Les basiques de la protection de données personnelles

Cet article a été initialement rédigé pour le blog d’ekino.

Trois femmes dans une loge de théâtre, l’une regardant avec des jumelles, Constantin Guys

À l’occasion de la journée internationale de la protection des données, mon collègue Maxime et moi avons rédigé un article orienté sur nos données personnelles, nos outils, nos habitudes et comment améliorer notre propre protection.

Nous nous sommes concentrés sur ce que seraient les premiers pas, en proposant des solutions accessibles aux profils non techniques. On n’a pas toujours des produits aussi faciles à utiliser que ceux des grands acteurs qui aspirent nos données mais, justement, on vous propose des solutions qui sont sur un autre modèle économique !
À vous de voir lesquels vous correspondent et ceux pour lesquels vous  n’êtes pas prêts.

Nous avons limité cet article (qui est finalement déjà bien long) à ce qui nous paraissait à la fois prioritaire et facile (techniquement mais aussi dans l’usage).

Pourquoi protéger ses données ? 

Vaste question ! Il faudrait plus qu’une introduction dans un article pour bien développer les raisons, donner des exemples concrets (qui hélas ne manquent pas).

Pour résumer grossièrement, nos données personnelles sont récoltées en masse pour être revendues (car oui, nos profils rapportent de l’argent à ceux qui les exploitent).

Elles permettent de tirer des conclusions sur nous : nos opinions politiques, notre statut amoureux, nos orientations sexuelles, nos amis, ce qui nous agace… Ne doutez surtout pas du fait que Facebook vous connaît (même si vous n’avez jamais créé de compte !) et que Google en sait plus sur vous que votre meilleur ami, voire que vous même.

Ces connaissances ne permettent pas seulement de vous vendre des produits ciblés (ah, la consommation de biens dont on ne savait pas qu’on en voulait !) mais aussi à vous influencer.

Les gouvernements, selon les lois locales, peuvent avoir accès à tout ou  partie de ces informations et récolter les leurs, à l’instar de la loi américaine qui permet au gouvernement d’accéder à tout ce que Facebook ou Google, par exemple, ont récolté sur une personne. Les dernières années ont prouvé que même les démocraties peuvent avoir un usage politique et excessif de ce pouvoir. Ne parlons même pas des possibilités que cela laisse aux régimes dictatoriaux et des conséquences dramatiques que  cela peut avoir.

Ajoutons à cela que le fait de se savoir surveillé change les comportements (et non, pas que les “mauvais” comportements), bride la créativité, l’expression de soi et l’innovation.

Bambou, Kishi Ganku

Beaucoup de ressources existent si vous voulez creuser le sujet. Nous vous renvoyons, par exemple vers :  

  • Cette conférence qui, en moins de treize minutes, vous convaincra mieux que notre petit paragraphe : Darknet, le grand malentendu ? par Jean-Philippe Rennard.
  • Le documentaire Nothing to hide (VOST) de Marc Meillassoux et Mihaela Gladovic, disponible gratuitement qui parle de surveillance gouvernementale et du citoyen X, qui pense que ce n’est pas très grave qu’on ait accès à ses données.
  • Le livre Surveillance:// de Tristan Nitot pour comprendre en quoi il y a des problèmes derrière les outils que nous utilisons.
  • Ou encore un site qui explique pourquoi il y a beaucoup de choses à redire quand quelqu’un avance “Je n’ai rien à cacher”. 

Alors comment commencer à protéger ses données ?

Le navigateur est votre porte d’entrée sur Internet : la sécurité de vos données personnelles dépendra des verrous activés sur celui-ci. Les navigateurs sont assez inégaux dans les protections, soit par choix politique soit parce que la configuration par défaut n’est pas suffisante. Voici une liste de navigateurs à adopter si vous souhaitez faire le premier pas dans un monde plus sûr pour vos données.

Firefox

Firefox de Mozilla est un des meilleurs navigateurs disponibles qui combine de bonnes fonctionnalités de sécurité des données, une sécurité accrue et des mises à jour régulières. Ce n’est plus le navigateur lent et lourd que l’on a connu, il est désormais rapide et léger.

Concernant la sécurité de nos données, Firefox bloque par défaut :

  • les traceurs, qui sauvegardent votre passage sur les sites web pour vous proposer une navigation personnalisée ;
  • les cookies tiers, sur lesquels s’appuie la pub personnalisée ;
  • les cryptominers, ces scripts qui utilisent les ressources de votre ordinateur pour miner des crypto monnaies à votre insu ;
  • Les fingerprinter, ces outils qui permettent d’identifier très précisément un utilisateur notamment à partir de son ordinateur et de la configuration de son navigateur (version, extension, taille de l’écran…).
Brave

Brave est un navigateur développé à partir de Chromium, la partie open source de Google Chrome (celle qui ne revend pas de données personnelles). Il a de gros avantages par rapport aux autres navigateurs basés eux aussi sur Chromium (Vivaldi par exemple)  :

  • Il bloque les traceurs et les pubs/cookies par défaut. Une exception est faite aux campagnes de pubs validées par Brave. Celles-ci ne vous ciblent pas grâce à vos données mais vous sont proposées sur les sites en rapport avec la campagne.
  • Son moteur de recherche par défaut n’est pas Google mais Qwant.
  • En navigation privée, il est possible d’utiliser le réseau Tor (voir ci-dessous) sans avoir à effectuer de configuration supplémentaire. C’est une entrée facilitée aux néophytes pour naviguer totalement anonymement sur Tor.
Tor Browser

Tor Browser est le navigateur officiel du projet Tor. Pour faire simple, Tor est un réseau permettant de naviguer anonymement : chaque requête à un site web passe par plusieurs serveurs avant d’atteindre le site cible, ce qui empêche le site web de connaître le visiteur. Ainsi, les traceurs et cookies personnalisés sont automatiquement invalidés. C’est le navigateur ultime pour protéger son identité et ses données en ligne. Cependant, son fonctionnement implique des temps de chargement plus longs et donc une navigation plus lente.

Tor browser est installé par défaut avec des extensions protectrices (HTTPS Everywhere et NoScript, voir ci-dessous dans la partie sur les extensions) et son moteur de recherche par défaut est DuckDuckGo (notre recommandation, voir plus bas).

Comment naviguer sur mon téléphone

Chacun des navigateurs présentés ci-dessus a une version mobile ayant les mêmes caractéristiques et avantages. Notez qu’utiliser un même navigateur dans ces deux contextes vous permet de synchroniser vos données utilisateurs entre vos appareils. 

Cependant, ils existent des navigateurs ayant une version mobile exclusive :

  • Firefox Focus est une version de Firefox avec des options de sécurité propres aux smartphones. En plus de bloquer les traceurs, cookies et publicités, il est possible d’activer un mode furtif qui empêchera les captures d’écran et masquera votre navigateur dès que vous changerez d’application. Il est même possible de verrouiller l’application dès lors que vous verrouillez votre téléphone ou changez d’application.
  • DuckDuckGo browser est le navigateur mobile créé par le moteur de recherche du même nom. Il partage les mêmes valeurs que Firefox pour le respect de la vie privée.

Pour améliorer tout ça, les extensions

Malgré la sécurité de votre navigateur, le Web est plein de gens malveillants. Pour éviter de se faire avoir et éviter les traceurs restants, il existe des extensions navigateurs.

  • HTTPS Everywhere 
    • Force la communication via HTTPS avec un site web dès que celle-ci est possible. Cela permet de s’assurer d’une connexion  sécurisée avec le site consulté.
  • uBlock Origin 
    • Bloque les requêtes faites vers des services tiers de tracking, de pubs, etc.
    • Se base sur des listes de domaines mises à jour par la communauté.
  • PrivacyBadger
    • Désactive les traceurs présents sur les sites.
    • L’extension ajoute un traceur à sa liste s’il le croise sur trois sites différents.

L’installation est simple mais leur utilisation peut s’avérer déroutante, elles peuvent potentiellement empêcher la navigation sur certains site mal construits qui chargent des éléments de publicité avant la structure du site lui même (particulièrement Privacy Badger et uBlock Origin). Si cela vous arrive, il suffit de les désactiver pour le site en question; vous pourrez continuer votre navigation.

Des recherches en tout anonymat

Le moteur de recherche par défaut sur un navigateur est (quasiment) toujours Google. Dans l’optique de contrôler et de refuser que vos données ne soient utilisées, il est vivement conseillé de changer de moteur de recherche pour un des suivants.

DuckDuckGo

DuckDuckGo est LE moteur de recherche pour votre vie privée. Il agit comme un intermédiaire avec Google empêchant ainsi ce dernier de récupérer vos informations.

  • Il ne stocke aucune donnée de recherche et n’utilise aucun traceur.
  • Il n’affiche aucune publicité ou résultats sponsorisés dans les résultats de recherche.
  • Les résultats de recherche sont très acceptables.

Le stockage

Les “CHATONS”

“Chatons” est un acronyme pour  le Collectif des Hébergeurs Alternatifs Ouverts Neutres et Solidaires”. Un chaton, à l’instar de Google mais avec moins de moyens, vous proposera un certain nombre de services. Un moteur de recherche est disponible sur le site pour choisir en fonction de ses besoins, du prix, du public, etc.

Un “cloud” personnel

Parmi les différentes possibilités, nous proposons de vous présenter Nextcloud. Nextcloud est un outil auto-hébergé permettant de remplacer des outils comme Google Drive en proposant une solution de stockage, de l’édition partagée de documents, un calendrier, un client mail, de la messagerie instantanée et même un chat vidéo (entre autres !)

Son premier avantage est d’être un logiciel libre, il est gratuit et open source. C’est-à-dire que son code source ainsi que celui des applications mobiles Nextcloud sont consultables par n’importe qui et tout le monde peut participer à l’amélioration du produit.

Son deuxième avantage est sa grande communauté participant au développement de l’écosystème de l’outil. Il existe des applications pour ajouter une application de carte, un lecteur de musique ainsi que pour synchroniser vos SMS avec votre instance Nextcloud. Toutes développées par des utilisateurs.

Par contre, Nextcloud va vous demander un peu plus de manipulation : soit créer un compte chez un hébergeur qui le propose (un des hébergeurs partenaires ou un “chaton”). Si vous êtes plus technique : installez votre propre instance Nextcloud sur un serveur, un ordinateur local ou un Raspberry Pi.

Liens et références

La famille du peintre, Henry Brokman

Interview ekino à l’occasion de Pas Sage En Seine 2019

Cette interview a été faite par ekino et publiée en premier lieu sur le blog d’ekino.

Du 27 au 30 juin derniers se déroulait le festival Pas Sage en Seine, rencontre consacrée aux logiciels libres, au hacking et sa culture. Pour cette occasion, Delphine Malassingne, Responsable qualité chez ekino donnait une conférence sur “Mes mots de passe sécurisés et facile à gérer”. Interview.

Ekino : Tu as participé au Festival Pas Sage en Seine, peux-tu nous en dire plus sur l’événement ?

Delphine : Pas Sage en Seine est un rendez-vous annuel qui a lieu, depuis plusieurs années, dans la médiathèque de Choisy-le-Roi. L’avantage d’un tel lieu est que l’audience réunit à la fois les geeks experts et le grand public de passage ce jour-là. Ce festival réunit beaucoup de sujets autour de notre vie numérique (sécurité, protections de nos données personnelles, liberté) mais ouvre aussi beaucoup autour de tous les “hacks” de vie possible. C’est ainsi qu’on y retrouve des ateliers sur le café (le faire, le réutiliser) ou encore l’apiculture.

E : Pourquoi avoir souhaité être speaker ?

D : Être oratrice est pour moi une façon de partager. Que ce soit le partage des connaissances que j’ai acquises ou mon expérience personnelle et les leçons que j’en tire.

Dans le cas de cette conférence sur les mots de passe – mais sur le thème de l’hygiène numérique en général – j’ai la conviction que pour toucher le grand public, il faut un discours qui ne soit ni anxiogène, ni culpabilisant. Or, souvent, les “gens qui savent” en savent tellement que c’est difficile pour eux de ne pas donner toutes les informations, de ne pas dire “oui, mais ça ne suffit pas, ce n’est pas assez sécurisé, il pourrait se passer ça ou ça, etc.” Mon parti-pris est de profiter de ma position de “savante intermédiaire” (rires) pour dédramatiser le discours et amener les gens à plus facilement se sentir prêt à passer le pas. Sans les inquiéter, pas seulement leur dire que ça ne suffit pas, mais en les encourageant en disant que c’est déjà un pas de plus.

Il ne s’agit pas, bien sûr, d’infantiliser, mais de garder à l’esprit, que si tout le monde aujourd’hui est concerné par la sécurité informatique et la sécurité de sa vie privée, les enjeux du numérique sont encore bien peu dans les esprits et le fonctionnement informatique a souvent l’air, pour le grand public, d’un concept compliqué réservé aux “geeks”. Je veux aider les gens à prendre en main leur propre vie privée, à leur niveau.

E : Quel était le sujet de ta conférence ?

D : J’ai souhaité parler du premier pas à faire en matière de sécurité de nos données numérique : le mot de passe. Tout le monde est obligé de créer des mots de passe et tout le monde en as. Et, soyons honnêtes, c’est enquiquinant à gérer. De plus, le grand public ne connaît pas forcément les critères d’un bon mot de passe, les avertis ont quelques idées fausses et les experts ne savent pas toujours expliquer simplement. Du coup, j’ai voulu partager un peu tout ça. Pour ceux qui ont raté la conférence, voici deux éléments importants : le critère numéro 1, c’est la longueur (16 caractères minimum) et, dès que vous vous sentez prêts, passez à un gestionnaire de mots de passe serait une très bonne idée !

E : Comment passer à un gestionnaire de mots de passe ? Lequel choisir ?

D : Un gestionnaire de mots de passe est un logiciel qui va retenir pour vous tous vos mots de passe. Il va également les générer en respectant toutes les règles nécessaires et, via des applications, il peut aussi les “taper” pour vous. Bref, il vous facilite la vie ! Notez qu’il vous restera toujours au moins le mot de passe “maître” à retenir : celui qui vous permet de vous connecter au gestionnaire.

Passer à un gestionnaire implique “juste” d’en choisir un, de le télécharger ou de se créer un compte et d’y créer des entrées pour toutes les informations que vous voulez qu’il garde en mémoire pour vous (car il peut aussi retenir votre numéro de carte bleue, par exemple).

Pour le choisir, cela va dépendre de votre configuration, votre expertise et vos besoins ; donc personne ne peut choisir pour vous.

E : Un dernier mot ?

D : Seize caractères minimum, hein ? 😉

Mes mots de passe sécurisés et faciles à gérer – Pas Sage en Seine 2019

Conférence destiné à vulgariser les notions autour des mots de passe pour aider tous les profils à assurer au moins la base de la sécurité informatique.

Infos pratiques

Pas Sage En Seine
Médiathèque Aragon : 17 Rue Pierre Mendès France, 94600 Choisy-le-Roi
Salle Cinéma,
17 H – 18 H

Résumé

S’il y a bien une chose qui protège nos comptes et notre vie numérique, ce sont nos mots de passe. S’il y a bien une chose qui fuite, qui se hacke où qui se retrouve visible par tous sur un post-it… ce sont nos mots de passe !

Mais qu’est-ce qui fait qu’un mot de passe est bon ? Comment gérer facilement ses mots de passe ? Comment m’en sortir sans avoir des )k#Qhg`S\MEB!m"(h:2qT2,@ à retenir ?

En fait, gérer efficacement et sereinement ses mots de passe, c’est facile !

Cette conférence s’adresse à du grand public, le but est de vulgariser, pas d’être exhaustif. Des experts qui assisteraient à cette conférence risqueraient d’être frustrés 😉

Diaporama

Mes mots de passe sécurisés et faciles à gérer – Pas Sage en Seine 2019

Diaporama “Mes mots de passe sécurisés et faciles à gérer” (PDF – 3Mo)
NB : Une vilaine erreur s’est incrustée à la diapo 14, le mot de passe “paisiblepaisible” fait bien seize et non dix-huit caractères !

Vidéo

Interview radio autour des mots de passe

Durant les Journées du Logiciel Libre, où je donnais une conférence sur les mots de passe, j’ai été interviewée par Benoît, de Radio Pluriel.

L’émission est disponible en ligne sur le “replay” de Radio Pluriel ; cliquez sur “jeudi” puis c’est tout en bas “23H Culture numérique, présenté par Benoît Prieur“. (Mon passage est à 30:20 mais rien ne vous empêche d’écouter toute l’émission ! Ça parle des JDLL et de inventaire.io)

Interview ekino à l’occasion des Journées du Logiciel Libre 2019

Cette interview a été faite par ekino et publiée en premier lieu sur le blog d’ekino.

Les 6 et 7 avril prochains se déroulera la 20e édition des Journées du Logiciel Libre, placée cette année sous le thème de l’écologie. L’occasion pour le public de découvrir des modèles informatiques émergents et alternatifs à travers divers conférences et ateliers mais aussi de rencontrer des associations actives du monde du logiciel libre. Delphine Malassingne, Responsable qualité chez ekino donnera une conférence sur la gestion des mots de passe intitulée “Mes mots de passe sécurisés et faciles à gérer”. Interview.

Ekino : Tu participes au prochain JdLL, peux-tu nous parler de cet événement ?

Delphine : Je vais participer pour la première fois aux Journées du Logiciel Libre ; c’est donc une conférence que je ne connais pas encore. J’en sais néanmoins assez pour avoir envie d’y aller : cela parle de logiciel libre. Derrière cette évidence, j’y vois l’assurance non seulement d’entendre parler et d’échanger autour d’un thème qui me tient à coeur mais je m’attends également à y retrouver l’ambiance que j’ai pu connaître dans d’autres événements du même monde (Pas Sage En Seine, le Capitole du Libre) : ouverture, éthique, partage.

E : Pourquoi avoir voulu être speaker à cette conférence ?

D : Être oratrice est pour moi une façon de partager. Que ce soit le partage des connaissances que j’ai acquises ou mon expérience personnelle et les leçons que j’en tire.

Dans le cas de cette conférence sur les mots de passe – mais sur le thème de l’hygiène numérique en général – j’ai la conviction que pour toucher le grand public, il faut un discours qui ne soit ni anxiogène, ni culpabilisant. Or, souvent, les “gens qui savent” en savent tellement que c’est difficile pour eux de ne pas donner toutes les informations, de ne pas dire “oui, mais ça ne suffit pas, ce n’est pas assez sécurisé, il pourrait se passer ça ou ça, etc.” Mon parti-pris est de profiter de ma position de “savante intermédiaire” (rires) pour dédramatiser le discours et amener les gens à plus facilement se sentir prêt à passer le pas. Sans les inquiéter, pas seulement leur dire que ça ne suffit pas, mais en les encourageant en disant que c’est déjà un pas de plus. Il ne s’agit pas, bien sûr, d’infantiliser, mais de garder à l’esprit, que si tout le monde aujourd’hui est concerné par la sécurité informatique et la sécurité de sa vie privée, les enjeux du numérique sont encore bien peu dans les esprits et le fonctionnement informatique a souvent l’air, pour le grand public, d’un concept compliqué réservé aux “geeks”. Je veux aider les gens à prendre en main leur propre vie privée, à leur niveau.

E : Qu’est-ce que ta conférence va nous apprendre ?

D : L’ambition de ma conférence est assez modeste et me semble importante en même temps. En effet, le mot de passe est le premier niveau de la sécurité de notre vie privée, il concerne tout le monde.

L’idée est d’apprendre au grand public pourquoi un mot de passe est important, qu’est-ce qui fait qu’un mot de passe est bon et comment gérer la pléthore de mots de passe que nous avons.

Si je réussi mon objectif, mon discours devrait donner envie à ceux qui ne l’ont pas encore fait de passer au gestionnaire de mot de passe tout en ayant une phrase de passe “maître” remplissant tous les critères, y compris celui d’être retenue par une autre solution que le post-it 😉

E : Pourquoi selon toi, devrait-on se tourner vers les logiciels libres ?

D : Un logiciel libre est publié selon une logique de libertés. Sommairement, cela donne à l’utilisateur la possibilité de voir comment le logiciel est construit, d’y apporter les modifications dont il pense avoir besoin et de le retransmettre à d’autres, modifié ou non.

En terme de sécurité, savoir comment le logiciel est construit est une assurance supplémentaire non négligeable ! Pour ceux qui sont assez techniques, cela permet d’aller vérifier soi-même ce que fait le logiciel et comment il le fait. Au contraire, un logiciel propriétaire dont le code est caché peut avoir des fonctionnalités non-communiquées (comme la récupération de données, par exemple).

Une autre conséquence est que les failles de sécurité peuvent être repérées et corrigées bien plus rapidement quand toute une communauté monitore le logiciel, à la différence d’une équipe dédiée dans une entreprise, aussi sérieuse soit-elle.

C’est ainsi, par exemple, que le logiciel libre KeePass, gestionnaire de mots de passe, est le seul qui ait été certifié par l’Agence Nationale de la Sécurité des Systèmes d’Information.

Bien d’autres avantages sont liés aux logiciels libres, comme par exemple l’utilisation de formats ouverts et donc de pouvoir passer d’un environnement à un autre. Par exemple, si j’achète des livres pour ma liseuse dans un format propriétaire, je les perdrais si je change de marque de liseuse ; le logiciel libre n’utilise que des formats ouverts et favorise donc l’interopérabilité, le passage d’un environnement à l’autre.

Le logiciel libre a bien d’autres bénéfices. Il favorise l’innovation, favorise l’utilisateur plutôt qu’un éditeur propriétaire dont on est dépendant, etc. Autant de choses, et même plus, qui seront abordées dans le programme des JdLL et dans d’autres événements ouverts au grand public pour transmettre ces connaissances là.

E : Un dernier mot ?

D : Je suis contente d’avoir l’opportunité, grâce à ekino et grâce aux JdLL de pourvoir échanger autour de ces sujets qui sont (ou devraient être) au cœur des préoccupations numériques de chacun, expert, amateur ou même réfractaire.

Transcript du meetup Protection des données personnelles chez ekino le 25 octobre 2018

Cet article a d’abord été publié sur le blog d’ekino ; je l’ai en effet écrit dans le cadre de mon travail en tant qu’employée.

Le 25 octobre 2018, nous avons eu le plaisir d’organiser un meetup autour d’un thème qui nous est cher : la protection de nos données.
Aeris, LaPalice et Kheltdire nous ont fait l’honneur d’une présentation chacun. Voici leurs diaporama et le transcript de la soirée.
Merci à nos orateurs et merci à vous qui êtes venus parler données personnelles avec nous.
Maxime, Sébastien et Delphine.

Transcript, à la main et avec beaucoup d’amour, du meetup « Protection des données personnelles », le 18 octobre, chez ekino, à Levallois-Perret

Avertissment : Ce transcript a été écrit à la volée, pendant le meetup, par des volontaires qui ont fait au mieux. Il n’a été qu’à peine retouché ensuite. Il peut donc contenir des erreurs et ne constitue pas la retranscription exacte de ce qui s’est dit.

Bonsoir, On va pouvoir commencer, merci d’être venu. Ici ce n’est pas la réunion Lycos, mais le meetup données personnelles. Je laisse la parole à LaPalice…

« Mais moi j’ai rien à cacher », la vie privée à l’ère de Trump et des vibromasseurs connectés

Vous n’avez rien à cacher, et moi non plus. Jusqu’à ce que mon vibromasseur fasse augmenter le prix de mes billets d’avion. Par LaPalice Sur Twitter : @NLaPalice Sur Mastodon : @LaPalice@framapiaf.org

Bonsoir, J’ai très peu préparé, parce que je veux plutôt une discussion ensemble 🙂 Merci d’etre venu malgré le titre douteux. On va parler de vibromasseur, de Trump etc. … Vous êtes familier adu sujet des données privées ? [beaucoup de gens lèvent la main] Vous êtes plutôt familier sur le sujet, donc ce soir on va voir comment s’adresser aux gens qui ne sont pas familier au sujet. « Toi tu n’as rien a caché, mais tes emails sont sur Gmail donc si quelqu’un qui a quelque chose à cacher te contact, alors google le saura.” C’est un bon argument mais ça ne convainc pas les gens qui disent n’avoir rien à cacher.

Généralement, les gens n’ont pas de problème de avec le partage de leur vie privée si ce n’est pas un humain derrière.

On va partir du principe que nous faisons confiance a Google, Amazon etc. et partir du principe que nous ne sommes pas activiste politique, criminel etc. ce qui nous donnera des exemples de discussion à mener avec des gens qui n’ont rien a cacher en leur présentant des situations qu’ils peuvent vivre.

On va parler de cul et de politique. Les gens, ils sont normaux, ils sont contents parce qu’ils n’ont plus à se soucier de leur vie privée. Les 3 histoires qu’on va raconter sont sur le confort, la centralisation, et le manque de sécurité.

Le confort aujourd’hui c’est : – Des enceintes connectées à qui tu vas pouvoir demander de monter le son pendant que t’es sous la douche. De plus en plus d’amis de mes parents en ont. Je leur ai fait le laïus sur la pose d’un micro chez eux, et ça ne les touchait pas. Jusqu’au jour où je leur ai envoyé cet article où Amazon n’a rien fait de mal ; il y a juste eu un bug qui s’est produit. L’histoire c’est un couple entrain de “parler” , et Alexa est dans le fond, elle croit entendre un ordre « message » donc elle demande si elle doit enregistrer. Le couple lui répond « oh oui », elle enregistre. Puis elle pense entendre « Envoyer », elle demande confirmation. Le couple « oui, oui », et donc tu as un enregistrement du couple qui est parti à un tiers et les gens sans contrôle. Alexa transfère mon orgasme à ma patronne. Tu es content qu’Alexa soit toujours entrain de t’écouter pour lui donner des ordres, mais tu ne fais plus attention et ça peut vite basculer sans que ce soit malveillant.

Deuxième histoire : centralisation Facebook est très très pointilleux sur la vie privée MAIS ça reste avant tout une régie publicitaire. Donc t’envoyer le bon message au bon moment ça reste quand même très pratique.

Quand tu es de l’autre coté, donc celui qui met en place une campagne de pub, tu as accès à un réglage très fin pour atteindre tes cibles. Je ne croyais pas trop à l’ingérence russe lors de la campagne présidentielle américaine, ou alors je pensais qu’ils avaient juste créé des milliers de bots pro-trump. Mais en fait c’était beaucoup plus fin : ils ont ciblé les écologistes, par exemple, pour les inciter à voter pour un autre candidat que Sanders ou Clinton. Ils ont pensé leur stratégie beaucoup plus en amont. Si quelqu’un votait pour un tiers candidat, c’est plus fin et ça évite d’être trop visible. Ça n’a été possible que parce que Facebook donne accès à un filtrage très précis.

Un jour normal sur Facebook ; Facebook leur envoie des infos qui sont censées être sensibles à la pub ciblée. Y’a des gens qui aiment ça, qui préfère une pub ciblée plutôt qu’aléatoire. Les Russes ont profité des de fuites de données bancaires des américains pour recréer des comptes paypal qui servait à financer les compagnes de pub Facebook. Les américains ont payé leur propre propagande.

Les américains n’avaient rien à cacher a priori, pas d’activiste etc. MAiS en partageant leurs données, ça a permis de les cibler très finement en tapant sur leur attentes en modifiant leur vote. Généralement les gens se foutent de savoir si ils sont influencés sur une pub de vêtement, mais pour la politique généralement c’est une autre histoire.

3e histoire : vibromasseur connecté Ça c’est un vibromasseur connecté, avec une caméra. Fabriqué par la société Svakom. Un jour des chercheurs en sécurité se sont demandés si c’était fiable comme objet. La réponse est non. Login : admin, pas de mot de passe, et tu te retrouves avec tous les données.

Alice ici passe un bon moment avec son vibromasseur, et elle veut partager ce moment avec Bob. Pendant ce temps la Sxavom enregistre tout. Un scammeur peut très bien tomber dessus et vous faire chanter avec le contenu volé de la sorte. Alice qui n’a rien à cacher, se retrouve dans une situation embarrassante malgré elle.

C’est tout pour moi, je souhaite surtout ouvrir la discussion avec vous. Ça fait 2 mois que je bosse dans la sécurité, et avant je bossais dans un milieu libriste avec des gens sensibilisés à la vie privée, maintenant c’est plus le cas. Mes collègues se moquent complétement de leur vie privée, et donc j’ai dû réadapter mon discours pour pouvoir discuter avec eux.

Donc j’ai envie de discuter avec vous, trouver des moyens moins humanistes pour convaincre les gens de l’intérêt de la vie privée. Je vous laisse sur cette citation (de moi) : « Ce n’est pas parce que vous n’avez rien à cacher que rien ne sera retenu contre vous. »

Merci beaucoup

Qui a les deux premières questions ?

Public : Du coup, tes collègues, est-ce qu’ils testent la sécurité ?

LaPalice : Oui. La notion de vie privée chez eux est assez inexistante. Pour eux, tant que c’est sécurisé, ça va. (c’est pas le transcript, c’est mon résumé). Des fois, Google, c’est vraiment la meilleure solution (quand c’est pour te protéger de ta mère, ton copain, etc.) C’est une question de modèle de menace. L’auto-hébergement n’est pas une solution pour se protéger contre sa mère et son copain.

Public :Généralement les gens qui s’intéressent à la vie privée sont plutôt politisés.

LaPalice : Ce sont des enjeux sociaux à long terme mais je ne veux pas laisser les autres à la traîne derrière. Si on explique comment fonctionne le marketing, les implications sociétales comme Trump / Russie, c’est un moyen de faire réagir avec un message qui est mieux reçu.

Public : Si on prend le temps d’expliquer aux gens, mais faut déjà avoir le temps d’expliquer. Et les gens vont trouver ça chiant. Si j’arrive a chopper une minute de temps à l’apéro avec ma famille c’est la fête. Il faut déjà une sensibilisation de base pour pouvoir pousser la discussion.

Public ou LaPalice ? : Est ce que tu fais aussi du bien aux gens malgré eux ? L’article des enceintes, c’est pour faire réagir mais c’est pas dit qu’ils aient compris les implications sociétales. Là ou le vibromasseur c’est déjà très lointain pour eux. Idem pour Trump ou on peut se dire que les mécanismes électorale française est différentes etc. De voir qu‘« un état « dissident » peut influencer les États-Unis avec cette histoire, on peut se dire qu’on pourrait subir des attaques sur nos politiques.

LaPalice : Le vibromasseur c’est parce que j’en parle dans mon titre, je ne sais pas pourquoi, mais j’aurai pu utiliser un objet connecté différent pour rendre le risque plus tangible. Comme par exemple la peluche qui enregistre ce que raconte les enfants et le stocke sur un serveur distant. Tu as des outils aussi pour localiser le magasin exact dans lequel tu te trouves pour te balancer la pub parfaite. Pour du marketing ça peut être utile, mais ça peut vite être détourné

La prochaine fois je parlerai de poupée, je suis triste parce que je referai mes dessins que j’ai fait moi même contrairement aux apparences [rires]] D’autres questions ?

Delphine: Je vais meubler, on va passer a la 2è présentation par aeris. On va parler Web et vie privée, c’est dire comme on est raccord ! 🙂

Web, extensions et vie privée

Le web est devenu une usine à nuire à la vie privée des utilisateurs. Découvrons les outils de protection pour reprendre le contrôle !

Par aeris Sur Twitter : @aeris22 Sur Mastodon : @aeris@social.imirhil.fr Diaporama

Je vais essayer de ralentir Public : « quel beau logo »

Présentation d’usage : je suis aeris, cryptotrerroriste radicalisé sur le darknet digital. C’est comme ça que je suis connu dans les services de renseignements. Les slides seront en ligne. Je travaille pas mal autour des cafés vie privée, développeur chez Cozy Coud. La question que je me suis posé c’est : quel est le plus grand méchant ? Et clairement, le pire du pire, c’est le web. C’est devenu un véritable enfer en terme de vie privée. Donc on va voir les risques, et comment s’en protéger.

Problème 1 : Bloatware Sur le Figaro, 9 MO à télécharger pour afficher le site, 12s de chargement, 10 CSS, 2 média…. Juste pour la home du Figaro. Tous les sites sont comme ça, on a eu un article qui parle d’un constat sur l’informatique en général avec des app de plus en plus lourdes sans qu’on sache pourquoi. C’est général.

Ça donne des trucs marrants, quand vous allez sur Medium sans JavaScript, vous n’avez pas d’image. La balise img existe depuis longtemps et ça marchait très bien avant. Le soucis de ces sites, c’est les sites tiers : pourquoi c’est aussi gros ? Pour pouvoir faire du tracking, mettre de la pub etc. et donc la majorité des sites du Figaro c’est des sites tiers. Là on voit bien le site du Figaro avec chacune une vingtaine d’appel. Tout le reste c’est du contenu tiers (il manque encore une image).

Du cloudflare, du Facebook, des trackers (outbrain, taboola…) qui dégueulent votre vie privée pour savoir vos centres d’intérêt , les pages visitées etc. et tout ça est envoyé à des tonnes de personnes. Y’a le JS aussi pour avoir de beau carousel, un menu déroulant etc. Avant on avait de la pagination sur de la donnée, maintenant c’est des requêtes AJAX.

Ça donne des sites tiers partout, partout, partout. Parmi les contenus tiers y’a les cookies qui servent à tracker. Au départ ça sert a vous authentifier. Sans cookie à chaque requête il faut s’identifier.Le marketing a trouvé ça intéressant parce qu’une info stockée sur la machine c’est super pratique pour identifier. Là, sur Madmoizelle.com, on a un cookie qui va on ne sait où, qui va charger du JS, de l’images etc. des données aléatoires etc. et je sais que ça va servir à faire du tracking. Tous ces gens (google etc.) vont savoir où vous allez. L’environnement de la pub c’est mis en place avec le JS et les cookies.

Ça c’est l’écosystème de la pub sur Internet : de la collecte de données, puis le marketing, ils vont s’échanger vos données, faire des centres d’intérêts. « Là il vient du Figaro, donc plutôt de droite, puis un site de sport, donc plutôt intéressé par le foot, puis la un site de l’Éducation Nationale, donc peut être un étudiant ou jeunes actifs »… C’est la qu‘on voit les méta données. Certaines boîtes se vantent d’avoir plus de 1500 données sur toute personne aux États-Unis.

Données : pointure, tailles des fringues… Quand une des boites de marketing veut afficher telle pub, ils vont pouvoir cibler une classe sociale. Si je veux vendre une voiture ça sera des CSP+, entre 35 et 40 ans etc. et cibler des consommateurs plus intéressants. Y’a les bourses d’échanges qui vont dire « j’ai un encart ici » puis une enchère va avoir lieu, en quelques millisecondes. En 100 millisecondes, y’a quelqu’un qui va dire qu’il a une meilleure enchère.

Et c’est pas le Figaro qui gère la pub, c’est un site tiers. Le Figaro ne fait qu’afficher le contenu. Tout ça ça ne marche qu’avec vos données. Y’a les CDN : pour la performance, pour héberger la donnée etc. Donc des gros sites de données utilisés par tout le monde genre Akamai, Cloudfront… qui vont héberger toutes les données statiques. Tu ne vas pas charger jQuery depuis le Figaro, mais plutôt depuis Cloudflair qui va s’en charger.

Ces sites sont énormes, 40°% du trafic mondial. Partout où vous irez, partout où y’a du jQuery, il est probable que ça passera par eux. Et donc ces CDN pourront vous suivre en voyant d’où vous télécharger les ressources.On a un example sur Twitter : Entre deux requêtes, on voit un changement de serveur parce que mon identité a changé. À chaque rafraîchissement je changeais de prestataire.

On va passer aux solutions ? Le but, ça va être de Bloquer le contenu tiers au maximum. La solution utile pour se protéger : Tor Browser. Un firefox customisé par le Tor Project. Isolation des pages (contexte différent, les cookies ne sont pas partagés) ce qui va beaucoup emmerder les plateformes marketing. Ils vont avoir l’impression que c’est un utilisateur différent et donc ils ne pourront pas recroiser les données. C’est un peu extrême, certains n’aiment pas Tor donc on peut avoir des services bloqués. Pas de customisation possible sinon ça redevient identifiable. Même une résolution d’écran peut vous trahir avec les tailles des menus etc… C’est magique, tu démarres et c’est bon.

En classique, HTTPS everywhere : installé par défaut dans Tor Browser Ça va transformer vos requêtes HTTP en version sécurisée (HTTPS). Donc mêmes des vieux liens qui trainent, ce module va réécrire les URL à la volée si HTTPS est installé. Pas d’effet de bord ! Celle là vous pouvez l’installer les yeux fermés. Sur Firefox on a les multi account containers, idée piquée chez Tor Browser. Ça permet de créer des groupes de conteneurs indépendants.

J’en ai un par asso que je gère, un pour Google. Les cookies sont pas partagés par défaut donc dans le container Google j’ai mes cookies Google, mais ils ne seront pas présents dans mes autres conteneurs.J’ai des règles donc si je tape google.fr ça ira directement dans ce container. Tout est cloisonné.

Une autre fonctionnalité c’est la First Party Isolation. Pousser au maximum la logique de container en isolant tout par onglet et site principal. Donc sur Figaro, si vous téléchargez du cloudflare et que vous allez sur madmoizelle qui a aussi cloudflaire, c’est 2 morceaux ne sont connectés entre eux. Il y a des effets bords légers, ça se désactive facilement en cas de soucis. Ils espèrent pouvoir l’activer par défaut a terme. Mon extension préférée : µMatrix

Au début, vous allez la haïr mais après c’est le kiff. Elle va vous afficher toutes les requêtes qui aurait dû partir lors de votre visite, seul le premier niveau est activé. Donc votre premier usage, tout sera blanc. Il va falloir activer au cas par cas pour autoriser les requêtes, les scripts etc. C’est un réglage fin, donc tu vas pouvoir débloquer uniquement le CDN du Figaro par exemple, sans laissé par cloudlare.

Au fur et à mesure vous allez mettre des règles, enregistrer vos règles d’une visite à l’autre, et donc au fur et a mesure ça va se débloquer petit à petit et retrouver une navigation presque normale. C’est très très efficace en terme de protection de la vie privée. Mais ça demande beaucoup de réglage. Vous allez savoir ce qu’on fait, comprendre ce qu’est un CDN « pourquoi j’ai un google.com ? » et un « apis.google.com » ? y’en a un c’est un CDN obligatoire par exemple. Faut y aller à tâtons.

Parfois, on utilise le bouton pause parce qu’on sait qu’on arrivera pas à paramétrer. (et les autres extensions prendront le relai)Les paiements en ligne, c’est une plaie ! c’est la purge absolue, tu vas activer une partie des scripts nécessaires, puis tu vas rafraichir et d’autres sites tiers vont arriver parce que le site tiers charge d’autres contenus etc. 3Dsecure pour ça c’est une catastrophe. C’est le cas aussi avec Google API par exemple, des sites tiers qui appellent des sites tiers etc. J‘ai des tickets ouvert sur le GitHub pour avoir des listes blanches etc.

Après y’a µBlock, si vous ne l’avez pas installé. Ça bloque uniquement la pub. Ça marche de moins en moins bien parce que les sites incrustent les pubs de plus en plus. Donc µblock s’adapte mais ça rate parfois. Sur têtu par exemple, on ne sait plus faire la différence entre contenus et pub. Y’a des listes qui existent pour avoir un pré-réglage adapté a votre profil (européen, US etc.). Assez efficace, 22% du trafic bloqué. NoScript bloque tous les JavaScript. Vous autorisez ensuite domaine par domaine. Je ne m’en sers plus parce que j’ai uMatrix mais c’est plus simple à utiliser, ça peut servir d’entrée en matière.

Si vous ne voulez pas galèrer avec µMatrix, installez NoScript. Disconnect s’occupe de tout ce qui est réseau sociaux. Les trackings etc. Ça bloque la pub mais moins efficacement que µblock. Quasiment tous les sites que vous visitez on des boutons « +1 », « j’aime » etc. et ça vient directement de Google ou Facebook, ce qui leur permet de vous tracker facilement. Vous pouvez l’installer les yeux fermés. En cas de pépin avec µmatrix, ça peut être une alternative. Decentraleyes : utile pour les sites tiers largement partagés.

L’extension va les embarquer nativement, donc elle est lourde mais quand votre navigateur va essayer de charger ces requêtes, l’extension va intercepter et utiliser ce qui est ne local. Donc c’est plus rapide, ça évite des requêtes, et ça rend aveugle les gros CDN etc. Les Cookies sont la plaie d’internet, il y a Cookie Autodelete qui va vous afficher tous les cookies qui essayent de s’installer et vous allez pouvoir autoriser au cas par cas. Par défaut il va tout autoriser, puis il supprimera après un certain temps. Si vous voulez garder un cookie en particulier vous allez pouvoir le sauvegarder plus longtemps.

En divers et varié : SmartReferer. À chaque page que vous visitez, le site sait d’où vous venez par défaut. Smartreferrer permet de bloquer ça. « Smart » parce que y’a des sites qui ne sont pas content sans cette info. Donc en remplaçant le referrer il essaye de mettre la page que vous voulez voir en origine ce qui feinte les outils. Redirect AMP to HTML

Les sites lourds à charger c’est une plaie, donc Google a dit « on va refaire HTML, on va appeler ça AMP et tout stocker chez nous ». On va bloquer JavaScript etc. et du coup ça chargera beaucoup plus vite. Donc ils ont réinventé le HTML mais version centralisée car tout est obligatoirement stocké chez Google. Donc cette extension va vous rediriger vers le vrai serveur du contenu et pas ceux de Google. Sans bloatware, on aurait pas eu besoin de ça.

Au revoir UTM :Mauvaise pratique des marketeux qui aiment bien savoir d’où vous venez, après quel bouton, lien etc. Donc il mette dans l’URL des paramètres qui vont dire ça vient de tel ou tel endroit. Google a été le premier avec les paramètres « UTM ». L’extension réécrit a la volée et vire ces paramètres.

En truc pénible et chiant : Behind the overlay : Après le RGPD c’est devenu quasi obligatoire, avec tous les fenêtres qui s’affichent par défaut pour recueillir vos consentements. La ça ferme la fenêtre et vous pouvez lire le contenu. Don’t fuck with my paste : autorise le copier coller même quand c’est interdit. Google search link fix. Quand tu cliques sur un lien tu as l’impression d’être envoyé directement sur le figaro.fr mais en fait tu es passé par 3 serveurs Google entre temps. Cette extension bloque ça et vous fait arriver directement sur le Figaro. [public] On le voit bien avec µMatrix. I don’t care about cookies ?

Avec tout ça vous devriez être bien protégé. Je ne peux pas garantir que vous ne serez pas trackés parce que les marketeux sont intelligents et réfléchissent beaucoup à ce sujet mais au moins ça sera plus complexe. Vous avez des questions ?

Public : Adblock ?

Aeris : Equivalent de µBlock. Le problème de Adblock c’est qu’il a décidé de passer des partenariats avec des régies de pub : si vous payez on ne bloque pas. « Les pubs acceptables » qui sont défini par l’argent versé. Sur µblock c’est pareil y’a eu des soucis, donc il faut utiliser µBlock Origin.

Public : Pour le blocage des copy/paste : tu as un paramètres sur Firefox qui permet de désactiver les événements sur le copy/paste si besoin.

Aeris : Des fois on aime bien, genre sur GitHub

Public : Y’a des équivalents sur mobile ? Vu que la consultation augmente.

Aeris : C’est plus compliqué parce que difficile d’installer des extensions Vous pouvez déjà utiliser Firefox focus. Vous pouvez installer blockada (c’est un peu violent), s’installe comme un VPN et lui va dégager les sites connus pour être traçant. Et pas que sur le web, mais pour toutes vos applications etc. C’est plus dur sur mobile, trop verrouillé.

Y’a des firewall pour autoriser l’accès à internet par application. Type un anti-moustique qui voulait accéder à internet. Déjà n’installez pas ça, mais si vous voulez, n’autorisez pas Internet. Iphone c’est mort, mais c’est plus propre : une meilleure analyse en amont par le store ce qui vous protège en partie.

Y’a une boite qui s’était fait prendre : ils ne demandaient pas la géolocalisation, mais via le bluetooth ils pouvaient savoir quel périphérique était autour et si ce périphérique était géolocalisé, alors l’app pouvait vous retrouver via du matching. Ils se sont fait avoir et ce n’est plus tellement répandu. Le marketing est intelligent, plein de ressources et sont capables de faire des trucs très très gores. On peut se faire peur avec… : Typiquement ça 1.1.1.1 l »‘ip n’est pas a eux, c’est juste intercepté à la volée.

Je vous invite à faire le test chez vous : amiunique.com. Ça vous donne l’empreinte de votre navigateur. Arrêtez de stocker vos font chez Google. Donc là j’ai quelques informations qui peuvent être recoupées. On est 40% sur linux etc. et, au final, avec toutes les empreintes on peut me retrouver.

Do not track permet de vous discriminer par exemple : la résolution de l’écran, stockage local, les canvas apparus en HTML5 qui permettent de dessiner et ensuite ils viennent relire ce qui a été dessiné parce que chaque carte graphique est différente et donc ils peuvent identifier la carte et recouper les infos. Y’a aussi panotpiclick.com Ah oui forcément startpage pas Google en page par défaut !

Juste pour rigoler…. (je débloque les scripts au fur et à mesure sur µmatrix…) Ils doivent détecter à peu près la même chose que l’autres, genre les canvas : le hash est le même. La taille de l’écran etc. les polices système installées sur le navigateur etc. Si l’écran supporte le tactile pareil c’est détecté etc. Éviter le web !

Signal vs. Silence

Présentation et comparaison de deux applications mobiles (Signal et Silence) améliorant la protection de votre vie privée en chiffrant vos communications textuelles (SMS) quotidiennes.

Par Kheltdire Sur Twitter : @kheltdire Sur Mastodon : @Rambobafet@mastodon.roflcopter.fr Diaporama

Sébastien from ekinoExperts.

Je suis un profane éclairé sur le sujet. On va parler de Signal et Silence, deux applications mobiles. Nous parlerons de sms et discussions instantanés. Ça c’est une citation de Snowden (Citation attribué à Richelieu) : “peu importe ce que vous raconter et à qui, on peut le retourner contre vous“. Dans le doute, ne rien dire. Le plus important c’est de définir son modèle de menace:

De qui on se protège ? État, Google ? Se protéger de la surveillance de masse ?

Une fois qu’on a répondu à cette question, on peut réfléchir aux outils à adopter. Aucune solution ne couvre l’ensemble des modèles de menaces (à part vivre dans une grotte, et encore, il y a des ours). Aujourd’hui, le téléphone est moins sûr qu’un pigeon voyageur. Un pigeon, on ne peut pas trop le tracker, on sait ou il va a la limite mais pas d’ou il part, contrairement à un message envoyé depuis votre téléphone.

Prenons un super SMS : il y a le contenu (« Salut lapin, je serai à Saint Laz à 18h »). Il y a également des métadonnées : qui parle à qui, quand ? à quelle fréquence ? Il n’y a pas besoin du contenu pour vous traquer, les métadonnées peuvent suffire.

Un exemple d’attaque : les IMSI catchers : une fausse antenne qui intercepte l’ensemble des communications dans un coin, et qui le transmet à une vraie antenne. C’est ce qui a permis de traquer Paul Bismuth (N. Sarkozy) Pour vous, c’est complètement transparent, mais tout est capté au milieu. Même si vous n’avez rien à vous reprocher, si il y a un suspect dans votre proximité géographiques, vos communications peuvent donc être interceptées.

À défaut de protéger le contenant, on va protéger le contenu : chiffrer ses communications, varier les canaux, changer d’outils.

Un des problèmes de la sécurité, c’est la friction : fermer la porte de chez soi à clefs, c’est 4 actions supplémentaires pour protéger ses biens. Donc : jusqu’où on veut aller pour se protéger.

Signal et Silence : Deux applis différentes, Signal est plus complète et est compatible iOS (et gère les appels téléphoniques). Pour choisir, examinons notre modèle de menaces :

  • CONTRE LES GAFAMS : Silence, pas besoin d’un compte Google
  • CONTRE MON ÉTAT : Signal : pas de FAI, pas d’hébergement sur le territoire, tout aux USA
  • CONTRE LA NSA : Silence, qui envoie de VRAIS SMS, contrairement à Signal. Le trafic internet est plus facile à mettre sur écoute. En plus, dans votre contrat téléphonique, vous avez un accord avec votre opérateur, c’est plus facile de se retourner contre lui.

En termes de facilité : Signal chiffre appels, messages, s’installe de partout, etc. Aucune configuration nécessaire, synchronisation, etc.

Pour masquer ses contacts : Silence, parce que pas de synchro sur un serveur distant. Si vous ne voulez pas activer la data en permanence : Silence. Récapitulatif disponible dans les slides .

Autres applis :

  • Whats app : bonne sécurité mais appartient à Facebook.
  • Telegram : sécurité mal conçue, chiffrement avec le serveur par défaut, pas end to end.

Personnellement j’utilise les deux : Silence par défaut, Signal pour iOS et pour le chat mobile desktop

TLDR : il est important de définir son modèle de menaces pour définir sa sécurité : ne pas recommander des outils trop techniques pour des gens pas techniques.. Par exemple, quand il s’agit de protéger ses sources, c’est peut-être pas idéal d’utiliser un téléphone mobile, même chiffré. Combien sont chiffrés à proximité ? Est-ce géolocalisable ?

Pour aller plus loin : bibliographie, la présentation sera disponible dans les heures qui suivent.

Remarque : Signal a beau être open source, ils ont une fâcheuse tendance à attaquer tous ceux qui essaient d’implémenter leur protocole.

Notes autour de “La servitude volontaire”

Cette vision du futur, dépeinte dans le film d’animation Wall-e, me donne toujours la chair de poule car elle me paraît tellement probable quand je vois notre comportement actuel, nos valeurs, notre idée du confort.

Voici quelques notes que j’ai prise suite à la présentation de Philippe Vion-Dury lors du meetup de CozyCloud, le 01er juin 2017. On y parlait analyses prédictives et manipulations par la donnée personnelle et c’était aussi intéressant qu’inquiétant !

Philippe Vion-Dury est l’auteur de La nouvelle servitude volontaire – Enquête sur le projet politique de la Silicon Valley aux éditions fyp.

NB : Il ne s’agit ici que de notes prises à la volée. Ce n’est pas forcément bien rédigé, il n’y a pas de transition, etc. Pour une vision complète, je vous invite à regarder la Vidéo (disponible temporairement ?) ou à acheter le livre !
De plus, il y a forcément un biais : c’est ce que j’ai compris, retenu, choisi de noter ; sans compter que j’ai également noté mes réflexions personnelles de-ci de-là.

Notes

Analyses prédictives (= le thème du bouquin) pour prédire nos comportements.
La corrélation permet de tirer des conclusions. Pour ça, il faut avoir plein de données.
La personnalisation fait qu’on consulte de plus en plus un Internet qui a été filtré pour nous et non l’internet de la sérendipité voulu aux origines.

Réflexion perso : La suggestion par Spotify ne va pas me gêner car je suis peu mélomane, connaît peu de chose est ai tout à découvrir. Du coup, je vois ça comme un service. Mais si je transpose au monde des arts plastiques, par exemple, où j’ai envie de découvrir y compris ce que je n’aime pas car l’art c’est ça, ça repousse des limites, ça pose questions, alors là je mesure d’un coup comme cela peut enfermer, limiter la créativité, anéantir la nouveauté (disons “l’innovation” pour faire marketing). Là, je mesure comme cela peut être effrayant et risquer de faire vivre chacun, si on pousse un peu, dans un monde monotone et fait d’une seule vision.

Je n’avais jamais réalisé l’impact que cela pouvait avoir sur la création et la créativité et c’est effrayant.
Je serais une version tellement pauvrette de moi-même si je n’avais pas été exposée à des contenus, des styles que je ne souhaitais pas, que je ne cherchais pas. Des contenus qui m’ont gênée et forcée à me poser des questions, à ajuster – ou non – ma vision des choses.

Bulles filtrantes : on ne sait plus si ce qu’on voit c’est le réel ou ce qu’on veut être le réel.

Au cinéma, notamment à Hollywood, il y a déjà des sociétés qui viennent corriger des scénarios pour optimiser leur rentabilité via des bases de données constituées pour guider leur choix.

OkCupid (application de rencontre) indique un score de compatibilité. Ils ont testé d’inverser les score (indiquer 10 % de compatibilité quand les deux profils, selon leur algorithme avaient une compatibilité de 90 % par exemple) pour voir si les gens suivaient alors ce qui étaient indiqué ou suivaient leurs impressions personnelles. Polémique.

En fait, on est tous le sujet de pleins d’études en permanence et sans le savoir (ex. de Facebook avec des contenus plutôt positifs pour certains et plutôt négatifs pour d’autres).

Obama, pendant la campagne. Les données permettaient non seulement de savoir qui était indécis mais aussi à quels sujet il/elle était sensible pour l’aborder sur ces sujets là.
(Renforce le fait qu’une personne va voter sur une ou deux idées plutôt que sur un programme (ce qui est probablement déjà le cas pour une grande partie de la population, c’est un autre débat).)

Les assurances connectées. Ça commence aux États-Unis, via du renforcement positif. Que les personnes soient en meilleure santé sert l’objectif financier de l’assureur. Mais les malus via du renforcement négatif arrivent et on peut imaginer que ça va basculer sur des taux différenciés !

Justice prédictive, police prédictive (au début spatial, puis individuelle), services sociaux prédictifs.

(On est en plein Person of Interest !)

Il n’y a plus de choix politique.

En Chine, un accord avec un consortium d’entreprises et l’État pour donner un score de citoyenneté qui pour pourrait impacter des taux d’emprunt ou autre avantages.

On n’est plus dans des sociétés disciplinaires mais dans des sociétés plus softs où on nous incite en permanence à avoir les bons comportements où on se laisse couler sans trop s’en rendre compte et en trouvant ça plutôt agréable.

Ce sont des mécanismes de pouvoir.

Les algorithmes de personnalisation sont tellement précis que des résultats aléatoires sont intégrés parce que sinon c’est trop flippant pour l’utilisateur !

Le GDPR (General Data Protection Regulation, Règlement Général sur la Protection des Données, en français) rentre en fonction le 25 mai 2018 et s’impose à tous les pays européens et aux entreprises qui y font des affaires. Amandes jusqu’à 4 % du CA mondial.

Des entreprises comme CozyCloud jouent ce rôle à son niveau, tout comme des associations comme Framasoft.

Ethic by design, aux US, pour éviter les dark patterns

Bon voilà, ce ne sont vraiment que des notes mais elles peuvent vous donner une idée des thèmes de la vidéo, et donc du livre. Si cela vous a interpelé, vous pouvez acheter La nouvelle servitude volontaire :

J’en profite également pour vous recommander chaudement l’excellent livre Surveillance:// de Tristan Nitot. Il balaye un panorama de la situation actuelle, de ses dangers et donne des premières pistes. Sa vulgarisation en fait un livre facile à aborder et à comprendre.

Là, aussi, achetez-le :

Un pas de plus vers mon hygiène numérique – Pas Sage En Seine 2017

Atelier, 2 heures
Pas Sage En Seine, juillet 2017

Nous sommes de plus en plus intimement lié·es avec nos données numériques. Les enjeux concernant nos libertés et notre sécurité sont grandissants. Nous en sommes bien conscients et pourtant, protéger sa vie numérique n’est pas simple. On trouve de nombreux conseils d’experts, parfois pédagogiques, parfois condescendants et ce n’est pas évident de s’y retrouver. Et si la première étape était justement ce constat, que c’est normal qu’on n’arrive pas à mettre en place tous ces conseils ? Et si, forts et fortes de ce constat, on se réunissait lors d’un atelier pour, ensemble et chacun à son niveau, faire un pas de plus dans la sécurité et l’hygiène de notre vie numérique.

Dimanche 02 juillet 2017, 16 h – 18 h
Médiathèque Aragon
17 Rue Pierre Mendès France, 94600 Choisy-le-Roi
À l’accueil

Sur le site de PSES

La présentation au format PDF : Un pas de plus vers mon hygiène numérique

Internet et société : la responsabilité des professionnels

Parmi toutes les conférences que j’ai vues et aimées cette année à Paris Web, certaines m’ont particulièrement marquée par rapport à leur thématique. En effet, il me semble que plus d’une présentation nous renvoyait à notre responsabilité en tant que professionnels et utilisateurs d’Internet.

« La rencontre entre hacktivisme et sociétés civiles, un enjeu pour les libertés numériques » d’Amaëlle Guiton m’a permis de rattraper un retard que je cachais honteusement. Mais pas que ; loin de là.

Nous vivons, avec l’arrivée somme toute récente d’Internet, une nouvelle révolution après celle de l’imprimerie (je n’invente pas cette belle image mais reprends ce que j’ai entendu). Notre capacité à communiquer avec toute la planète et à transmettre est sans limite. Sans limite ? Le politique a bien compris le pouvoir que donne Internet et se pose les questions de ces limites. Mais se pose-t-il les bonnes questions ? Internet n’est pas une question politique. Internet est un support qui équipe la société et la société (civile, mondiale) ne doit pas le laisser lui échapper pour être contrôlé par un pouvoir politique, soit-il capitaliste, anarchiste, socialiste ou tout autre -iste.

Internet est un outil qui équipe la société. Il ne doit pas être récupéré par le mercantile et le politique

Oui, mais Internet, c’est compliqué. Comprendre en quoi la liberté du Net c’est important (cf. « Vers une nouvelle éthique » de Xavier Mouton-Dubosc), ce n’est pas (encore) à la portée de ma mère, mon voisin, mon boucher qui a autre chose à faire. Les enjeux de la liberté individuelle et de la vie privée vont bien plus loin que le “je n’ai rien à cacher” de ma cousine lycéenne et de mon épicier réac’.

Mais nous, professionnels du web, nous sommes bien mieux placés que les politiques pour comprendre notre média et ses possibilités. Nous nous y intéressons, connaissons sa mécanique, sommes consommateurs et acteurs. Il reste encore un rôle que nous pourrions choisir de revêtir : vulgariser et transmettre.

Si nous ne le faisons pas, c’est TF1 qui le fera.

Mais que transmettre ? À mon sens et en m’appuyant sur les conférences qui ont motivé ce billet, je dirais :

  • En quoi Internet est notre – nous, les citoyens du monde – média, fait de nos données ?
  • Comment le monde mercantile utilise et pourrait utiliser Internet (nos données) ?
  • Que souhaite-t-on qu’Internet devienne ? Projetons-nous dans 100 ans.

Dans cette révolution que nous vivons, depuis les premiers rangs pour les professionnels que nous sommes, nos actes et nos non-actes seront la cause de ce que sera Internet demain.

À nous de nous emparer d’Internet avec recul et discernement.

Car Internet est un nouvel eldorado pour notre monde capitaliste. Les possibilités que l’on entrevoit actuellement ne sont sûrement rien par rapport à ce que cela va devenir. Les perspectives que nous donne, par exemple, Avi Itzkovitch dans sa conférence « Designing with Sensors: Creating Adaptive Experiences » sont autant de nouveaux services que nos appareils pourront nous rendre – et je m’enthousiasme autant à cette idée que je me réjouis de mon utilisation actuelle de mon mobile. Mais n’est-ce pas autant de raisons de s’inquiéter de la compromission de la liberté individuelle, de la disparition de la vie privée ? Si certains s’en inquiètent, la réponse pour moi est la même que ci-dessus  : à nous d’être responsable de notre support, de vulgariser pour le “grand public”, de réfléchir et de se projeter pour être sûrs de ne pas créer un monstre.

Olivier Thereaux et Karl Dubost nous ont donné des premières pistes de réflexion avec « Esthétique et pratique du Web qui rouille » – à nous de les creuser.

Chaque utilisateur d’Internet doit être vigilant par rapport à ce qu’il met en ligne et à la manière dont il utilise ses applications. Mais c’est à nous – professionnels du web – de relayer ce message de vigilance sans dramatiser mais de vulgariser, donnant à chacun la possibilité de prendre position.

Liens

Ces quatre conférences ont motivé ce billet mais de nombreuses autres ressources vont pouvoir nous aider à cette prise de conscience et à la transmission.
Voici quelques éléments que je peux vous indiquer :

Remerciements

Merci aux orateurs que j’ai cités ci-dessus pour ce partage et merci aux auditeurs qui y ont ajouté leurs questions et leurs points de vue.
Merci à Paris-Web pour ces choix qui n’étaient pas si évidents ; merci vraiment !
Merci à Ekino qui m’a permis d’assister à ces journées de conférences.

Mes autres articles sur Paris Web 2013

Flippant

Depuis que je suis -d’une manière ou d’une autre- sur le web, je me pose toujours la question des informations que je laisse.

Une fois qu’on dépose une information sur Internet, on n’a plus du tout la main dessus. Or, j’ai beau n’avoir rien qui me distingue des autres ni rien à cacher, j’aime contrôler les informations que je donne sur moi.

Petite parenthèse à ce propos, il y avait eu un débat, lors d’un explorCamp parisien, sur le sujet “Éthique et identité numérique”. Un sujet passionnant sur lequel on aurait pu (et j’aurais bien aimé !) discuter pendant des heures !

Bref, toute cette entrée en matière pour parler de www.123people.fr dont j’ai entendu parler via Sébastien Billard. Je viens de faire une recherche dessus, sur mon nom, bien sûr, je voulais voir ce que cela donnait. Aucune réelle surprise : je savais que j’avais ces contenus là sur Internet. Ce qui me marque plus, c’est la possibilité de les avoir là, tous réunis. Les infos persos (via Facebook) et les infos pro (dans mon cas, mon site CV) sont présentes ensembles.

L’application propose aussi d’indiquer une adresse e-mail et un numéro de téléphone… Informations que je n’ai pas envie de communiquer sans un contrôle de ma part ! (je suis bien contente, d’ailleurs, que 123people n’ait pas trouvé ces renseignements, pourtant tous les deux disponibles sur Internet.

Par contre, le nuage de tag m’a fait bien rigoler :

Nuage de tag
Nuage de tag

  • “Webdesigner” en mot le plus fort, est bien la notion sur laquelle j’ai dû le plus communiqué sur Internet. Bon, “intégrateur” est un peu petit à mon goût.
  • Manifestement, je pose beaucoup de questions ! (“Que”, “Qu’est-ce”) ;
  • Etre accolée aux Pompeurs, je suis flatée (mais pourquoi ?!!)
  • Par contre, je vais avoir bien du mal à expliquer à mon petit ami légitime ce que fait ce “Jérôme” là !!!

Notons au passage, après l’inquiétude et l’amusement, que l’on peut apparement faire disparaître des informations des résultats. Chose que je n’envisage pas de faire, comme quoi, ça ne doit pas me faire si peur que ça.

Cela reste une très bonne adresse pour montrer à une personne peu sensible à la question à quel point les informations personnelles laissées sur Internet doivent être mesurées hors contexte.