Le pouvoir exorbitant des techos [tech]

[Jérôme Visio]

Et les sujets verrouillés (annonce notamment) peuvent etre supprimés ?

Sans parler sécurité, cela ferai du ménage. Désolé du HS

[Frédéric]

Et les sujets verrouillés (annonce notamment) peuvent etre supprimés ?

Sans parler sécurité, cela ferai du ménage. Désolé du HS

Tout à fait : on fait régulièrement le ménage sur les annonces de plus de XX ( ) mois ! La dernière fois, c'est Eric qui s'y est collé !

Moi j'avais compris que l'on parlait des MPs

Tout à fait ! La discussion tourne autour des MPs du forum afin de rester concret, mais en fait, cela vaut pour toute boite mail ou tout système de messagerie.

[Frédéric]

Fred, un avis de tech : auto destruction des messages > 3 mois

Avantages :
1) pas plus de 3 mois en ligne
2) si "fuite" pas d'historique au delà de X
3) si utilisateur inactif : nettoyage automatique
4) c'est Green : moins de data = moins de stockage = moins de ressource consomme
5) c'est doublement Green : moins de data dans les sauvegardes

Car franchement ça sers a quoi de garder au delà de X ?

Note : si les utilisateurs veulent garder leur messages plus longtemps il peuvent envoyer un email via le forum (et la le problème est déporté ailleurs)

Rico

Très belle liste d'avantages, merci Eric

Mais il y a un présupposé à tout cela : que les messages soient effectivement supprimés quand on le demande. Et l'histoire du web montre que ce n'est pas forcément le cas. Faut faire confiance. Et puis, t'as pensé aux backups ? Ils ont quelle durée de vie ?

Voici une histoire Carambar, qui va encore mieux situer le problème. Histoire vraie et récente, puisqu'elle est arrivée à un collègue la semaine dernière :

Vous venez d'acheter un disque dur de 3 To pour faire le backup intégral de votre ordinateur (celui du travail ou le perso, voir les deux). Le jour suivant, vous n'arrivez plus à démarrer ce fichu disque dur. Il est bloqué, vous savez pas quoi faire. Mais, chance : il est sous garantie.

Que décidez-vous ?

1. Tant pis pour les 120 €, que j'ai déversé dans ce fichu disque dur. Je préfère perdre cet argent, plutôt que mes données partent au service technique du constructeur, et commencent ainsi leur vie d'indépendance, au risque de finir fossilisés ou ... de ressortir dans le Canard Enchainé ou Wikileaks . Dans mes données peuvent se trouver (dans le désordre) :

. secrets que mes amis m'ont confié,
. jardin secret personnel (emails, photos, vidéos, poèmes, ...) pourtant protégé farouchement depuis toujours
. secrets de mes clients (expertise comptable, conseils en stratégie, dossier de défiscalisation, secret bancaire, ...)
. dossier médical (le mien ou/et ceux de mes patients)
. secrets de mon entreprise ou de ma vie professionnelle (fichier texte contenant les mots de passe non mémorisables, clé privée Bitcoin, notes perso, prototype d'un super produit qui sera lancé l'année prochaine ...)
. backup en clair de bases de données

2. Comme l'a factuellement exprimé Marine, je le sais, et cela m'importe peu, je renvoie le disque pour en avoir un neuf qui fonctionne.




Notez que mon collègue a choisi l'option 2.

Notez aussi qu'on peut chiffrer (c'est-à-dire protéger par mot de passe) aussi bien un disque dur de backup que son disque dur de travail. Par contre, faut pas perdre le mot de passe sinon on perd tout.

Notez enfin que le choix ne repose plus sur son éthique personnelle, mais plutôt sur le niveau de conscience qu'on a de la situation. Après avoir compris que si lui ne pouvait pas redémarrer le disque dur d'autres pourraient le faire, mon collègue m'a sobrement dit : "j'y avais pas pensé"

[DaddyMax&Ju]

Ahhh effectivement je parlais des messages pas des MPs

Là pour le coup je pense que chacun est assez grand pour les supprimer lui même

D accord avec Crapouille.

A quoi sert une base de données si on supprime les données? !!!

Lorsqu on a trop de données il y a les datawarehouse et le traitement des bigdata. ..

[Frédéric]

Ola ! Personne n'a l'intention de supprimer les MPs, encore moins d'y toucher Chacun fait ce qu'il veut de sa boite à MPs.

Bon, sinon, je suis hyper enthousiaste, car cette discussion entamée depuis quelques jours m'a libéré la tête, et une nouvelle idée Zero-Knowledge a germé ! Un truc tout simple en fait, mais dont je n'arrivai pas à accoucher. Un truc simple mais grand ! Merci à vous

Du coup, je me suis mis au code. Sur internet, toute idée n'est bonne que si elle est codée.

[Alex]

Ok, bon on parlait tous d'un sujet différent en fait!

[Frédéric]

Bonsoir,

Je voulais poursuivre avec vous ce soir le partage de mes réflexions.

J'écris en premier lieu sous l'impulsion de ceux qui me contactent, qui trouvent fortdissy.info super (ce qui est vrai ), et qui aimeraient bien démarrer leur propre projet. Je souhaite leur transmettre un maximum d'éléments, et qu'ils puissent trouver leur zone de confort.

Fortdissy.info est construit exclusivement avec des briques de logiciel libre : à la base, le site tourne sur une machine virtuelle Linux, les deux logiciels utilisés, Wordpress pour le blog et PhpBB pour le forum, sont libres. Le serveur web utilisé, Apache, est libre, ainsi que la base de données MariaDb (ex Mysql). Les langages de programmation sont standards : SQL, HTML, javascript, CSS et PHP.

Fortdissy.info n'existerait pas sans le monde du libre. Hommage et remerciements éternels à tous les anonymes, qui travaillent ou ont travaillé pour rendre tout cela possible.

Mais au fait, qui sont ces anonymes ? Comment sont-ils organisés ?

Les dictateurs bienveillants

Les dictateurs bienveillants sont légions, pas seulement dans le monde du logiciel libre. Il existe une multitude d'individualités, qui font passer l'intérêt général avant leur intérêt propre. La violence de nos sociétés ne les arrêtent pas pour autant dans leur élan. Ils se sont construits ainsi. "On" les a construit ainsi.

Le dictateur bienveillant, c'est celui qui a le dernier mot sur un projet, celui qui en définit son orientation. Il est généralement l'initiateur du projet, en tout cas le porteur. Il en connait l'historique, a vécu les errances et marécages des différents stades de son développement, et en a tiré des lignes de force et une grande intuition.

Il n'a pas été élu, mais tient néanmoins le rôle central, ne perdant jamais de vue ce qui tient la communauté impliquée : le désir de participer à quelque chose qui la dépasse. C'est ce qui en fait son étrangeté.

Le plus fameux exemple est Linus Torvalds, initiateur du projet Linux. Seul dans son coin ("just a hobby, won't be big and professional") au début des années 90, il code le noyau Linux et l'offre à la communauté du libre dans le faire-part de naissance. Ce système d'exploitation (en tout cas son noyau) est aujourd'hui le plus utilisé au monde, notamment par tous les téléphones et tablettes Android.

Le Dictateur Bienveillant à Vie est la personne qui détient effectivement des pouvoirs similaires à ceux d'un dictateur sur ce projet. Cependant, les autres développeurs et utilisateurs lui font confiance pour qu'il n'abuse pas de ses pouvoirs. Le terme est utilisé pour plaisanter, car les "sujets" du chef du projet contribuent volontairement, et le produit final pourra être utilisé par tout le monde. Dans ce contexte, un dictateur n'a du pouvoir que sur le processus, et ce uniquement tant que la confiance règne.
http://fr.wikipedia.org/wiki/Benevolent ... r_for_Life

Que se passe-t'il quand la confiance se dissipe dans un projet communautaire ?

Généralement, la communauté se scinde. Le code source du logiciel est réutilisé par la nouvelle équipe, alors que les autres poursuivent leur travail . On appelle cela un fork.

Un fork peut être bénéfique pour un projet donné lorsque sa gouvernance actuelle conduit à une impasse, sa reprise par un nouveau groupe pouvant le relancer. Il peut aussi être néfaste en provoquant un éparpillement des ressources.
http://fr.wikipedia.org/wiki/Fork_(d%C3 ... _logiciel)

Autant dire que le dictateur bienveillant tient un rôle particulièrement casse-gueule : il doit se montrer compétent pour être respecté et à l'écoute de la communauté au travail pour fédérer des individualités, dont chacune doit y trouver son compte, doit se sentir écoutée.

Il n'est pas tiré par l'appât du gain, mais plutôt par le κλέος, le succès, l'envie de marquer le cours du temps plutôt que de le subir, l'envie d'oeuvrer pour une belle ambition, pour ses valeurs.

Mais surtout, il est en position légitime de décideur final, ce qui n'est pas courant pour un opérationnel, vous en conviendrez. Linus Torvalds continue à coder alors qu'il occupe une position de top manager.

Généralement, le dépôt du code est sous son nom : dans le cas de Linux, le dépôt est sous Torvalds, et non pas Linux Fundation.

C'est ainsi que le monde du logiciel libre fonctionne désormais.

Il y a un peu de cela, quand on démarre un site web dans son coin : les créateurs sont totalement maitres de leur ouvrage, et c'est ce qui est exaltant : tout est possible, le numérique offrant une souplesse et une flexibilité stupéfiante. On façonne son site à sa propre image.

Tout se complique quand le projet séduit et poursuit sa croissance en accueillant d'autres personnalités voulant traiter du même sujet : il faut que chacun se sente chez soi, sinon cela ne marche pas : les nouveaux venus ne s'impliqueront pas considérant que l'intérêt général n'est pas correctement représenté. En même temps, il ne faut pas oublier sa position d'éditeur de site web public : le responsable de tout ce qui est publié, celui qui répondra devant la loi s'il y a souci, c'est celui qui détient les clés. Même s'il n'y a pas d'argent en jeu, il y a responsabilité.

Fortdissy.info porte depuis ses débuts l'ambition d'oeuvrer pour l'intérêt général : je souhaitai que mon travail d'agrégation de contenu concernant le Fort d'Issy puisse servir à d'autres. D'où sa mise en ligne. Et j'avais espoir d'être rejoint par d'autres pour partager l'effort et constituer une base de données unique, cette dernière devenant un support structuré et permanent pour mieux comprendre ce projet urbain aux multiples dimensions.

Toute l'équipe du forum, à commencer par les administrateurs mais aussi les modérateurs sont mus par l'intérêt général.

Mais chacun a sa propre interprétation de l'intérêt général. Chacun se projette dans le monde à sa façon. Chacun porte en lui son propre biais cognitif, moi le premier.

Dans ce contexte, quelle est la meilleure forme d'organisation pour décider de la route à emprunter ? Faut-il que le monde du web s'inspire de celui du logiciel libre pour défendre l'intérêt général ? Faut-il un dictateur bienveillant ?

N'y-a-t'il pas mieux à faire ? Car comment faire quand plusieurs dictateurs bienveillants désirent donner le cap, persuadés de porter l'intérêt général mieux que les autres ?

Ce pouvoir exorbitant des techos, ces dictateurs bienveillants, doit-il être la norme dans notre société en plein basculement dans le tout numérique ? Faut-il fonctionner ainsi pour être considéré ? Existe-t'il un espace numérique où l'on puisse se soustraire à ce pouvoir ?

[Frédéric]

Bonsoir,

Voici un nouveau fruit issu de mes réflexions. Le pouvoir des techos est un sujet qui me passionne et que je manipule au quotidien de part mon métier. Ce pouvoir est source d'espoirs et de grands désespoirs, car il créé de profonds déséquilibres dans les relations tout en exauçant les rêves les plus fous : quel enfant n'a pas rêvé tenir toutes les connaissances du monde dans sa main ?. La société s'installe sur le numérique ... qui s'immisce sans gêne au coeur de la société. Où cette boucle infinie nous mène-t'elle ? Il me parait normal de réfléchir à ses implications.


Les caméléons

Tout comme les dictateurs bienveillants, les caméléons sont partout.

Le caméléon est difficile à détecter, car il est le reflet de son environnement social. Il en prend les couleurs et les usages en instantané, s'adapte en temps réel au contexte dans lequel il se meut. L'important n'est pas d'être intègre mais de sembler l'être, car cela rassure tout le monde d'avoir à côté de soi quelqu'un à son image. Le caméléon est lisse la plupart du temps, et par moment d'une violence rare, surtout quand il se rend compte que sa situation n'est pas tenable. Alors il en change. Au fond, il ne s'aime pas comme il est, mais voyez-vous : comment faire autrement que de s'adapter à la violence du monde ?

Tout le monde est plus ou moins un caméléon. Les moins touchés préfèreront préserver la construction de leur intégrité, les autres succomberont aux promesses d'avantages sociaux et pécuniers substantiels. J'ai observé que les outils du numérique favorisent les comportements caméléons, et c'est en cela qu'il faut faire attention à ses plumes, si l'on tient à son intégrité (et j'y tiens).


Sur le forum du Fort d'Issy, on a croisé de tout lors de la construction du Fort : les enjeux financiers et les aléas étaient importants, les interfaces numériques et le dialogue sur internet pas vraiment maitrisés, le pseudonymat facilitant l'expression franche. Alors, chacun y est allé de bon coeur, en se demandant quels avantages tirer personnellement de cette situation inédite.

Pour exemple, il m'est arrivé de rencontrer des voisins ayant commenté avec un véritable enthousiasme les articles du blog, et m'annoncer fièrement que comme tout le monde, ils ne croyaient pas du tout à ce qu'ils écrivaient. A l'inverse, de nombreux contributeurs se sont montrés particulièrement féroces dans la sphère numérique, alors qu'ils incarnent la politesse, la retenue et la courtoisie dans la rue. Les caméléons sont partout. Il faut juste le savoir. Bon, perso, je les fuis quand je les ai détecté et digéré, car j'ai d'autres choses à vivre que de gérer leur présence. Mais, on ne détecte rien sans expérience.

Et précisément : les géants du Web ont systématisé la détection et la gestion des caméléons pour en tirer profit, et c'est de cela dont j'aimerais m'entretenir avec vous ce soir.

Apple a été le premier et en toute bienveillance à tendre la main aux caméléons, en intégrant dès 2005 le mode Navigation Privée dans le navigateur Safari. Google et les autres éditeurs de navigateur web ont suivi à partir de 2008. Bon : il faut savoir que la gestion de l'anonymat est toute relative, car elle se limite à l'ordinateur local. Quid des traces laissées côté serveurs ?

Facebook y est allé franchement cette année, en franchissant une étape décisive : l'intégration de la connexion anonyme dans leur modèle de gestion des caméléons :

Le premier réseau social mondial veut introduire un mode de connexion « anonyme », permettant d'utiliser des applications mobiles tierces avec ses identifiants Facebook sans les laisser accéder à des informations personnelles.

Le réseau californien estime que ses membres ont utilisé plus de 10 milliards de fois cette fonctionnalité en 2013, qui évite d'avoir à se souvenir de plusieurs identifiants et mots de passe différents, mais entraîne le partage de données collectées par Facebook avec ces applications.

http://www.lemonde.fr/technologies/arti ... 51865.html

Pour rappel, le pseudonymat était totalement interdit sur Facebook jusqu'à un aménagement récent. En cela, les forums en sont l'antithèse, et le forum du Fort d'Issy un juste équilibre (je trouve ) :

Facebook est une communauté dans laquelle les gens communiquent en utilisant leur identité réelle. Nous demandons à chaque personne de fournir le nom qu’elle utilise dans la vraie vie. Ainsi, chacun sait avec qui il communique. Cela aide à garantir la sécurité de notre communauté.
https://www.facebook.com/help/112146705538576

Dans ce contexte, l'anonymat semble être une belle surprise. Mais, cette liberté accordée est finalement bien calculée :

Son but est de permettre une plus grande divulgation d’information. Bref, Facebook propose de l’anonymat washing et va vous pousser à croire que vous avez des interactions confidentielles, vous incitant à vous adonner à des comportements à risque, alors que la firme de Zuckerberg, elle, va continuer à tracker vos clics.
http://alireailleurs.tumblr.com/post/85 ... cebook-est

Ainsi donc, vous l'avez compris : dans cette pantalonnade, un seul acteur a accès aux données pour corréler les différents profils anonymes et cerner les usages. L'hyper-centralisation sous couvert de liberté atteint son paroxysme (enfin, j'espère qu'on ne peut/va pas aller plus loin dans ce délire).


Pourquoi tout ceci est important ?

Cet été, une équipe d'ingénieurs Google a dévoilé Mesa à ceux qui veulent bien entendre : Mesa, le système de gestion de données qui sous-tend (entre autres) la cash-machine Adwords. Leur logiciel a été conçu pour tout simplement ne jamais s'arrêter, même si un tremblement de terre secouait une partie du globe (géo-réplication temps-réel), et fournir la capacité d'analyse toujours temps-réel sur des quantités de données au-delà du raisonnable.

Autrement dit, on n'est plus dans un rapport chronologique habituel de cause à conséquence (une action a été faite et donc il va se passer cela). Quelques millisecondes suffisent après le clic pour calculer et présenter l'interface web qui adaptera notre navigation ... à l'annonceur le plus offrant : c'est la performativité algorithmique, qu'explique très bien Bernard Stiegler dans ses séminaires.

Pour visualiser simplement la chose, pensez à Google Maps : vous souhaitez aller d'un point A à un point B. Google Maps calcule en temps réel l'itinéraire le plus court en fonction du trafic et des accidents, et réadapte ses conseils au fur et à mesure du trajet.

conseil-de-navigation-temps-reel-Google-Maps.jpg (59.92 Kio) Consulté 8893 fois

Imaginez maintenant que le point A, c'est votre boite mail que vous vous apprêtez à consulter : personne ne connait à l'avance le contenu de sa boite mail. Le point B se définit au moment où on lit ses mails. Cela vaut aussi pour la consultation de la page d'accueil de son journal préféré, ou des résultats de recherche à partir d'un mot clé : quand on utilise Google Maps, on est le pilote, on sait où l'on va. Google Maps est un outil. Quand on consulte le média Internet, on est guidé par le chemin, instantanément redéfinit au fur et à mesure de ses clics.

Ce dispositif interdit la culture commune, car personne n'accède ni ne comprend le réel de la même façon.

Et c'est ce qui m'ennuie beaucoup personnellement, à l'époque où l'encyclopédie Universalis dépose le bilan : un tel usage de la performativité algorithmique est très toxique pour une collectivité ou un esprit ne désirant pas fonctionner de manière pulsionnelle, fragmentée et automatisée.

Heureusement, il reste des outils pour se protéger et des espaces numériques dans lesquels on se sent bien. Mais ils sont bien plus fragiles qu'on veut bien le croire. C'est un peu comme la télé, qui était une fenêtre grande ouverte sur le monde dans les années 80, et qui est aujourd'hui à consommer à très faible dose.

Je serai perso bien triste de devoir fuir Internet comme j'ai dû abandonné la TV.

J'espère qu'il restera toujours des oasis numériques comme fortdissy.info, où il fait bon vivre

Voilà pour les caméléons.

Bon, sinon cette discussion, qui se transforme ici en monologue, porte ses fruits ailleurs. J'espère vous en dire plus bientôt

[DaddyMax&Ju]

Intéressant
Merci fred !!

[Frédéric]

Merci DaddyMax pour tes encouragements,

j'ai rajouté l'exemple de Google Maps, ainsi que l'illustration du caméléon marionnettiste et marionnette

[Alex]

En te lisant, j'ai l'impression qu'on est tous un peu cameleon!.

Reflexion interressante en tout cas.

[Frédéric]

Reflexion interressante en tout cas.

Merci Alex

En te lisant, j'ai l'impression qu'on est tous un peu cameleon!.

C'est mon avis aussi. Certains se retiennent plus que d'autres. D'autres se vautrent confortablement dedans en toute inconscience, et se noieront dans les algorithmes. Tant pis pour eux

[Frédéric]

Une nouvelle pièce Issue de la revue de presse du matin et qui alourdit le dossier :

On ne peut pas faire confiance à Uber

Pour le New York Times, les chercheurs Zeynep Tufekci signent une tribune assassine sur l’usage qu’Uber, le célèbre service de voiture avec chauffeurs, fait des données de ses utilisateurs. Ils reviennent sur les déclarations récentes du vice-président d’Uber envisageant de s’en prendre aux journalistes qui critiquaient le service. Une journaliste de BuzzFeed, interviewant le responsable général d’Uber à New York s’est vue signifiée qu’elle était tracée par Uber. Uber a même posté un billet sur son blog (retiré depuis) s’amusant de constater que beaucoup d’utilisateurs ne rentraient pas toujours chez eux le soir !

Cela signifie que les données de géolocalisation que collecte Uber peuvent être utilisées à d’autres fins que de réserver un taxi. Uber sait si vous avez une liaison, si vous allez régulièrement à l’hôpital, si vous vous rendez dans une entreprise concurrente à la vôtre ! Et ce n’est pas la seule à disposer d’un vaste ensemble de données pouvant donner beaucoup de renseignements sur votre vie privée ! Le problème est que la fouille de ses données à un niveau personnel n’est nullement encadrée estiment les chercheurs.

Nous réglementons déjà des données sensibles, allant des dossiers de santé à l’information financière. Nous devons mettre à jour la réglementation des autres données de surveillance du 21e siècle. Lorsque nous sommes ramassés à un coin de rue sous la pluie, il ne suffit pas de savoir où la voiture va. Nous devons aussi savoir où nos données vont et comment elles sont utilisées.

On ne peut pas faire confiance à Uber… Aux autres non plus !

http://alireailleurs.tumblr.com/post/10 ... r-new-york

On en revient aux premières réflexions sur l'éthique de celui qui a le privilège d'un accès direct à la base de données (dans le cas d'Uber, le patron carrément) : les services numériques sont puissants et seul l'éthique de ses administrateurs peut les sauver du d'un désastre généralisé. La pression est assez énorme.

Et puis, on en revient aux réflexions sur le point B : avec Uber, on reste maître de décider vers quelle destination on souhaite se diriger. Mais la conscience de la trace laissée anesthésie la tentation de l'imprévu, de l'inattendu.

Bon après, c'est comme Google, le pouvoir, l'alcool ou les procéduriers : c'est toxique, et donc à consommer à juste dose, voir pas du tout.

Deux derniers liens pour la route :

Google est actionnaire d'Uber

La justice espagnole ordonne à Uber de cesser ses activités - 9/12/2014

[Frédéric]

Bon, sinon, je suis hyper enthousiaste, car cette discussion entamée depuis quelques jours m'a libéré la tête, et une nouvelle idée Zero-Knowledge a germé ! Un truc tout simple en fait, mais dont je n'arrivai pas à accoucher. Un truc simple mais grand ! Merci à vous

Du coup, je me suis mis au code. Sur internet, toute idée n'est bonne que si elle est codée.

Bonjour, mon projet vient d'entrer dans une nouvelle phase : la version alpha vient de voir le jour !

Si vous êtes sensible à ce que j'ai pu écrire ces derniers jours sur ce fil de discussion et que vous souhaitez participer à l'évaluation de la version alpha et m'aider à serrer les derniers boulons, merci de me contacter par MPs

Le concept se comprend facilement :

Une conversation peut être stockée en clair dans une base de données (ou un backup de base de données) et donc être lisible par toute personne y ayant accès (administrateur, patron de Uber ou hacker). Elle peut également être stockée sous cette forme :

{
"iv":"jkiXhMK+LQuZ8FfAncvW5g",
"v":1,
"iter":1000,
"ks":128,
"ts":64,
"mode":"ccm",
"adata":"",
"cipher":"aes",
"salt":"buBUsFuis54",
"ct":"0W6ODcHbkMTDyVMA"
}

[Elias]

Faut-il se préparer pour lutter contre les nouvelles dictatures : les dictatures du digital et de celui qui détient le plus d'informations
Et si le transhumanisme devenait une réalité vrai débat ou bien juste de la science fiction
OK
Frédéric MP envoyé

[Frédéric]

Bonsoir,

Faut-il se préparer pour lutter contre les nouvelles dictatures : les dictatures du digital et de celui qui détient le plus d'informations

Tout à fait Elias : on peut se préparer au combat. On peut aussi décider de jouer un autre jeu, que celui présenté comme inévitable. L'époque de l'hyper-contrôle a commencé. Il nous faut l'investir judicieusement. Et c'est de cela dont j'aimerais que l'on discute si vous le voulez bien.

Le Choix

Feodalite et allegeance.jpg (96.16 Kio) Consulté 8512 fois

Depuis ma dernière réflexion sur les Caméléons, une multitude d'événements ont affiné notre perception de la nature du web d'aujourd'hui : vols de mots de passe et d'identité par millions, failles de sécurité en veux-tu en voilà, intrusions en pagaille dans les systèmes informatiques, nouveaux documents Snowden dévoilés, hyper-surveillance manifestée ... difficile de se trouver des repères dans ce monde numérique ultra-violent, impalpable, aux réactions 4 millions de fois plus rapide que notre système nerveux.

La tentation de prêter allégeance au plus puissant (en ce moment : Google) est forte. La tentation de se réfugier derrière un précieux "Mais moi, je n'ai rien à cacher" l'est encore plus.

Pour ma part, j'ai pris une claque, et j'ai repris mon numérique en main, en augmentant mon niveau d'exigence.

Comment se protéger ? Comment savoir si on se trouve réellement en sécurité, ou si on ne fait que ressentir la sensation d'être en sécurité et en confidentialité ? Où fournir les efforts nécessaires, et monter en compétence ?

Un des biais contre lequel il faut lutter est de chercher une solution unique et définitive, en adaptant au numérique, son vécu de tous les jours : par exemple "J'ai une porte blindée, donc je suis tranquille chez moi" n'a aucune pertinence. Il faut s'équiper et maîtriser le maniement de plusieurs outils complémentaires, et éviter de déléguer la responsabilité de sa sécurité informatique à une tierce personne. Autre exemple : je me suis rendu compte ces derniers jours avoir été victime de ce biais, en souhaitant absolument aboutir à une solution unique. Un travail critique et un peu de lucidité m'ont amené à reconnaitre que ce n'est pas le bon chemin. J'ai abandonné le projet.

La première étape est donc de décider d'être réellement maitre de sa machine et de l'administrer convenablement. Le choix du système d'exploitation est à convenance personnelle : du plus soucieux, qui utilisera exclusivement Tails au modéré qui accordera sa confiance à OSX ou Windows, tout en réalisant qu'il n'est qu'une goutte d'eau identique aux autres dans l'océan numérique infini (stratégie pas idiote).

Puis, éviter d'installer des logiciels exotiques, vérifier régulièrement les modules complémentaires installés dans son navigateur web, créer autant de session utilisateur que nécessaire : chacun la sienne. Verrouiller sa session quand on s'absente. Choisir des mots de passe suffisamment forts, sinon rien ne peut empêcher de les attaquer par force brute (sauf peut-être grâce au Pbkdf2 mais je ne crois plus trop en la pérennité de cette méthode). Utiliser des logiciels dédiés à la gestion de mot de passe.

Vient le moment de chiffrer son disque dur (via FileVault, Truecrypt, ...), et de mettre en place une politique de sauvegarde adéquate : soit en local sur disque chiffré, soit en ligne via des outils comme Spideroak ou Crashplan, en prenant bien soin de conserver soi-même la clé de chiffrement. Nous y reviendrons.

Voilà, vous êtes chez vous

Comment sortir de son chez soi numérique en toute tranquillité ?

Tout dépend de l'environnement dans lequel vous vous trouvez : si vous utilisez votre propre réseau, surfez tranquille en prenant soin de vérifier les modules complémentaires nichés dans votre navigateur (je le répète, mais c'est important). Utilisez Adblock ou µBlock pour éviter d'être tracé.

Ensuite, cela se complique, car vous ne pouvez administrer le web en son entier. Vous devez accorder votre confiance, en fonction du niveau d'authentification demandé, et c'est ce curseur qu'il va falloir manipuler.

J'ai pleinement confiance en fortdissy.info, car je sais qui l'administre (salut les gars ). J'en connais les enjeux, les objectifs. Je sais qu'il n'y a aucune exigence de rentabilité et aucune soif de pouvoir à étancher. Pas d'arrière monde. Juste l'envie de protéger et d'accroitre une capacité d'action et d'expression.

Je me suis appuyé sur la réputation des logiciels utilisés (phpbb, wordpress), sans avoir pris le temps d'auditer leur code source. Et c'est un tort : L'open source est gage de transparence, mais encore faut-il avoir la compétence et le temps pour comprendre et mettre en perspective ce qu'il y a dans le code. Les failles openSSL en sont l'amère illustration. Je fais finalement comme tout le monde : j'applique les patches de sécurité en sus des nouvelles fonctionnalités, et cela me va bien.

Si vous ne vous sentez pas en confiance, rien ne vous empêche de vous protéger en utilisant le réseau Tor, qui garantira votre anonymat quand vous vous connecterez au forum. L'important n'est pas de savoir qui vous êtes, mais d'apprécier la qualité de votre contribution.

Finalement vient le choix de votre boite mail, et si vous visez un service qui garantie la confidentialité réelle de vos échanges, la réponse à cette question vous donnera un bon indice :

Qui détient la clé de chiffrement de mes données ?

J'avais abordé le sujet précédemment : par défaut, toute sauvegarde d'un système d'information se fait en clair. C'est à dire que les données ne sont pas protégées par mot de passe, alors qu'elles sortent de la protection des droits d'accès. Aucune malice derrière cela : c'est tout simplement fait pour faciliter le travail d'administration. Il faut néanmoins garder à l'esprit, que les données se trouvent entièrement consultables par ceux qui ont accès aux fichiers de sauvegarde (et une bonne sauvegarde se fait hors site).

Pour repérer le niveau de confidentialité d'un webmail, il suffit juste de chercher s'il existe une fonction : "changer mon mot de passe par mail" ou équivalent. Si vous pouvez changer de mot de passe, c'est la preuve qu'un administrateur peut accéder à vos données en clair. Utilisez protonmail.ch comme webmail, spideroak comme équivalent dropbox. Utilisez crashplan pour sauvegarder votre ordinateur dans les nuages, en vous assurant de sélectionner le mode avancé, qui vous accorde l'exclusivité de l'accès aux sauvegardes, mais qui vous coupe de toute aide extérieure en cas de perte de données.

Pourquoi est-ce important ?
Recherche temps réel dans les boîtes mail et les documents de toute l'entreprise

Les moeurs ont changé en entreprise, au gré des innovations apportées par les nouvelles technologies. La dernière ligne Maginot est contournée : on pouvait préserver un petit espace à soi, en stockant ses messages ou documents dans un dossier intitulé PERSO, afin de se prémunir de l'intrusion d'une conscience humaine : "Touche pas, ce sont des trucs perso. La CNIL me suit sur ce coup-là". C'est fini : L'accès ne se fait plus en suivant la hiérarchie des dossiers, mais en recherchant par mots-clés en profondeur dans le contenu.


Concrètement : mon entreprise comme beaucoup d'autres utilise la suite bureautique pro de Google. C'est pas cher, fiable, pratique, fluide, productif.

Pour le double de l'abonnement de base, Google propose un service fascinant : Google Vault et plus particulièrement eDiscovery, présenté intelligemment ainsi :

Rapidité de la recherche Google
Recherchez et récupérez des informations précieuses, même au sein d'un compte fermé. C'est une façon intelligente de rassembler les informations dont votre équipe juridique a besoin et de prévenir la perte de données en cas de départ d'un employé.
https://www.google.com/work/apps/busine ... cts/vault/

En fait, sous prétexte de l'anticipation d'un litige avec un employé, eDiscovery offre la possibilité de consulter toutes les boites mail d'une organisation, et ce, n'importe quand et sans même à avoir besoin de l'accord de l'employé (enfin si, ils ont l'accord, car l'employé a deux choix : cliquer sur "j'accepte les conditions générales" sans les avoir lues ou ne pas avoir d'outil de travail). eDiscovery investigue en silence dans les boites mails et les documents, sans oublier ce qui a été supprimé (y compris le dossier PERSO, car automatiquement archivé).

L'interface est simple comme bonjour :

ediscovery.png (20.63 Kio) Consulté 8512 fois

Cela peut paraître normal pour un directeur d'avoir un outil pareil pour hyper-contrôler l'activité de son entreprise, avoir le pouvoir de rechercher un fait dans la boite mail de n'importe quel employé. Lire une discussion, en faisant l'économie de l'interprétation et du contexte. Mais cela peut lui paraître anormal qu'un administrateur puisse faire de même dans la boite mail d'un directeur.

Il est possible de paramétrer et attribuer finement les droits d'accès aux interfaces de recherche eDiscovery. La logique d'attribution reste pyramidale, en cascade : à la tête, les administrateurs qui ont le dernier clic, qui décident.

L'enjeu pour les éditeurs de logiciels est donc de mettre en place des interfaces extrêmement simples, qui masquent toute la complexité technique, afin qu'un pousse-bouton puisse administrer le domaine de l'entreprise en son entier (alors qu'il fallait une équipe entière pour maintenir en interne et administrer un annuaire de type active directory, doublé d'une couche Exchange). L'équipe concentrant les pouvoirs peut rester extrêmement restreinte, et même s'hyper-concentrer en un seul individu : le directeur lui-même, s'il sait cliquer sur les bons boutons.

Derrière toute ce bel édifice, Google règne en maître, car comme l'a très bien souligné Elias , il a potentiellement accès à tout.

Une description formelle de la féodalité, vous ne trouvez pas ?

Bonne nuit

Feodalite et allegeance.jpg (96.16 Kio) Consulté 8512 fois

[Laetic]

Instructif...

[Snoopy]

Pas mal de bons conseils dans tout ça !
Sinon, on parlait justement de TrueCrypt la dernière fois au boulot et j'invite vraiment les personnes intéressées à se renseigner sur la petite histoire derrière cet outil (preuve s'il en faut encore du niveau d'hyper-contrôle actuel).
Pour la faire courte, c'était une des dernières méthodes réputées inviolables pour chiffrer des informations (même les agences de renseignement se cassaient les dents dessus). Bien évidemment, des pressions ont été exercées et les versions "clean" de l'outil retirées des canaux officiels de distribution. Les dernières versions publiées contiennent probablement des back doors (rendant inutile l'outil) et pour couronner le tout, la page officielle de l'outil renvoie maintenant vers l'équivalent Microsoft du dit-outil (http://truecrypt.sourceforge.net/) ce qui constitue bien évidemment un troll suprême..

[Frédéric]

Pas mal de bons conseils dans tout ça !

Merci

Sinon, on parlait justement de TrueCrypt la dernière fois au boulot et j'invite vraiment les personnes intéressées à se renseigner sur la petite histoire derrière cet outil (preuve s'il en faut encore du niveau d'hyper-contrôle actuel).
Pour la faire courte, c'était une des dernières méthodes réputées inviolables pour chiffrer des informations (même les agences de renseignement se cassaient les dents dessus). Bien évidemment, des pressions ont été exercées et les versions "clean" de l'outil retirées des canaux officiels de distribution. Les dernières versions publiées contiennent probablement des back doors (rendant inutile l'outil) et pour couronner le tout, la page officielle de l'outil renvoie maintenant vers l'équivalent Microsoft du dit-outil (http://truecrypt.sourceforge.net/) ce qui constitue bien évidemment un troll suprême..

C'est possible oui. J'ai une autre lecture de la fin de l'histoire de Truecrypt :

Un audit du logiciel avait été financée grâce au crowd-funding. Matthew Green faisait partie des auditeurs. Autant dire que c'est du sérieux.

Le plus plausible est que l'audit a conclu au bon fonctionnement de Truecrypt, mais qu'il aurait fallu refactorer le code. Les développeurs auraient jeté l'éponge, n'ayant pas envie de reprendre tout leur boulot.

Je tiens ça, entre autre de la conférence Bug Brother, dont je recommande la consultation (moins d'une heure) :

http://bugbrother.blog.lemonde.fr/2015/ ... neralisee/

Sinon, je suis ce qui se dit qu sein de la communauté autour de Korben. Le consensus actuel (après débats contradictoires ) accorde également toute confiance à TrueCrypt 7.1a : http://korben.info/nsa-proof-software.html

Du coup, je me dis que c'est une bonne base pour commencer à penser et vivre autrement le monde numérique Perso, j'utilise Filevault, mais sans avoir stocké la clé de chiffrement sur les serveurs d'Apple (comme il est proposé de le faire par défaut).

[Frédéric]

Bonjour,

Je vous recommande le film de Denis Robert sur Clearstream, actuellement au cinéma : "l'enquête"

https://www.youtube.com/watch?v=LgNN67_ur9s

Le scénar' est sans complaisance, Gilles Lelouche impeccable, et des seconds rôles enthousiasmant !

Alors, pourquoi en parler dans le sujet "le pouvoir exorbitant des techos" ? Pour une raison simple :

Dans la foulée de l'Appel de Genève, Denis Robert enquête sur la multinationale Clearstream alors inconnue du grand public. Il rencontre Ernest Backes, un des cadres ayant fondé cette chambre de compensation internationale.

Pendant deux ans, Denis Robert mène l'enquête. Un ancien responsable informatique et vice-président de la firme, Régis Hempel, explique qu'une partie de ses activités a consisté à effacer les traces de transactions sensibles. Trois mois avant la publication de son livre Révélation$, il envoie une série de lettres recommandées demandant des explications à la direction de Clearstream et aux banques mises en cause dans son livre.

À sa sortie, en février 2001, Révélation$ fait l'effet d'une bombe. Denis Robert accuse en effet Cedel International (devenu Clearstream depuis) d'être l'une des plates-formes majeures de la dissimulation de transactions financières au niveau mondial.

http://fr.wikipedia.org/wiki/Denis_Robert