Transcript du meetup Protection des données personnelles chez ekino le 25 octobre 2018

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Le 25 octobre 2018, nous avons eu le plaisir d’organiser un meetup autour d’un thème qui nous est cher : la protection de nos données.
Aeris, LaPalice et Kheltdire nous ont fait l’honneur d’une présentation chacun. Voici leurs diaporama et le transcript de la soirée.
Merci à nos orateurs et merci à vous qui êtes venus parler données personnelles avec nous.
Maxime, Sébastien et Delphine.

Transcript, à la main et avec beaucoup d’amour, du meetup « Protection des données personnelles », le 18 octobre, chez ekino, à Levallois-Perret

Avertissment : Ce transcript a été écrit à la volée, pendant le meetup, par des volontaires qui ont fait au mieux. Il n’a été qu’à peine retouché ensuite. Il peut donc contenir des erreurs et ne constitue pas la retranscription exacte de ce qui s’est dit.

Bonsoir, On va pouvoir commencer, merci d’être venu. Ici ce n’est pas la réunion Lycos, mais le meetup données personnelles. Je laisse la parole à LaPalice…

« Mais moi j’ai rien à cacher », la vie privée à l’ère de Trump et des vibromasseurs connectés

Vous n’avez rien à cacher, et moi non plus. Jusqu’à ce que mon vibromasseur fasse augmenter le prix de mes billets d’avion. Par LaPalice Sur Twitter : @NLaPalice Sur Mastodon : @LaPalice@framapiaf.org

Bonsoir, J’ai très peu préparé, parce que je veux plutôt une discussion ensemble 🙂 Merci d’etre venu malgré le titre douteux. On va parler de vibromasseur, de Trump etc. … Vous êtes familier adu sujet des données privées ? [beaucoup de gens lèvent la main] Vous êtes plutôt familier sur le sujet, donc ce soir on va voir comment s’adresser aux gens qui ne sont pas familier au sujet. « Toi tu n’as rien a caché, mais tes emails sont sur Gmail donc si quelqu’un qui a quelque chose à cacher te contact, alors google le saura.” C’est un bon argument mais ça ne convainc pas les gens qui disent n’avoir rien à cacher.

Généralement, les gens n’ont pas de problème de avec le partage de leur vie privée si ce n’est pas un humain derrière.

On va partir du principe que nous faisons confiance a Google, Amazon etc. et partir du principe que nous ne sommes pas activiste politique, criminel etc. ce qui nous donnera des exemples de discussion à mener avec des gens qui n’ont rien a cacher en leur présentant des situations qu’ils peuvent vivre.

On va parler de cul et de politique. Les gens, ils sont normaux, ils sont contents parce qu’ils n’ont plus à se soucier de leur vie privée. Les 3 histoires qu’on va raconter sont sur le confort, la centralisation, et le manque de sécurité.

Le confort aujourd’hui c’est : – Des enceintes connectées à qui tu vas pouvoir demander de monter le son pendant que t’es sous la douche. De plus en plus d’amis de mes parents en ont. Je leur ai fait le laïus sur la pose d’un micro chez eux, et ça ne les touchait pas. Jusqu’au jour où je leur ai envoyé cet article où Amazon n’a rien fait de mal ; il y a juste eu un bug qui s’est produit. L’histoire c’est un couple entrain de “parler” , et Alexa est dans le fond, elle croit entendre un ordre « message » donc elle demande si elle doit enregistrer. Le couple lui répond « oh oui », elle enregistre. Puis elle pense entendre « Envoyer », elle demande confirmation. Le couple « oui, oui », et donc tu as un enregistrement du couple qui est parti à un tiers et les gens sans contrôle. Alexa transfère mon orgasme à ma patronne. Tu es content qu’Alexa soit toujours entrain de t’écouter pour lui donner des ordres, mais tu ne fais plus attention et ça peut vite basculer sans que ce soit malveillant.

Deuxième histoire : centralisation Facebook est très très pointilleux sur la vie privée MAIS ça reste avant tout une régie publicitaire. Donc t’envoyer le bon message au bon moment ça reste quand même très pratique.

Quand tu es de l’autre coté, donc celui qui met en place une campagne de pub, tu as accès à un réglage très fin pour atteindre tes cibles. Je ne croyais pas trop à l’ingérence russe lors de la campagne présidentielle américaine, ou alors je pensais qu’ils avaient juste créé des milliers de bots pro-trump. Mais en fait c’était beaucoup plus fin : ils ont ciblé les écologistes, par exemple, pour les inciter à voter pour un autre candidat que Sanders ou Clinton. Ils ont pensé leur stratégie beaucoup plus en amont. Si quelqu’un votait pour un tiers candidat, c’est plus fin et ça évite d’être trop visible. Ça n’a été possible que parce que Facebook donne accès à un filtrage très précis.

Un jour normal sur Facebook ; Facebook leur envoie des infos qui sont censées être sensibles à la pub ciblée. Y’a des gens qui aiment ça, qui préfère une pub ciblée plutôt qu’aléatoire. Les Russes ont profité des de fuites de données bancaires des américains pour recréer des comptes paypal qui servait à financer les compagnes de pub Facebook. Les américains ont payé leur propre propagande.

Les américains n’avaient rien à cacher a priori, pas d’activiste etc. MAiS en partageant leurs données, ça a permis de les cibler très finement en tapant sur leur attentes en modifiant leur vote. Généralement les gens se foutent de savoir si ils sont influencés sur une pub de vêtement, mais pour la politique généralement c’est une autre histoire.

3e histoire : vibromasseur connecté Ça c’est un vibromasseur connecté, avec une caméra. Fabriqué par la société Svakom. Un jour des chercheurs en sécurité se sont demandés si c’était fiable comme objet. La réponse est non. Login : admin, pas de mot de passe, et tu te retrouves avec tous les données.

Alice ici passe un bon moment avec son vibromasseur, et elle veut partager ce moment avec Bob. Pendant ce temps la Sxavom enregistre tout. Un scammeur peut très bien tomber dessus et vous faire chanter avec le contenu volé de la sorte. Alice qui n’a rien à cacher, se retrouve dans une situation embarrassante malgré elle.

C’est tout pour moi, je souhaite surtout ouvrir la discussion avec vous. Ça fait 2 mois que je bosse dans la sécurité, et avant je bossais dans un milieu libriste avec des gens sensibilisés à la vie privée, maintenant c’est plus le cas. Mes collègues se moquent complétement de leur vie privée, et donc j’ai dû réadapter mon discours pour pouvoir discuter avec eux.

Donc j’ai envie de discuter avec vous, trouver des moyens moins humanistes pour convaincre les gens de l’intérêt de la vie privée. Je vous laisse sur cette citation (de moi) : « Ce n’est pas parce que vous n’avez rien à cacher que rien ne sera retenu contre vous. »

Merci beaucoup

Qui a les deux premières questions ?

Public : Du coup, tes collègues, est-ce qu’ils testent la sécurité ?

LaPalice : Oui. La notion de vie privée chez eux est assez inexistante. Pour eux, tant que c’est sécurisé, ça va. (c’est pas le transcript, c’est mon résumé). Des fois, Google, c’est vraiment la meilleure solution (quand c’est pour te protéger de ta mère, ton copain, etc.) C’est une question de modèle de menace. L’auto-hébergement n’est pas une solution pour se protéger contre sa mère et son copain.

Public :Généralement les gens qui s’intéressent à la vie privée sont plutôt politisés.

LaPalice : Ce sont des enjeux sociaux à long terme mais je ne veux pas laisser les autres à la traîne derrière. Si on explique comment fonctionne le marketing, les implications sociétales comme Trump / Russie, c’est un moyen de faire réagir avec un message qui est mieux reçu.

Public : Si on prend le temps d’expliquer aux gens, mais faut déjà avoir le temps d’expliquer. Et les gens vont trouver ça chiant. Si j’arrive a chopper une minute de temps à l’apéro avec ma famille c’est la fête. Il faut déjà une sensibilisation de base pour pouvoir pousser la discussion.

Public ou LaPalice ? : Est ce que tu fais aussi du bien aux gens malgré eux ? L’article des enceintes, c’est pour faire réagir mais c’est pas dit qu’ils aient compris les implications sociétales. Là ou le vibromasseur c’est déjà très lointain pour eux. Idem pour Trump ou on peut se dire que les mécanismes électorale française est différentes etc. De voir qu‘« un état « dissident » peut influencer les États-Unis avec cette histoire, on peut se dire qu’on pourrait subir des attaques sur nos politiques.

LaPalice : Le vibromasseur c’est parce que j’en parle dans mon titre, je ne sais pas pourquoi, mais j’aurai pu utiliser un objet connecté différent pour rendre le risque plus tangible. Comme par exemple la peluche qui enregistre ce que raconte les enfants et le stocke sur un serveur distant. Tu as des outils aussi pour localiser le magasin exact dans lequel tu te trouves pour te balancer la pub parfaite. Pour du marketing ça peut être utile, mais ça peut vite être détourné

La prochaine fois je parlerai de poupée, je suis triste parce que je referai mes dessins que j’ai fait moi même contrairement aux apparences [rires]] D’autres questions ?

Delphine: Je vais meubler, on va passer a la 2è présentation par aeris. On va parler Web et vie privée, c’est dire comme on est raccord ! 🙂

Web, extensions et vie privée

Le web est devenu une usine à nuire à la vie privée des utilisateurs. Découvrons les outils de protection pour reprendre le contrôle !

Par aeris Sur Twitter : @aeris22 Sur Mastodon : @aeris@social.imirhil.fr Diaporama

Je vais essayer de ralentir Public : « quel beau logo »

Présentation d’usage : je suis aeris, cryptotrerroriste radicalisé sur le darknet digital. C’est comme ça que je suis connu dans les services de renseignements. Les slides seront en ligne. Je travaille pas mal autour des cafés vie privée, développeur chez Cozy Coud. La question que je me suis posé c’est : quel est le plus grand méchant ? Et clairement, le pire du pire, c’est le web. C’est devenu un véritable enfer en terme de vie privée. Donc on va voir les risques, et comment s’en protéger.

Problème 1 : Bloatware Sur le Figaro, 9 MO à télécharger pour afficher le site, 12s de chargement, 10 CSS, 2 média…. Juste pour la home du Figaro. Tous les sites sont comme ça, on a eu un article qui parle d’un constat sur l’informatique en général avec des app de plus en plus lourdes sans qu’on sache pourquoi. C’est général.

Ça donne des trucs marrants, quand vous allez sur Medium sans JavaScript, vous n’avez pas d’image. La balise img existe depuis longtemps et ça marchait très bien avant. Le soucis de ces sites, c’est les sites tiers : pourquoi c’est aussi gros ? Pour pouvoir faire du tracking, mettre de la pub etc. et donc la majorité des sites du Figaro c’est des sites tiers. Là on voit bien le site du Figaro avec chacune une vingtaine d’appel. Tout le reste c’est du contenu tiers (il manque encore une image).

Du cloudflare, du Facebook, des trackers (outbrain, taboola…) qui dégueulent votre vie privée pour savoir vos centres d’intérêt , les pages visitées etc. et tout ça est envoyé à des tonnes de personnes. Y’a le JS aussi pour avoir de beau carousel, un menu déroulant etc. Avant on avait de la pagination sur de la donnée, maintenant c’est des requêtes AJAX.

Ça donne des sites tiers partout, partout, partout. Parmi les contenus tiers y’a les cookies qui servent à tracker. Au départ ça sert a vous authentifier. Sans cookie à chaque requête il faut s’identifier.Le marketing a trouvé ça intéressant parce qu’une info stockée sur la machine c’est super pratique pour identifier. Là, sur Madmoizelle.com, on a un cookie qui va on ne sait où, qui va charger du JS, de l’images etc. des données aléatoires etc. et je sais que ça va servir à faire du tracking. Tous ces gens (google etc.) vont savoir où vous allez. L’environnement de la pub c’est mis en place avec le JS et les cookies.

Ça c’est l’écosystème de la pub sur Internet : de la collecte de données, puis le marketing, ils vont s’échanger vos données, faire des centres d’intérêts. « Là il vient du Figaro, donc plutôt de droite, puis un site de sport, donc plutôt intéressé par le foot, puis la un site de l’Éducation Nationale, donc peut être un étudiant ou jeunes actifs »… C’est la qu‘on voit les méta données. Certaines boîtes se vantent d’avoir plus de 1500 données sur toute personne aux États-Unis.

Données : pointure, tailles des fringues… Quand une des boites de marketing veut afficher telle pub, ils vont pouvoir cibler une classe sociale. Si je veux vendre une voiture ça sera des CSP+, entre 35 et 40 ans etc. et cibler des consommateurs plus intéressants. Y’a les bourses d’échanges qui vont dire « j’ai un encart ici » puis une enchère va avoir lieu, en quelques millisecondes. En 100 millisecondes, y’a quelqu’un qui va dire qu’il a une meilleure enchère.

Et c’est pas le Figaro qui gère la pub, c’est un site tiers. Le Figaro ne fait qu’afficher le contenu. Tout ça ça ne marche qu’avec vos données. Y’a les CDN : pour la performance, pour héberger la donnée etc. Donc des gros sites de données utilisés par tout le monde genre Akamai, Cloudfront… qui vont héberger toutes les données statiques. Tu ne vas pas charger jQuery depuis le Figaro, mais plutôt depuis Cloudflair qui va s’en charger.

Ces sites sont énormes, 40°% du trafic mondial. Partout où vous irez, partout où y’a du jQuery, il est probable que ça passera par eux. Et donc ces CDN pourront vous suivre en voyant d’où vous télécharger les ressources.On a un example sur Twitter : Entre deux requêtes, on voit un changement de serveur parce que mon identité a changé. À chaque rafraîchissement je changeais de prestataire.

On va passer aux solutions ? Le but, ça va être de Bloquer le contenu tiers au maximum. La solution utile pour se protéger : Tor Browser. Un firefox customisé par le Tor Project. Isolation des pages (contexte différent, les cookies ne sont pas partagés) ce qui va beaucoup emmerder les plateformes marketing. Ils vont avoir l’impression que c’est un utilisateur différent et donc ils ne pourront pas recroiser les données. C’est un peu extrême, certains n’aiment pas Tor donc on peut avoir des services bloqués. Pas de customisation possible sinon ça redevient identifiable. Même une résolution d’écran peut vous trahir avec les tailles des menus etc… C’est magique, tu démarres et c’est bon.

En classique, HTTPS everywhere : installé par défaut dans Tor Browser Ça va transformer vos requêtes HTTP en version sécurisée (HTTPS). Donc mêmes des vieux liens qui trainent, ce module va réécrire les URL à la volée si HTTPS est installé. Pas d’effet de bord ! Celle là vous pouvez l’installer les yeux fermés. Sur Firefox on a les multi account containers, idée piquée chez Tor Browser. Ça permet de créer des groupes de conteneurs indépendants.

J’en ai un par asso que je gère, un pour Google. Les cookies sont pas partagés par défaut donc dans le container Google j’ai mes cookies Google, mais ils ne seront pas présents dans mes autres conteneurs.J’ai des règles donc si je tape google.fr ça ira directement dans ce container. Tout est cloisonné.

Une autre fonctionnalité c’est la First Party Isolation. Pousser au maximum la logique de container en isolant tout par onglet et site principal. Donc sur Figaro, si vous téléchargez du cloudflare et que vous allez sur madmoizelle qui a aussi cloudflaire, c’est 2 morceaux ne sont connectés entre eux. Il y a des effets bords légers, ça se désactive facilement en cas de soucis. Ils espèrent pouvoir l’activer par défaut a terme. Mon extension préférée : µMatrix

Au début, vous allez la haïr mais après c’est le kiff. Elle va vous afficher toutes les requêtes qui aurait dû partir lors de votre visite, seul le premier niveau est activé. Donc votre premier usage, tout sera blanc. Il va falloir activer au cas par cas pour autoriser les requêtes, les scripts etc. C’est un réglage fin, donc tu vas pouvoir débloquer uniquement le CDN du Figaro par exemple, sans laissé par cloudlare.

Au fur et à mesure vous allez mettre des règles, enregistrer vos règles d’une visite à l’autre, et donc au fur et a mesure ça va se débloquer petit à petit et retrouver une navigation presque normale. C’est très très efficace en terme de protection de la vie privée. Mais ça demande beaucoup de réglage. Vous allez savoir ce qu’on fait, comprendre ce qu’est un CDN « pourquoi j’ai un google.com ? » et un « apis.google.com » ? y’en a un c’est un CDN obligatoire par exemple. Faut y aller à tâtons.

Parfois, on utilise le bouton pause parce qu’on sait qu’on arrivera pas à paramétrer. (et les autres extensions prendront le relai)Les paiements en ligne, c’est une plaie ! c’est la purge absolue, tu vas activer une partie des scripts nécessaires, puis tu vas rafraichir et d’autres sites tiers vont arriver parce que le site tiers charge d’autres contenus etc. 3Dsecure pour ça c’est une catastrophe. C’est le cas aussi avec Google API par exemple, des sites tiers qui appellent des sites tiers etc. J‘ai des tickets ouvert sur le GitHub pour avoir des listes blanches etc.

Après y’a µBlock, si vous ne l’avez pas installé. Ça bloque uniquement la pub. Ça marche de moins en moins bien parce que les sites incrustent les pubs de plus en plus. Donc µblock s’adapte mais ça rate parfois. Sur têtu par exemple, on ne sait plus faire la différence entre contenus et pub. Y’a des listes qui existent pour avoir un pré-réglage adapté a votre profil (européen, US etc.). Assez efficace, 22% du trafic bloqué. NoScript bloque tous les JavaScript. Vous autorisez ensuite domaine par domaine. Je ne m’en sers plus parce que j’ai uMatrix mais c’est plus simple à utiliser, ça peut servir d’entrée en matière.

Si vous ne voulez pas galèrer avec µMatrix, installez NoScript. Disconnect s’occupe de tout ce qui est réseau sociaux. Les trackings etc. Ça bloque la pub mais moins efficacement que µblock. Quasiment tous les sites que vous visitez on des boutons « +1 », « j’aime » etc. et ça vient directement de Google ou Facebook, ce qui leur permet de vous tracker facilement. Vous pouvez l’installer les yeux fermés. En cas de pépin avec µmatrix, ça peut être une alternative. Decentraleyes : utile pour les sites tiers largement partagés.

L’extension va les embarquer nativement, donc elle est lourde mais quand votre navigateur va essayer de charger ces requêtes, l’extension va intercepter et utiliser ce qui est ne local. Donc c’est plus rapide, ça évite des requêtes, et ça rend aveugle les gros CDN etc. Les Cookies sont la plaie d’internet, il y a Cookie Autodelete qui va vous afficher tous les cookies qui essayent de s’installer et vous allez pouvoir autoriser au cas par cas. Par défaut il va tout autoriser, puis il supprimera après un certain temps. Si vous voulez garder un cookie en particulier vous allez pouvoir le sauvegarder plus longtemps.

En divers et varié : SmartReferer. À chaque page que vous visitez, le site sait d’où vous venez par défaut. Smartreferrer permet de bloquer ça. « Smart » parce que y’a des sites qui ne sont pas content sans cette info. Donc en remplaçant le referrer il essaye de mettre la page que vous voulez voir en origine ce qui feinte les outils. Redirect AMP to HTML

Les sites lourds à charger c’est une plaie, donc Google a dit « on va refaire HTML, on va appeler ça AMP et tout stocker chez nous ». On va bloquer JavaScript etc. et du coup ça chargera beaucoup plus vite. Donc ils ont réinventé le HTML mais version centralisée car tout est obligatoirement stocké chez Google. Donc cette extension va vous rediriger vers le vrai serveur du contenu et pas ceux de Google. Sans bloatware, on aurait pas eu besoin de ça.

Au revoir UTM :Mauvaise pratique des marketeux qui aiment bien savoir d’où vous venez, après quel bouton, lien etc. Donc il mette dans l’URL des paramètres qui vont dire ça vient de tel ou tel endroit. Google a été le premier avec les paramètres « UTM ». L’extension réécrit a la volée et vire ces paramètres.

En truc pénible et chiant : Behind the overlay : Après le RGPD c’est devenu quasi obligatoire, avec tous les fenêtres qui s’affichent par défaut pour recueillir vos consentements. La ça ferme la fenêtre et vous pouvez lire le contenu. Don’t fuck with my paste : autorise le copier coller même quand c’est interdit. Google search link fix. Quand tu cliques sur un lien tu as l’impression d’être envoyé directement sur le figaro.fr mais en fait tu es passé par 3 serveurs Google entre temps. Cette extension bloque ça et vous fait arriver directement sur le Figaro. [public] On le voit bien avec µMatrix. I don’t care about cookies ?

Avec tout ça vous devriez être bien protégé. Je ne peux pas garantir que vous ne serez pas trackés parce que les marketeux sont intelligents et réfléchissent beaucoup à ce sujet mais au moins ça sera plus complexe. Vous avez des questions ?

Public : Adblock ?

Aeris : Equivalent de µBlock. Le problème de Adblock c’est qu’il a décidé de passer des partenariats avec des régies de pub : si vous payez on ne bloque pas. « Les pubs acceptables » qui sont défini par l’argent versé. Sur µblock c’est pareil y’a eu des soucis, donc il faut utiliser µBlock Origin.

Public : Pour le blocage des copy/paste : tu as un paramètres sur Firefox qui permet de désactiver les événements sur le copy/paste si besoin.

Aeris : Des fois on aime bien, genre sur GitHub

Public : Y’a des équivalents sur mobile ? Vu que la consultation augmente.

Aeris : C’est plus compliqué parce que difficile d’installer des extensions Vous pouvez déjà utiliser Firefox focus. Vous pouvez installer blockada (c’est un peu violent), s’installe comme un VPN et lui va dégager les sites connus pour être traçant. Et pas que sur le web, mais pour toutes vos applications etc. C’est plus dur sur mobile, trop verrouillé.

Y’a des firewall pour autoriser l’accès à internet par application. Type un anti-moustique qui voulait accéder à internet. Déjà n’installez pas ça, mais si vous voulez, n’autorisez pas Internet. Iphone c’est mort, mais c’est plus propre : une meilleure analyse en amont par le store ce qui vous protège en partie.

Y’a une boite qui s’était fait prendre : ils ne demandaient pas la géolocalisation, mais via le bluetooth ils pouvaient savoir quel périphérique était autour et si ce périphérique était géolocalisé, alors l’app pouvait vous retrouver via du matching. Ils se sont fait avoir et ce n’est plus tellement répandu. Le marketing est intelligent, plein de ressources et sont capables de faire des trucs très très gores. On peut se faire peur avec… : Typiquement ça 1.1.1.1 l »‘ip n’est pas a eux, c’est juste intercepté à la volée.

Je vous invite à faire le test chez vous : amiunique.com. Ça vous donne l’empreinte de votre navigateur. Arrêtez de stocker vos font chez Google. Donc là j’ai quelques informations qui peuvent être recoupées. On est 40% sur linux etc. et, au final, avec toutes les empreintes on peut me retrouver.

Do not track permet de vous discriminer par exemple : la résolution de l’écran, stockage local, les canvas apparus en HTML5 qui permettent de dessiner et ensuite ils viennent relire ce qui a été dessiné parce que chaque carte graphique est différente et donc ils peuvent identifier la carte et recouper les infos. Y’a aussi panotpiclick.com Ah oui forcément startpage pas Google en page par défaut !

Juste pour rigoler…. (je débloque les scripts au fur et à mesure sur µmatrix…) Ils doivent détecter à peu près la même chose que l’autres, genre les canvas : le hash est le même. La taille de l’écran etc. les polices système installées sur le navigateur etc. Si l’écran supporte le tactile pareil c’est détecté etc. Éviter le web !

Signal vs. Silence

Présentation et comparaison de deux applications mobiles (Signal et Silence) améliorant la protection de votre vie privée en chiffrant vos communications textuelles (SMS) quotidiennes.

Par Kheltdire Sur Twitter : @kheltdire Sur Mastodon : @Rambobafet@mastodon.roflcopter.fr Diaporama

Sébastien from ekinoExperts.

Je suis un profane éclairé sur le sujet. On va parler de Signal et Silence, deux applications mobiles. Nous parlerons de sms et discussions instantanés. Ça c’est une citation de Snowden (Citation attribué à Richelieu) : “peu importe ce que vous raconter et à qui, on peut le retourner contre vous“. Dans le doute, ne rien dire. Le plus important c’est de définir son modèle de menace:

De qui on se protège ? État, Google ? Se protéger de la surveillance de masse ?

Une fois qu’on a répondu à cette question, on peut réfléchir aux outils à adopter. Aucune solution ne couvre l’ensemble des modèles de menaces (à part vivre dans une grotte, et encore, il y a des ours). Aujourd’hui, le téléphone est moins sûr qu’un pigeon voyageur. Un pigeon, on ne peut pas trop le tracker, on sait ou il va a la limite mais pas d’ou il part, contrairement à un message envoyé depuis votre téléphone.

Prenons un super SMS : il y a le contenu (« Salut lapin, je serai à Saint Laz à 18h »). Il y a également des métadonnées : qui parle à qui, quand ? à quelle fréquence ? Il n’y a pas besoin du contenu pour vous traquer, les métadonnées peuvent suffire.

Un exemple d’attaque : les IMSI catchers : une fausse antenne qui intercepte l’ensemble des communications dans un coin, et qui le transmet à une vraie antenne. C’est ce qui a permis de traquer Paul Bismuth (N. Sarkozy) Pour vous, c’est complètement transparent, mais tout est capté au milieu. Même si vous n’avez rien à vous reprocher, si il y a un suspect dans votre proximité géographiques, vos communications peuvent donc être interceptées.

À défaut de protéger le contenant, on va protéger le contenu : chiffrer ses communications, varier les canaux, changer d’outils.

Un des problèmes de la sécurité, c’est la friction : fermer la porte de chez soi à clefs, c’est 4 actions supplémentaires pour protéger ses biens. Donc : jusqu’où on veut aller pour se protéger.

Signal et Silence : Deux applis différentes, Signal est plus complète et est compatible iOS (et gère les appels téléphoniques). Pour choisir, examinons notre modèle de menaces :

  • CONTRE LES GAFAMS : Silence, pas besoin d’un compte Google
  • CONTRE MON ÉTAT : Signal : pas de FAI, pas d’hébergement sur le territoire, tout aux USA
  • CONTRE LA NSA : Silence, qui envoie de VRAIS SMS, contrairement à Signal. Le trafic internet est plus facile à mettre sur écoute. En plus, dans votre contrat téléphonique, vous avez un accord avec votre opérateur, c’est plus facile de se retourner contre lui.

En termes de facilité : Signal chiffre appels, messages, s’installe de partout, etc. Aucune configuration nécessaire, synchronisation, etc.

Pour masquer ses contacts : Silence, parce que pas de synchro sur un serveur distant. Si vous ne voulez pas activer la data en permanence : Silence. Récapitulatif disponible dans les slides .

Autres applis :

  • Whats app : bonne sécurité mais appartient à Facebook.
  • Telegram : sécurité mal conçue, chiffrement avec le serveur par défaut, pas end to end.

Personnellement j’utilise les deux : Silence par défaut, Signal pour iOS et pour le chat mobile desktop

TLDR : il est important de définir son modèle de menaces pour définir sa sécurité : ne pas recommander des outils trop techniques pour des gens pas techniques.. Par exemple, quand il s’agit de protéger ses sources, c’est peut-être pas idéal d’utiliser un téléphone mobile, même chiffré. Combien sont chiffrés à proximité ? Est-ce géolocalisable ?

Pour aller plus loin : bibliographie, la présentation sera disponible dans les heures qui suivent.

Remarque : Signal a beau être open source, ils ont une fâcheuse tendance à attaquer tous ceux qui essaient d’implémenter leur protocole.

Notes autour de “La servitude volontaire”

Cette vision du futur, dépeinte dans le film d’animation Wall-e, me donne toujours la chair de poule car elle me paraît tellement probable quand je vois notre comportement actuel, nos valeurs, notre idée du confort.

Voici quelques notes que j’ai prise suite à la présentation de Philippe Vion-Dury lors du meetup de CozyCloud, le 01er juin 2017. On y parlait analyses prédictives et manipulations par la donnée personnelle et c’était aussi intéressant qu’inquiétant !

Philippe Vion-Dury est l’auteur de La nouvelle servitude volontaire – Enquête sur le projet politique de la Silicon Valley aux éditions fyp.

NB : Il ne s’agit ici que de notes prises à la volée. Ce n’est pas forcément bien rédigé, il n’y a pas de transition, etc. Pour une vision complète, je vous invite à regarder la Vidéo (disponible temporairement ?) ou à acheter le livre !
De plus, il y a forcément un biais : c’est ce que j’ai compris, retenu, choisi de noter ; sans compter que j’ai également noté mes réflexions personnelles de-ci de-là.

Notes

Analyses prédictives (= le thème du bouquin) pour prédire nos comportements.
La corrélation permet de tirer des conclusions. Pour ça, il faut avoir plein de données.
La personnalisation fait qu’on consulte de plus en plus un Internet qui a été filtré pour nous et non l’internet de la sérendipité voulu aux origines.

Réflexion perso : La suggestion par Spotify ne va pas me gêner car je suis peu mélomane, connaît peu de chose est ai tout à découvrir. Du coup, je vois ça comme un service. Mais si je transpose au monde des arts plastiques, par exemple, où j’ai envie de découvrir y compris ce que je n’aime pas car l’art c’est ça, ça repousse des limites, ça pose questions, alors là je mesure d’un coup comme cela peut enfermer, limiter la créativité, anéantir la nouveauté (disons “l’innovation” pour faire marketing). Là, je mesure comme cela peut être effrayant et risquer de faire vivre chacun, si on pousse un peu, dans un monde monotone et fait d’une seule vision.

Je n’avais jamais réalisé l’impact que cela pouvait avoir sur la création et la créativité et c’est effrayant.
Je serais une version tellement pauvrette de moi-même si je n’avais pas été exposée à des contenus, des styles que je ne souhaitais pas, que je ne cherchais pas. Des contenus qui m’ont gênée et forcée à me poser des questions, à ajuster – ou non – ma vision des choses.

Bulles filtrantes : on ne sait plus si ce qu’on voit c’est le réel ou ce qu’on veut être le réel.

Au cinéma, notamment à Hollywood, il y a déjà des sociétés qui viennent corriger des scénarios pour optimiser leur rentabilité via des bases de données constituées pour guider leur choix.

OkCupid (application de rencontre) indique un score de compatibilité. Ils ont testé d’inverser les score (indiquer 10 % de compatibilité quand les deux profils, selon leur algorithme avaient une compatibilité de 90 % par exemple) pour voir si les gens suivaient alors ce qui étaient indiqué ou suivaient leurs impressions personnelles. Polémique.

En fait, on est tous le sujet de pleins d’études en permanence et sans le savoir (ex. de Facebook avec des contenus plutôt positifs pour certains et plutôt négatifs pour d’autres).

Obama, pendant la campagne. Les données permettaient non seulement de savoir qui était indécis mais aussi à quels sujet il/elle était sensible pour l’aborder sur ces sujets là.
(Renforce le fait qu’une personne va voter sur une ou deux idées plutôt que sur un programme (ce qui est probablement déjà le cas pour une grande partie de la population, c’est un autre débat).)

Les assurances connectées. Ça commence aux États-Unis, via du renforcement positif. Que les personnes soient en meilleure santé sert l’objectif financier de l’assureur. Mais les malus via du renforcement négatif arrivent et on peut imaginer que ça va basculer sur des taux différenciés !

Justice prédictive, police prédictive (au début spatial, puis individuelle), services sociaux prédictifs.

(On est en plein Person of Interest !)

Il n’y a plus de choix politique.

En Chine, un accord avec un consortium d’entreprises et l’État pour donner un score de citoyenneté qui pour pourrait impacter des taux d’emprunt ou autre avantages.

On n’est plus dans des sociétés disciplinaires mais dans des sociétés plus softs où on nous incite en permanence à avoir les bons comportements où on se laisse couler sans trop s’en rendre compte et en trouvant ça plutôt agréable.

Ce sont des mécanismes de pouvoir.

Les algorithmes de personnalisation sont tellement précis que des résultats aléatoires sont intégrés parce que sinon c’est trop flippant pour l’utilisateur !

Le GDPR (General Data Protection Regulation, Règlement Général sur la Protection des Données, en français) rentre en fonction le 25 mai 2018 et s’impose à tous les pays européens et aux entreprises qui y font des affaires. Amandes jusqu’à 4 % du CA mondial.

Des entreprises comme CozyCloud jouent ce rôle à son niveau, tout comme des associations comme Framasoft.

Ethic by design, aux US, pour éviter les dark patterns

Bon voilà, ce ne sont vraiment que des notes mais elles peuvent vous donner une idée des thèmes de la vidéo, et donc du livre. Si cela vous a interpelé, vous pouvez acheter La nouvelle servitude volontaire :

J’en profite également pour vous recommander chaudement l’excellent livre Surveillance:// de Tristan Nitot. Il balaye un panorama de la situation actuelle, de ses dangers et donne des premières pistes. Sa vulgarisation en fait un livre facile à aborder et à comprendre.

Là, aussi, achetez-le :

Zéro gâchis mais plein de questions

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Sud Web est une conférence surprenante où le programme a parfois l’air de nous parler de tout à fait autre chose que de nos métiers. Parmi les différentes présentations de cette édition 2016, la conférence sur la couture, « Zero waste » par Mylène L’Orguilloux, peut paraître hors sujet au premier abord. On se dit que c’est sympa parce qu’elle parle de limiter le gâchis et que ça fait partie des considérations actuelles de notre société, mais pas de notre domaine professionnel.

Et pourtant.

Pourtant, on peut (et Sud Web nous y incite fortement) faire plusieurs rapprochements avec nos façons de travailler.

Si on garde le point de vue citoyen, on a nous aussi des questions à se poser vis-à-vis de l’empreinte écologique de nos métiers. Je me rappelle d’ailleurs de la conférence « Internet et les TIC, pas très écologiques ? » de Luc Poupard où j’ai appris que ça allait bien plus loin que je n’imaginais.

À notre tour de nous poser des questions : Quels sont les gâchis dont nous sommes responsables, Quels sont les impacts de notre système sur les ressources de la planète ? Comment faire mieux ?

Mais on peut aussi y voir d’autres choses. Le jeu des questions-réponses à la fin de la conférence a donné des pistes en ce sens.

Car cette conférence n’a pas que proposé un système pour éviter le gâchis. Cette conférence nous dit qu’on peut – et doit – se poser des questions sur le domaine dans lequel on travaille. Et qu’on ne doit pas s’empêcher de remettre en question une industrie sous prétexte que les standards sont établis depuis des décennies et que les changer serait compliqué. On peut et on doit voir les problèmes que le système établi entraîne (depuis toujours ou parce que les choses changent) et chercher des solutions.

Pour ne ramener ce parallèle qu’à notre domaine professionnel, Sud Web nous parle là de garder l’esprit ouvert par rapport à nos habitudes (de conception, de développement) et à penser en fonction de notre contexte actuel (qui, dans le web, est toujours différent de ce qu’il était un an plus tôt).

De plus, le web est encore jeune. On a (peut-être) quitté la phase du défrichement, on est encore dans de l’artisanat (même si on a mis en place quelques automatisations) ; on n’est pas encore à une échelle industrielle mais on est en train de la préparer.

Prend-on le risque de s’enfermer dans une industrie qu’on ne saura plus bouger ? Est-ce un risque inévitable ? Réussira-t-on toujours à garder de la place pour les “petits”, pour les “différents” qui en fait apportent un regard que l’on n’aurait pas, et donc de l’innovation ?

Nos frameworks, si efficaces et qui nous font gagner à la fois du temps et de l’homogénéité, vont-ils en fait se refermer sur nous et va-t-on s’enfermer dans des systèmes qui nous laisseront bien moins créatifs que ces premières années de web où tout est possible ?

Un autre parallèle que l’on peut faire, c’est le fonctionnement en silo. La complexification du web a entraîné des spécialisations par métier de plus en plus ajustées. Or, Mylène nous fait remarquer que dans l’industrie de la couture les changements sont difficiles puisque la main gauche (le modiste) ignore ce que fait la main droite (la production). Comment faire, dans le web et le numérique, pour éviter cet écueil et rester proches des problématiques les uns des autres ? Le pair-programming, les principes de l’agile, les démarches qualité et transverses telles que Opquast, sont des premiers éléments de réponse. Est-ce que cela suffira ou faut-il aller plus loin ?

Beaucoup de questions auxquelles je ne sais pas répondre (et vous ?) mais qui doivent, à mon sens, nous rester à l’esprit à nous professionnels du web du début du 21e siècle, c’est-à-dire de ceux qui vont donner une première direction au web industriel.

Voir aussi le retour de Pierre-Yves : Sud Web 2016 @ Bordeaux ; et celui d’Isabelle : Sud Web ou comment j’ai découvert mes super pouvoirs.

Photo : Sud Web

Créativité et ouverture d’esprit – Sud Web 2016

Sud Web, c’est toujours une surprise ; un programme avec des méta-messages à lire entre les lignes qui viennent allumer des lumières dans la tête.

Si cette édition 2016 était un nuage de tags, on y retrouverait en bonne place la créativité, l’ouverture d’esprit, le respect de l’autre et la bienveillance mais aussi de grosses réflexions sur notre manière de travailler.

Pour faire un résumé qui ne rendra pas justice à la richesse de cette journée :

Le web est un nouvel outil. Nos technos sont de plus en plus riches et larges. À nous, donc, d’exploiter tout ça pour faire un maximum de choses et même autre chose que des sites et des applications. Créons, exploitons, hackons, détournons.

Dans nos interactions avec les autres, l’empathie sera notre alliée : garder en tête le point de vue de l’autre pour le comprendre et mieux lui répondre (c’est valable avec son client comme avec son collègue comme avec …ses enfants !)

Favoriser ainsi la compréhension vous fera gagner en efficacité (tout comme apporter une touche de fun en réunion aide tout le monde à se ré-impliquer ; la détente n’empêche pas le travail et considérer finalement le client comme une personne “normale”, aimant aussi s’amuser, peut même favoriser la productivité).

Le travail avec l’autre est de tout façon toujours un enrichissement …et l’assurance d’augmenter la pérennité d’un projet ! (On ne vous l’a jamais dit jusque-là mais en fait …documentez !)

D’autres valeurs sont à garder en tête : ne pas préjuger des compétences et de la personnalité des autres (ni en fonction de leur sexe, ni en fonction de leur métier, ni en fonction de leur apparence) mais aussi se faire confiance à soi-même et laisser sa créativité s’exprimer en toute occasion (les LEGO, la collecte de donnée, la contrainte…).

Maintenant, nous ne vivons pas que dans un monde de valeurs, il faut bien prendre en compte le matériel et l’organisationnel aussi. Beaucoup de discussions sont remontées autour des thèmes de la répartition travail/loisirs, organisation, (non)rémunération… Quelques “nouveaux” modèles sont en train d’émerger, d’autres sont à inventer, tandis qu’il faut apprendre à bien comprendre le modèle classique (savoir lire sa fiche de paye tout comme comprendre le code du travail).

Cette édition de Sud Web, une fois de plus, ne m’a pas déçue mais à éveiller des réflexions, des pistes ; elle a encré des points de vue, des valeurs à ne pas oublier ; elle m’a donné du recul et …m’a donné plus de questions que de réponses et c’est tant mieux !

De mon intérêt – partagé – pour la LSF

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

De retour de Paris Web 2015 — Ce billet pourrait avoir l’air d’un billet commercial (1) et pourtant, c’est bien spontanément que j’ai eu envie de l’écrire. La LSF (Langue des Signes Française) a beaucoup fait partie de mes journées ces derniers temps, pour différentes raisons, et l’avoir autant présente m’a donné envie d’en parler et de faire quelques constats.

Il est vrai que nous avons rarement l’occasion de nous y intéresser dans notre quotidien. Il y a bien la dame en médaillon de la diffusion des débats à l’Assemblée Nationale, mais, admettons-le, ce n’est pas le programme le plus regardé.

En dehors de l’anecdote d’un hurluberlu faisant des signes aléatoires lors des funérailles de Nelson Mandela (2)on nous parle peu de langue signée.

Paris Web est, sauf erreur de ma part, la seule conférence technique en France à assurer l’accessibilité de l’événement : locaux, vélotypie et interprétariat LSF. Cette accessibilité va au-delà de la déficience physique puisque les conférences sont retransmises en direct gratuitement, les conférences anglaises traduites en simultané. Après tout, le but de l’association est de “promouvoir […] un web de qualité” (3) pas de le garder pour quelques privilégiés (600 tout de même !)

J’ai pu constater, à Paris Web mais pas seulement, la curiosité que suscite la LSF. Je pense que nous sommes beaucoup à être fascinés par cette langue non orale où une personne arrive à faire comprendre des phrases toutes aussi complexes que dans une autre langue en bougeant les bras.

Mais je ne m’étais pas rendue compte à quel point les gens autour de moi pouvaient s’y intéresser.

Le succès de la conférence dédiée à la LSF qui a eu lieu à Paris Web ne s’explique pas que par les très bons traits d’humour. Les tweets qui ont été retrouvés pour l’occasion témoignaient d’un grand intérêt pour ces gestes qu’on ne comprend pas.

En dehors du cercle de Paris Web, une experte accessibilité me disait récemment qu’elle était fascinée par la LSF dès son jeune âge et que finalement, elle s’intéressait encore plus à la LSF qu’à l’accessibilité numérique.

On en a parlé sur notre fil Twitter, le sponsoring de la LSF par notre entreprise a suscité l’envie de communiquer en interne en indiquant comment signer quelques mots.

Un de mes amis a des problèmes auditifs qui de gênants sont devenus handicapants récemment. Il n’exclut pas de devenir sourd un jour. Je n’exclus pas d’apprendre la LSF pour faciliter mes conversations futures avec lui (je crois qu’il s’entraîne déjà à lire sur les lèvres et, étant entendant, il continuera à oraliser ; la LSF ne serait qu’une aide dans ce cas particulier, je crois).

Je me suis d’ailleurs posé la question d’apprendre la LSF avant ça. Des amis à moi l’ont fait mais, comme tout autre langue, il faut avoir l’occasion de pratiquer, sinon c’est perdu.

Une autre de mes amies avait eu cette occasion : l’un de ses nouveaux collègues était sourd. Elle a appris la langue pour pouvoir travailler avec plus de fluidité au quotidien avec lui.

Il y a aussi des cas où la langue signée est utilisée sans contexte de surdité. En effet, certaines personnes apprennent des signes à leur nouveaux-nés car ils seront capables de les utiliser pour communiquer avant d’être capables de formuler les phrases ou même les mots.

On m’a raconté plusieurs cas, certains qui ont marché et d’autre moins. Un père qui avait fait ce choix me disait un jour avec enthousiasme que son fils était non seulement capable, avant de savoir parler, de lui dire qu’il avait mal mais en plus de lui dire où (ou de lui dire qu’il avait faim mais que c’était un gâteau qu’il voulait ; encore plus important !)

J’ai pu également voir un bout de chou tout intimidé à l’idée de devoir dire bonjour (vous aussi vous avez vu ça des centaines de fois, non ?) s’en sortir en faisant le signe de bonjour.

Enfin, peut-être parce qu’elle fait maintenant partie de mon entourage, il m’arrive maintenant souvent de me dire que parler la LSF m’aurait été utile : pour échanger discrètement (que ce soit pour garder confidentielle une info à partager rapidement, pour ne pas déranger autour de soi ou pour ne pas crier à travers une pièce).

J’ai le sentiment d’avoir récemment basculé de la fascination pour quelque chose qui m’était totalement étranger mais un peu anecdotique aussi à quelque chose d’intégré dans mon quotidien, dans mon entourage et en passe de venir rejoindre ma “normalité”. Bref, ce que ça devrait être.

Maintenant, si vous voulez savoir qui a vraiment inventée la LSF, pourquoi elle ne peut pas être internationale ou comment on dit “HTML”, je vous invite à surveiller les actualités de Paris Web qui ne manquera pas de mettre en ligne l’excellente conférence de Sandrine Schwartz sur la LSF.

(1) En effet, ekino a sponsorisé la LSF à Paris Web cette année.

(2) Cérémonie de Mandela : le traducteur imposteur

(3) Les statuts de l’association Paris-Web

Photo Mathieu Drouet – Agence Take a sip

Innovation …et handicap ?

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

À Blend Web Mix, on m’a parlé Human Design, innovation, Service Design, etc. Moi qui ne suis pas designer, j’ai néanmoins accueilli tout ça avec beaucoup d’intérêt et cela m’a donné quelques pistes de réflexion.

Si tout n’a pas été tout de suite clair, une chose est sûre, dès le début : quelle que soit l’approche – son nom, son objectif – ces concepts ramènent tous à un seul facteur : l’utilisateur.

Quand Geoffrey Dorne parle de design pour l’humanité, par exemple, il nous dit tout de suite qu’il axe sa conception sur ce qui sera utile pour l’homme. Bertrand Cochet, en présentant le service design, énonce comme premier principe de mettre l’humain au cœur du service.

Comment est-ce que cela peut se traduire ? En se mêlant à la foule, en observant l’utilisateur, en cherchant quels sont ses points de contact et ce qui les déclenche.

Or, en observant les usages, on constate, parmi une foule d’observations, une idée qui me plaît beaucoup : le hacking. Le fait que les personnes détournent un objet ou une application pour couvrir un besoin qui n’est pas couvert autrement. On trouve une foule d’exemples dans le mouvement jugaad, appelé aussi innovation frugale. Depuis l’apport de lumière via une bouteille en plastique en passant par un champ labouré avec un balai et un vélo, les points communs sont :

  • un besoin qui n’était pas couvert ;
  • et une astuce avec des objets qu’on a sous la main pour y répondre soi-même.

Car c’est bien le besoin, finalement, qui sert de gouvernail ; l’objet lui-même, son esthétique et son aura technique sont moins critiques que le service rendu. Je dis souvent que je ne peux pas me servir d’un site s’il n’est pas beau. Mais c’est faux. S’il m’est utile, n’en déplaise à mon sens esthétique, je m’en servirai.

En remettant les usages comme source et objectif à la réflexion, on crée des services qui n’existaient pas avant cette démarche, car d’autres principes prenaient le pas. Je pense ici à l’opposition entre la propriété – ma voiture, mon vélo – et le besoin – un trajet. En s’affranchissant de la propriété, on a pu voir surgir, par exemple, les véhicules citadins en “location” (Vélo’V, Vélib’, Autolib’). C’est le service qui prime ici, pas la possession.

Parfois, le besoin va même créer des nouveaux modèles économiques. La location de lieux de vacances de particulier à particulier est né du besoin d’économiser (et de gagner) de l’argent. L’échange d’appartement se pratique depuis longtemps et on a vu aussi se déployer ses déclinaisons sur Internet (couch surfing, Airbnb, etc).

On voit alors que le produit n’est plus systématiquement au cœur de la consommation. À une époque où la technologie nous permet de repousser les limites toujours plus loin – des appareils électroniques toujours plus petits par exemple, l’innovation est-elle vraiment dans ces prouesses ?

Non sans humour, Raphaël Yharrassarry questionne l’innovation et rappelle que la distance moyenne entre l’oreille et la main n’a pas changé en dix ans. Ce n’est donc pas nécessairement dans un mobile de plus en plus petit qu’est l’idée révolutionnaire qui marchera mieux que les autres.

C’est un constat que les agences marketing ont fait depuis quelques années et elles ne proposent pas un site ou un produit sans prévoir son “dispositif digital”. C’est aussi un constat que l’atelier d’Ekino fait aussi en questionnant, entre-autres, les nouveaux objets pour en trouver les usages pertinents. Le gadget seul – “l’hypertechnologie” qui permettait d’animer tout un repas de famille il y a dix ans – ne fait plus vendre s’il n’y a pas un service avec.

Si la clé du succès tient dans le service rendu à l’utilisateur, alors l’innovation ne passe peut-être que par l’observation des difficultés que rencontrent les autres. La bonne idée ne doit pas être de trouver des objets plus luxueux, plus chers, plus performants, mais bien d’aplanir les gênes et de faire disparaître les manques.

Alors, on en arrive à une quête du confort de l’utilisateur.

Or, des difficultés, on en rencontre tous au quotidien. Depuis les choses les plus insignifiantes (un lacet qui se défait toujours) aux plus contraignantes (les problèmes de transport, par exemple).

Et quelles sont les situations où l’on rencontre le plus de difficultés ? Les situations de handicap.

Alors, de là à dire que la prise en compte du handicap est une voie en or pour l’innovation, il n’y a qu’un pas que je franchis allègrement !

Photos hobvias sudoneighm et Mark Walz

Sud Web 2014 – Focus communication

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Sud Web, encore une fois, fut une réussite en 2014.

J’ai particulièrement apprécié la cohérence du programme. Si certaines des conférences ont ma préférence, c’est plus sur un thème transverse que j’aimerais revenir.

En laissant Sud Web décanter, j’ai en effet eu l’impression que ce qui m’avait le plus plu était la récurrence du thème de la communication.

Que ce soit sous forme de croquis, que ce soit autour du code ou encore dans le code.

La communication dans une entreprise commence dès l’entretien d’embauche. J’aime l’idée que ce premier rendez-vous n’est pas qu’une relecture de CV avec audition technique. Cela me paraît une évidence – qu’on s’assure de sentir que le candidat soit à sa place dans notre société, notre équipe – mais ce n’est certainement pas le cas partout. Kevin Goldsmith (1){#note01Retour} nous expliquait que, chez Spotify, quelle que soit l’expertise d’un candidat, il ne sera pas retenu s’il ne « colle » pas à la culture de l’entreprise.

(1) À ce propos, voir : « Créer, protéger et réparer la culture de son entreprise. »

Cela me paraît très important pour le bien-être des collaborateurs mais aussi pour la productivité (auto-promo : voir à ce propos la conférence « Être bien pour produire bien »).

Des valeurs communes vont favoriser également les relations et les discussions, en accord ou en désaccord.

La revue de code (2) est un exemple très parlant. Une personnalité habituée à travailler seule et d’autorité aura du mal à s’intégrer dans une équipe qui pratique – quelle bonne idée ! – la revue de code.

Cet exercice étant lui même un mode de communication et, s’il ça peut peut être une vraie manière d’échanger (meilleure transmission des connaissances) et de progresser (formation en continu), cela peut également – si c’est mal – fait devenir une source de conflit.

Noëlie Amiot nous donne de nombreux conseils parmi lesquels je retiens en particulier :

  • Ne pas oublier de dire qu’on est d’accord.
  • Cela doit rester un échange et non un débat.
  • Ni ironie ni sarcasme.
  • Si une revue de code prend plus de temps à discuter qu’il n’en a fallu pour coder, faire trancher par une tierce personne.

Noëlie propose aussi de favoriser les questions-réponses sur messagerie interne pour pouvoir garder une trace et ne pas perdre l’information.

(2) À ce propos, voir : « Revoir la revue de code. »

Cela rejoint un autre type de communication écrite : les commentaires de code (3)

Je ne reviens pas sur l’importance de bien commenter son code, de différencier commentaires et documentation. Je relève par contre ici une astuce : certaines entreprises (Vimeo et Mozilla ont été citées) glissent leur offres d’emploi dans les commentaires de code. C’est rigolo, c’est « ciblé » et c’est déjà une manière de donner un indice sur l’état d’esprit de la boîte.

(3) À ce propos, voir : « Les commentaires sont plus importants que ça »

Plus surprenant : utiliser Sass pour favoriser la communication entre les équipes.

C’est ce que nous a présenté Kaelig Deloumeau-Prigent (4) qui, via les variables de Sass, a créé un document de référence – une sorte de dictionnaire – qui permet aux développeurs et aux graphistes de se comprendre et d’avoir un vocabulaire commun.

Évacuer la question du vocabulaire leur permet de se concentrer ensemble sur la créativité et de fluidifier les échanges.

(4) À ce propos, voir : « Mieux communiquer avec son équipe grâce à Sass »

La communication revient même quand on parle du stress. Frédérique Joucla (5) en nous détaillant les différents types de réponse au stress nous a aussi donné des clés pour l’amoindrir. Parmi celles-ci, elle nous conseille de parler à quelqu’un. J’ai bien retenu, par ma part, qu’à la prochaine montée de stress : je pars faire un tour dehors 5 minutes avec un verre d’eau et un collègue à qui je parle tout en pensant à bien respirer !

(5) À ce propos, voir : « Les différents types de réponse au stress »

Toujours sur la communication mais cette fois sur la manière de communiquer, la conférence d’Eva-Lotta Lamm (6) a été un franc succès puisqu’elle a réussi à montrer qu’on est tous (si, si) capable d’exprimer un sentiment, un concept via un croquis (bon, d’accord, avec son aide).

(6) À ce propos, voir : « Briser la peur de dessiner »

Un des cas d’application, c’est quand on a une idée (7)

Se faire un croquis à soit même aide à visualiser concrètement ce qu’on a en tête. Mais cela va être aussi très utile pour proposer son idée aux autres.

Boris Schapira voulait nous aider à aller de l’idée au projet ; le croquis peut définitivement être une des étapes.

(7) À ce propos, voir : « De l’idée au projet »

Je n’ai pas cité toutes les interventions – ce n’était pas le but – mais l’ensemble de la journée a bel et bien été une vraie prise de recul, une respiration avant de se replonger – plus sage – dans la production quotidienne.

Et comme toujours, Sud Web a mis la communication au cœur de l’événement : les temps et la qualité des moments d’échange étaient parfaits.

Voir aussi : « Sud Web 2014 » par Ippon qui a choisi le même thème que nous pour son retour de Sud Web.

Bonnes pratiques des API – Compte-rendu

Pour les besoin de mon projet Spoiled People (voir Projet de liste cadeaux sur GitHub), je dois monter en compétence côté API. Je suis allé voir du côté de la conférence « Bonnes pratiques des API ».

Cette conférence de 15 petites minutes est un retour d’expérience, y compris sur les ratés.

La première leçon qu’Éric Daspet a appris et nous transmet concerne la littérature et la pratique. Sans critiquer la littérature, son constat a été que d’un point de vue pragmatique, il vaut mieux s’adapter aux envies des utilisateurs (les développeurs).

Eric Daspet - Paris Web 2013 - Photo Brice Favre

Les recettes à suivre

Voici une première liste de conseils issus de cette conférence.

Internationalisation

  • Toujours mettre des heures et non juste une date
    Pas GMT mais en mettant un fuseau horaire que vous allez interpréter dans chaque paramètre)
    Voir le commentaire d’Éric ci-dessous.
  • Attention aux langues : anticiper la possibilité d’avoir plusieurs langues, utiliser UTF-8 (et non de l’ISO).

Pagination

  • L’offset sont de fausses bonnes idées.
  • Trier les données par ordre (alphabétique, de date, d’arrivée,…) et utiliser “after | before” (plus ancien ou plus récent que tel item)
  • Rendre la pagination obligatoire.
  • Mettre des limites de taille avec une profondeur maximum

Un bon exemple : Twitter

Versionnement

Même si dans la littérature, le versionnement peut être vu comme une mauvaise pratique, en l’état, nous ne sommes pas forcément prêt à nous en passer. Partir du principe qu’on va se planter et, alors, qu’on fera une V2 plutôt que mettre des bouts de sparadrap.

  • Prévoir un /v1 en bout d’URL dès le début

(NB : Le versionning dans les en-têtes n’est pas assez simple et ne sera pas pratique pour vos utilisateurs et donc ne servira pas)

Sécurité

  • HTTP Basic Oauth
  • + SSL
  • imposer HTTPS
  • Ne pas permettre le SSL désactivé dans le SDK (qui est recommandé)
  • Clé d’API : savoir à tout moment qui fait la requête. Prévoyez-la.

Structure

  • Faites de l’hypermédia mais ça ne suffit pas.
  • Vos adresses doivent être “bidouillables” de façon qu’elles soient prédictives.
  • Une adresse doit ressembler à un nom de fichier : pas de caractères spéciaux encodés, que des minuscules, pas de caractères accentués.
  • Réduire la hiérarchie aux maximum (3 semble être la bonne pratique).

La conclusion

La clé :

  • En faire peu.
  • Ouvrir un maximum de champs pour plus tard.
  • Faire simple.
  • Utiliser les standard existants.
  • Penser pragmatique.
Diaporama de la conférence
NB : Le diaporama contient 10 bonnes pratiques supplémentaires en page 11.

Sud Web 2013

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

http://sudweb.fr/2013/

Les pauses, les repas, les soirées

Plus que jamais, je me rends compte que ce qui vaut le plus le coup dans une conférence comme Sud Web, c’est le “off”. Les personnes que l’on rencontre, les personnes que l’on revoit, les partages, les échanges, font la grande richesse de l’événement.

De ce point de vue là, Sud Web est toujours un sans faute. La taille de la conférence, les moments aménagés pour les échanges ou encore la convivialité instaurée par l’équipe, sont autant d’éléments qui favorisent les échanges.

Les conférences et Lighting Talks

Le client, ce gentil méchant

Olivier de Villardi, chef de projet web à la MACSF. @JacquesMuffin, jacquesmuffin.fr

Si cette première conférence ne m’a pas totalement emballée, c’est probablement parce que j’ai moi-même été dans la peau du client et de celle du prestataire.

Olivier chaussait tour à tour les deux casquettes pour, globalement, rappeler que si les deux se voient souvent d’un oeil méfiant, ils ont des éléments à s’apporter l’un à l’autre.

Il mettait aussi l’accent sur un point important : les deux doivent se choisir. Si l’on trouve la manière de l’autre impossible, c’est que l’on ne devrait pas travailler avec lui.

Conduite du changement, de l’artisanat à l’industrialisation

Agnès Haasser, développeuse web. @tut_tuuut http://fr.slideshare.net/tut_tuuut/de-lartisanat-aux-bases-de-lindustrialisation

Là aussi, je suis restée sur ma faim et, là aussi, c’est dû à mon profil puisque le sujet de la conduite du changement est au cœur de mon métier.

Agnès a fait un retour d’expérience sur son arrivée dans une équipe qui n’utilisait pas encore d’outils et de processus d’intégration continue.

Voir son article : http://www.24joursdeweb.fr/2012/de-l-artisanat-aux-bases-de-l-industrialisation/

Sass et Compass ont embelli mon quotidien

Mehdi Kabab, développeur web. @piouPiouM, pioupioum.fr http://pioupioum.fr/developpement/conference-sass-compass-sudweb-2013.html

Mehdi a partagé avec nous comment il s’organisait autour du préprocesseur Sass et du framework Compass, comment cela l’incitait à penser objet (OOCSS).

Il complète sa présentation avec les pièges à éviter.

Un chouette partage de méthodologie entres dév. 🙂

Getting Touchy: An Introduction To Touch Events

Patrick Lauke, évangéliste web. @patrick_h_lauke, splintered.co.uk http://fr.slideshare.net/redux/sudweb-17052013 et http://patrickhlauke.github.io/touch/

Trop courte, très pointue, je vous recommande la présentation de Patrick dès que les vidéos seront sorties (pas avant fin juin)

Le développement c’est difficile (Ligtning Talk)

Rémi Parmentier, intégrateur web. @hteumeuleu, hteumeuleu.fr

Excellente démonstration de Rémi (a qui j’ai enfin parlé, en mode groupie, je crois que je l’ai un peu surpris).

En partant de l’exemple de la “simplicité” des dates, Rémi démontre à quel point un sujet qui parait trivial peut cacher un monde de complexité. La morale de l’histoire : quand un dév. vous dit que c’est difficile et que ça vous paraît facile, ne tirez pas de conclusion hâtive. De même, pour un graphiste, etc.

Aubergine n’est pas une couleur (Ligtning Talk)

 Une partie de la recherche “aubergine couleur” dans Google Images

Alain Witkowski, Webdesigner. @wa__rn, wa-rn.com http://www.wa-rn.com/sudweb/#/

Tout le monde a son référentiel de couleur qu’il tient comme étant le bon. Le conseil d’Alain : plutôt que de faire des allers-retours à essayer de tomber d’accord sur la couleur (“Mais je vous avait dit aubergine ! Là, c’est lit-de-vin !”), faites vous indiquer le référentiel pour travailler ensemble sur une même base.

Et je rajoute : pourquoi ne pas utiliser Pourpre.com et son outil Chroma comme référentiel commun ?

L’odyssée de l’espace insécable (Ligtning Talk)

Damien Alexandre, développeur web. @damienalexandre, damienalexandre.fr http://jolicode.github.io/typography-conf/#/

Damien nous parle de quelques subtilités typographiques du point de vue du développeur. Quelques approximations mais cela fait plaisir d’entendre parler d’espace insécables et autres raffinements depuis cet angle là.

Damien en a aussi profité pour  nous parler de son correcteur typographique (open source) JoliTypo : https://github.com/jolicode/JoliTypo

Et si j’écrivais un livre ? (Ligtning Talk)

Corinne Schillinger, intégratrice. @schillinger, inseo.fr http://fr.slideshare.net/inseo/et-si-jcrivais-un-livre-21457479

Les pièges dans lesquels ne pas tomber quand on se lance dans l’écriture d’un livre.

… Mais ne vous laissez pas décourager, allez-y quand même ! 😉

(Corinne a écrit “Intégration web – Les bonnes pratiques” – http://www.editions-eyrolles.com/Auteur/112405/corinne-schillinger)

Quête mystère

L’auditoire, mené par David Larlet

La conférence surprise était un débat à 100 personnes autour de thèmes qui nous sont chers et qui nous permettent de prendre un peu de recul par rapport à notre quotidien.

Nous avons beaucoup échangé autour de l’impact du web sur le monde, notre propre responsabilité, nos soucis de santé, de manque de reconnaissance, etc.

Un bon débat car cela fait du bien de se poser ces questions et d’entendre d’autres points de vue.

Le retour de David : https://larlet.fr/david/blog/2013/quete-sens/

Responsive news : l’actualité mobile à la BBC

Kaelig Deloumeau-Prigent, développeur front-end. @kaelig, blog.kaelig.fr http://fr.slideshare.net/kaelig/sudweb-2013

Les problématiques et les choix de la BBC face au casse-tête qu’est l’adaptation au monde de la mobilité ou comment “couper la moutarde” est la solution ! 😉

NB : “Couper la moutarde” est la traduction littérale d’une expression anglaise qui veut dire “répondre aux attentes”.

La visualisation de données comme outil pour découvrir et partager des idées sur le web

Nicolas Belmonte, expert en visualisation de données chez Twitter. @philogb, philogb.github.io http://fr.slideshare.net/philogb/talk-2013-sudweb

La “dataviz” n’est pas qu’une astuce pour présenter des infos de façon “sexy”, c’est aussi un outil qui permet de mieux transmettre de l’information, de mieux se l’approprier, de mieux la comprendre et la traiter.

De plus, ce type de présentation est aussi propice à voir les choses différemment et donc à avoir de nouvelles idées.

Le culte du cargo (Ligtning Talk)

Thomas Zilliox, développeur web. @iamtzi, zilliox.me http://fr.slideshare.net/tzilliox/cargo-cult

Ok, un bon développeur est un développeur paresseux ; ok, inutile de réinventer la roue pour faire son propre code à soi-que-c-est-moi-qui-l-ai-fait ; ok, le copier-coller c’est facile et rapide …mais faites-le avec discernement ! Sinon, vous allez vous fourvoyer, imiter sans avoir compris l’utilité.

Un peu de TLS ne fait pas de mal

Éric Daspet, directeur technique pour TEA. @edasfr, n.survol.fr

Pourquoi, comment on devrait systématiser le https.

Les super-pouvoirs du nouveau venu

Mathieu Agopian, développeur. @magopian, agopian.info http://mathieu.agopian.info/presentations/2013_05_sudweb/

Ne sous-estimez pas le nouveau venu mais, au contraire, utilisez ses points forts (qui disparaîtrons avec le temps).

La recommandation de Mathieu : le mentorat.

Travailler sur ses 2 pieds

Pierre Martin, Lead developer et co-gérant d’Occitech. @pierremartin, pierre-martin.fr http://real34.github.io/slides/travailler-sur-ses-deux-pieds/#/

Pierre nous a vanté les avantages du “standing-desk”. Que ce soit sur la santé, la concentration, l’organisation de la journée.

Pour ma part, je suis convaincue mais je pense que le mieux est encore de pouvoir changer dans la journée. Marie Alhomme a d’ailleurs profité de la journée des élaboratoires du lendemain pour présenter un siège ergonomique qui offre deux positions : une très concentrée et une plus pour la réflexion, le recul : http://www.varierfurniture.fr/Collections/Travail/Thatsit-balans-R/

Monitoring : une culture plus que des outils

Arnaud Limbourg, directeur technique pour 20minutes.fr. @arnaudlimbourg https://speakerdeck.com/arnaudlimbourg/monitoring-une-culture-plus-que-des-outils

La mise en place du monitoring chez 20minutes et les gains que ça a apporté (comme celui d’avoir vu le problème avant que quelqu’un ne soit venu le signaler).

Les élaboratoires

La journée du samedi est dédiée aux “élaboratoires” : un programme en parti prévu et en parti improvisé par les participants. Et entre les conférences de la veille et la richesse des échanges tout au long des pauses, les cerveaux sont en ébullitions et beaucoup d’idées fusent.

En vrac, il y a notamment eu :
un atelier consacré à la conception d’interface mobile ouvert à tous, qu’on sache dessiner ou non.

une énigme à résoudre qui a tenu en haleine une poignée de détectives improvisés : Un codeur mort noyé dans son code ; mais qui est le coupable ? De façon très pédagogique, la solution était que chacun portait sa part de culpabilité.

une réflexion en commun sur la tendance qu’on les entreprises à mal/sur-exploiter le stagiaire et comment on peut contrer tout ça. Le projet : https://github.com/dascritch/RechercheStagiaireFail

De la documentation autour de la web performance animée par Éric Daspet via le livre qu’il avait essayé d’écrire et qu’il laisse à la communauté

De l’e-mailing responsive : https://github.com/hteumeuleu/miaousletter

L’internationalisation de JS : http://delicious-insights.com/g11n-js/#/

Briques JS propres et évolutives : https://speakerdeck.com/madsgraphics/boutez-les-ignominieuses-fonctions-anonymes-hors-de-vos-jquery et https://gist.github.com/madsgraphics/5603966

“J’ai envie de proposer une conf. …mais j’ose pas !”

En deuxième partie, j’ai proposé un atelier d’aide pour ceux qui ne proposent pas de conférence alors qu’ils en ont envie.

Cet atelier est basé sur celui que j’avais préparé pour Paris Web (http://www.paris-web.fr/actualites/2012/05/compte-rendu-de-latelier-orateurs-2012.php) avec une partie supplémentaire : Pourquoi je n’ose pas.

J’ai noté trois raisons :
je ne me sens pas légitime Et pourtant, on se sous-estime souvent, on mesure mal ce qui nous paraît évident pour tous, on a parfois un avis moins expert mais différent et donc pertinant à apporter, etc. C’est aussi une astuce pour se “forcer” à se mettre à niveau sur un sujet qui nous intéresse, avec une date butoire à respecter 😉

je ne trouve pas d’idée de sujet Comment se stimuler en assistant à des conférences, en discutant, en proposant comme sujet la conférence à laquelle on aurait envie d’assister, etc.

je ne sais pas faire (les slides correspondent à cette dernière partie)

Merci aux participants qui ont enrichi l’atelier en apportant leurs propres remarques. Nous avions d’ailleurs la chance d’avoir quelques aguerris dans la salle : Stephanie Troeth (http://stephanietroeth.com/) et Patrick H. Lauke (http://www.splintered.co.uk/) par exemple.

Pour finir

Ce furent deux jours enrichissants dans une ambiance propice aux échanges, à la bonne humeur, à la re-motivation et aux prises de recul. Sud Web comble une nouvelle fois toutes les attentes que j’ai vis-à-vis d’une conférence. De là à dire que Sud Web coupe la moutarde… 😉

D’autres retours : http://sudweb.fr/blog/2013/05/retours-participants-sud-web-2013/
Photos : Fernando García –  andrewrennie –  Sebastiaan ter Burg – Delphine M. – vanherdehaage – AJ Kandy – Rex Hammock

Ma lecture de « Petit Précis de Créativité »

Pourquoi, comme tout le monde je m’enthousiasme pour ce livre ? Parce qu’il est drôle, riche, documenté, facile à lire, motivant.

« Motivant », tiens, c’est ça. Ce livre ma donné envie.
Envie de faire. Ce livre est excitant et je le conseillerais à tout le monde, métier de créativité ou pas. Parce qu’on a tous recours à la créativité, à l’imagination ; on a tous déjà eu une idée.

Ce livre non seulement nous explique les choses scientifiquement, mais il dédramatise et désacralise la créativité. Si on se laisse faire, il  nous libère de ces quelques ficelles qui nous retiennent et nous empêche de faire. Ce livre est un coach en fait.

Pas encore convaincu ?

Virginie réussi le tour de force d’offrir un panorama complet sur la créativité dans un petit livre facile à lire. Le style y est aussi fin qu’il est drôle. Le contenu y est aussi simple d’accès qu’il est intéressant.

Par encore convaincu ?!

L’objet lui même a été soigné et c’est un plaisir d’avoir ce petit livre sous la main, dans la poche.

Les pages sont douces (oui, ça compte beaucoup pour moi), la mise en page est soignée et, il y a ce je ne sais quoi qui fait qu’on sent que ce produit a été élevé avec amour.

Mon seul regret : des marges un peu fines pour mon usage intensif de marque-pages autocollants.

Pas encore convaincu ?!! Mais que va-t-on faire de vous ?! 😉

Et allez, même si ça a été difficile de choisir, une petite citation pour la route :

« (…) si ce n’est en tant que travailleur créatif autant que ça soit en tant qu’être humain : il est important de voir du fantastique dans la vie de tous les jours. »

En savoir plus : le billet de l’auteur
À ce propos voir aussi : Le processus créatif