PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net
⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Vie privée, États-Unis versus Numérique.

jeudi 21 mai 2015 à 21:58

C’est dans une lettre adressée au président des Etats-Unis que plus de 140 organisations et entreprises ont émis le vœux que le gouvernement américain ne cède pas aux pressions des différents services du renseignement américain.

Ces derniers souhaitent, ou plutôt, ne souhaitent pas voir une généralisation d’un chiffrement fort, qu’ils ne seraient plus en mesure de casser. Depuis les révélations d’Edward Snowden sur l’étendue de la surveillance américaine, notamment côté NSA, des grands noms du numérique ont décidé de passer à la vitesse supérieure dans la protection des données de leurs utilisateurs.

Dans les signataires de cette lettre, on retrouve l’ACLU, l’EFF ou encore HRW, des noms que vous devriez connaître. On retrouve également d’autres noms, comme Apple, CloudFare, Dropbox, Facebook ou encore Google.

Pour les premiers, le chiffrement est la pierre angulaire de la protection de vos données face aux pouvoir démesurés des services du renseignement et face à l’ensemble des autres menaces quotidiennes qui pèsent sur ces données. Il faut donc garantir un fort chiffrement et une protection de ces données accrues.

Pour les seconds, ne vous y trompez pas, le principal intérêt réside dans la confiance des utilisateurs et donc, dans le bénéfice à en tirer. Le calcul est simple : « si mes données sont protégées, j’ai confiance dans le service, donc indirectement dans la société éditrice du service. »

Le chiffrement des données joue un rôle de plus en plus important dans le choix de l’utilisation d’un service, d’une application ou d’un matériel, pourtant, et c’est le point qui m’amène à écrire sur le sujet, il faut garder à l’esprit que chiffrement ne signifie pas pour autant protection.

Pour faire plus clair : Facebook est peut-être dans la liste des signataires, ils n’en demeurent pas moins une menace sérieuse pour votre vie privée. Menace que vous alimentez si vous ne prêtez pas attention à ce que vous publiez sur ce réseau.

Il serait bon de s’intéresser aux choix de ces entreprises car, si dans le monde physique elles sont « éloignées », dans le monde numérique, elles vous accompagnent et vous suivent chaque jour.

Source : http://pixellibre.net/2015/05/vie-privee-etats-unis-versus-numerique/


Assurances : la vie au rythme pavlovien ?

dimanche 10 mai 2015 à 20:49

Dans une récente actualité publiée sur RTL, j’apprenais que l’interconnexion entre les données de santé et les assurances était toujours d’acualité.

Pour rappel ou pour ceux à qui cela ne dit rien, il est question de polices d’assurance spécifiques où vos données de santé sont collectées, généralement à l’aide d’un objet connecté fourni par la société de prestation.

Dans l’article de RTL c’est d’un bracelet connecté fourni par la société Fitbit.

Quels sont les avantages d’un tel dispositif ?

L’avantage principal, qui conditionne les autres, se résume ainsi : passer d’un système d’assurance basé sur la mutualisation des risques à quelque chose « taillé sur mesure ».

Dans le premier cas, à savoir la base des assurances actuelles, les différents risques inhérents à la vie quotidienne, à la santé et au reste sont statistiques. Ces statistiques sont ensuite appliquées à l’ensemble des adhérents, ce qui représente un risque moyen de telle ou telle chose, à laquelle on vient appliquer un prix (hospitalisation, maladie, vol, feu …).

Dans le second, plus de mutualisation de risques, on calcule absolument tout à partir de vos données. Ainsi, si vous faites du sport, votre assurance coûtera moins que le prix indiqué car vous diminuez vos risques de santé. Si vous mangez correctement, c’est pareil. Une vie saine selon les normes de votre assurance signifiera donc une qu’elle sera moins onéreuse…

Mais à quel prix ?

Car c’est la question que vous devez vous poser. : « Suis-je prêt à ce que ma manière de vivre soit édictée par ma compagnie d’assurance ? »

Prenons quelques exemples simples : êtes-vous prêts à changer vos habitude, vos comportements, vos préférences, pour payer moins cher votre assurance ?

Si la réponse est oui, réfléchissez bien à tout ce que cela représente : votre assurance doit récupérer vos données de santé, via du « quantified self », elle sera donc au courant de vos moindres faits et gestes :

A chaque action qui va « dans le sens de la norme », c’est un bonus qui sera appliqué et à chaque action qui va à l’inverse de ladite norme, ça sera un malus.

C’est ce qu’on appelle un conditionnement pavlovien : vous êtes punis tant que vous ne faites pas comme il faut faire et, bien évidemment, vous n’êtes pas maître de ce « ce qu’il faut faire », vous perdez donc toute votre capacité de décision sur votre propre vie.

Pour l’instant, ces polices d’assurance sont à la marge et facultatives mais, dans 50 ans, le seront-elles toujours ?

Imaginez ce modèle d’ici 50 ans ou peut-être moins : tout le monde pratiquant la même activité sportive, à la même heure, mangeant la même chose, ayant les mêmes activités dans tous les domaines…

Est-ce réellement ça, que nous voulons pour le futur ?

Je vous laisse réfléchir sur le sujet et sur votre envie d’une société « normalisée », lisse, comme celle qu’on peut croiser dans certains films.

Source : http://pixellibre.net/2015/05/assurances-la-vie-au-rythme-pavlovien/


Loi sur le renseignement : et maintenant ?

mercredi 6 mai 2015 à 10:27

Si vous me suivez ou lisez ce blog, vous savez que le projet de loi sur le renseignement a, hier dans l’après-midi, franchi une première étape : celle de l’Assemblée Nationale.

Ils étaient 438 pour, 86 contre et 42 abstentions. Je ne reviendrai pas sur les raisons qui font que je trouve cette adoption parfaitement inadmissible.

…que vais-je faire …

C’est simple : surtout, ne pas perdre sa motivation. Si vous arrêtez de vous battre pour des causes qui vous semblent justes, c’est perdu d’avance car personne ne le fera pour vous. Certains attendent que le temps change, d’autres le saisissent avec force et agissent.

La vraie question est : où vous plaçez-vous, du côté de celles et ceux qui attendent que les choses changent « comme ça, par magie », où du côté de ceux qui essayent, encore et encore, même si cela ne fonctionne pas ou pas toujours ?

de tout ce temps…

Car c’est le seul véritable problème : le temps.

Que va-t-il se passer maintenant ?

Pour commencer, le texte va filer au Sénat, où les sénateurs et sénatrices seront mené.e.s à se positionner sur le texte.

La suite des évènements dépendra des décisions du Sénat, s’il vote le texte parfaitement identique à la version de l’Assemblée Nationale ou non.

Ce qui veut dire que nous disposons encore de temps pour agir, il faut donc agir, continuer le travail de fond avec les sénateurs et leur expliquer les réels dangers de cette loi et les enjeux techniques, parfois bien compliqués à comprendre pour des personnes dont ce n’est pas le coeur de métier.

que sera ma vie ?

Personnellement, j’ai déjà commencé à alerter les sénateurs, depuis quelques semaines.

Comme dit, certains attendent que le temps change, d’autres le saisissent avec force et agissent.

Moi j’ai décidé d’agir. Et vous ?

Source : http://pixellibre.net/2015/05/loi-sur-le-renseignement-et-maintenant/


Traîtres

mardi 5 mai 2015 à 20:23

On pourrait penser que c’est sous l’énervement, ou que je ne pèse pas mes mots mais hélas non. Je suis étrangement calme et trouve que le mot «traîtres » est juste, adéquat.

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Ces traîtres, ce sont celles et ceux qui ont voté le projet de loi à l’Assemblée Nationale, censée faire office de « représentation nationale ».

Comme indiqué plus haut, jusqu’à il y a quelques heures, j’attribuais à la stupidité les actes et réponses de nos élus, ce n’était pas grave, la stupidité ce n’est pas une maladie, du moins, l’éducation et la pédagogie sont de bonnes réponses à ce problème.

Alors c’est ce que j’ai fait, par des billets de blog, par de nombreux mails à un très grand nombre de députés, des échanges avec certains, des heures et des heures de travail à mon tout petit niveau.

Beaucoup plus pour d’autres, comme la Quadrature du Net ou Next Inpact que je remercie infiniement. Je remercie d’ailleurs Marc Rees, le rédacteur en chef, pour les jours (et les nuits) à analyser le texte afin de le mettre à la portée de plus de monde.

De pédagogie, je ne manque pas, mon métier consiste à former des gens à longueur de journée. De courage non plus et de motivation à faire que « tout aille dans l’intérêt général » encore moins.

Depuis déjà des années, via ce blog, puis celui d’avant, via des journaux, interviews, rencontres, conférences, j’ai pris le temps de vulgariser des concepts qui ne sont pas forcément simples. Comme beaucoup d’autres, n’allez pas croire que je suis une exception, j’en fais même très peu, mais là n’est pas la question.

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Au total, cela fait presque 10 ans que je traite du numérique au quotidien, de par mon métier et avec mes convictions. En 10 ans, j’ai vu l’évolution sécuritaire au travers des différentes lois proposées.

Mais, naïvement peut-être, j’ai continué à informer, tenter d’aider, j’ai dis et redis des centaines de fois les mêmes choses sur le DPI, la surveillance généralisée…

Puis est arrivé le projet de loi sur le renseignement. De loi, je n’ai jamais lu un texte aussi compliqué que ce dernier, mal rédigé, mal pensé à la base.

Mais soit, j’ai fait avec. J’ai repris mon bâton de pèlerin, mes mails, mes appels, mes échanges avec la « classe politique », peu importe la couleur ou le parti, tout le monde peut apprendre en s’en donnant les moyens, afin de sortir de cette « stupidité » numérique dans laquelle sont nos députés.

Mais ça n’a pas fonctionné. Aujourd’hui, à l’Assemblée Nationale, 438 députés ont voté pour le projet de loi sur le Renseignement. 86 contre, 42 abstentions.

438 députés. 438 traîtres.

Des traîtres, d’abord parce qu’ils « savaient », les débats sur le projet de loi ont été nombreux et un peu partout sur Internet, dans les échanges avec les députés, hors d’Internet également avec au moins 2 manifestations d’ampleur à Paris.

Des traîtres ensuite parce que de nombreuses voix sont sont élevées contre le projet de loi ou ont émis de fortes réserves :

Je ne vous cite pas tout le monde mais les principaux, recensés sur le site de la Quadrature du Net et ailleurs.

Le gouvernement ainsi que les députés ne pouvaient pas l’ignorer, à titre informatif, de nombreux députés se servent des arguments qu’ils peuvent récupérer ça et là, d’autres se servent des arguments d’experts, comme Isabelle Attard, qui consciente « qu’Internet ce n’est pas vraiment son truc », préfère demander l’avis des « sachants », des experts du réseau, de ceux qui travaillent avec Internet, de ceux qui « fabriquent » Internet, du moins qui viennent connecter des gens comme vous et moi à Internet.

Les députés ne pouvaient pas ignorer ces avis, cette contestation. Mais certains, dont Jean Jacques Urvoas, député, président de la commission des lois à l’Assemblée Nationale, ont préféré reléguer ces avis d’associations, d’experts, de citoyens à de simple « affabulations qui n’ont aucun rapport avec la réalité ».

Dire à des gens qui « font » Internet qu’ils ne le comprennent pas, vous avouerez, il faut avoir un sacré culot.

Mais, tous ensemble, nous avons continué d’avancer, tous avec le souhait de faire avancer les choses, convaincus que l’intelligence collective que nous représentons pouvait faire bouger un peu les lignes.

Puis est arrivé le vote, 438 pour. Malgré les critiques, malgré les dangers. Malgré l’avis des associations, malgré les manifestations. Malgré des doutes au sein même des instances du gouvernement.

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Le problème que j’ai, c’est que je crois que ce n’est plus de la stupidité, les députés ont voté ce texte « en leur âme et conscience »

Alors si ce n’est pas de la stupidité, c’est quoi ? Si ce n’est pas de l’ignorance, c’est quoi ?

Je vous laisse répondre à cette question, en ce qui me concerne, je ne peux pas travailler avec des gens qui n’ont pas envie d’écouter… et manifestement ils sont au moins 438, que vous pouvez retrouver ici.

Source : http://pixellibre.net/2015/05/traitres/


Les boites noires, si ce n’est pas du DPI, qu’est-ce que ça sera ?

vendredi 17 avril 2015 à 11:59

Lors d’une passe d’arme bien triste à regarder entre le ministre de l’Intérieur Bernard Cazeneuve et la députée Isabelle Attard (suivie par Laure de la Raudière et Lionel Tardy), le ministre a déclaré que « les services du renseignement ne feront pas appel au DPI afin de détecter des signaux faibles.« 

Pour rappel, le projet de loi sur le renseignement tentera de détecter des « signaux faibles ». Ce sont des éléments qui pourraient laisser penser que nous sommes face à une personne visée une finalité du projet de loi : le terrorisme.

Ces signaux faibles seraient repérés grâce à des équipements installés chez les fournisseurs d’accès et chez les hébergeurs, lesquels contiendraient un algorithme capable de détecter lesdits signaux.

Cet algorithme et ces équipements seront protégés par le « secret défense », c’est inscrit dans le projet de loi sur le renseignement. Nous ne pourrons donc rien savoir de ces équipements, ni de leur provenance, ni de leur façon de fonctionner, ni de la façon de fonctionner de l’algorithme.

En l’absence d’information, toutes les pistes techniques sont donc envisageables.

La question que je me pose c’est « comment cela va fonctionner si ce n’est pas du DPI ? »

Le projet de loi, lorsqu’il ciblera la finalité du terrorisme ou qu’une surveillance tissera un lien avec cette finalité, autorisera les services de renseignement à activer le dispositif des boites noires et on m’a indiqué que ces boites noires ratisseront « large ».

Seulement, pour pouvoir détecter des éventuels signaux faibles chez les fournisseurs d’accès à Internet, il faudra pouvoir analyser l’ensemble des flux qui transitent et donc faire du DPI.

Pour faire plus clair : si demain, le gouvernement décide de mettre sous surveillance l’ensemble des voitures rouges, il devra d’abord analyser l’ensemble des flux, les autoroutes, les routes …

Donc l’ensemble des usagers de ces autoroutes, ces routes… Donc, l’ensemble des voitures afin de détecter les voitures rouges, donc surveillance généralisée.

J’ai rapidement échangé sur Internet avec des experts, des personnes qui travaillent dans le milieu de la sécurité informatique, de l’hébergement et nous ne comprenons pas comment le gouvernement va s’y prendre pour détecter des signaux faibles sans utiliser de DPI.

Il y a bien quelques pistes, comme la lecture des fichiers de log DNS, qui permettrai de savoir quelle adresse IP a visité quoi, ou l’analyse de certains fichiers de cache chez les opérateurs, mais ce n’est soit pas assez précis, soit pas disponible chez tout le monde.

La députée Isabelle Attard est revenue sur la question du DPI à de maintes reprises malgré les attaques infondées du ministre envers elle. Laure de la Raudière est revenue également sur le sujet du DPI et elles ont eu raison de poser la question de nombreuses fois tant le sujet est important.

De ce que je comprends du projet de loi, si je viens à trop parler de terrorisme ou si je publie des images qui peuvent avoir un lien avec le terrorisme, il est possible que mon blog soit considéré comme un lieu de passage de terroristes, ce qui veut dire que l’algorithme est capable de s’adapter aux contenus et, pour s’y adapter, il doit nécessairement les lire, les analyser, analyser les données des adresses qui s’y connectent… donc faire du DPI. Une source va d’ailleurs dans mon sens, en m’expliquant que oui, le projet de loi prévoit que les boites noires seront capables de détecter ces comportements.

On peut imaginer que ces algorithmes contiendront une liste de mots ou de combinaisons qui, si elles se répètent trop de foi, peuvent attirer le regard mais là également, pour capter ces mots clefs ou combinaisons de mots clefs, il faudra analyser l’ensemble du trafic et donc faire du DPI.

J’ai beau retourner le problème dans tous les sens, je ne vois pas comment il est possible de détecter des signaux d’un potentiel terroriste sans faire du DPI.

Enfin, si, c’est possible. En engageant une armée de mexicains (de chinois si vous êtes mexicain, pardon) pour analyser l’ensemble des flux. L’État serait alors obligé d’engager 30 millions de personnes pour analyser les données, financièrement c’est insoutenable, techniquement c’est impossible, c’est donc inconcevable.

Une possibilité serait de concentrer la puissance de ces boites noires sur une liste de sites, protocoles et outils, potentiellement utilisés par des terroristes, on ne surveillerait plus Internet mais seulement quelques sites réputés comme proches des mouvances terroristes. Seul problème, cela sous-entend qu’il faut une actualisation permanente de ces listes et qu’il suffit aux terroristes de « migrer » très régulièrement pour échapper au système des boites noires. Exit donc le jeu du chat et de la souris, ce n’est pas viable.

Nous en revenons encore au DPI et à l’analyse de flux. Nous en revenons à ces questions d’Isabelle Attard et de Laure de la Raudière sur l’utilisation ou non dudit DPI et à l’absence de réponse cohérente du ministre de l’Intérieur.

Un autre point m’intrigue. Lors de l’échange entre Isabelle Attard et Bernard Cazeneuve, il s’est emporté et, dans son énervement, a dénoncé certains outils, comme le Darknet. Est-ce que cela signifie que TOR et les Darknets seront des « signaux faibles » aux yeux du gouvernement ?

Si c’est le cas, le seul moyen de les détecter sera l’analyse de flux. A nouveau je ne vois aucune autre solution que le DPI. Au passage, cela vise donc celles et ceux qui utilisent le Darknet pour travailler, comme les ONG ou les journalistes, ou moi tiens.

Mince, je suis donc un terroriste ?

Doit-on considérer qu’utiliser un VPN ou se servir d’outils comme OpenPGP pour protéger ses mails seront des signaux faibles ?

Si oui, il faudra, pour réussir à capter ces échanges, installer un système capable de capter ces échanges… et nous revenons encore une fois à du DPI.

Enfin et ce n’est pas anodin, ce que les services de renseignement recherchent, ce sont les métadonnées.

Les métadonnées, ce sont les éléments qui gravitent autour d’une donnée, le sujet d’un mail, de qui il vient, à qui il est envoyé, à quelle heure, quelle adresse est visitée et par qui, quand, depuis quel navigateur.

Isabelle Attard a parfaitement expliqué l’importance et la redoutable précision de métadonnées :

Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu…

Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé.

Je pense que vous comprenez maintenant ce que c’est, une métadonnée. Je pense que vous comprenez également la portée de ces petites choses-là.

Quand le gouvernement déclare « nous n’irons pas chercher les données mais juste les métadonnées », il a parfaitement conscience que ce sont elles les plus importantes et qu’elles sont bien suffisantes pour remplir l’objectif recherché.

Sauf que… pour pourvoir récupérer ces métadonnées, il faut quelque chose d’extrêmement intrusif. A ma connaissance, il n’existe aucun outil autre que du DPI capable d’aller capter l’ensemble des métadonnées recherchées par les services de renseignement, aucun autre outil capable d’analyser les données dans le détail, en profondeur… nous en revenons donc inlassablement à la même conclusion : DPI obligatoire.

J’ai beau chercher, réellement, sincèrement, je ne vois pas comment il sera possible de faire fonctionner les boites noires sans recourir à l’usage du DPI, sauf à ne pas les faire fonctionner.

La seule réponse que je trouve plausible, c’est que Bernard Cazeneuve ait menti, consciemment ou non, car il n’a fait que répéter un discours bien travaillé en amont, sans le comprendre et sans comprendre ce que c’est, du DPI. Sa déclaration sur la non utilisation du DPI n’engage que sa responsabilité politique, il ne sera pas mis en prison ou viré si, au final, du DPI est déployé.

Source : http://pixellibre.net/2015/04/les-boites-noires-si-ce-nest-pas-du-dpi-quest-ce-que-ca-sera/