Promouvoir et défendre le logiciel libre

26 September 2017

bonjourapril.png Bonjour April

Bonjour les roses

Le 26 September 2017 à 08:00:00

Bonjour les roses

Qui a dit que les Apriliens n'avaient aucune habileté manuelle ? Pas nous en tout cas. Jugez-en, voici une production artisanale de roses en pâte à sucre. Mais pourquoi faire ? On l'aura deviné, orner un Gnu/Gâteau de toute beauté. La suite au prochain épisode !

25 September 2017

april.png Nouvelles April

Revue de presse de l'April pour la semaine 38 de l'année 2017

Le 25 September 2017 à 17:41:28

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 38

[Le Monde.fr] Lawrence Lessig: «Internet est la meilleure et la pire des technologies»

Par Claire Legros, le dimanche 24 septembre 2017. Extrait:
> Peut-on réguler Internet? La question, devenue centrale dans les sociétés démocratiques connectées, était au cœur de la rencontre avec Lawrence Lessig au Monde Festival, dimanche 24 septembre.
Lien vers l'article original: http://www.lemonde.fr/festival/article/2017/09/24/lawrence-lessig-internet-est-la-meilleure-et-la-pire-des-technologies_5190457_4415198.html

[Liberté Algérie] «Il y a un manque de culture numérique en Algérie»

Par Mohamed-Chérif Lachichi, le vendredi 22 septembre 2017. Extrait:
> En prenant le parti de la vulgarisation et du partage informatique, la chaîne «Zenzla» s’intéresse aux logiciels libres et la protection de la vie privée. De même qu’elle aborde des sujets trés «Geek» comme les séries et autres jeux vidéo. Avec un soupçon d’accent annabi, la langue algérienne (Darija) sur la chaîne «Zenzla» est à l’honneur. Intrigués par cette démarche originale, mais aussi par le profil atypique du podcasteur, nous avons contacté l’animateur de «Zenzla» pour une interview qu’il a gentiment accepté.
Lien vers l'article original: http://www.liberte-algerie.com/magazine/il-y-a-un-manque-de-culture-numerique-en-algerie-277475

[Les Echos] Licences logicielles: la grogne monte

Par Jean-Paul Argudo, le jeudi 21 septembre 2017. Extrait:
> Tandis que les usages évoluent, les pratiques relatives aux licences logicielles héritées du passé restent de mise. À l’heure du "tout numérique", les modèles de tarification reposant sur des métriques amenées à évoluer rapidement et drastiquement font peser sur les entreprises des risques aussi sévères qu’inutiles, puisqu’il existe des alternatives.
Lien vers l'article original: https://www.lesechos.fr/idees-debats/cercle/cercle-173916-licences-logicielles-la-grogne-monte-2115994.php

[Numerama] L'EFF claque la porte du W3C pour protester contre l'arrivée des DRM dans les standards du web

Par Julien Lausson, le mardi 19 septembre 2017. Extrait:
> L'association américaine EFF, qui défend les libertés dans l'espace numérique, a pris la décision de quitter l'organisation du W3C, qui s'occupe de la standardisation du web, afin de protester contre l'arrivée des DRM dans les standards du web. Elle s'en explique dans une lettre ouverte.
Lien vers l'article original: http://www.numerama.com/tech/290706-leff-claque-la-porte-du-w3c-pour-protester-contre-larrivee-des-drm-dans-les-standards-du-web.html

Et aussi:
[ZDNet France] Le W3C valide les DRM, l’EFF claque la porte

[20minutes.fr] Comment Rennes va économiser 500.000 euros en se séparant de Microsoft

Par la rédaction, le lundi 18 septembre 2017. Extrait:
> C’est une petite révolution que vont connaître les agents de la ville et de Rennes Métropole. D’ici un mois, ils verront tous leur service de boîte mail changer de serveur et de logiciel. «Nous allons économiser 500.000 euros en boulant Microsoft», glisse Matthieu Theurier, chef de file du groupe écologiste.
Lien vers l'article original: http://www.20minutes.fr/rennes/2135135-20170918-comment-rennes-va-economiser-400000-euros-separant-microsoft

Et aussi:
[ZDNet France] Rennes passe au logiciel libre, en commençant par la messagerie
[Numerama] Un exemple budgétaire? Rennes se tourne vers le logiciel libre pour faire des économies

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

jzimmermann.png Jérémie ZIMMERMANN

ePrivacy Campaign starts today, act now!

Le 25 September 2017 à 14:40:26

Paris, 25 September 2017 — A decisive vote for our online privacy will take place in the European Parliament in two weeks. If we do not act now, companies will be allowed to monitor us for business purposes and without our consent (through the analysis of our emails, calls and Internet usage, online tracking and geolocation). La Quadrature du Net starts today an awareness campaign, so that anyone can contribute to this fight for our rights: eprivacy.laquadrature.net.

There are two weeks left to convince the Members of the European Parliament (MEPs') in the 'Civil Liberties' Committee (LIBE) to protect our privacy. On 11 October, they will vote their draft report on the ePrivacy Regulation. This report will be the basis on which the Parliament will approach this key Regulation before negotiating it with the Council of the EU (made of the government of each Member State).

La Quadrature du Net has activated its PiPhone: anyone may use it to call LIBE MEPs free of charge, to give support to those that want to fight for our right to a private life and letting the others know that we scrutinize them and that they should be fully aware of the political consequences of their decision. At the same time, La Quadrature intends to provide all necessary information so that everyone can fully engage with this debate.

Learn more, spread the message and act now on: eprivacy.laquadrature.net

For a more in-depth view of the debate, you may also read on our wiki, the amendments tabled in LIBE Committee and our analysis. Among other things, these amendments reveal who are the most active MEPs in favor of corporate surveillance and against our fundamental right to privacy:

What's more, many amendments are clearly positive and would allow us to fight back against these MEPs. The battle is far from over, and we cannot let such an opportunity slip between our hands. Call your representatives before the 11th of October.

  • 1. European Conservatives and Reformists Group, gathering some of the extreme right wing MEPs
  • 2. European People's Party, this group gather the MEPs from right wing

French Ministry of Interior v. Indymedia: An absurd and shocking act of censorship

Le 25 September 2017 à 12:54:06

Paris, 25 September 2017 - Last Thursday, the French Ministry of Interior ordered two Indymedia websites, one in Nantes and the other in Grenoble, to take down an anonymous tract claiming responsibility for fire arson in a police hangar the previous night. According to the government, the hosted text constitutes a "provocation to terrorism". The two Indymedia sites decided to take down the litigious content, in order to avoid being put on the secret blocking list sent by the government to major ISPs in France to censor websites. While the text has also been relayed on the websites of traditional news outlets, the latter have apparently not been subject to the government's takedown request.

This act of extra-judicial censorship is as absurd as it is shocking. Absurd because the litigious text remains widely available online, including through major media sites, and because this affair gives way to a Streisand effect that gives it even more publicity. Shocking because this decision, adopted under the anti-terrorism law of November 2014, illustrates the dangerous consequences of the fight against terrorism, which allows the government to use exceptional measures to target activist groups or, as in the present case, independent and participatory media.

Although sanctioned by the Constitutional Council and the Council of State,1 this system of administrative censorship of the Internet, supposedly subject to the oversight of the French data protection authority, is a disproportionate interference with the right to freedom of expression. To our knowledge, this is the first time that such an anti-terrorist measure, usually covered in secrecy, is implemented for content that is not associated with Islamist extremism. This extension is all the more worrying considering that through yet another bill against terrorism, the government is seeking to transpose into the ordinary law many exceptional measures which could hitherto only be applied during the state of emergency.

After the takedown of an Indymedia website in Germany last month, after the blocking of separatist websites in Catalonia last week, this new attack on freedom of expression on the Internet is part of a wider and worrying trend. As the European Court of Human Rights wrote in 1976 , freedom of expression "applies not only to information or ideas welcomed with favor", but also "to those that offend, shock or disturb the state or any part of the population". La Quadrature calls on the European Commission and the Council of Europe to condemn these police operations which undermine the continent's alleged commitment to freedom of expression.

23 September 2017

bonjourapril.png Bonjour April

Bonjour CA

Le 23 September 2017 à 14:37:00

Bonjour CA

Il arrive que les membres du CA de l'April se réunissent pour deviser sur l'avenir de l'association, comme quoi le CA ce n'est pas juste manger des cahouètes et boire des bières entre deux séances de trollavail. Mais c'est qu'ils ont l'air sérieux, même !

april.png Nouvelles April

Marseille, l'April et les logiciels libres

Le 23 September 2017 à 11:55:23

21 Octobre 2017 - 15:00
21 Octobre 2017 - 20:00

L’association CercLL vous donne rendez-vous pour les Logiciels Libres, avec l’ April le 21 octobre 2017 au Foyer du Peuple 50 rue Brandis 13005 Marseille à 15h00.

Les logiciels Libres représentent un enjeu majeur, autant dans la maîtrise des outils qu’on utilise au quotidien.

Quel est donc le projet de société que délimitent les logiciels Libres, et en quoi cette question est-elle fondamentale dans notre démocratie ?

C’est à ces questions que répondront Magali Garnero, alias Bookynette et Jean-Christophe Becquet (sous réserve) secrétaire et président de l’April, association que l’on ne présente plus.

Suite à ces échanges un apéro est prévu.

"Before" du Capitole du Libre 2017 - 17 novembre 2017

Le 23 September 2017 à 10:51:49

17 Novembre 2017 - 16:00
17 Novembre 2017 - 19:00

Le Capitole du Libre se déroulera du samedi 18 novembre 2017 au dimanche 19 novembre 2017
Site officiel : https://2017.capitoledulibre.org/
Lieu : INP-ENSEEIHT, 2 Rue Charles Camichel, 31000 Toulouse

À cette occasion, la Médiathèque Empalot en profite pour organiser une table ronde suivie d'un atelier le vendredi 17 novembre. Magali Garnero, alias Bookynette y participera:

  • à 16h: Table ronde : Au-delà des GAFAM* un autre monde informatique est-il possible ? avec Magali Garnero de l'APRIL, Pouhiou de Framasoft et Guillaume Gasnier de Toulibre
    Ces dernières années la concentration des acteurs informatiques s'est accélérée, et avec elle la centralisation des données de millions d'utilisateurs par les GAFAM*. Leurs services en ligne extrêmement pratiques nous rendent dépendants au point de représenter une menace pour nos libertés. Face à ce danger croissant, les acteurs historiques du logiciel libre inventent un monde numérique éthique fondé sur le partage et la coopération.
  • 17h30: Atelier désintox : passez aux logiciels libres et éthiques avec Bookynette de l'APRIL, Pouhiou de Framasoft et Guillaume Gasnier de Toulibre
    Cette séance vous permettra d'identifier et de de tester des alternatives aux logiciels et services des GAFAM que vous utilisez au quotidien avec 3 spécialistes des solutions libres.

Venez nous rencontrer!

Capitole du Libre 2017 - 18 et 19 novembre 2017

Le 23 September 2017 à 10:06:10

18 Novembre 2017 - 00:00
19 Novembre 2017 - 00:00

Le Capitole du Libre se déroulera du samedi 18 novembre 2017 au dimanche 19 novembre 2017
Site officiel : https://2017.capitoledulibre.org/
Lieu : INP-ENSEEIHT, 2 Rue Charles Camichel, 31000 Toulouse

Gratuit et ouvert à tous, les thèmes abordés seront aussi bien orientés vers le grand public que vers les plus techniques. Conférences, ateliers, animations sont au programme.

En plus de tenir un stand (à confirmer), l'April proposera une ou plusieurs conférences

Vous pouvez retrouver ces informations sur le wiki dédié. Les membres peuvent également s'y inscrire pour participer à la tenue du stand.

À cette occasion, la Médiathèque Empalot en profite pour organiser une table ronde suivie d'un atelier le vendredi 17 novembre. Magali Garnero, alias Bookynette y participera:

  • à 16h: Table ronde : Au-delà des GAFAM* un autre monde informatique est-il possible ? avec Magali Garnero de l'APRIL, Pouhiou de Framasoft et Guillaume Gasnier de Toulibre
    Ces dernières années la concentration des acteurs informatiques s'est accélérée, et avec elle la centralisation des données de millions d'utilisateurs par les GAFAM*. Leurs services en ligne extrêmement pratiques nous rendent dépendants au point de représenter une menace pour nos libertés. Face à ce danger croissant, les acteurs historiques du logiciel libre inventent un monde numérique éthique fondé sur le partage et la coopération.
  • 17h30: Atelier désintox : passez aux logiciels libres et éthiques avec Bookynette de l'APRIL, Pouhiou de Framasoft et Guillaume Gasnier de Toulibre
    Cette séance vous permettra d'identifier et de de tester des alternatives aux logiciels et services des GAFAM que vous utilisez au quotidien avec 3 spécialistes des solutions libres.

20 September 2017

april.png Nouvelles April

Apéro April le 23 septembre 2017 à partir de 19h00 dans les locaux de l'April (Paris)

Le 20 September 2017 à 14:01:02

23 Septembre 2017 - 19:00
23 Septembre 2017 - 22:00

Un apéro April ?

Un apéro April consiste à se réunir physiquement afin de se rencontrer, de faire plus ample connaissance, d'échanger, de partager une verre et de quoi manger mais aussi de discuter sur l'actualité et les actions de l'April. Un apéro April est ouvert à toute personne qui souhaite venir, membre de l'April ou pas. N'hésitez pas à venir nous rencontrer.

L'apéro a lieu à Paris notamment parce que le local s'y trouve ainsi que les permanents et de nombreux actifs. Membre ou pas de l'April vous êtes les bienvenus. Contactez-nous pour organiser un Apéro April dans votre région.

Quand et quoi

Un apéro francilien aura lieu le samedi 23 septembre 2017 à partir de 19h00, car il y a une réunion des membres du CA et des permanents ce week-end là, dans les locaux de l'April au 44/46 rue de l'ouest, bâtiment 8, 75014 Paris (entrée possible par la place de la Catalogne, à gauche du biocop, au niveau des autolib), le téléphone du local est le 01 78 76 92 80 en cas de besoin.

En ouverture de l'apéro nous ferons un court point sur les dossiers/actions en cours.

Pour tous les détails et vous inscrire rendez-vous sur le pad.

Vincent FINANCE

Projets à soutenir

Le 20 September 2017 à 09:55:28

Vu qu'un certain nombre de personnes se sont indignées du prix de vente du dernier iPhone et que beaucoup d'entre elles veulent investir dans des projets sérieux et qui tiennent la route, je me suis permis de vous faire une petite liste qui vous récapitule quelques exemples de personnes, d'équipes et d'associations qui font un travail remarquable et qui ne demandent qu'un petit soutien de votre part.

À cela, je vous fais également la promesse que vous n'aurez pas à vendre votre rein ou à hypothéquer votre maison et vos meubles si vous souhaitez leur faire un don mensuel récurrent : la plupart d'entre eux ne demandent pas plus de 5 € par mois (à quelques exceptions près), ce qui ne représente que la moitié d'un abonnement normal au service de streaming Spotify et ce qui est largement plus accessible que le paiement en 24 fois proposé par votre opérateur préféré pour l'achat d'un téléphone de la célèbre marque américaine ou de son concurrent coréen.

Au moins, vous ne pourrez plus dire que vous n'étiez pas au courant ;) .

Liste de personnes (et d'équipes) sympas à soutenir :

Liste d'associations à soutenir :

tnitot.png Tristan NITOT

En vrac du mercredi

Le 20 September 2017 à 08:42:00

Soleil sur Paris XVI

19 September 2017

Carl CHENET

Déjà 100 abonnés au Courrier du hacker une semaine après son lancement

Le 19 September 2017 à 22:00:28

Une semaine après son lancement, le Courrier du hacker, une newsletter hebdomadaire publiée le vendredi qui propose les meilleurs liens du Logiciel Libre et Open Source francophones, vient de passer les 100 abonnés !

La première édition du Courrier du hacker a été publiée vendredi dernier à 80 abonnés. Le nombre d’abonnés avant la première édition a démontré l’intérêt d’une newsletter hebdomadaire récapitulative.

La source des liens du Courrier du hacker

En effet pour ceux qui ne peuvent pas se connecter régulièrement au Journal du hacker, il était dommage de passer à côté de nombres de liens très intéressants. D’où l’idée de rassembler au sein d’une newsletter arrivant directement dans vos e-mails le vendredi afin de la parcourir tranquillement pendant le week-end.

 

Si vous n’avez pas le temps de suivre l’évolution de l’actualité sur le Journal du hacker, n’hésitez pas à vous abonner via le formulaire ci-dessus ou directement sur le Courrier du hacker.

tnitot.png Tristan NITOT

CNNum et chiffrement

Le 19 September 2017 à 12:59:00

Le CNNum a publié son avis “Prédiction, chiffrement et libertés”. Les recommandations sont à lire et à garder à l’esprit (au point que Snowden a retouitté l’annonce !) C’est tellement bon que je fais un copier coller ci-dessous :

  • Tout projet législatif et réglementaire qui emporte des conséquences importantes sur les libertés doit faire l’objet d’une vaste consultation préalable ;
  • Le principe de l’intervention d’une autorité judiciaire doit être réaffirmé chaque fois qu’est mise en cause une liberté ;
  • Les pouvoirs publics doivent refuser la logique du soupçon, qui ouvre la porte à l’arbitraire, dans la mise en œuvre des politiques sécuritaires sur Internet ;
  • Le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ;
  • Le chiffrement – et les libertés fondamentales dont il permet l’exercice – constitue un rempart contre l’arbitraire des États. Il nous protège aussi contre le contrôle croissant des acteurs économiques sur nos vies ;
  • Le chiffrement ne constitue pas un obstacle insurmontable pour les enquêtes. Il est possible de le contourner dans le cadre d’une surveillance ciblée. À ce titre, il est surtout un rempart contre la surveillance de masse ;
  • Plus généralement, compte-tenu de l’augmentation des pouvoirs des services de renseignement et des incidences importantes sur la vie des citoyens, le Conseil s’interroge sur la nécessité d’établir un droit au recours effectif et, au-delà un droit à l’explicabilité des algorithmes de prédiction. Il se questionne également sur l’opportunité de renforcer les incriminations pénales relatives aux atteintes aux données personnelles sur le fondement de la vie privée.

La couverture médiatique est significative :

En guise de Post-Scriptum :

Le CNNum sort un communiqué de presse : Pourquoi le Privacy Shield doit être renégocié, qui donne déjà un article dans NextInpact. Extrait du communiqué :

le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens. Conformément à l’engagement du candidat Emmanuel Macron, cet accord doit être renégocié pour organiser une circulation des données sécurisée, respectueuse de nos droits et libertés et favorable aux entreprises.

Amen.

18 September 2017

bonjourapril.png Bonjour April

Re-Bonjour Étienne au 56Kast

Le 18 September 2017 à 21:09:00

Apéro chatons - 56Kast Étienne

Voilà comment ils font les choses en grand à l'April : rétro, projo, sans oublier l'apéro pour accompagner la prestation d'Étienne.

april.png Nouvelles April

Revue de presse de l'April pour la semaine 37 de l'année 2017

Le 18 September 2017 à 17:43:47

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 37

[ZDNet France] Charly Berthet (CNNum): ”Quand Google vous recommande la mauvaise table basse, c'est pas très grave. Si la DGSI se trompe, ça a plus d'incidences”

Par Guillaume Serries, le mercredi 13 septembre 2017. Extrait:
> Les algorithmes doivent être domptés par les citoyens dit le responsable juridique du Conseil National du Numérique. Et une surveillance individualisée est possible sans tomber dans les travers de la surveillance de masse via la mise en place de backdoors dans les outils de chiffrement.
Lien vers l'article original: http://www.zdnet.fr/actualites/charly-berthet-cnnum-quand-google-vous-recommande-la-mauvaise-table-basse-c-est-pas-tres-grave-si-la-dgsi-se-trompe-ca-a-plus-d-incidences-39857244.htm

Et aussi:
[ZDNet France] Chiffrement: le CNNum monte au créneau contre le projet de loi antiterroriste
[Numerama] Face aux menaces de Macron sur le chiffrement, le CNNum défend ce «rempart contre l’arbitraire des États»

[The Conversation] Les plates-formes d’innovation: des communautés porteuses de nouvelles relations de travail

Par David W. Versailles, le lundi 11 septembre 2017. Extrait:
> La digitalisation de l’économie offre aujourd’hui de nouvelles opportunités pour l’innovation. Elle oblige aussi à une accélération du développement des projets, voire à une transformation des modes de travail. Ces opportunités émergent en mobilisant de nouveaux outils technologiques (data analytics, visualisation, imprimantes 3D…) ou se matérialisent en construisant de nouveaux business models.
Lien vers l'article original: https://theconversation.com/les-plates-formes-dinnovation-des-communautes-porteuses-de-nouvelles-relations-de-travail-83121

[Radio-Canada.ca] Les appareils libres, pas si compliqués que ça

Par la rédaction, le samedi 16 septembre 2017. Extrait:
> Le monde des appareils et des logiciels libres a souvent mauvaise presse, notamment en ce qui a trait à sa facilité d'utilisation. Mais pour Jean-François Fortin Tam, spécialiste de ces systèmes alternatifs, cette réputation n'est pas toujours méritée, et la population gagnerait à essayer les services libres.
Lien vers l'article original: http://ici.radio-canada.ca/premiere/emissions/la-sphere/segments/entrevue/38612/appareils-libres-linux-purism-ordinateur-portable

[Numerama] Une campagne veut rendre public le code source des logiciels financés par le contribuable

Par Julien Lausson, le vendredi 15 septembre 2017. Extrait:
> Des organisations proches du logiciel libre lancent une campagne de sensibilisation appelant à rendre public le code source financé par le contribuable.
Lien vers l'article original: http://www.numerama.com/politique/289690-une-campagne-appelle-a-rendre-public-le-code-source-des-logiciels-finances-par-le-contribuable.html

Et aussi:
«Argent Public? Code Public!» exhortent des ONG

Voir aussi:
L'April rejoint 30 autres organisations pour la campagne «Argent public? Code Public!»

[Numerama] Un singe photographe peut-il prétendre au droit d'auteur? La justice ne tranchera pas

Par Julien Lausson, le mercredi 13 septembre 2017. Extrait:
> On ne connaîtra pas le mot de la fin, sur le terrain juridique, de l'affaire du singe ayant fait un autoportrait avec un appareil photo. Alors que l'affaire devait aller en cour d'appel, un accord à l'amiable a été trouvé.
Lien vers l'article original: http://www.numerama.com/pop-culture/288913-un-singe-photographe-peut-il-pretendre-au-droit-dauteur-la-justice-ne-tranchera-pas.html

[Developpez.com] Mozilla et la Free Software Foundation condamnent la réforme de l'UE sur le droit d'auteur

Par Michael Guilloux, le mercredi 13 septembre 2017. Extrait:
> Au début de cette année, des informations ont fuité sur la fameuse Directive du Parlement européen et du Conseil sur le copyright, un projet de réforme des droits d’auteur dans le cadre du marché numérique unique. Deux articles dans le texte de l’UE avaient particulièrement provoqué pas mal de remous. Le premier, l’article 11, traitait du droit de reproduction des publications de presse et de les rendre accessibles au public.
Lien vers l'article original: https://www.developpez.com/actu/160091/Mozilla-et-la-Free-Software-Foundation-condamnent-la-reforme-de-l-UE-sur-le-droit-d-auteur-qui-propose-un-filtrage-massif-de-contenu-sur-Internet

Et aussi:
[ZDNet France] Open source: levée de boucliers face aux propositions européennes sur le copyright
La réforme du droit d’auteur inquiète l’univers du logiciel libre

Voir aussi:
Savecodeshare: une campagne pour protéger les forges logicielles et les communautés du libre

[ZDNet France] Oracle: vers une spin off de Java EE à la fondation Eclipse

Par Steven J. Vaughan-Nichols, le mercredi 13 septembre 2017. Extrait:
> Oracle confirme qu'il se sépare de Java EE au profit d'une fondation open source appuyée par IBM et Red Hat. "Après un examen minutieux, nous avons choisi la Fondation Eclipse" affirme Oracle.
Lien vers l'article original: http://www.zdnet.fr/actualites/oracle-vers-une-spin-off-de-java-ee-a-la-fondation-eclipse-39857218.htm

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

16 September 2017

Luc DIDRY

Cas d’usage de Last

Le 16 September 2017 à 12:53:46

Last est un logi­ciel que j’ai codé il y a peu. Il veut dire « Let’s Aggre­gate Superb Toots » et permet de créer un site à partir d’une liste de pouets (toots en anglais, c’est le terme dési­gnant les mini-articles du réseau social libre et décen­tra­lisé Masto­don).

Le prin­cipe est simple : on clone le projet, on modi­fie le fichier de confi­gu­ra­tion selon ses goûts, on y ajoute les pouets à récu­pé­rer, on committe, on push sur un serveur Gitlab avec les Gitlab pages acti­vées et hop ! Ça fait des choca­pic^W un site repre­nant tous les pouets. La marche à suivre complète est expliquée sur https://luc.frama.io/last­man/fr.html.

Je trouve Last de plus en plus inté­res­sant comme outil. Je m’en sers pour faire un recueil de mes mercre­dis fictions, ainsi que pour regrou­per des pouets-feuille­tons comme BackUp et Dans la vallée (avec l’ai­mable auto­ri­sa­tion de leurs aut·­ric·e·ur).

Mais en plus ça permet de faire des sites par rapport à une théma­tique, un évène­ment, un voya­ge… J’ai un pote qui est en vacances en Indo­né­sie. Il poste pas mal sur Masto­don, avec de superbes photos et annonce sur son blog qu’il va y reprendre ses pouets, parce que ce sont de belles photos.

C’est un cas parfait pour Last ! Pourquoi ? Parce qu’au lieu de reprendre le texte (copier/coller, mettre la date et l’heure) et les photos (clic droit, enre­gis­trer sous) pour écrire un article, il n’y a qu’à copier/coller les adresses des pouets dans last.conf, et hop ! Sachant qu’on peut éditer last.conf direc­te­ment depuis l’in­ter­face de Gitlab, on n’a même pas besoin d’avoir git ! Et ça donne plutôt bien : https://petit.frama.io/indo­ne­sie 🙂

Je trouve que ça permet de retrou­ver le côté « blog » du micro-blogage. En effet, Masto­don, Twit­ter et consorts sont des plate­formes de micro-blog­ging, mais va essayer de relire tous les pouets ou tous les tweets d’une personne, même les plus impor­tants ! Avec Last, l’au­teur (ou tout autre personne) peut sauve­gar­der les articles qu’il souhaite pour les retrou­ver plus faci­le­ment, les mettre en valeur… On retrouve un temps long, contrai­re­ment aux plate­formes en ques­tion où le flux d’ar­ticles ne s’ar­rête jamais.

Last but not least (😛), Last crée un flux RSS pour le site généré et un epub, vous permet­tant de tout lire de façon décon­necté, bien tranquille­ment sur votre liseuse 😉

Bref, je suis plutôt content de mon petit outil 😀

Photo d’illus­tra­tion : Alexandre Cham­bon

Parta­ger

tnitot.png Tristan NITOT

Le piratage d'Equifax

Le 16 September 2017 à 06:48:00

Piratage d’Equifax : jusqu’à 143 millions de victimes, des données très sensibles dérobées. C’est un exemple, l’un des meilleurs à ce jour avec Yahoo, que les données ne sont pas comme l’or noir mais comme de l’uranium : en posséder beaucoup est très dangereux. Ca pourrait s’arrêter là, mais Equifax incarne en plus ce qu’il y a de plus moche dans les grosses boites. Ainsi, ils ont mis en place un truc intéressant : en vérifiant si vos données personnelles ont été fuitées par Equifax, vous acceptez de ne pas poursuivre l’entreprise en justice (Equifax a depuis fait marche arrière sur ce sujet, devant le scandale médiatique que cela générait). Cerise sur le gâteau, la firme a tardé à révéler l’information aux personnes concernées, et pendant ce temps là des cadres dirigeants vendaient leurs actions, tout en niant qu’il puisse s’agir de délit d’initié. Il y a des torgnoles qui se perdent !

Le scandale ne s’arrête pas là, puisqu’en creusant un peu, on constate que :

J’encourage les anglophones à lire le billet de l’excellent Bruce Schneier, On the Equifax Data Breach.

Mise à jour : Nouvelle faille de sécurité chez Equifax Brésil, qui permet de se connecter sur sa base de données en utilisant simplement “admin/admin” (via Fabian Rodes).

Nouvelle mise à jour : le directeur informatique (CIO) et le directeur de la sécurité informatique (CSO) ‘partent en retraite’. O_o

15 September 2017

april.png Nouvelles April

Savecodeshare : une campagne pour protéger les forges logicielles et les communautés du libre

Le 15 September 2017 à 07:58:19

La FSFE (Free Software Foundation Europe) et l'OFE (Open Forum Europe) ont lancé la campagne savecodeshare pour sensibiliser sur les risques que l'actuel projet de réforme du droit d'auteur fait peser sur le logiciel libre et les communautés de développeurs.

Un projet de réforme de la directive sur le droit d'auteur est en cours d'étude au Parlement européen. Basé sur une proposition de la Commission européenne, ce projet est largement décrié pour ses atteintes aux libertés fondamentales, même par des États-membres.

En particulier l'article 13 et le considérant (38), qui marquent une nouvelle attaque des lobbies du droit d'auteur contre le principe d'irresponsabilité par défaut des intermédiaires techniques. Le texte prévoit notamment une obligation pour les plateformes d'hébergement de mettre en place des « mesures de reconnaissances des contenus » aussi appelées « robocopyright ». (Calimaq, auteur du blog Scinfolex, propose une critique très intéressante de ce genre de mécanisme).

La FSFE et l'OFE ont lancé une campagne — savecodeshare — contre cet article, s'inquiétant de ses conséquences potentielles sur les forges logicielles. Et à travers celles-ci sur le logiciel libre et les communautés de développeurs. Afin de sensibiliser sur cet enjeu, les deux assocations ont rédigé un papier blanc (PDF en anglais) disponible sur le site de la campagne; Savecodeshare.eu.

Sur la réforme en cours du droit d'auteur nous vous invitons également à suivre les campagnes Savethelink et FixCopyright, notamment soutenues par l'euro-député Julia Reda. La Quadrature du Net est également très active sur ces questions.

14 September 2017

april.png Nouvelles April

L'April aux Rencontres régionales du logiciel libre à Nantes le 21 septembre 2017

Le 14 September 2017 à 13:51:46

21 Septembre 2017 - 09:00
21 Septembre 2017 - 17:30

Les Rencontres Régionales du Logiciel Libre de Nantes est une journée dédiée aux professionnels du logiciel Libre. Ces rencontres regroupent des conférences et ateliers destinés aussi bien aux services informatiques qu'aux services métiers.

Les inscriptions sont gratuites mais obligatoires, vous pouvez vous inscrire en ligne.

L'April sera présente lors cette journée. Magali Garnero alias Bookynette, administratrice de l'association, participera à deux tables-rondes.

  • Quelle activité pour le logiciel libre en région ? à 11h dans la salle Loire
  • Le livre et le libre, des auteurs et des succès à 14h15 dans la salle Loire également

Libres échanges - Philippe Jaillon

Le 14 September 2017 à 13:13:22


Philippe Jaillon

Titre : Libres échanges
Intervenant : Philippe Jaillon, enseignant chercheur
Lieu : Rencontres Mondiales du Logiciel Libre
Date : Juillet 2017
Durée : 25 min 49
Visionner la vidéo
Licence de la transcription : Verbatim
NB : Transcription réalisée par nos soins.
Les positions exprimées sont celles de l'intervenant et ne rejoignent pas forcément celles de l'April.

Description

L’Internet et les ordinateurs sont des outils formidables. Des outils à qui nous confions de plus en plus d’informations, à qui nous faisons des confidences, à qui nous confions nos plus précieux secrets… Mais ces outils, pour réussir dans ces taches, ont été dotés de propriétés et de fonctionnalités qui les rendent dangereux dès lors que nous en perdons le contrôle ou qu’ils nous échappent.
Cette intervention propose de faire un rapide panorama des aspects de la sécurité qui ont traits au respect de notre vie privée insensible à tous nos besoins d’échanges, qu’ils soient liés à la position stratégique de certains acteurs, aux développements de nouveaux services bien moins inoffensifs qu’il ne le paraissent, aux applications ou aux protocoles mal conçus ou mal utilisés… aux processeurs tellement bavards, qu’a les écouter, on peut en apprendre tous les secrets qu’ils cherchent à nous cacher.

Transcription

Libres échanges, une espèce de clin d’œil au nom qui a été donné aux RMLL cette année [Libre et change, NdT].

Un très bref CV. Je suis enseignant chercheur à l’École des mines de Saint-Étienne. Mes domaines de prédilection ce sont les réseaux de communication, les objets connectés et puis la sécurité de ces deux domaines. Et je suis particulièrement sensible aux problèmes de respect de la vie privée, d’où ma question de tout à l’heure.

De quoi est-ce que je vais vous parler ? Aujourd’hui, est-ce que l’Internet est le support qu’on nous a vendu il y a vingt ans ou trente ans au libre-échange ? C’est-à-dire est-ce que je suis libre de parler, d’échanger, avec qui que ce soit sur Internet ?

On va se dire qu’il y a des tas de choses qui ont été inventées ces dernières années, souvent par des personnes empreintes de liberté. Internet c’est né, on va dire ce sont les babacools américains de la côte Ouest qui rêvaient d’un monde où chacun pouvait parler à chacun, etc., même s’ils ont fait ça pour l’armée.

Donc les objectifs initiaux étaient louables. Mais qu’est-ce qu’il en reste aujourd’hui quand on regarde l’usage qu’on peut faire de toutes ces technologies ? Eh bien je vais vous faire, en fait, un cours de réseau. Donc qu’est-ce que c’est, aujourd’hui, communiquer dans l’Internet ? D’abord il faut utiliser des protocoles qui sont communs, les fameux protocoles qui ont été inventés dans les années 70 par Vint Cerf1 et compagnie. Ces protocoles, alors je ne sais pas comment dire, ils ne sont pas vraiment libres, mais ils sont publics. L’intérêt c’est de pouvoir communiquer ensemble. Donc les spécifications sont disponibles pour tout le monde. Elles ont été financées et puis maintenant, elles sont utilisables librement.

Pour pouvoir communiquer, eh bien il va falloir utiliser un service qui est sur le réseau. C’est-à-dire si je veux communiquer, si je veux faire du mail, il va falloir que j’utilise un relais de messagerie ; aujourd’hui c’est un service. Qu’est-ce qui va se passer ? Je vais envoyer mon mail, dès lors que ce mail est envoyé, eh bien il m’échappe, déjà ! Et puis il y a certains services, on en connaît plein, qui ne sont pas forcément des services libres. Aujourd’hui, Facebook, je ne peux pas admettre que ça soit un service libre. Google je ne suis pas sûr que ce soit un service libre. D’accord ? Il en existe des tas comme ça, Instagram, enfin tous ceux que vous pouvez imaginer, qui ont pignon sur rue, et qui sont super utilisés par une grande partie des internautes. Bien !

Donc conclusion. En fait, quand on communique sur l’Internet, d’abord on n’est pas seul, quand on entreprend une communication on a évidemment soi comme participant, le réseau et puis le service que j’ai représenté ici par un machin qui s’appelle un serveur. D’accord ! Donc on est trois et puis il y en a un au milieu, le réseau, je ne le connais pas vraiment en fait.

Première chose à savoir, c’est que les communications entre moi et le serveur, elles vont être observables tout au long de leur acheminement. Le petit fil rose, eh bien, je ne vais pas dire n’importe qui, mais tout un tas de personnes est susceptible d’observer ce qui circule sur le petit fil rose. Déjà ! Donc en termes de liberté, il est hors de question de chuchoter à l’oreille de quelqu’un.

Le premier équipement auquel, en général, on confie nos données c’est ce qui s’appelle un routeur. Un routeur, c’est quoi son travail ? C’est de regarder les données et de se dire pour qui sont-elles ? C’est plus que le facteur. Le facteur regarde l’enveloppe. Un routeur pourrait se restreindre à ça, mais en général, les routeurs, pour des tas de raisons, ils font plus, ils regardent plus loin. Ça s’appelle le deep packet inspection2, par exemple. Pourquoi ? Pour prioritiser les trafics, etc.

De toutes façons, pour communiquer, il va être nécessaire de faire super confiance au réseau.

Comment est-ce qu’on fait pour établir une connexion ?

Si on connaît l’adresse IP de son correspondant, qui est l’identifiant unique de chacun dans l’Internet, eh bien pas de problème, on va demander. Alors on demande à qui ? On demande au réseau.

On va demander au réseau quelle est l’adresse physique de l’équipement, si celui-ci est sur son propre réseau. Vous avez tous dû repérer quelque part que vous aviez un machin qui s’appelait l’adresse MAC ; l’adresse MAC est un identifiant qui est censé être à peu près unique, l’idée c’est qu’il soit unique dans un réseau local, et qui est associé physiquement à votre machine. De moins en moins de machines permettent de changer son adresse MAC. Donc on va demander au réseau quelle est l’adresse MAC de son correspondant et on va lui transmettre les données directement. Bon ! Qu’est-ce qu’on fait en disant ça ? On hurle, en fait, dans la salle : « Eh, t’es quelle place Marcel ? » Donc l’assemblée entière est au courant que je veux discuter avec Marcel.

Et puis sinon, si mon correspondant n’est pas dans mon propre réseau, je vais demander l’adresse MAC de mon routeur, celui qui a été configuré quelque part dans mon système, et je vais transmettre à ce routeur les informations qui lui permettront d’acheminer les données vers le correspondant. Conclusion : tout mon réseau local est averti de mes intentions. Quand je veux parler à quelqu’un tout le monde autour de moi sait que je veux parler à quelqu’un. Vous allez me dire ce n’est pas super grave que tout le monde, dans le cercle familial, sache que je veux parler avec, je ne sais pas quoi, ma fille ou avec un copain ; si c’est ma maîtresse, ça devient gênant, quoi !

Si je ne connais pas l’adresse IP de mon correspondant, il va falloir que je trouve un moyen de l’obtenir. Le moyen aujourd’hui pour l’obtenir s’appelle le DNS, le Domain Name System. C’est une espèce de méga base de données mondiale, distribuée, répartie ; donc pareil, construite historiquement en se disant à quel endroit est-ce que je vais faire l’association entre le nom d’une machine et son adresse IP ? Eh bien quel est le meilleur endroit ? Chez le propriétaire de cette machine. Donc les propriétaires des machines, qu’est-ce qu’ils faisaient ? Ils mettaient en place un service dans leur réseau dans lequel ils faisaient cette association et puis ils en informaient le responsable de niveau supérieur en disant « eh bien voilà les machines du réseau de l’École des mines, le serveur DNS est à tel endroit, etc. » Ça permettait à n’importe qui dans le monde de pouvoir récupérer ce type d’information.

Aujourd’hui, plus personne ne le fait. Quand vous, vous vous abonnez à l’Internet, si vous avez envie de disposer de votre propre nom de domaine et donc d’avoir des machines directement accessibles dans votre propre réseau, il va falloir mettre en place un DNS. C’est beaucoup d’ingénierie ; donc qu’est-ce qu’on fait ? On le confie à son prestataire, Libre ou pas libre le prestataire ; ils offrent tous ce service.

Donc au lieu d’interroger « le propriétaire », entre guillemets, du réseau, on interroge un tiers en lui demandant : « S’il te plaît, tu pourrais me donner l’adresse IP de la machine de Philippe Jaillon ? » Et il va répondre. Il est là pour ça. Mais au passage, qu’est-ce qu’il sait ? Il sait que vous, vous avez envie de discuter avec Philippe Jaillon. D’accord ? Donc on commence à informer des gens qui sont hors de son cercle, de « son premier cercle » entre guillemets. Parce que qui sont ces grands opérateurs ? En France c’est Gandi par exemple, c’est Orange, ça peut être d’autres. Ça peut être Verisign. Symantec offre ce type de service si vous leur achetez un nom de domaine, etc.

Donc le DNS, comment est-ce que ça fonctionne ? Là pareil, on va interroger le réseau pour connaître l’adresse de son correspondant. Comment est-ce qu’on fait ? Quand on est à la maison, eh bien on a en général une box qui a été raisonnablement configurée par son opérateur de manière à ce que toutes ces requêtes se fassent chez lui, pour des histoires d’efficacité, on va dire. On ne va pas dire qu’il cherche à nous tracer, mais… De toutes façons ils auraient d’autres moyens de nous surveiller.

Quand c’est mon téléphone, eh bien si je me paye un téléphone Android directement piqué chez Google, eh bien c’est super top, parce que le service auquel il faut que je m’adresse c’est 8.8.8.8 qui appartient à M. Google. Donc là ça devient rigolo parce que chaque fois que je vais faire une connexion dans l’Internet, je vais demander à M. Google son assentiment.

Quand on fait une recherche, comment ça fonctionne ? Eh bien le relais auquel on s’adresse va commencer par interroger ce qu’on appelle la racine, donc il y a treize machines dans le monde qui sont la racine du service DNS, et qui savent qui gère « com » qui gère « fr », qui gère je ne sais pas quoi, « it », « au », etc.

Après je vais à interroger ce qui s’appelle le gestionnaire du top-level domain, donc justement le fameux .net, .com. .au, .fr, et en lui demandant, par exemple si on on veut se connecter à l’École des mines : « S’il te plaît quel est le service qui gère, enfin quelle est la machine qui gère EMSE de "fr" ? » Donc « fr » me répond : « Pas de problème c’est cette machine », et puis je vais interroger cette machine-là. Alors on n’interroge pas en permanence la racine ; on l’interroge régulièrement malgré tout.

Les gestionnaires de top-level domain on les interroge aussi régulièrement. En plus, si vous configurez mal votre DNS, vous pouvez dire il est nécessaire de vérifier la validité de l’adresse IP qui sera fournie toutes les cinq minutes. Alors que vous ne changez jamais d’adresse IP, auquel cas vous auriez pu dire tous les mois. C’est prévu dans le protocole.

Et puis, au passage, le propriétaire du relais DNS, que ce soit mon opérateur ou M. Google, il a un énorme pouvoir sur moi. Pourquoi ? Parce que s’il ne me répond pas, je ne sais rien, je ne communiquerai pas ; et s'il me répond, ce n’est pas sûr qu’il me réponde la vérité. Qu’est-ce qui me dit que l’adresse IP qu’on me fournit est celle du serveur web de l’École des mines ou du relais de messagerie de l’École des mines ? Rien ! Rien du tout !

Donc maintenant, après avoir fait cette requête, eh bien on sait qu’il y a beaucoup de monde, dans le monde, qui sait qu’on est en train de vouloir contacter quelqu’un. Évidemment tous ces gens-là font des statistiques, enfin tout ce que vous voulez.

Après on va prendre un service, on va prendre le cas du Web qui est quand même aujourd’hui le plus utilisé, puisqu’on fait même du mail par le Web. Je ne connais plus grand monde qui utilise le protocole dédié au mail. Donc je connais l’adresse IP du serveur du service que je veux contacter ; eh bien mon navigateur web va s’y connecter sur le fameux port numéro 80 qui est dédié au Web. Donc il va réclamer un document et il va mettre un certain nombre d’informations dans ce document, dans sa requête. Il ne va pas dire : « Je veux juste la page machin. » Il va dire : « Je veux la page machin, mais je suis un navigateur web Firefox, version x ou y, etc. » Des cookies, évidemment ; mes préférences. Et tout ça en clair.

Pour des raisons d’efficacité, un serveur web, on ne va pas s’y connecter, en général, directement. Donc qu’est-ce qui se passe ? Souvent on va passer par ce qu’on appelle un proxy. Qu’est-ce que c’est qu’un proxy ? C’est un service qui va relayer votre communication. Ce relayage, il se fait comment ? Il se fait explicitement : vous avez configuré dans votre navigateur web, quelque part, qu’il y avait un proxy et qu’il fallait passer par lui. Sinon, on n’a pas besoin de ça, on peut capturer votre trafic. Un des routeurs qui est sur votre chemin peut capturer votre trafic et le rediriger vers un proxy. En plus, depuis la version 1.1 du protocole HTTP, donc qui est déjà assez ancienne, qui a presque une dizaine d’années, eh bien il y a des informations qui simplifient ça. Tous les firewalls de la planète font ça de manière transparente et, bien évidemment, votre opérateur le fait sans vous le dire.

On peut se dire pas de problème, on va essayer de sécuriser tout ça. On va utiliser un protocole qui va s’assurer que mes communications seront confidentielles. Donc vous avez le fameux TLS [Transport Layer Security] ou HTTPS. Donc qu’est-ce qui se passe quand on fait du HTTPS ? Eh bien on utilise un autre service où on va se connecter à la machine et on va commencer par négocier des paramètres de sécurité : quel est l’algorithme de chiffrement, etc. On va échanger des informations d’identité. Par exemple, le serveur va présenter un certificat prouvant qu’il est bien votre banque. D’accord ? Éventuellement vous, vous pouvez présenter un certificat prouvant que vous êtes bien qui vous prétendez être.

Ces informations, c’est-à-dire prouver qu’on est bien qui on prétend être, il faut être capable de le vérifier. Historiquement, on vérifiait ça localement, eh puis on s’est aperçu que ça marchait très mal. Donc on utilise aujourd’hui des services en ligne qui vous disent si le certificat qui vous est présenté est valide ou pas.

Donc quand vous vous connectez à un serveur web en utilisant le protocole TLS, vous récupérez le certificat du serveur que vous venez de contacter. Vous voulez le vérifier et vous le vérifiez en vous adressant à un autre service, le service OCSP [Online Certificate Status Protocol]. Ce qui est rigolo, enfin rigolo, c’est qu'aujourd’hui, une grande société commerciale qui s’appelle Comodo, fournit 40 % des certificats qui sont utilisés. Et c’est à cette société que vous demandez, chaque fois que vous vous connectez, si le certificat est valide. Et puis si ce n’est pas un certificat offert par Comodo, il est offert, enfin offert, vendu par Symantec, parce que les grands de l’Internet, les GAFA, Google, Facebook et compagnie, Wikipédia aussi, ont acheté un certificat chez cet opérateur.

On indique donc à ces opérateurs-là qu’on veut se connecter, parce que sinon on ne demanderait pas de vérifier le certificat.

En plus de ça, comme tout à l’heure pour des raisons d’efficacité, de contrôle ou de sécurité, de nombreux opérateurs relayent, utilisent des proxys, pour les communications chiffrées. Qu’est-ce que ça veut dire relayer des communications chiffrées ? Ça veut dire être capable de les déchiffrer et de se faire passer pour vous auprès de ces services. Les opérateurs font ça sans trop de vergogne. Vous, vous vous faites avoir certaines fois. Quand ? Si vous ignorez les avertissements de votre navigateur web ou si le proxy, le service d’interception, est capable de produire des certificats valables pour votre navigateur.

Par exemple, ce qui s’était passé en Tunisie pendant le « Printemps arabe », eh bien l’État tunisien était opérateur de certification et donc il était capable de fabriquer des vrais faux certificats pour Google, Facebook, etc. Et ça a permis à l’État tunisien d’arrêter tout un tas de personnes avant manifestation, etc.

Et puis ce n’est pas fini, parce qu’on a aussi la notion de reverse proxy et de cache distribué. Ça c’est quoi ? Vous avez de plus en plus d’attaques en déni de service, vous avez entendu parler de ça sans doute, et les sites web ont un mal de chien à se protéger contre ça. Donc vous avez des gens qui ont dit : « Ce qu’on pourrait faire, c’est aider les sites web à se protéger contre ce type de choses. Nous, on va mettre en place des choses. Donc plus personne n’accédera directement à votre serveur web, mais il accédera à mon service et, de mon service, je rebondirai vers votre serveur web. Comme ça vous serez protégé. » Vous, en tant que serveur, que service, vous ne voyez plus jamais vos clients directement et donc, au passage, un tiers supplémentaire est au courant qu’une certaine personne a envie de se connecter à ce service.

Donc les reverse proxy, vous avez une société qui s’appelle Cloudfare qui fait ça. Il y a beaucoup d’entreprises, de sites, Wikipédia est protégé par Cloudfare, et vous avez les caches distribués, comme par exemple Akamai, pour tous les grands sites commerciaux.

Donc ce qu’il y a encore, c’est que les communications sont à nouveau traitées par un nouvel intervenant.

Donc si on fait un beau dessin, voilà. Au début j’avais cette petite flèche pour discuter dans mon réseau local et puis après, pour pouvoir me connecter à un certain serveur web, je commence par interroger le DNS et maintenant je peux me connecter au serveur web. Mais on a vu qu’il y avait maintenant des serveurs OCSP pour pouvoir faire des communications sécurisées. Donc on enlève cette flèche verte, on a maintenant une flèche rouge pour savoir si le certificat présenté est valide et on a à nouveau une flèche verte. Oui, mais il y a aussi des proxys. En fait voilà, OCSP, ça se fait au-dessus du web, donc ça passe au travers de mon proxy qui se connecte au serveur OCSP. Mon navigateur web se connecte au proxy qui se connecte au serveur web. Mais on a vu qu’il y avait aussi des reverse proxy.

Donc une communication dans l’Internet, aujourd’hui c’est ça. Et vous voyez, je vous ai mis des espèces de nuages de couleurs différentes, ce sont des gens dont, comment dire, les intérêts sont différents des vôtres, que vous ne maîtrisez pas.

Vous avez acheté, vous fournisseur de service, un certificat chez quelqu’un. Vous allez imposer à tous les utilisateurs de passer par le service de votre fournisseur de certificat. Vous avez un reverse proxy, pareil, les utilisateurs devront passer par là.

Vous, vous avez un abonnement internet chez je ne sais quel prestataire qui remplace un proxy, vous allez passer par son proxy, etc. D’accord ?

Donc ce qu’on voit aujourd’hui c’est que une communication dans l’Internet ce n’est pas une communication quoi ! C’est un ensemble de communications.

[Combien de temps, il me reste ? C’est fini ? Aller c’est fini !]

J’avais des tas d'autres transparents sur les interceptions TLS, sur les protocoles avec des choses enfouies et je vais vous parler juste d’un dernier truc qui s’appelle le browser fingerprinting. C’est, on va dire, c’est le grand truc ces dernières années, alors ces dernières années, vous voyez, il y a un article qui le présente qui date de 2010. Vous avez un site web de l’EFF [Electronic Frontier Foundation] qui s’appelle Panopticlick3 ; je vous engage à y aller parce que c’est terrifiant. Donc l’idée c’est quoi ? C’est de tracer les utilisateurs, même si ceux-ci utilisent des services qui vont essayer de les rendre anonymes, qui vont essayer de préserver leur identité, etc., donc Tor4, tout ce que vous voulez. C’est hyper difficile à détecter et surtout à empêcher, si vous voulez continuer à utiliser les services.

L’idée c’est quoi ? On est 7 milliards à peu près. En base 2, sept milliards il faut 33 bits pour fabriquer le nombre. Ces 33 bits ça s’appelle l’entropie. Dès que je sais quelque chose sur quelqu’un, eh bien je suis capable de faire diminuer ce nombre de bits. Si, par exemple, je sais que vous êtes un homme ou une femme eh bien entre guillemets, je supprime un bit d’entropie. Je divise par deux la diversité, donc il ne reste plus que 32 bits à trouver.

Si je connais votre signe astrologique, grosso modo votre mois de naissance, il n’y a que 12 classes pour les mois de naissance, eh bien je vais faire diminuer l’entropie par 3,58 bits. D’accord ! Donc il y a presque 4 fois moins de personnes, enfin 12 fois moins de personnes qui sont d'un signe de naissance.

Si je connais votre date de naissance, pareil. Là, ce coup-ci, je vais faire diminuer de 8 bits. Si je sais que vous vivez à Paris je vais faire diminuer de 16 bits. Si je sais que vous vivez à Saint-Étienne, je vais faire diminuer de 16 bits presque 17 bits. D’accord ? Si je sais que vous vous vivez à l’île d’Yeux, qui est une petite île en Vendée, eh bien je vais faire diminuer de 20 bits. Pourquoi ? Parce qu’il y a 4500 habitants. Donc voilà.

Maintenant vous regardez ce tableau et ça, ce n’est même pas des informations que j’ai besoin de vous demander. La taille de votre écran ; en général votre navigateur web l’envoie au serveur. La time zone dans laquelle vous êtes, c’est-à-dire est-ce que vous êtes, on va dire Middle Europ, Central Europ, etc., il l’envoie aussi.

Quels sont les headers que vous acceptez ? Donc là par exemple je dis : « J’aime le HTML, et puis j’accepte le gzip et le Deflate5 et je suis en langue français de France. » Parce que vous avez français de Canada, français de Suisse, etc.

Ça c’est le nombre de bits qui baisse, notre entropie qui baisse. Et ça, ça fait que avec juste ces informations-là, il ne reste plus que quelques milliers de personnes qui sont différentes dans le monde. Et je joue avec mes étudiants à leur faire sentir ça, en leur demandant de ressembler à leur collègue, leur voisin de table. Eh bien, on n’y arrive pas. Si on utilise sa machine personnelle, on n’y arrive pas. On est différents. D’accord ? Bon. J’en ai terminé.


Powered by Planet!
Mise à jour: Le 26 September 2017 à 16:03:10