, de développement) et à penser en fonction de notre contexte actuel (qui, dans le web, est toujours différent de ce qu’il était un an plus tôt).

De plus, le web est encore jeune. On a (peut-être) quitté la phase du défrichement, on est encore dans de l’artisanat (même si on a mis en place quelques automatisations) ; on n’est pas encore à une échelle industrielle mais on est en train de la préparer.

Prend-on le risque de s’enfermer dans une industrie qu’on ne saura plus bouger ? Est-ce un risque inévitable ? Réussira-t-on toujours à garder de la place pour les “petits”, pour les “différents” qui en fait apportent un regard que l’on n’aurait pas, et donc de l’innovation ?

Nos frameworks, si efficaces et qui nous font gagner à la fois du temps et de l’homogénéité, vont-ils en fait se refermer sur nous et va-t-on s’enfermer dans des systèmes qui nous laisseront bien moins créatifs que ces premières années de web où tout est possible ?

Un autre parallèle que l’on peut faire, c’est le fonctionnement en silo. La complexification du web a entraîné des spécialisations par métier de plus en plus ajustées. Or, Mylène nous fait remarquer que dans l’industrie de la couture les changements sont difficiles puisque la main gauche (le modiste) ignore ce que fait la main droite (la production). Comment faire, dans le web et le numérique, pour éviter cet écueil et rester proches des problématiques les uns des autres ? Le pair-programming, les principes de l’agile, les démarches qualité et transverses telles que Opquast, sont des premiers éléments de réponse. Est-ce que cela suffira ou faut-il aller plus loin ?

Beaucoup de questions auxquelles je ne sais pas répondre (et vous ?) mais qui doivent, à mon sens, nous rester à l’esprit à nous professionnels du web du début du 21e siècle, c’est-à-dire de ceux qui vont donner une première direction au web industriel.

Voir aussi le retour de Pierre-Yves : Sud Web 2016 @ Bordeaux ; et celui d’Isabelle : Sud Web ou comment j’ai découvert mes super pouvoirs.

Photo : Sud Web

De mon intérêt – partagé – pour la LSF

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

De retour de Paris Web 2015 — Ce billet pourrait avoir l’air d’un billet commercial (1) et pourtant, c’est bien spontanément que j’ai eu envie de l’écrire. La LSF (Langue des Signes Française) a beaucoup fait partie de mes journées ces derniers temps, pour différentes raisons, et l’avoir autant présente m’a donné envie d’en parler et de faire quelques constats.

Il est vrai que nous avons rarement l’occasion de nous y intéresser dans notre quotidien. Il y a bien la dame en médaillon de la diffusion des débats à l’Assemblée Nationale, mais, admettons-le, ce n’est pas le programme le plus regardé.

En dehors de l’anecdote d’un hurluberlu faisant des signes aléatoires lors des funérailles de Nelson Mandela (2)on nous parle peu de langue signée.

Paris Web est, sauf erreur de ma part, la seule conférence technique en France à assurer l’accessibilité de l’événement : locaux, vélotypie et interprétariat LSF. Cette accessibilité va au-delà de la déficience physique puisque les conférences sont retransmises en direct gratuitement, les conférences anglaises traduites en simultané. Après tout, le but de l’association est de “promouvoir […] un web de qualité” (3) pas de le garder pour quelques privilégiés (600 tout de même !)

J’ai pu constater, à Paris Web mais pas seulement, la curiosité que suscite la LSF. Je pense que nous sommes beaucoup à être fascinés par cette langue non orale où une personne arrive à faire comprendre des phrases toutes aussi complexes que dans une autre langue en bougeant les bras.

Mais je ne m’étais pas rendue compte à quel point les gens autour de moi pouvaient s’y intéresser.

Le succès de la conférence dédiée à la LSF qui a eu lieu à Paris Web ne s’explique pas que par les très bons traits d’humour. Les tweets qui ont été retrouvés pour l’occasion témoignaient d’un grand intérêt pour ces gestes qu’on ne comprend pas.

En dehors du cercle de Paris Web, une experte accessibilité me disait récemment qu’elle était fascinée par la LSF dès son jeune âge et que finalement, elle s’intéressait encore plus à la LSF qu’à l’accessibilité numérique.

On en a parlé sur notre fil Twitter, le sponsoring de la LSF par notre entreprise a suscité l’envie de communiquer en interne en indiquant comment signer quelques mots.

Un de mes amis a des problèmes auditifs qui de gênants sont devenus handicapants récemment. Il n’exclut pas de devenir sourd un jour. Je n’exclus pas d’apprendre la LSF pour faciliter mes conversations futures avec lui (je crois qu’il s’entraîne déjà à lire sur les lèvres et, étant entendant, il continuera à oraliser ; la LSF ne serait qu’une aide dans ce cas particulier, je crois).

Je me suis d’ailleurs posé la question d’apprendre la LSF avant ça. Des amis à moi l’ont fait mais, comme tout autre langue, il faut avoir l’occasion de pratiquer, sinon c’est perdu.

Une autre de mes amies avait eu cette occasion : l’un de ses nouveaux collègues était sourd. Elle a appris la langue pour pouvoir travailler avec plus de fluidité au quotidien avec lui.

Il y a aussi des cas où la langue signée est utilisée sans contexte de surdité. En effet, certaines personnes apprennent des signes à leur nouveaux-nés car ils seront capables de les utiliser pour communiquer avant d’être capables de formuler les phrases ou même les mots.

On m’a raconté plusieurs cas, certains qui ont marché et d’autre moins. Un père qui avait fait ce choix me disait un jour avec enthousiasme que son fils était non seulement capable, avant de savoir parler, de lui dire qu’il avait mal mais en plus de lui dire où (ou de lui dire qu’il avait faim mais que c’était un gâteau qu’il voulait ; encore plus important !)

J’ai pu également voir un bout de chou tout intimidé à l’idée de devoir dire bonjour (vous aussi vous avez vu ça des centaines de fois, non ?) s’en sortir en faisant le signe de bonjour.

Enfin, peut-être parce qu’elle fait maintenant partie de mon entourage, il m’arrive maintenant souvent de me dire que parler la LSF m’aurait été utile : pour échanger discrètement (que ce soit pour garder confidentielle une info à partager rapidement, pour ne pas déranger autour de soi ou pour ne pas crier à travers une pièce).

J’ai le sentiment d’avoir récemment basculé de la fascination pour quelque chose qui m’était totalement étranger mais un peu anecdotique aussi à quelque chose d’intégré dans mon quotidien, dans mon entourage et en passe de venir rejoindre ma “normalité”. Bref, ce que ça devrait être.

Maintenant, si vous voulez savoir qui a vraiment inventée la LSF, pourquoi elle ne peut pas être internationale ou comment on dit “HTML”, je vous invite à surveiller les actualités de Paris Web qui ne manquera pas de mettre en ligne l’excellente conférence de Sandrine Schwartz sur la LSF.

(1) En effet, ekino a sponsorisé la LSF à Paris Web cette année.

(2) Cérémonie de Mandela : le traducteur imposteur

(3) Les statuts de l’association Paris-Web

Photo Mathieu Drouet – Agence Take a sip

Innovation …et handicap ?

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

À Blend Web Mix, on m’a parlé Human Design, innovation, Service Design, etc. Moi qui ne suis pas designer, j’ai néanmoins accueilli tout ça avec beaucoup d’intérêt et cela m’a donné quelques pistes de réflexion.

Si tout n’a pas été tout de suite clair, une chose est sûre, dès le début : quelle que soit l’approche – son nom, son objectif – ces concepts ramènent tous à un seul facteur : l’utilisateur.

Quand Geoffrey Dorne parle de design pour l’humanité, par exemple, il nous dit tout de suite qu’il axe sa conception sur ce qui sera utile pour l’homme. Bertrand Cochet, en présentant le service design, énonce comme premier principe de mettre l’humain au cœur du service.

Comment est-ce que cela peut se traduire ? En se mêlant à la foule, en observant l’utilisateur, en cherchant quels sont ses points de contact et ce qui les déclenche.

Or, en observant les usages, on constate, parmi une foule d’observations, une idée qui me plaît beaucoup : le hacking. Le fait que les personnes détournent un objet ou une application pour couvrir un besoin qui n’est pas couvert autrement. On trouve une foule d’exemples dans le mouvement jugaad, appelé aussi innovation frugale. Depuis l’apport de lumière via une bouteille en plastique en passant par un champ labouré avec un balai et un vélo, les points communs sont :

  • un besoin qui n’était pas couvert ;
  • et une astuce avec des objets qu’on a sous la main pour y répondre soi-même.

Car c’est bien le besoin, finalement, qui sert de gouvernail ; l’objet lui-même, son esthétique et son aura technique sont moins critiques que le service rendu. Je dis souvent que je ne peux pas me servir d’un site s’il n’est pas beau. Mais c’est faux. S’il m’est utile, n’en déplaise à mon sens esthétique, je m’en servirai.

En remettant les usages comme source et objectif à la réflexion, on crée des services qui n’existaient pas avant cette démarche, car d’autres principes prenaient le pas. Je pense ici à l’opposition entre la propriété – ma voiture, mon vélo – et le besoin – un trajet. En s’affranchissant de la propriété, on a pu voir surgir, par exemple, les véhicules citadins en “location” (Vélo’V, Vélib’, Autolib’). C’est le service qui prime ici, pas la possession.

Parfois, le besoin va même créer des nouveaux modèles économiques. La location de lieux de vacances de particulier à particulier est né du besoin d’économiser (et de gagner) de l’argent. L’échange d’appartement se pratique depuis longtemps et on a vu aussi se déployer ses déclinaisons sur Internet (couch surfing, Airbnb, etc).

On voit alors que le produit n’est plus systématiquement au cœur de la consommation. À une époque où la technologie nous permet de repousser les limites toujours plus loin – des appareils électroniques toujours plus petits par exemple, l’innovation est-elle vraiment dans ces prouesses ?

Non sans humour, Raphaël Yharrassarry questionne l’innovation et rappelle que la distance moyenne entre l’oreille et la main n’a pas changé en dix ans. Ce n’est donc pas nécessairement dans un mobile de plus en plus petit qu’est l’idée révolutionnaire qui marchera mieux que les autres.

C’est un constat que les agences marketing ont fait depuis quelques années et elles ne proposent pas un site ou un produit sans prévoir son “dispositif digital”. C’est aussi un constat que l’atelier d’Ekino fait aussi en questionnant, entre-autres, les nouveaux objets pour en trouver les usages pertinents. Le gadget seul – “l’hypertechnologie” qui permettait d’animer tout un repas de famille il y a dix ans – ne fait plus vendre s’il n’y a pas un service avec.

Si la clé du succès tient dans le service rendu à l’utilisateur, alors l’innovation ne passe peut-être que par l’observation des difficultés que rencontrent les autres. La bonne idée ne doit pas être de trouver des objets plus luxueux, plus chers, plus performants, mais bien d’aplanir les gênes et de faire disparaître les manques.

Alors, on en arrive à une quête du confort de l’utilisateur.

Or, des difficultés, on en rencontre tous au quotidien. Depuis les choses les plus insignifiantes (un lacet qui se défait toujours) aux plus contraignantes (les problèmes de transport, par exemple).

Et quelles sont les situations où l’on rencontre le plus de difficultés ? Les situations de handicap.

Alors, de là à dire que la prise en compte du handicap est une voie en or pour l’innovation, il n’y a qu’un pas que je franchis allègrement !

Photos hobvias sudoneighm et Mark Walz