APRIL

Subscribe to flux APRIL
L'April a pour objectifs de promouvoir et défendre le logiciel libre et ses acteurs.
Mis à jour : il y a 1 heure 50 min

Radio RMLL 2014 : Tafta par Jeanne Tadeusz et Lucile Falgueyrac

17 Juillet, 2014 - 12:26


Informations Transcription

Quesh : Bonjour, bonsoir. On est soit en direct soit en podcast. On est avec Luc Fievet, c'est bien ça ?

Luc : Oui.

Quesh : Et donc avec ?

Manu : Manu, Echarp.

Quesh : Manu, Echarp, voilà. On est aussi avec Jeanne.

Jeanne : De l'April, oui, toujours.

Quesh : De l'April. Et Lucile

Lucile : C'est ça, qui travaille avec plusieurs organisations

Quesh : D'accord.

Luc : Lesquelles ?

Lucile : C'est un peu compliqué, mais ce sont plusieurs organisations françaises et allemandes qui travaillent sur la politique commerciale.

Quesh : D'accord. On est là pour parler de, en gros, de TAFTA. Tu veux nous en parler ?

Manu : TAFTA, ça veut dire quoi ?

Lucile : TAFTA, ça veut dire Transatlantic Free Trade Area, ce qui est la zone transatlantique de libre échange. C'est l’équivalent de l'ALÉNA, qui est la même chose entre le Canada, les États-Unis et le Mexique. Cette fois-ci, c'est entre l'Union Européenne et les États-Unis.

Luc : Donc c'est un super truc !

Lucile : C'est la plus grande zone de libre échange du monde.

Luc : C'est génial !

Lucile : Ah oui, c'est magnifique on va voir à quel point c'est super bénéfique !

Manu : Il y a plusieurs noms aussi, puisqu’ils ont changé le nom comme TAFTA pose problème, non ?

Lucile : C'est ça. Donc ils l'ont renommé en TTIP qui est Transatlantic Trade and Investment Partnership, qui est le partenariat transatlantique de commerce et d'investissement. Son nom essaye de rendre plus importante la question des investissements et la protection des investissements. On va en parler. Ce n'est pas du tout anodin ce changement de nom. Je pense que ce n'est pas que du maquillage pour qu'on n'ait pas le son de TAFTA qui rappelle trop

Luc : ACTA ?

Lucile : ACTA et NAFTA qui est ce fameux ALÉNA, mais en anglais. Je pense qu'il y a quand même des choses importantes dans ce changement et cette importance donnée aux investissements dans ce changement.

Quesh : Et donc Jeanne tu es là pour nous parler de ?

Jeanne : De TAFTA également, un petit peu, parce que c'est effectivement un dossier extrêmement important pour tous les acteurs du Logiciel Libre, mais pas que. Mais aussi de dossiers français comme notamment l'Open Bar Microsoft Défense et un peu de DRM.

Quesh : On a la totale. On a vu plusieurs choses lors des Rencontres Mondiales du Logiciel Libre. On a vu qu'il y avait des logiciels libres, mais il n'y avait pas que. Là on parle carrément de liberté, c'est à l'état pur quoi ! TAFTA tu peux nous en dire plus ?

Lucile : En quelques mots c'est une négociation qui a commencé depuis un an, à peu près. Qui est en préparation depuis dix ans. Qui est une priorité à la fois de l'Union Européenne et du gouvernement américain, ça a été clairement dit. C'est une priorité pour toutes les institutions européennes et les états membres de l'Union Européenne ont donné mandat à la Commission Européenne pour qu'elle négocie ce traité, dans le plus grand secret, comme d'habitude. Donc c'est très difficile de savoir ce qui se passe. On utilise des fuites, donc des leaks. Il y en a régulièrement, ce qui veut dire qu'on a encore des copains dans les institutions, ce qui est bien.

Quesh : Justement, ce côté secret, quand on regarde le truc de loin, ce qui mon cas, on a l’impression finalement qu'on dit « TAFTA ce n'est pas bien ! » Et on dit « Et pourquoi ? » et tu dis «  En fait on ne sait pas ».

Lucile : Il y a des choses qu'on sait. Par exemple, il y a eu un certain nombre de ce qu'on appelle des positions papers, qui sont des papiers où les négociateurs disent ce qu'ils ont l'intention de négocier. Il y a aussi un travail fort qui est fait de regarder ce que les différents lobbies attendent de TAFTA et il y a les déclarations diverses et variées, et il y a aussi, bien entendu, l'observation des différents traités, avant, qu'on peut voir et donc quels intérêts et quelles idées gouvernent ces négociations. Ça n’augure rien de bon !

Dans notre cas les États-Unis négocient en même temps le TPP, qui est le Trans Pacific Partnership, entre différents pays du Pacifique et ces négociations sont bien plus avancées, on a eu plus de fuites, plus de leaks. Et, si on imagine que ces positions sont ce que les États-Unis aimeraient bien, les États-Unis et d'une manière générale, ce qui est éventuellement attendu dans ces accords, on va en parler, mais il faut vraiment se mobiliser.

Quesh : D'accord. Et d'un point de vue Logiciel Libre, parce que c'est quand même le sujet qui nous intéresse ici aux RMLL, quelles sont les conséquences ?

Jeanne : D'un point de vue Logiciel Libre, comme vient d’être très justement dit, c'est difficile de dire précisément, parce qu'on n'a pas toutes les clefs en main ; finalement on a des fuites, des leaks qui nous permettent d'avoir une idée. Après, ce qu'on peut dire clairement, c'est qu'il y a une logique qui est à l’œuvre, qui est extrêmement nocive, qui est celle qu'on a pu avoir dans ACTA, qui est finalement la sacralisation du droit d'auteur et l’impossibilité de revenir en arrière sur tout un tas de législations qui nous posent déjà problème. L’exemple type ça va être sur les DRM ou ça va être encore sur le brevet logiciel. Quand on voit la différence de la position entre l'Europe et les États-Unis, le fait d'unifier la zone de libre-échange, et donc de pouvoir avoir des investisseurs américains qui, pour faire court, demandent à avoir les mêmes brevets en Europe que ceux qu'ils ont aux États-Unis, on peut bien imaginer les dangers que ça représente notamment pour tout le Logiciel Libre et tout l’écosystème qu'on a aujourd'hui en Europe.

Lucile : Pour donner un peu de contexte, et je suis complètement d'accord avec ce que je dit Jeanne, TAFTA a plusieurs objectifs, TAFTA que nous on appelle TTIP, donc avec le investissement au milieu, donc TAFTA a plusieurs objectifs. Le premier c'est quand même de protéger les investissements, c'est ça qui a été dit et un deuxième objectif très important, c'est d'harmoniser les normes entre les États-Unis et l'Europe puisque les barrières douanières sont actuellement finalement très basses et que, ce qui d’après les négociateurs empêche le commerce transatlantique ou le rend plus difficile, ce sont ces différences de normes. Par normes on peut dire les différences de boulons ou de prises ou des choses comme ça qui ne sont finalement pas très intéressantes pour nous, on peut aussi parler de tout ce qui est important, ça va de l'écologie à l'alimentation, à bien sûr, les brevets. On peut tout imaginer là-dedans.

Luc : Les normes sociales aussi ?

Lucile : Les normes sociales aussi. Et c'est pour ça que les syndicats dans plusieurs parties de l'Europe, pas trop en France, mais dans plusieurs autres pays européens, commencent à très sérieusement se mobiliser contre TAFTA. On pourra peut-être ne parler plus tard. Mais c’était juste pour donner un peu de contexte.

Jeanne : Tout à fait. Et juste pour compléter là-dessus, il faut bien voir que sur des textes TAFTA ou TTIP, on n'est pas les seuls, loin de là. On travaille aussi énormément avec tout un tas de collectifs de la société civile, qui travaillent sur des sujets aussi différents, donc les syndicats comme vient de le dire Lucile, mais aussi sur les semences, par exemple, sur les médicaments, des associations comme Act-Up sont très présentes, Médecins sans frontières. Il y a vraiment un regroupement, une forme de convergence là-dessus en terme de protection des droits, en terme de liberté aussi, individuelle, qui est réelle, parce que c'est clairement un danger qui est hyper important évidemment pour le Logiciel Libre, mais qui nous concerne évidemment tous aussi en tant que citoyens

Lucile : Ce qui pose problème dans TAFTA, c'est que ça change profondément la façon dont on va pouvoir faire des politiques publiques ou modifier des politiques publiques. On pourra en reparle r encore une fois. Mais il y a plusieurs mécanismes dans TAFTA soit qui inscrivent des principes dans un texte qui est presque impossible à réformer : je vais citer par exemple le principe de libre flux de données. C'est un principe qui est présent dans un des leaks sur le chapitre e-commerce. C'est le chapitre e-commerce d'un autre traité qui est CETA, tout se complique.

CETA c'est le cheval de Troie de TAFTA. C'est son petit frère. C'est le même accord qui est en train d’être négocié avec le Canada et qui est nettement plus avancé au niveau des négociations également, qui était censé être signé, la date de signature n’arrête pas d'avancer parce que la pression que met le public du fait de TAFTA rend la conclusion de l'accord plus compliquée. Bon bref ! On pense que CETA va être utilisé comme un texte de base pour TAFTA, et le chapitre e-commerce de CETA a fuité, et dedans il y a la reconnaissance de ce principe de liberté de circulation des flux de données. Et c'est un principe qui va être dans les traités internationaux qui vont être extrêmement durs à reformer et il y a parfois des exceptions, etc, mais ça met quand même en droit international des principes que nous on trouve très problématiques et qui vont nous poser des problèmes quand on va vouloir reformer ces domaines. C'est aussi le cas dans les chapitres propriété intellectuelle, etc. Quand on nous dit qu'on veut réformer le copyright et qu'on nous dit toujours « Non mais il y a TRIPS là, les ADPIC, ces accords de l'Organisation Mondiale du Commerce sur la propriété intellectuelle, qui mettent un socle minima de protection de la propriété intellectuelle et donc du coup qui rendent des réformes en profondeur, par exemple du copyright, beaucoup plus difficiles. Et là, avec TAFTA, sur un certain nombre de sujets très nombreux, on va vers ce genre de choses, c'est-à-dire des principes qui fixent des situations compliquées qu'on a maintenant.

Quesh : Une des situations, pour prendre un exemple, une des situations, ça serait, j'ai des informations privées, j'ai mes données personnelles, comme il y a libre circulation de données, elles peuvent se retrouver n’importe où, en tous les cas dans cette zone.

Lucile : La protection des données, c'est très compliqué. Personne n'est vraiment d'accord sur les définitions, etc. Il y a un gros travail qui est en train d’être fait en Europe là-dessus, je ne sais pas si tu es au courant, avec la directive de protection des données actuellement en négociation, enfin en discussion au niveau des institutions.

Il y a la différence entre les données privées et les autres. C'est très compliqué, ce n'est pas mon sujet, en plus, donc je ne vais pas m'étendre là-dessus, et donc dans le chapitre e-commerce de CETA, ils ne parlent pas de données privées, mais ils parlent de données en général, et il disent on peut faire des exceptions qui sont raisonnables, etc, pour la protection de la vie privée. Sauf que qui va juger de ça ? Ce sont les spécialistes du commerce, de l'investissement, etc, et pas des spécialistes des droits de l'Homme.

Luc : On va là retrouver là des trucs, enfin des notions de juridiction spécialisée, un petit peu comme on avait, donc TAFTA, ou des trucs qui ont été mentionnés, je crois, sur le brevet unitaire en Europe ?

Jeanne : Tout à fait et c'est finalement le deuxième problème. Le premier problème comme l'a dit très justement Lucile, c'est qu'on a un accord international qui dit quelque chose donc on ne peut plus revenir au niveau national ou européen dessus parce qu'il y a un accord qui finalement prime.

Echarp : Qui verrouille, carrément.

Jeanne : Qui verrouille. Et l’exemple ce sont les DRM. Quand on voudrait faire des choses sur les DRM, pourquoi pas interdire les DRM, ou au moins les limier, on nous répond systématiquement que non ce n'est pas possible puisque c'est dans les accords internationaux justement de l'OMC, de l' EPI pardon, mais on a vraiment cet aspect-là qui va être présent. Et la deuxième étape, qui se rajoute avec TAFTA ou le TTIP, c'est la mise en place de juridictions spécialisées, qui pourront simplement être saisies par les investisseurs étrangers. Donc on a quand même une forme d’injustice parce que, que ce soit les investisseurs nationaux, ou que que ce soit les citoyens éventuellement regroupés en collectifs, n'auront aucune prise sur ces juridictions-là, qui pourront assigner les états en justice, s'ils considèrent que la législation leur porte préjudice en fonction de l'accord.

Luc : Alors que la législation c'est justement par définition fait à pour porter préjudice à des intérêts privés. C'est l'idée.

Lucile : En fait dans ces accords, ces tribunaux en effet seront des tribunaux qui ne sont pas des tribunaux, ce sont des cours d'arbitrage, qui sont ad hoc, qui sont faites par des juges qui sont des juges « for profit », des juges à but lucratif, voilà, qui n'ont pas de salaire et qui donc gagnent de l'argent en faisant ces arbitrages. Ces arbitrages sont uniquement accessibles donc aux investisseurs étrangers, comme l'a dit Jeanne, et c'est en cas d'attaque d'un état sur les investissements d'un investisseur étranger. Toute la question est qu'est-ce que c'est qu'un investissement ? Qu'est-ce que c'est qu'un investisseur ? Est-ce que faire de la spéculation sur la dette d'un pays c'est un investissement ? Est-ce que etc, etc ?

Echarp : Ça voudrait dire que si moi je suis un pays, je vote une loi qui embête un investissement d'une société, même si c'est quelque chose pour protéger mes citoyens, eh bien je peux me retrouver devant cette cour, avec des juges payés ? Pour venir me gronder ?

Jeanne : Absolument. Aujourd'hui ça veut dire que si tu es Monsanto et que tu n'aimes pas la législation de la France contre les OGM, tu pourrais potentiellement aller attaquer la France devant cette cour en disant qu'ils viennent te pénaliser.

Lucile : En cas de nouvelle législation !

Jeanne : En cas de nouvelle législation, ça pourrait vouloir dire ce qu'il y a dans le texte de l’accord, texte qu'on ne connaît pas.

Echarp : J'ai cru que comprendre que l'Allemagne par exemple avait déjà ce genre de chose qui était en place et qu'ils avaient des problèmes leur interdiction du nucléaire avec je ne sais plus quelle société.

Lucile : Vattenfall, les Suédois. En fait on en a tous. L'Europe, je ne me souviens plus du chiffre exact, mais a des milliers d'accords. Cette protection des investisseurs qui est assurée via des recours à ces cours d'arbitrage, c'est une disposition qui est présente dans les accords internationaux signés par tous les pays, depuis longtemps. Je crois que le premier était en 54 entre l’Allemagne et le Pakistan, enfin peu importe, donc c'est quelque chose d'assez courant. Et ce qui est très important à regarder, c'est que le nombre de cas explose ces derniers temps, alors que le nombre d'accords signés n'explose pas, parce que les investisseurs ont compris que c’était génial ce truc et aussi parce qu’il y a une véritable industrie de l'arbitrage privé qui s'est développée et qui pousse les investisseurs à attaquer, ou à juste menacer les états d'attaques, pour que ces états ne légifèrent pas sur un certain nombre de choses qui seraient contraires aux intérêt des investisseurs étrangers.

Jeanne : Absolument. Et ce qu'il faut bien voir c'est que c'est en fait une manière de pervertir complètement ce qui était le but original de ces tribunaux d'arbitrage, ou de ces juges, de ces arbitres, finalement payés. Parce que la logique au départ c’était principalement pour les accords notamment avec les pays qui n'avaient pas forcément un système judiciaire ou un gouvernement réellement stable. On cite l'exemple des accords avec le Pakistan en 54, on est quand même dans une situation où le Pakistan en 1954, c'est le moment de l'indépendance, ce n'est quand même pas simple. Et donc l'idée c'est de pouvoir protéger les investisseurs qui veulent quand même investir dans ce pays, et finalement pour aider le pays, en leur assurant qu'ils auraient une forme de recours à une justice équitable s'ils ont une expropriation trop violente. C’était ça la logique de départ.

Sauf qu'aujourd'hui la définition de ce qu'est un investisseur, la définition de ce que c'est qu'une expropriation s'élargit énormément, c'est notamment le cas de tout ce qu'on appelle les expropriations indirectes, c'est-à-dire qu'on ne va pas directement prendre les biens d'une entreprise, mais on va mettre une législation qui la désavantage, par exemple, parce qu'elle ne répond pas à certaines normes de sécurité. Ça peut être quelque chose comme ça qui peut être considéré comme une expropriation indirecte et donc être sanctionné par ces juges qui, une fois de plus, sont des juges à but lucratif, donc plus ils ont d'affaires plus ils sont contents.

Lucile : Exactement. Donc ça, mais ça pousse le développement de ce système et l'interprétation qui est donnée au traité est aussi élargie au fur et à mesure, énormément. Donc des choses que les états ont signées en pensant que ça allait protéger les investisseurs, etc, deviennent des monstres terribles avec des cas. Tu parlais de l'Allemagne tout à l'heure, il y a deux cas avec Vattenfall et l'état allemand. Il y a un cas où ce n'est pas l'état allemand qui a été attaqué par Vattenfall, mais c'est Hambourg qui avait passé...

Luc : Un Länder ?

Lucile : Voilà, qui avait passé une régulation sur les taux d'émission de matières toxiques dans la rivière et ils se sont fait attaqués parce que, soi-disant, ces normes rendaient l'investissement de Vattenfall, de son usine qui rejetait des substances toxiques dans la rivière, mettait l'investissement en danger. Et donc du coup au lieu de trouver une solution à l'amiable, etc, ou de faire quelque chose, je ne sais pas, Vattenfall a attaqué la ville de Hambourg. La ville de Hambourg s'est dit on ne peut pas se permettre, parce que ce sont des millions et des millions, ce sont des millions en frais de justice et ce sont des dizaines voire centaines de millions, voire plus en dommages à donner.

Luc : Et c'est risqué parce qu'on ne peut pas savoir à l’avance si on va gagner ou on va devoir les payer.

Lucile : Effectivement, il y a une insécurité juridique énorme et donc la ville de Hambourg a dit OK, on fait un accord à l'amiable, on baisse les seuils, donc on protège moins nos populations, et on vous paie. Voilà. Donc catastrophe totale. Ça c'est une situation qui arrive régulièrement et c'est pour ça, souvent on nous dit oui,mais en général, les investisseurs qui portent des demandes qui sont disproportionnées, ils n'arrivent pas à leurs fins, ils vont perdre au tribunal. Déjà c'est faux et en plus, rien que l'effet (ou les faits) de menace est déjà un problème énorme.

La deuxième chose c'est en effet au niveau du nucléaire. Vattenfall qui demande trois milliards sept à l'Allemagne pour l’arrêt du nucléaire qui a été prévu. Les gens qui ont regardé vraiment l'historique de ce cas, disent qu'en effet, il y a des choses qui auraient pu être mieux faites dans le processus, mais que c'est complètement disproportionné ce que Vattenfall demande, et ils peuvent le faire parce que ce système est complètement pourri jusqu'à la moelle.

Jeanne : Et c'est clairement le danger de juridictions spécialisées en terme de la sécurité juridique. Pour prendre une comparaison aussi avec des choses qu'on connaît déjà, c'est le système des brevets aux États-Unis, qui est exemple classique là-dessus.

Luc : Pour le coup, sur les brevets aux États-Unis, on a l'impression qu'ils sont en train de faire marche arrière. Non ?

Jeanne : Oui, alors juste pour rappeler à tout le monde le système des brevets aux États-Unis, en fait les brevets sont délivrés de manière classique par un office des brevets, qui est un office à but lucratif c'est-à-dire qu'il se rémunère sur les brevets qu'il fournit, donc qui a tendance à donner beaucoup de brevets. Et ensuite les affaires sont jugées par une cour spécialisée, cour spécialisée qui gagne de l'importance et qui est déjà staffée par des gens qui sont dans le microcosme des brevets, qui sont son avocat et ainsi de suite et qui ensuite ont un tropisme très fort en faveur des brevets.
Donc aux États-Unis, au départ, les brevets logiciels étaient extrêmement limités, l'interprétation de la cour s'est élargie dans les années quatre-vingt, élargie, élargie pour voir des choses complètement abstraites et complètement folles qu'on a pu voir ces dernières années dans toutes les batailles des brevets : Apple contre Samsung entre autres, mais plein d'autres, les brevets sur l'achat en un clic d'Amazon, enfin il y en a beaucoup dans ce style-là. Et à chaque fois les brevets passaient parce que la cour spécialisée avait tendance a, dès que c’était un peu nouveau, ça suffisait pour accorder un brevet.

Sauf que l'avantage qu'ont les États-Unis et que nous, on n'aura pas, que ce soit dans le cadre du brevet unitaire ou que ce soit dans le cadre des accords type TAFTA, c'est que eux, ils ont la Cour suprême qui tranche en dernier recours. La Cour suprême, qui est une vraie juridiction, qui est indépendante, a repris le dossier, a réellement repris le dossier, a rendu tout récemment là, il n'y a même pas deux semaines, une décision qui était très attendue, pour dire ce qui était brevetable ou ce qui ne l’était pas en terme de logiciels. Alors ce n'est pas une décision, on va dire, qui va interdire les brevets logiciels, mais qui va en interdire 90 %, je pense, et notamment tous les plus nocifs, tous les plus, je ne sais.

Echarp : Et qui remet en cause la base même de cette notion de brevet, brevetabilité.

Jeanne : Oui, c'est ça. Qui remet en cause la manière dont c’était analysé en disant que c'est nouveau, c'est brevetable. Elle dit que non, non, c'est nouveau et il faut qu'il y ait un effet technique et l'effet technique ce n'est pas juste que ce soit sur un ordinateur. Ça veut dire qu'il faut que ça améliore directement la technique. Donc tous les brevets qu'on a pu voir, voilà, c’était l’achat en un clic, il y en a plein d'autres de ce type-là, eh bien tous ces brevets sont...

Echarp : Et puis les brevets sur les méthodes. Un acte chirurgical peut être breveté aux États-Unis ou pouvait l’être.

Jeanne : Et là c'est extrêmement limité, parce que si c'est un algorithme, un algorithme n'est plus brevetable en tant que tel.

Echarp : Tant que les juges le comprennent. Il y a peut-être des limites sur, justement, la manière dont ils ont jugé, si j'ai bien compris. Ils n'ont pas vraiment bien défini la brevetabilité, mais ils l'ont restreinte.

Jeanne : Ils ont considéré que ce n’était pas leur rôle de définir très précisément. Après ils ont énormément restreint et c'est finalement une claque, quand même monstrueuse, qui a été faite à l'office des brevets aux États-Unis et aux cours spécialisées, en disant vous êtes allés beaucoup trop loin dans l'interprétation de l'ancienne décision qui avait un peu ouvert la porte dans les années quatre-vingt. Ce n’est pas du tout ça qu'on voulait dire. On voulait juste dire qu'il faut finalement limiter la brevetabilité à ce qui est réellement quelque chose de technique.

Luc : Ce que tu disais que la Cour suprême est indépendante, mais est-ce qu'il n'y a pas quand même un phénomène très politique parce qu'on a vu dans la presse les réactions de Obama notamment, il y a à peu six mois, six mois un an, où déjà il y avait des trucs avec des voix plutôt politiques qui étaient en train de dire il va falloir calmer le jeu sur les brevets logiciels.

Echarp : Ça leur coûtait cher !

Lucile : Je pense que dans ce cas-là, ce qui est le plus important, ce n'est pas vraiment de décider si la cour est indépendante ou pas, ça je crois que c'est une question très compliquée, ce qui est important, c'est que c'est une cour généraliste. C'est-à-dire c'est une cour qui n'est pas spécialisée dans les brevets. C'est une cour qui pense que les droits de l'Homme, les intérêts économiques divers et variés ou le droit, enfin peu importe, que tous les domaines sont égaux en fait. Donc c'est une cour qui est capable de mettre fin à des abus d'une partie du droit qui devient complément disproportionnée, parce qu'elle est généraliste.

Luc : On a quand même eu des réactions politiques il y a six mois environ, six mois un an, qui disaient : les brevets logiciels ça va trop loin, et bizarrement, tu vois, on a une réponse de la Cour suprême qui va dans ce sens-là.

Jeanne : Mais la Cour suprême a aussi décidé il y a un an de se saisir de cette affaire, donc c'est aussi un choix juridique en voyant ce qui se passait, je pense.

Echarp : Il y a eut-être une convergence de la société en générale qui pousse à changer un petit peu la donne.

Lucile : C'est l'idée du droit qui s’adapte à la société. Comment est fait le droit, c'est toujours la résonance de mouvements qui se passent dans la société. Mais quand même pour rebondir là-dessus parce que c'est quand même magnifique, ces fameux règlements des différends investisseurs - états dont on parlait avant, un tribunal d’arbitrage composé donc de trois personnes, qui ne sortent de nulle part, qui sont à but lucratif, etc, peut tout à fait condamner, ou en tout cas condamner un état à verser des dommages immenses pour une décision d'une Cour suprême. Et ça a déjà été le cas, ça a déjà été le cas avec l’Équateur. Occidental qui est une compagnie pétrolière américaine, qui a eu un procès qui a duré des dizaines d'années avec l’Équateur sur la dépollution des terres autochtones, non ce n'est pas autochtones.

Luc : Indigènes.

Lucile : Indigènes, oui enfin bon, des terres des natifs, donc des Indiens, donc Occidental a complètement pollué, détruit des terres ancestrales de ces peuples. Après des années et des années de combats juridiques dans les cours équatoriennes ils ont été forcés de payer la décontamination des sols, etc, ils ont refusé de payer, l'état équatorien a saisi leurs propriétés, partout, pour faire appliquer la décision de justice et Occidental s'est retourné vers une cour d'arbitrage.

Echarp : Expropriation.

Lucile : Expropriation, etc, exactement, qui pense non justifiée et ce cas est terminé et c'est la plus forte somme qui n'a jamais été imposée à un état et qui est je crois de un milliard sept d'équivalents de dollars ou d'euros, je ne sais plus de tête, imposée à l’Équateur.

Echarp : Qui n'est pas un gros pays

Lucile : Qui est un petit pays avec un seuil de pauvreté, enfin avec un taux de pauvreté très important. Ces tribunaux ne regardent pas si la décision de l'état est juste ou pas juste, ils regardent si la décision de l'état nuit aux investissements, et c'est ça le

Luc : C'est fou parce que le principe d'arbitrer entre des intérêts publics et des intérêts privés, c'est nécessairement de nuire à des intérêts d'investissements, enfin on peut imaginer.

Jeanne : Sauf que là, non, c'est l'inverse. Avec tous ces textes

Luc : Non, mais du point de vue de l'état et de la justice. C'est-à-dire que quand tu tranches, nécessairement c'est en défaveur de quelqu’un. Mais là si tu dis que tu es là pour défendre les investissements. Si moi j'investis pour l’exploitation de Manu comme esclave !

Echarp : Super !

Luc : Voilà j'ai fait un investissement et si on va contre mon investissement.

Lucile : C'est pour ça que ces traités, les états les signent en se disant bon, ça va aider.

Echarp : Ça va aider à la croissance.

Lucile : Exactement. C'est ce que la Commission européenne et la DG Trade nous répètent à longueur de journée.

Echarp : Ils en rêvent !

Lucile : Et après il se passe des choses qui les dépassent complètement parce qu'on n'est plus du tout dans une idée de puissance publique qui a des droits, etc. Ces traités d'investissements c'est protéger les investissements étrangers. Et on peut détailler les clauses, etc, qui sont des clauses très, très larges. D'ailleurs demain aux RMLL, pour ceux qui vont nous écouter ce soir, Jeanne et moi et je crois quelqu'un d'autre, François, je ne sais pas qui, on va faire un atelier où on va essayer de répondre : la commission européenne a lancé une consultation, une consultation complètement bidon d'ailleurs, pour que les citoyens donnent leur avis sur ce mécanisme de règlement des différends investisseurs - états, et la date limite pour répondre est le 13 juillet, donc 2014, et donc on va faire un atelier demain pour répondre, en tout cas pour creuser.

Luc : Pour faire une répondre collective ?

Lucile : Peu importe. En fait je pense que l'objectif de formation des gens est plus important que vraiment répondre à la Commission, vu que de toutes façons, la Commission ne nous écoutera pas !

Jeanne : Voilà. Mais s'il y en a qui veulent justement aussi faire leur réponse individuelle, c'est toujours important qu'il y ait toujours du monde. On sera surtout là pour répondre aux questions et travailler collectivement là-dessus.

Echarp : Ceci dit, alors, je ne veux pas vous enlever l'énergie, mais on ne le signera jamais ce genre de traité. La France, notamment, on a des intérêts, on n'aime pas les hormones, on veut défendre nos vins. La France n'ira jamais signer ce genre de choses-là, c'est impossible, voyons !

Jeanne : Actuellement les deux principaux partis à l’Assemblée nationale soutiennent le traité !

Echarp : AHHH ! Le PS et l'UMP, là, comment on dit ? L'UMPS ?

Jeanne : Mais ce ne sont pas les seuls. Mais actuellement il y a tellement l'aspect entreprise, création d'emplois, qui est tellement seriné, avec un lobbying.

Echarp : Oui, mais on ne va pas mettre du fracking ! On ne va pas autoriser, les hormones, le bœuf aux hormones ça fait peur !

Luc : C'est une des solutions.

Lucile : Quand tu es forcé de faire des choses à un niveau national parce que les gens hurlent et que tu as un moyen de quand même faire ce que tu voulais faire mais par une autre porte.

Luc : Par l’intermédiaire d'un traité ?

Lucile : Surtout si c'est par l'intermédiaire d'un traité comme ça, qui est présenté comme technique, comme quoi que ce soit, comme du droit international, tout le monde s'en fiche, etc. Personne ne cherche à comprendre les questions de commerce. Les gens qui travaillent depuis quinze ans sur la politique commerciale de l'Union européenne n'en reviennent pas, parce que ce n'est pas nouveau tout ça. Et ça fait quinze ans qu'ils essayent d'en parler, et c'est là, c'est le grand méchant américain donc tout le monde se réveille, c'est abominable ce truc !

Echarp : C'est de l’impérialisme !

Lucile : En fait ce n'est pas nouveau. L'Europe est très forte pour imposer des traités commerciaux complètement défavorables aux pays du Sud. L'Europe est très forte pour que ses entreprise attaquent des états, etc. Vattenfall qui a attaqué l’Allemagne, ce ne sont pas des américains, ce sont des Suédois, grâce à la charte de l'énergie. On est à fond dans ce système et d'habitude nous on en bénéficie parce que ce sont nos grandes entreprises qui écrasent tout le monde !

Echarp : Là ce sont les américaines.

Lucile : Cette fois-ci c'est cinquante, cinquante !

Luc : Et là, ce n'est plus drôle.

Echarp : Du coup on va moins rigoler !

Lucile : Du coup maintenant tout le monde « le poulet chloré, etc. », sauf que !

Jeanne : Et je pense que la différence aussi c'est que ça touche des secteurs qui n’étaient pas forcément touchés par ce type de négociations jusqu'à maintenant, avec notamment une mobilisation citoyenne. Quand on parle de poulet aux hormones, quand on parle,

Luc : La sécurité sociale, elle serait mise en cause !

Jeanne : oui, de sécurité sociale aussi, quand on parle aussi tout ce qui est libertés numériques, on touche aussi des gens qui ont été réveillés, secoués, par ACTA récemment et je pense que c'est lié à ça aussi qu'on ait une mobilisation telle.

Lucile : Oui, je suis d'accord et ce que je voulais juste rajouter, c'est que, en effet, TAFTA c'est fondamental, CETA, donc le Canada - Union européenne, c'est son cheval de Troie, mais, la politique commerciale de l'Union européenne c'est une réalité, ça a existé avant, ça existera après. Il ne faut pas qu'on s'endorme sur le sujet. Par exemple, Jeanne tu me corrigeras si je me trompe, mais il me semble que le chapitre propriété intellectuelle de l'accord Union européenne - Singapour est une abomination avec tout ACTA dedans.

Jeanne : Absolument. Il y a beaucoup d'autres textes et je pense qu'on est rentré aujourd’hui dans une étape où on s'implique dans tout ce qui est traités commerciaux. Il va falloir continuer. On s'est battu contre ACTA, on a gagné. Aujourd'hui on se bat contre TAFTA, j'espère qu’on va gagner. Mais c'est tout un paradigme en fait qu'il faut changer, parce que sinon, on va continuer de se battre contre le nouveau, le nouveau, le nouveau !

Lucile : Exactement. Je trouve que c'est un bon mot de conclusion.

Quesh : Très bien. Eh bien merci beaucoup pour ces explications éclairantes et assez flippantes pour tout dire. Intéressez-vous au sujet et mobilisez-vous !

Des cryptoparties aux Café vie privée, le chiffrement en pleine démocratisation - conférence de Genma à Pas Sage En Seine, juin 2014

16 Juillet, 2014 - 23:25


Informations Transcription

On se donne encore deux minutes avant de commencer, le temps que les gens dans la salle puissent s’asseoir. Je vais peut-être y aller. Je vais commencer.

Bonjour et bienvenue. Le titre de ma conférence, c'est « Des cryptoparty aux café vie privée, le chiffrement en pleine démocratisation ».

Je vais commencer par me présenter. Qui je suis ? Je m'appelle Genma de mon pseudo, ça s'écrit G, E, N, M, A. Sous ce pseudonyme je tiens un blog qui s'appelle le blog de Genma. J'ai un twitter sur lequel je suis assez actif et je communique de façon assez régulière par rapport aux thématiques que je vais aborder dans cette conférence, à savoir, les chiffrofêtes, café vie privée, cryptoparty, je vais expliquer un peu pourquoi ces différentes terminologies-là. Comment j'ai été amené à être ici ? C'est parce que mes centres d’intérêt ce sont au départ la veille technologique et peu à peu je me suis intéressé à tout ce qui était vie privée, chiffrement, etc. J'ai acquis un certain nombre de connaissances que maintenant je rediffuse dans le cadre d’événements de type cryptoparty. Donc je vais expliquer tout ça.

Donc les chiffrofêtes, c'est quoi ? Qu'est-ce qu'une chiffrofête ? Au départ il y avait le terme de cryptoparty, qui est la contraction de crypto, donc chiffrement et party, la fête ; c'est un terme anglais qui est souvent francisé en cryptopartie, ie, mais nous on a, en fait, on a décidé, donc le petit groupe qui fait ces genres d’événements avec moi, d’appeler ça chiffrofête, parce qu'on trouvait ça marrant, c’était un petit côté francisation du terme et montrer qu'on se démarque un petit peu du terme de cryptoparty du départ. Parce que les cryptoparty ont toujours existé, moi je sais que ça fait quelques années que je m'intéresse à ces problématiques-là. J'avais regardé en cherchant sur Internet et je voyais que les cryptoparty c'était dans des milieux, un peu, on va dire, underground, dans des hackerspaces, des endroits un peu de réunion de hackers qui voulaient chiffrer leurs mails et leurs communications. Ça semblait quelque chose d'assez confidentiel, de gens qui s'y connaissent, qui ont un certain bagage technique. J'avais l'impression que le ticket d'entrée pour participer à ce genre d’événement était quand même assez élevé et donc je ne m'y étais pas trop mêlé et, comme on va le voir après, il y a eu en fait ce qui s'appelle les cafés vie privée, qui ont changé un peu la donne, de mon point de vue à moi, et c'est ce dont je vais vous parler là.

Quand ça a commencé en fait, comme je disais, les cryptoparty ça fait depuis un petit moment, mais, c'est en octobre dernier, en 2013, j'ai vu qu'il y avait quelque chose qui s’appelait café vie privée. J'ai regardé, c'était une certaine Amaelle Guiton qui a écrit un livre qui s'appelle « Hackers au cœur de la résistance » qui lançait ça avec Okhin qui est connu je pense, c'est celui qui a fait la conférence ce matin, qui lançait quelque chose qui s’appelait le café vie privée. Et il disait « Bon ! Si vous voulez discuter autour de l’anonymat, de la vie privée, des choses comme ça sur Internet, venez ». Je me suis présenté. J'ai vu un petit peu les ateliers qu'ils proposaient, c’était des thématiques qui me parlaient, et je me suis dit « Eh bien moi aussi j'ai des connaissances dans ce domaine, je commence à en parler sur mon blog. Je vais aider ».

En novembre 2013, on a remis ça en faisant deux jours qu'on a appelés Prism Break, où c’était des différents ateliers autour de différents outils que je vais présenter après très rapidement. Et c'est là que Okhin a dit : « Tiens, cryptoparty pourquoi on n'appellerait pas ça chiffrofête ». Depuis, depuis novembre dernier, tous les mois il y a à peu près un événement qui a lieu, il y en a des fois un peu plus souvent. Maintenant on commence à se faire connaître, entre guillemets. Il y a des gens qui nous demandent : « Est-ce que vous ne pouvez pas venir faire un café vie privée, chiffrofête ou cryptoparty pour notre association ou sur tel type d’événements, etc ? ». On est assez sollicités et on fait tout ça de manière bénévole. Donc l'idée c'est de recruter de gens et de vous inviter à faire, vous, de même. Parce qu'il y a des gens qui ont dit « Ah je suis sur Nantes, c'est sympa le concept, j'aimerais bien faire la même chose ». Ben Ouais, mais Nantes c'est un peu loin. Moi ce qu'essaye de faire à mon échelle, c'est de pas mal communiquer sur Twitter, sur les ??? qui existent, de relayer quand je vois qu'il y a ce genre d’événements qui ont lieu. Je sais que je suis abonné à des twitters de cryptoparty en Suisse, en Belgique, aux Pays-Bas, en France. Donc là il y en a sur Brest, il y a Toulouse où ils sont assez actifs, ils commencent à en faire quelques-unes, nous à Paris, Nantes. On cherche des gens, s'il y a des gens sur Nancy, il y a quelqu'un qui aimerait bien lancer ce genre d’événements là-bas. Je sais qu'il y a crypto à Marseille, il y a Crypto Mars qui en fait. L'idée c'est vraiment de montrer que ce n'est pas si compliqué que ça de diffuser des connaissances. Il faut vous lancer dans votre coin. Plus on sera de monde à le faire, mieux ça sera.

Voilà une petite affiche qui montre qu'on peut utiliser les trois appellations. C'est selon ce qu'on veut : café vie privée, cryptoparty, chiffrofête, il n'y a pas de copyright sur rien du tout, c'est vraiment le terme qui vous plaît. C'est selon les humeurs. Quand je twitte en anglais pour sensibiliser un peu les communautés autour de ça, eh bien c'est cryptoparty en anglais, en France ça va être café vie privée ou chiffrofête.

Le public concerné par ce type d’événements ?
Comme je disais au départ, pour moi, je parle en mon nom, de mon point de vue, les cryptoparty c’était très hacker, un milieu de connaisseurs, etc, et le terme de café vie privée, pour ce qu'il représente pour moi, le public concerné par ce type d’événements, c'est un public divers et varié. Ça va être des journalistes et autres professions à risques. Ça veut dire que ce sont des gens qui ont tout intérêt à savoir sécuriser leurs communications, protéger leurs sources, protéger leurs données. Ça peut être quelqu’un qui, tous les jours, transporte son ordinateur portable. Il faut qu'il sache comment sécuriser ses données dessus. Il y a différents types de profils. Ça peut être des scolaires, des lycéens, des étudiants. Là pareil, ça peut être des geeks, des libristes, des technophiles. Du grand public, tous âges confondus. Ça peut être des militants, ça peut être des gens qui sont syndiqués. Vraiment on essaie de s’adresser à qui veut. Nous, on a des connaissances à diffuser. On a aussi des connaissances à apprendre parce qu'il y a des gens qui viennent, qui ont des connaissances nettement supérieures aux miennes, ils m'apprennent des choses. Il n'y a pas celui qui sait et celui qui vient apprendre. On sait, on vient, et puis on discute, on lance éventuellement des ateliers, etc, comme je vais présenter par la suite et l'idée c'est vraiment partager les connaissances.

Le public visé, en résumé d'une façon générale, c'est toute personne qui est concernée par les problématiques de la vie privée, la sécurisation de ses communications, mais ça peut aller jusqu'à des bases de c'est quoi l’hygiène numérique, comment apprendre un peu les règles d'une meilleure hygiène numérique pour s'en sortir un peu mieux avec l'ordinateur.

Comment ça se passe une chiffrofête, un café vie privée typique.
Où, qui et quoi ?
Il suffit d'un lieu pour se réunir, par exemple ça peut être à Numa, on en a déjà faits. D'animateurs désirant parler de leurs connaissances. Ça va être, nous sur Twitter on dit « Tiens ! Tel jour à tel endroit on a un lieu, qui est-ce qui veut venir ? Qui est-ce qui est dispo ? ». Les gens viennent et puis on se met en rang. On dit voilà, nous on est là, il y a un public qui est venu aussi, Et puis on dit ce qu'on peut faire et on lance éventuellement des ateliers, des discussions et puis c'est parti. Donc en logistique c'est un lieu et puis des gens et de la communication au départ pour qu'il y ait des gens qui viennent.

Atelier, conférence, débat.
Donc déroulement type. Ça va être au début, comme je le disais, faire une présentation des différents sujets qui peuvent être abordés. Après, on peut faire soit une mini conférence, un lightning talk ou autre si on a support de présentation déjà fait. Un atelier ça peut être chacun un petit groupe qui a son PC et chacun va manipuler un outil précis pour s'approprier cet outil sur son ordinateur. Ça peut être, comme on l'a fait tout à l’heure, un séance de débat, questions réponses où on parle de sujets divers et variés, on part un peu dans tous les sens, on s'échange nos connaissances et on renvoie vers des sites qu'on connaît, vers des tutoriaux qu'on a pu mettre en ligne, etc.

Ce qu'on a vu, par expérience, c'est que la durée idéale de ce type de chose, c'est deux fois une heure et demie. Donc si on fait un atelier, ou une conférence ou autre, on fait une heure et demie, on fait une pause, une deuxième fois une heure et demie. Si l’atelier nécessite tout un après-midi parce que c'est quelque chose où on va très loin, de façon avancée, il faut quand même faire des pauses. Donc on va faire trois heures avec une pause au milieu, mais ça peut être une heure un lightning talk. C'est variable. Généralement on voit que quand on dit on se donne une heure, et puis le temps de dire on arrête, le temps de finir, etc, ça fait une heure et demie et en après-midi on fait généralement deux groupes ou deux séances et après les animateurs et les participants, ont déjà fait pas mal de choses, il faut souffler, donc on revient à la fois d'après.

En terme de logiciels, on essaye d'insister sur le côté logiciel libre. On n'est pas, comment dire, libristes à fond ou « Non t'as un Mac, t'as un Windows, on ne va pas t'apprendre des choses ». Les outils qu'on essaye de présenter, au maximum, sont multiplates-formes, donc compatibles Linux, Windows et Mac. On essaie de connaître aussi les logiciels plus spécifiques à Linux parce qu'il y en a, ou de connaître un peu les alternatives, tout en sensibilisant les gens au fait que, dès que c'est possible, il faut que ça soit du logiciel libre, parce qu'il y a le côté vie privée, sécurité etc. Si on veut faire confiance c'est du logiciel libre qu'il faut utiliser. Mais on peut expliquer, voilà comment installer, configurer le VPN sur son iPhone ou sur son Android, etc. Ça peut faire partie des problématiques qu'on abordera dans ce type d’événement. Après, c'est libre à chacun, par rapport à ses connaissances, ses compétences sur les différents domaines, est-ce qu'il a envie d'expliquer des choses sur Windows ou pas. C'est un peu par rapport à ce que les personnes présentes attendent et ce que l'animateur, qui est bénévole, a envie aussi de présenter. Il y a des gens qui vont être, non, je ne connais rien à Windows, je ne fais pas, des gens qui comme moi ont un double boot, ont un peu plus de connaissances sur les deux domaines, mais peut-être moins avancées, qui vont expliquer des choses sur Windows ou autre.

Comme je disais, le message qu'on fait aussi passer c'est que Apple, Windows, Android, iPhone, etc, ce sont des choses fermées et que selon le niveau de sécurité, de confidentialité, de vie privée qu'on veut avoir, on va se tourner vers d'autres alternatives. Après, quand on a acheté un MacBook, il faut bien faire avec, on ne va pas le jeter du jour au lendemain. Il faut quand même accepter la personne et lui montrer les outils, et qu'elle sache, pour la fois d'après, qu'il ne faudra peut-être pas acheter un MacBook si elle estime que non, finalement, ce n'est pas si bien que ça.
On n'est pas là pour juger les gens. Si on leur donne des informations, on transmet un savoir, ils se l'approprient, et après ils font en connaissance de cause. C'est leur donner toutes les clefs pour qu'ils puissent juger.

Comme je disais, le logiciel libre, j'expliquais tout ça. En terme de discussion interne on s'est posé justement la question est-ce que ça vaut le coup de perdre du temps, d'expliquer aux gens comment utiliser sur Windows, etc, parce que… Moi je pense que oui, parce que, comme j’expliquais, un peu d'hygiène numérique, déjà leur expliquer les bases, utiliser le logiciel libre, par exemple Firefox, etc, faire les mises à jour, c'est leur donner des recettes qui marchent un peu sur n’importe quel système. Ne pas cliquer sur n'importe quel lien, etc. Et après s'ils s'approprient déjà ça, naturellement ils passeront peut-être, ou on peut les aider en faisant des install party, etc, mais je ne pense pas forcément que ce soit notre rôle aussi de faire des install party. Il y a des associations qui font ça très bien, il y a des LUGs, etc, qui font des install party. Nous, je dirais, on vient en parallèle ou à côté, où on sensibilise aux problématiques de la vie privée, etc, d'où le logiciel libre. Après on dit voilà, il y a des associations qui sont là pour vous installer un double boot ou un single boot, etc, qui vont vous aider à faire ça, mais ça prend du temps. Il y a des gens qui sont déjà bénévoles dans des associations comme l'April, etc, qui militent pour le logiciel libre, on ne peut pas tout faire en un après-midi dans le cadre des cafés vie privée. Il faut peut-être voir aussi pour être en contact avec ce genre d’association pour faire des choses à côté.

Les ateliers proposés.

Dans un café vie privée, qu'est-ce qu'on peut faire ?

On peut apprendre à comment chiffrer ses mails avec GPG.

On peut voir comment surfer et utiliser Tor. Ça peut être soit le Tor Browser Bundle, soit niveau plus avancé Tails.

Protéger son navigateur, comprendre les certificats de sécurité. Ça va de j'installe http ???, je vérifie qu'il y a le cadenas : Ah, c'est quoi le problème de Heartbleed, c'est comment on vérifie un certificat SSL, etc, comment on crée son certificat SSL. Donc on voit qu'on a différents niveaux.

On peut faire comprendre et comment utiliser un VPN. Dans quel cadre ? Pourquoi faire ? Quelles sont les limites ?

Protéger ses communications, son surf, avec le WiFi, les outils. Je suis ici, qu'est-ce que je vais faire pour surfer en sécurité ? « Eh bien Je vais passer par un VPN qui est chez moi, ou passer par Tor, etc ».
Protéger ses informations avec True Crypt. On pourra en discuter dans la partie débat. Avant qu'il n'y ait l'annonce sur True Crypt, on conseillait True Crypt, moi j'estime qu'on peut encore le conseiller, parce que ça rejoint des slide que j'ai faites, alors je vais pas m'attarder là-dessus.

Mot de passe, identification multi-facteur. Donc déjà expliquer aux gens qu'il ne faut pas avoir le même mot de passe partout et aller un peu plus loin avec c'est quoi la double authentification, sensibiliser à c'est quoi qui passe. Donc pareil, s'adapter au niveau du participant et à son besoin et puis après on monte en compétences. Déjà qu'est-ce qu'un mot mot de passe, ne pas mettre le même mot de passe partout et après qui passe, double authentification.

Identifier, savoir gérer ou effacer des métadonnées. Expliquer ce que sont les métadonnées, en quoi c'est important de savoir les gérer, etc.

Le panel de choses qu'on peut proposer est extrêmement large. Donc après c'est un peu selon les envies. On vient, on dit voilà, moi je m'y connais en ça, je peux proposer de parler de ça, est-ce que ça intéresse quelqu’un ? Et puis s'il y a deux trois personnes, on fait un petit groupe et puis on explique et puis on partage des connaissances autour de ça.

Comment on peut organiser des chiffrofêtes ?

Le concept n'est pas nouveau, comme je disais, ce sont des cryptoparty. Il y a un manuel qui s'appelle « The CryptoParty Handbook », qui expliquait un peu, c'est en anglais, il a peut-être été traduit en français, sur comment on organise une cryptoparty dans les règles de l'art. On peut le lire, parce que les chiffrofêtes c'est juste une version grand public. On peut lire ça, s'en inspirer.

Qui peut faire une chiffrofête ?

Pour organiser, c'est toute personne qui a des connaissances minimales et qui souhaite les partager. Ce qui me semble important c'est la notion de partage. C'est je suis là pour diffuser un savoir, pour partager, pour échanger, pour apprendre des choses aussi en retour, puisque la personne en face a des choses à m'apprendre. Et donc n'importe qui peut lancer une chiffrofête. Il n'y a pas de copyright. Allez-y au contraire. Moi je suis là pour vous sensibiliser. Faites-le !

Quels sont les lieux susceptibles d’accueillir une chiffrofête ?

Comme c'est destiné à un public varié, du grand public aux utilisateurs plus avancés, les lieux ça peut être dans un hackerspace, ça peut être dans une médiathèque, ça peut être dans un salon informatique, ça peut être, je ne sais pas moi, à la salle communale dans votre ville, dans une école, dans une entreprise. C'est vraiment n'importe où. Il faut juste trouver un lieu, un créneau, voir s'il y a des gens qui sont motivés pour vous aider et des gens motivés pour apprendre. Et puis on se lance.

En terme de logistique, qu'est-ce qu'on a vu ?

Les éléments suivants ont été identifiés, des trucs tous bêtes. Savoir un peu la capacité d'accueil du lieu et avoir plusieurs contacts. Savoir un petit peu avec la personne, je vais arriver sur place, quel sera mon contact, la capacité du lieu. Savoir s'il y aura des prises électriques, du réseau. Donc une logistique.

On peut éventuellement envisager une inscription en ligne. Donc plus pour savoir un petit peu qui prévoit de venir. C'est plus pour compter, avoir un ordre d'idée, savoir si on est dix animateurs et il n'y a que trois personnes qui viennent c'est peut-être un peu dommage qu'il y ait autant de monde. Pourquoi pas ? Mais bon ! C'est avoir une idée, mais pas forcément quelque chose qui va tracer, on ne va pas faire un Google Docs. On fait un petit script dans un coin, une petite page et puis on dit, ou on essaie de voir en tweets et puis on voit par rapport au nombre de réponses, au feeling aussi, par rapport à la communication qu'on a pu faire.

Je disais prévoir un accès à Internet parce que c'est vachement pratique quand on veut expliquer le tracking sur Internet, etc, d'être sur que la connexion est faisable sur place. Éventuellement avoir un switch ou un routeur WiFi parce que les gens viennent avec leur ordinateur et ils vont pouvoir faire des ateliers. Des fois ils viennent, un peu comme vous, mains dans les poches. Donc là il faut avoir des slides de présentation aussi pour pouvoir faire des petits talks ou lancer comme je disais un débat questions réponses. Voir un peu, vidéo-projecteur, chaises, tables, rallonges. Savoir un petit peu la configuration du lieu, parce que si tout le monde est debout, comme c'est tout un après-midi, ce n'est pas forcément idéal. Donc ça c'est de la logistique banale, ce n'est pas bien compliqué.
On a vu ce sont des gens, un lieu et puis on y va.

Ce qui est important aussi c'est de faire de la communication. Comment on peut communiquer ? On a des petits slogans, mais après libre à vous d'en faire. Ça peut être : « Venez apprendre à protéger vos communications en ligne ». Ça reste vague mais ça donne une petite idée. « Chiffrement anonymat », « Reprenez le contrôle de votre vie privée », « Surfez et chattez couverts avec des cypherpunks gentils . Ou encore « Parce que préserver sa vie privée est un droit », « Parce qu'on a tous envie de ne pas être espionnés », « Parce qu'on a tous quelque chose à chose à cacher », « Parce que les outils existent et ne sont pas si compliqués, venez apprendre à vous protéger en ligne ». Après, c'est libre à vous de trouver comment vous voulez communiquer autour de l’événement que vous allez lancer.

Est-ce que j'aurais des conseils à donner ?

Quelques petits conseils pour le déroulement. S'adapter au niveau des participants. Les participants c'est un groupe hétérogène. On va avoir des débutants, des utilisateurs avancés. Il faut être en équilibre entre les deux parties. La personne qui est débutante, si on commence de lui parler SSL, elle va faire « Hein ! » mais si vous dites cadenas, « Ah oui le petit cadenas !», ça lui parle. Donc essayer de s'adapter au niveau. Il ne faut pas délaisser la personne qui s'y connaît, parce qu'elle va se lasser, elle va dire pourquoi je suis venu là je n'apprend rien. Il ne faut pas non plus larguer la personne qui n'a pas les connaissances techniques en la soûlant avec des mots compliqués. En ressortant elle aura appris des choses et la fois d'après elle aura un peu plus de connaissances. Mais, au départ, il faut essayer de vulgariser et vérifier que toutes les personnes ont bien compris ce dont on parle, éventuellement trouver des mots plus simples. C'est de la pédagogie comme n'importe quelle chose qu'on enseigne.

Comme je disais c'est prendre en compte les besoins et attentes du public. On fait un petit tour de table. S'il n'y a pas trop de monde, on dit voila « Vous êtes venus pourquoi ? Qu'est qui vous intéresserait ? » On ne va commencer à expliquer Tor à quelqu'un qui sait à peine faire des mises à jour.

Public : Si on utilise toute cette technologie de cryptage, etc, est-ce qu'on ne peut pas au contraire s'attirer l'attention de gens qui cherchent des gens à se dissimuler leur travail ?

Genma : Ta question c'est, tu veux dire quoi par « s'attirer » ?

Public : Est-ce qu'on n'aura pas le profil terroriste ?

Genma : Je ne pense pas. En fait, moi j'aime à dire c'est pourquoi j'en suis venu là ? Parce que ça fait dix ans que je suis un panda sur Internet, j'ai une tête de panda, j'ai aussi un pseudonyme et j'estime que j'ai le droit de pouvoir conserver ce pseudonyme. Et on est de plus surveillés. Il y a du tracking publicitaire, du tracking gouvernemental, etc. Et moi ça m'intéresse et donc je suis amené à diffuser, j'ai envie de diffuser ces connaissances-là. Justement, je ne vais pas dire que je ne suis pas un terroriste, parce que tu n'en sais rien, mais moi je sais que je ne le suis pas et j'estime que là, les outils que je peux présenter, OK, ce ne sont pas des trucs de terroristes. Oui ils peuvent être utilisés par des terroristes. Mais une voiture peut être utiliser par un braqueur de banque. Un couteau peut tuer quelqu'un.

Public : Inaudible

Genma : Ah ! Est-ce que tu peux être assimilé après à quelqu’un de… J'ai des stickers sur mon PC, est-ce que ça fait de moi un hacker ? Non ! Oui peut-être que, d'un regard extérieur, les gens vont se dire « Ah oui mais lui il s'intéresse à des trucs bizarres de crypto, etc… » On va peut être finir ça aux questions-réponses, comme ça les gens pourront intervenir. Je vais peut-être avancer comme ça on reprendra en questions réponses, si tu veux bien.

Donc je disais au début on fait une petite séance de questions-réponses, après on lance les ateliers d'un heure et demie. Oui il faut sensibiliser aussi, dire attention, si c'est filmé. Il y a des gens que filmer ou pendre des photos, parce qu'on est dans une thématique vie privée, il y a des intervenants, ils ont des fois une activité, activistes ou autre, ils n'ont pas forcément envie que ça se sache. Par exemple moi demain je n'ai pas envie que mon employeur sache que je fais ce genre d'animation-là. Comme tu disais, ça peut être « Oui, il fait des trucs de crypto machin, c'est un hacker, etc. Et puis, en plus il cache son nom derrière un pseudo bizarre ». Ben oui ! C'est pour ça qu'il faut demander au départ est-ce qu'on a le droit d’être filmé ou pas. Moi je dis oui, la conférence peut être filmée, parce que je veux qu'on diffuse ma conférence.

Surtout ne pas oublier l'objectif premier. On n'est pas SAV pour les virus. Il ne faut pas croire les gens se disent «  Ah ! C'est cool ! Il y des gens qui s'y connaissent en informatique. Mon ordinateur ne marche plus, vous ne pouvez pas me le réinstaller ou nettoyer les virus ? » L'idée ce n'est pas ça. On n'est pas là pour faire du SAV. C'est plus expliquer aux gens voila ce qu'il faut faire pour ne pas attraper de virus, ce qu'il faut faire pour aller plus loin dans tes connaissances en informatique et après c'est à toi de le faire, c'est à toi de t’approprier les connaissances et chercher à apprendre. Donc c'est le message qu'on veut faire passer. On n'est pas des techniciens. On diffuse un savoir et on essaie de sensibiliser les gens à « l'informatique ça s'apprend ». Quand on passe le permis, on apprend un code de la route et puis on apprend à conduire un minimum la voiture, on ne sait pas la réparer. Là c'est un peu pareil, on essaye de faire un peu un code de la route informatique. On leur donne des bases de notions d'informatique. Après on peut aller un peu loin, s'il y a des gens qui veulent bidouiller, aller un peu plus loin, on va leur apprendre. Mais au départ il faut commencer par le code de la route informatique avec un guide d'hygiène numérique et après on va de plus en plus loin selon le public qui est en face.

Pourquoi j'ai fait cette conférence ? C’était vraiment pour vous sensibiliser à « si vous vous lanciez à votre tour ». Comment vous pouvez aider, contribuer, si ça vous intéresse ces problématiques-là. Il y a deux façons de faire. Vous pouvez venir aux événements que nous on organise pour apprendre des choses, mais dès lors que vous, vous savez des choses, si vous n’êtes pas forcément en région parisienne, lancez-vous. Ce n'est pas très compliqué. Vous pouvez contacter une association qui existe déjà, un LUG ou autre, ou la médiathèque du coin, dire « Voilà moi je veux bien faire une petite conférence cet après-midi, sur c'est c'est quoi les extensions de Firefox qui sont bien ». Par exemple Adblock, parce qu'il y a beaucoup de gens qui ne connaissent pas Adblock. Ça en fait sourire certains, ben oui mais il y a des gens qui ne connaissent pas Adblock. Ou pourquoi il faut utiliser Firefox et pas Internet Explorer. Il y en a plein qui vont dire «  Ah ben oui ! » eh bien il y a des gens qui ne savent pas. Et ils ne savent pas pourquoi ? Parce qu'on ne leur a pas expliqué. On commence par là et puis après, on peut, une fois qu'ils savent qu'ils ne faut pas utiliser Internet Explorer, un jour on pourra dire il y a Tor qui existe et c'est quoi Tor ? Il ne faut pas commencer à dire « Ah ! Il y a Tor, c'est trop bien, etc, tu peux utiliser Tails en live CD ! », si la personne en rentrant chez elle, elle utilise Internet Explorer. Il faut être un peu cohérent, il faut élever le niveau de connaissance.

Moi, ce que je constate aussi c'est que les cryptoparties se multiplient. Il y en a à Toronto, Fribourg, Tokyo, en Belgique, à Amsterdam. Il y en a à Toulouse, Nantes, Brest. Et ça c'est bien parce qu'au-delà du côté crypto chiffrement, ça veut dire qu'il y a une volonté de diffusion de connaissances, que les gens se réapproprient l'ordinateur aussi, se réapproprient en fait Internet aussi, avec qu'ils n’aient pas peur de communiquer, c'est un tout. Autour des cafés vie privée, ce n'est pas uniquement le chiffrement, l'anonymat. C'est vraiment de l’hygiène numérique. C'est pourquoi Internet c'est bien. On va essayer. Quand on veut expliquer Tor, il faut expliquer un peu comment marche Internet. Quelque part on va expliquer un peu c'est quoi un routeur, c'est quoi une adresse IP. Ça va amener, peut-être, sur c'est quoi la neutralité du net. Donc on voit qu'on va toucher aussi d’autres thématiques qui sont aussi importantes, que les gens doivent s’approprier.

Personnellement, moi, si je peux aider, je sais que sur mon blog, dont je donnerai l'adresse et puis si vous voulez je vous la redonnerai tout à l'heure, sur le blog de Genma, tout ce que je fais c’est du Creative Commons. Il y a des articles de réflexion, il y a des petits tutoriaux, dès que je trouve quelque chose d'intéressant, j'en parle. Les conférences que je fais, les slides et tout ça, c'est pareil c'est du Creative Commons, donc vous prenez, vous diffusez, vous remaniez, vous en faites ce que vous voulez, vous pouvez utiliser pour vous-mêmes, passer derrière le micro pour expliquer, faire des talks. Il n'y a aucun souci avec ça. Si vous avez besoin de « Tiens j'aimerais bien ton avis là-dessus », etc, vous m’envoyez un petit mail et puis moi je vous dis je connais ou je ne connais pas. Je n'ai aucune prétention de tout connaître. Au contraire, je vais peut-être découvrir des choses et puis ça m'intéresse. Je vais dire « Ah trop cool, j'apprends des choses. Merci ». N'hésitez pas à me contacter, pour qu'on échange, pour qu'on communique, pour que moi j'apprenne des choses, pour que je vous apprenne des choses, c'est très bien.

Maintenant ce qu'il faut retenir aussi. Il y a des points positifs dans les chiffrofêtes, donc dans les cafés vie privée, etc, c'est quoi ? Les point positifs c'est qu’on participe à une réappropriation de l'outil informatique pour le grand public. Donc il y a une sensibilisation aux problématiques de la vie privée, du chiffrement. Montrer que le chiffrement ce n'est pas uniquement quelque chose de technique pour des hackers, ça peut être utile pour un journaliste, mais ça peut être utile pour quelqu’un, dans la vie de tous les jours, tout simplement. Parce que quand on veut se connecter au site de sa banque, on fait attention à ce qu'il y ait le cadenas. Quand on se connecte à son webmail, il faut faire attention aussi à ce que le login et le mot de passe ne circulent pas en clair. Quand je suis dans un cybercafé, je ne sais pas trop, ou j'ai un WiFi public, qu'est-ce que je peux faire, parce que il y a quelqu’un qui peut être à côté, qui sniffe le réseau, qui va récupérer mon mot de passe. Donc on sensibilise à tout ça et puis on élève le niveau de connaissance des gens.

Comme je disais tout à l'heure, il y a l'apprentissage de comment fonctionne Internet. Donc ça c'est bien pour tout ce qui est neutralité du net, etc. Après on peut dire « Ah et puis il y a la Quadrature qui fait ça ». Il y a plein de gens à qui je parle qui vont dire « C'est quoi la Quadrature ? C'est quoi la neutralité du net ?. Ils ne connaissent pas. Et donc, de façon détournée, je partais de l'anonymat sur Internet, j'arrive à expliquer c'est quoi la neutralité, c'est quoi la Quadrature, donc ce n'est pas un truc limité à cryptoparty. C'est pour cela que moi je parle plus de café vie privée où là c'est vraiment, ça englobe un certain nombre de choses.
Donc le point positif majeur c'est l’élévation du niveau des connaissances générales. On voit qu'il y a des personnes qui reviennent régulièrement et qui posent des questions un peu plus techniques ou un peu plus pointues, ou ils ont essayé. C'est-à-dire que les gens s'approprient l'ordinateur. Ils ont moins peur. Ils ne se disent pas c'est une boîte magique. Ils comprennent que l'ordinateur fait ce qu'on lui demande et qu'on peut apprendre des choses. Après on apprend au niveau de ce qu'on veut apprendre, c'est-à-dire qu'on ne va pas devenir des admin-sys. Ce n'est pas le but. Mais c''est de connaître un petit peu mieux l'ordinateur, d’être moins perdu avec l'outil qu'on peut utiliser, parce que Internet c'est un outil formidable. L'ordinateur il y en a de plus en plus partout.
Il y a un livre qui s'appelle « Lire, écrire, compter, coder ». On dit de plus en plus « Code is Law. » Le code c'est la loi, que maintenant, demain si tu ne sais pas coder, tu es perdu. Non ! Ce n'est pas si tu ne sais pas coder ! C'est si tu n'as pas compris comment marchait l'informatique que tu es perdu ! Nous ce qu'on essaye de faire c'est montrer, nous on a un peu de connaissances, on les diffuse pour que les gens s'approprient l'informatique.

Il y a des problématiques autour des chiffrofêtes. C'est pareil, c'est vrai qu'en discutant avec des gens qu'on connaît, etc, et puis entre nous on s'aperçoit de quoi ? Est-ce qu'on peut conseiller de chiffrer sur des OS privateurs ? Donc là le terme privateur, ça parlera aux libristes. Il faut présenter tous les outils avec leurs limites et considérer que la personne en face est suffisamment intelligente pour choisir. S'il y a quelqu’un qui a un Windows, est-ce qu'on peut lui dire « Non ! Tu passes à Linux ! Non, ce n'est pas sécurisé » ou pas. C'est à la libre appréciation de chacun. Moi j'estime que la personne a Windows, elle peut quand même chiffrer, parce que comme je vais expliquer après, ça dépend de son modèle de menace. Elle commence par là. On ne va pas tout de suite la mettre sur Linux. Si déjà elle peut utiliser un coffre-fort numérique TrueCrypt, ça la sensibilise déjà à je tape un mot de passe et puis je cloisonne un petit peu mes données confidentielles. C'est une première étape.

Il y a l'ergonomie des logiciels. Certains logiciels si on commençait par des lignes de commande, les gens sont perdus. OK, C'est beaucoup plus puissant, mais c'est moins pratique. Il faut penser à ça aussi. Tails ils font des séances aussi pour travailler l'ergonomie, pour que ça soit plus facile, etc. Mais déjà quand on parle de LiveUSB, il y a plein de gens ont leur dit live, USB. Eh bien oui, c'est quoi ? Tu installes le système sur la clef. Et ça marche comment ? Eh bien il démarre depuis la clef. Il faut expliquer le concept de LiveUSB. Après expliquer c'est quoi une iso, comment on vérifie l'intégrité de l'iso. Il y a plein de notions qui arrivent, qui ne sont pas forcément évidentes, autour de tout ça. Il y a aussi les softs.

Il y en a où il y a plein de paramétrages. Moi, je vois Enigmail, ou TrueCrypt même, quand on crée son conteneur au départ il y a pas mal de choix de l'algo. Je n'en sais rein quel algo choisir et pourtant j'anime des cafés vie privée. Donc je prends un algo qui ne me semble pas trop mal, etc, parce que ça me convient. Mais il y a des gens plus techniques qui vont dire il ne faut pas utiliser celui-là, il ne faut pas utiliser celui-là. Il faut peut-être aussi voir l'ergonomie des logiciels qu'on propose, bien la connaître, pour pouvoir être capable d'expliquer aux gens «  Tu prends cette option là par défaut elle est bien ! Non là, attention, il faudra cocher dans tel paramètre parce sinon ce n'est pas sécurisé ».
D'où la création d'un faux sentiment de sécurité aussi. Il y a le problème de, en quelques clics, on peut envoyer de mails chiffrés, on l'a vu ça avec Enigmail. Mais si on dit à a personne tu installes Enigmail, tu crées ta clef, hop tu envoies des mails. La personne : « Ouais c'est cool, je peux envoyer des mails chiffrés ». Le problème c'est qu'on oublie de parler de la problématique de, si on n'active l'option MIME, il me semble, moi-même je ne sais pas, les pièces jointes ne vont pas être chiffrées ou les pièces jointes vont apparaître. On oublie de dire que le sujet du mail est en clair, qu'on sait avec qui on a communiqué et quand, qui sont des informations qui peuvent être pertinentes ou utiles. Si moi je suis un syndicaliste, que je discute avec des militants, on voit que j'ai parlé avec eux. Peut-être que le contenu du mail on s'en fout, c'est juste important de savoir avec qui je parle. Et ça, ça circule en clair. Et si on ne l'a pas expliqué, la personne dit «  Ah c'est bon ! Je chiffre mes mails, je suis en toute sécurité ». Ben non ! On sait à qui tu parles et quand. Il y a tout un tas de problématiques où il faut expliquer des notions de sécurité, des notions d’anonymat, de chiffrement, etc, tout en disant attention, on fait tous des erreurs, on en fera forcément, il ne faut pas se croire invincible. Au contraire, c'est plus on apprend et plus on verra qu'il y a à apprendre.

Il y a aussi la problématique de Threat model, donc c'est le modèle de menace. C'est où est-ce qu'on place le curseur en terme de sécurité. Tout le monde n'est pas espionné par la NSA. Si ! Tout le monde l'est ! Tout le monde n'a pas intérêt à être la cible explicite de la NSA. Si on a une activité terroriste on sera peut-être plus surveillé que si on est quelqu'un de lambda. Moi, mon Threat model c'est, je ne donne pas mon vrai nom, mon vrai prénom, c'est, j'ai un pseudonyme sur Internet et je fais attention à différencier qui je suis, dans la vie de tous les jours, dans la semaine, etc, je gère mon identité numérique. C'est un modèle, le Threat model, c'est mon identité numérique. À côté un activiste aura un modèle de menace qui est un peu plus élevé. Quelqu'un qui va aider des dissidents à communiquer dans une dictature, lui, son Threat model, il est différent du mien. Il faut voir aussi, toujours pareil, avec le public en face comment on fait pour s'adapter et expliquer qu'il y a cette notion là aussi. Il y a de ??? qu'il faut faire.

Il y a plein de problématiques qu'on peut voir éventuellement pendant les questions. Il faut garder ça aussi en tête aussi que ce ne sont pas des outils miracles, que ça ne fait pas tout et que quand on commence à diffuser un savoir il faut se dire que la personne va se dit «  Ah, il sait plein de choses ». Lui dire, attention, je t'apprends des choses, mais toi-même il faut que tu apprennes, il faut que tu comprennes, et attention ce n'est pas garantit 100 % sécurité. C'est, c'est moins pire. Ce n'est pas l'idéal.

Donc la conclusion c'est je vous invite à participer aux chiffrofêtes, cryptoparties, qu'on peut organiser. Tous les jours, en fait ce n'est pas au rez-de–chaussée finalement c'est au 4ème étage il y a une salle où, de temps en temps, entre deux confs, si on n'assiste pas, on se pose, on peut discuter, reparler de tout ça. Moi je peux vous faire un petit cours improvisé où on peut débattre de tout ça. Si vous avez des connaissances vous-même vous pouvez venir partager ces connaissances avec d'autres.
N'hésitez pas à lancer des cryptoparties, chiffrofêtes ou cafés vie privée dans votre coin. C'est le plus important. On a un site qui s'appelle cafe-vie-privée.fr. Là on met les dates des événements que nous, on organise sur Paris. Pour l'instant il n'y a pas d’événement prochainement prévu. Mais si vous avez une association ou que vous êtes intéressé pour qu'on intervienne, vous nous contactez. Si vous-même, vous voulez vous lancer sur Paris ou autre et que vous avez de dates vous pouvez les communiquer, nous comme ça on sert de relais aussi pour communiquer autour de l’événement que avez lancé.
Merci de votre attention. Je pense qu'on va passer aux questions parce que vous en avez sûrement. Merci.

Est-ce qu'il y a des questions par rapport à tout ça ? Houla ! Personne ?

Public : Moi le truc, c'est que ce n'est pas une question exactement sur les cryptoparties. Mais comment est-ce qu'on sensibilise quelqu'un sur l'importance de chiffrer ses données ? Est-ce que tu as des exemples, des trucs qui peuvent les motiver parce que moi je t'avoue que je galère un petit peu ?

Genma : En fait ce qu'on expliquer c'est qu'il y a différents types de chiffrement. Tu peux avoir le chiffrement, typiquement, c'est chiffrement des données en local, c'est quoi ? Moi je dis à la personne quand elle vient, déjà l'ordinateur qui est là, je prends je pars avec, j'ai des connaissances suffisantes, pour, avec un système live, accéder à ces données-là. Qu'est-ce je vais trouver ? La personne me regarde « Ah Tu peux faire ça ? » Oui. Qu'est-ce je vais trouver ? Des mots de passe, parce qu'ils sont enregistrés en local ? « Non » Des fiches de paye ? «  Ah oui ». Donc déjà dire à la personne on te vole ton ordinateur, qu'est-ce qu'on trouve dessus ? Tu perds ta clef USB qu'est-ce qu'on trouve dessus ? Donc là, il y a le côté, le chiffrement du disque sur. Ça amène la notion de chiffrement. Chiffrement des mails, c'est réussir à faire comprendre à la personne que le mail c'est une carte postale. Donc après elle va dire « Mais moi je suis chez Gmail, je m'en fous ». Oui, mais bon. C'est un peu réussir à trouver la réponse à « qu'est-ce que tu as à cacher « ? Il faut creuser, creuser et puis la personne dit « Ah ! Je n'ai rien à cacher ». Oui Donne-moi tes mots de passe. Tes mails. Tu veux bien que je les regarde. « Ah non pas toi « ! Mais Gmail les regarde. « Mais Gmail ce n'est pas pareil ! » Mais tu regardes tes mails depuis le boulot. L'admin system du réseau lui il peut regarder les mails. « C’est-à-dire que le gars qui est à la machine tous les jours, il peut voir ce que j’écris ? » Ben oui, il est admin system, il peut voir les mots de passe circuler en clair il n'y a pas de souci. OK.

En fait, c'est en discutant avec la personne il faut réussir à trouver le point d'accroche, par où arriver. Ce n'est pas évident. Généralement les gens qui viennent aux cafés vie privée, ils ont vu le côté vie privée, ils sont sensibilisés à ça. On ne peut pas aller dans la rue et dire aux gens « venez à notre truc ». Les gens qui viennent sont déjà a minima sensibilisés. C'est sûr. Après ça peut être si t'en parles à tes copains ou dans ton club associatif qui n'a rien à voir, ton club de sport, etc et voir si les gens sont réceptifs ou pas. Il y a des gens qui vont dire non, t'es pas du tout réceptif. Et puis il y a des gens, ça va peut-être les intéresser. Ce n'est pas évident. Il faut essayer de trouver. Je ne sais pas s’il y a quelqu’un qui a une réaction par rapport à ça ou des questions là-bas.

Public : Merci. Justement pour la sensibilisation, j'avais fait un truc dans mon école pour sensibiliser les gens. Le truc qui marche bien c'est de leur faire des démos. Typiquement tu récupères un ordi de quelqu'un. Tu le démarres en live. Et le truc qui marche très, très bien c'est que tu récupères le cookie de sessions Facebook. En général les gens se rendent compte de ce que c'est et de ce que ça fait. Et du coup ça fait des réactions des fois. Moi je sais qu'il y en a pas mal qui avaient, après coup, posé de questions pour savoir comment se protéger.

Genma : Le coup du cookie de session Facebook, je note. C'est un bon exemple.
Est-ce qu'il y a d'autres questions, d’autres réactions. N'hésitez pas. On est là jusqu'à six heures puisque après il y a une autre conférence qui enchaîne, donc on a encore une petite vingtaine de minutes.
Par exemple là, je vous ai présenté un peu les cafés vie privée, etc. Qui serait partant pour venir au prochain café vie privée ? Est-ce que ça vous semble intéressant de venir à ce genre d’événement ou non, c'est bon ? Levez la main juste pour voir comme ça ? Bon voilà, ce n'est pas mal. J'ai sensibilisé des gens et ceux qui n'ont pas levé la main parlent entre eux.

Est-ce qu'il y a des gens qui seraient intéressés pour en lancer dans leur coin ? Éventuellement, alors on va dire hors Paris est-ce qu'il y a des gens qui sont intéressés pour en lancer ? Je vois une main qui se lève, une deuxième main, etc. Donc ce que vous pouvez faire c'est, si vous avez besoin de support, tutoriaux,etc, vous me contactez et moi je peux voir pour vous donner des tutoriaux déjà tout fait, des slides que j'ai faits, etc. Il y a Aeris aussi qui voudrait parler.

Aeris : Pour ceux qui veulent essaimer, on a fait ça pour Nantes récemment. N'hésitez pas à nous contacter on peut vous donner des noms de domaine, vous faire des sous-domaines sur le café vie privée, des sites Internet et compagnie. N'hésitez surtout pas des boîtes mail chiffrées, on peut vous fournir des espèces de clefs, de boîtes à outils clefs en main pour monter des chiffrofêtes dans vos patelins.

'''Gemna :''' Par exemple là il y avait des gens qui avaient assisté à ce qu'on fait et ils ont dit « Ah ben nous on aimerait bien ça sur Nantes ! » Je lui fait Nantes c'est un peu loin, il faut que me déplace et tout. Lance-toi. Et donc maintenant il y a Nantes-café-vie-privée. fr. Ils ont leur page, comme ça ils mettent leurs dates à eux, ils ont leur site internet entre guillemets où ils pourront mettre ce qu'ils veulent et ils font le truc dans leur coin.

En Belgique je sais qu'il y en a un qui fait ça. Amsterdam aussi, j'ai pris contact avec eux pour leur dire voilà, je fais une conférence, je leur ai envoyé les slides que j'ai traduits. Ils ont dit « Ah c'est dans le même esprit que ce qu'on fait, est-ce qu'on ne pourrait pas collaborer ? » J'ai dit pourquoi pas, ça peut être intéressant d’échanger nos expériences. Typiquement la question que tu as soulevée, je lui demanderai dans la semaine, par mail »Tiens comment toi tu sensibilises les gens à ça ? » Pour voir comment à un autre endroit, dans un autre pays, une autre culture, comment on sensibilise les gens à ces problématiques-là. Toujours dans la même idée de partage. Une autre question de quelqu’un ? Réaction ?

Tiens par exemple on peut faire des petits sondages, comme ça. Qui chiffre son disque dur ? Juste pour voir. Pas mal !
Qui chiffre ses mails ? Ouais ! Ça va, ça colle ?
Qui utilise XMPP et OTR ? Pas trop !
Qui utilise Tor ? Un peu plus de monde déjà aussi. D'accord.
Donc par exemple là on tombe dans le cas j'utilise XMPP OTR, mais il n'y a personne en face. Il faut déjà
sensibiliser les gens à XMPP au départ, parce que le nombre de personnes qui ne connaissent pas XMPP ! Er là en plus on rajoute un côté chiffrement au-dessus. Donc c'est du boulot. C'est comme tout. C'est comme pour les mails. Quand on veut commencer à chiffrer les mails, il faut sensibiliser, c'est du travail de communication, de vulgarisation, de persuasion aussi. Ce n'est pas évident, mais bon c'est ce qu'on essaye de faire.

Public : XMPPP, OTR, ça résonne, c'est quoi ? C'est différent de Jabber ou c'est la même chose ? C'est la même chose ?

Genma : Voilà. Donc là on tombe typiquement dans, moi je dis que ça la même pour simplifier, un aspect de vulgarisation, et là il y a Aeris qui veut réagir.

Aeris : Ce n'est pas exactement la même chose. En fait OTR ce serait une surcouche. OTR en fait existe en tant que tel à l'extérieur et on peut le mettre sur Jabber, on peut le mettre sur notre Facebook, on peut le mettre sur ce qu'on veut. En fait c'est l'équivalent de GPG pour les mails. On peut faire du mail sans GPG et on peut rajouter du GPG dans le mail. Donc OTR c'est juste un truc de chiffrement point à point qui vient et on passe par Jabber pour s’échanger le paquet. OTR, c'est Of The Record, donc en dehors de l'enregistrement.

Genma : Et en fait la question c’était, XMPP et Jabber c'est quoi la différence ?

Aeris : XMPP et Jabber, c'est pareil.

Genma : D'accord, ce que je disais, XMPP et Jabber c'est la même chose et OTR est une surcouche. Donc j'avais bien raison. En fait on s'est mal compris. D'autres questions, d'autres réactions ? Voilà. XMPP c'est la norme et Jabber… Voilà. OK.

Donc par exemple, je ne sais pas, vous venez à un café vie privée, qu'est-ce que vous attendez ? Quelles sont les thématiques que vous aimeriez aborder, je ne sais pas s'il y a quelqu'un qui veut se prononcer là-dessus ? Demain, vous venez à un café vie privée, à une chiffrofête, quel est le thème de prédilection qui vous intéressera en premier ? Quelle est la première chose que vous voudriez apprendre, par exemple ?

Public : Moi un petit howto, chiffrer ses mails et expliquer à ceux qui vont recevoir le mail comment est-ce qu'ils installent aussi Enigmail, ça peut être bien ça. C'est la base !

Aeris : Enigmail, c'est le mauvais exemple mais pour d'autres raisons, parce que c'est un peu compliqué. En fait Enigmail, le problème d'Enigmail, c'est qu'il n'y a plein de manière de se planter pour faire du chiffrement. C'est super cool, parce que vous pouvez tester, vous pouvez vous planter quand vous n'avez rien à protéger. Mais le jour où vous voulez vraiment faire du chiffrement et pas interceptable, on ne passe pas par Enigmail.
A part Enigmail, il y a des logiciels de mail qui embarque GPG en standard, il y a Claws Mail, ou Kontact, ou KMail, ou Mutt pour les plus consoles compliant. Enigmail, il y a beaucoup de moyens de se planter, parce qu'en fait ce n'est qu'un greffon de Thunderbird. Il n'a pas accès à tout et donc il se débrouille comme il peut pour faire son chiffrement mais ce n'est pas comme si c'était natif quoi.

Genma : Là, on voit, on tombe typiquement dans la problématique du Threat Model. Moi j'utilise GPG avec Enigmail, parce que bon, OK, même si je me plante, les mails que j'envoie ne sont pas forcément si confidentiels que ça. C'est je veux sensibiliser à ça. C'est communiquer de façon chiffrée et sécurisée parce que c'est intéressant. Mais on voit aussi le côté, si je veux diffuser ces connaissances, je sais que ça dépendra des personnes. Si c'est quelqu’un qui a juste besoin, comme ça pour chiffrer ses mails sans plus par curiosité, ça va être Enigmail. Par contre si c'est quelqu’un vraiment besoin de sécurité derrière ce n'est pas vers moi que je vais l'envoyer, je vais l'envoyer vers Aeris qui lui va aller un peu plus loin techniquement. C'est toujours la sécurité, c'est, plus on veut que ce soit sécurisé, plus ce sera compliqué. Donc là c'est, quel est le niveau, quel est le curseur ? Si c’est juste chiffrer au départ pour apprendre et se familiariser avec ça, Enigmail. Si on veut aller plus loin ça va être une implantation différente

Aeris : Le bon exemple que j'ai sur Enigmail, moi j’utilise GPG tous les jours, et je conversais avec des personnes sur Internet. Et un jour je mes suis dis tiens si j'allais voir le code source de mes mails. Et là j'ai vu qu'en fait les pièces jointes, quand on les envoie avec Enigmail, on a le nom de la pièce jointe qui est en clair. Donc au début, l'exemple que je donne, quand on s’échange des recettes de pizzas ou de macarons c'est super bien. Quand on commence à avoir docs-snowden.pdf, ça peut être un peu plus emmerdant. Et le jour où on se rend compte de ça, le problème c'est que du coup j'ai dû me taper un an et demi de conversations mails chiffrées, pour vérifier qu'est-ce qu'on avait bien pu leaker comme données. Et est-ce qu'il fallait faire quelque chose ? Est-ce qu'on avait vraiment balancé des données qu'on n'aurait pas dû. Donc si vous voulez vous amuser à faire du GPG pour discuter entre amis, il n'y a aucun problème avec Enigmail. Le jour où vous leakez des documents, passez à autre chose.

Genma : Est-ce qu'il y a d'autres questions ?

Aeris : Non, il n'y a pas eu de fuites, on s'en est rendu compte avant. Ah oui, par rapport à la question qui a été posée tout à l'heure en fait sur qu'est-ce que ça impliquait de participer à des chiffrofêtes ou des choses comme ça. Personnellement j'ai eu quelques petits problèmes professionnels. J'ai certaines demandes qui ont été faites pour avoir accès par exemple à du confidentiel défense ou pour travailler dans le nucléaire, ça m'a été refusé. Je ne sais pas pourquoi. J'ai pas mal d'associations, il n'y a pas que des chiffrofêtes. J'ai chiffrofêtes, j'ai de l'April, j'ai du Tor, j'ai du Nos Oignons. C'est peut-être la combo de tout ça qui fait que ça n'est pas passé. Mais aujourd'hui le problème c'est que la chiffro est mal perçue. On est peu vu comme des terroristes, des crypto terroristes quand on fait de la chiffro, donc ça peut être mal perçu en fonction de ce que vous faites. Ce n'est pas anodin de devenir animateur dans une chiffrofête. Mais après viendez quand même ! C'est la DGSI qui dit qu'on est des dangers de la nation. Ce sont les mêmes qui collaborent avec la NSA. Comme mon boss m'a dit le jour où il a reçu le dossier, il a dit « Ah tiens ! Enfin un vrai patriote ! » et ça, j'étais content.

Genma : Moi je parlerais en mon cas personnel en fait. Moi j'estime que, comme je disais au départ, on ne fait pas que des cryptoparties, on n'est pas uniquement chiffrement. C'est, on est dans une partie café vie privée, c'est on sensibilise les gens à différentes choses. Il y a la partie chiffrement qui est purement technique avec le côté, comme tu dis, il s'intéresse à ça, quelles sont les applications ? Mais à côté, je peux aller très bien dans une médiathèque demain, et je l'ai déjà fait, faire un guide d'hygiène numérique et passer deux heures à expliquer aux gens, il faut faire les mises à jour, ne pas cliquer n’importe où, etc, pour moi ça fait partie aussi de la partie animateur de café vie privée. Ou je vais expliquer le tracking des pubs sur Internet ou comment ne pas publier de données confidentielles sur Facebook, faire attention à ça, sensibiliser à ça. Parce que moi je suis sensibilisé du fait j'ai une identité numérique sous pseudonyme. Donc, après on peut très bien dire « Ah mais tu as un pseudonyme, tu as des choses à cacher ! ». Oui, mais c'est un choix. Pour l'instant on ne m'a encore reproché le militantisme que j'ai. Mais, j'ai envie de dire, si on commence à me le reprocher, on me dit « Ouais mais attends », j'ai envie de dire je serais presque content de faire ça parce que ça veut dire que j'ai raison de le faire. Si on me dit « Ouais mais attends tu expliques aux gens comment chiffrer ce n'est pas bien ! » Non ! Pourquoi ? C'est bien ! C'est quelque chose qui m’intéresse. Je ne vois pas où est le mal. J'essaye d'élever le niveau de connaissance dans un domaine que je connais, qui est ce domaine-là, le niveau de connaissance des gens quels qu'ils soient, j'essaye de leur apprendre, de diffuser un savoir et je trouve ça noble.

Aeris : Après les technos, c'est comme tout. Un couteau de cuisine peut servir à couper de la viande, comme ça peut servir à tuer quelqu'un. Ce n'est pas parce que ça peut servir à tuer quelqu’un qu'on ne va pas apprendre à un bébé à utiliser un couteau. La crypto, il faut apprendre à s'en servir. Ça permet d'avoir de la vie privée sur Internet pour ne pas balancer ses données à Google. Ça permet de se protéger pour justement avoir un pseudonyme, un vrai pseudonyme numérique sur Internet. Effectivement, ça permet, aussi, de faire un peu de terrorisme dans son coin ou de tuer des chatons ou de liquider des documents, mais ce n'est pas pour ça qu'il ne faut pas l'apprendre et qu'il ne faut pas montrer aux gens comment ça marche.

Genma : C'est un peu l'exemple que j'ai utilisé tout à l'heure. Voilà. Moi je suis moniteur d'auto-école, je vais apprendre aux gens à conduire. Demain la personne peut très bien, picoler, prendre sa voiture, écraser quelqu’un. Comment je vais savoir ça ? Je ne peux pas. C'est, j'ai appris à conduire et après il fait ce qu'il veut. Donc là c'est un peu pareil. C'est j'apprends aux gens à utiliser des outils pour communiquer de façon sécurisée. Mais c'est quoi ? C'est, je leur apprends, ce qu'est un certificat SSL parce que ça leur permet aussi de ne pas se faire attraper le login, mot de passe. C'est quoi les conséquences. Il est peu plus sensibilisé à la sécurité. Donc il va faire attention. Donc il ne va pas attraper de virus ou son PC ne sera un PC zombie. S'il va au cybercafé du coin, il va avoir quelques notions de sécurité. Il ne va pas répondre à du phishing ou a du spam, etc. Donc on sensibilise à tout ça. Après si ces connaissances il les utilise pour faire de choses, mal. Ouais, mais c'est si la personne fait de choses mal qu'il faut condamner. Le fait que nous on diffuse un savoir ce n'est pas condamnable pour moi.

Aeris : Après nous en plus on de la chance d’être en France, quand même dans une démocratie, enfin jusqu'à preuve du contraire, même s'il y a certains morceaux qui commencent à puer franchement. Mais la crypto, par exemple, ça sauve des gens quand on est en Syrie, quand on est en Libye, quand on est Iran. Quand le gouvernement syrien se met à signer des certificats SSL Facebook, c'est-à-dire que tout dissident qui a l'impression d’être sur un serveur américain est en fait sur un serveur syrien, contrôlé par le gouvernent. On est bien contents qu'ils soient passés par Tor, qu’ils aient appris à détecter un certificat à la con du made in the middle ou à se protéger contre ça. Quand on a des journalistes qui partent là-bas pour couvrir des événements, on est bien contents qu'ils effacent les méta-données des photos, parce que quand les gens sont cagoulés, c'est bien. Quand il y a les coordonnées GPS de là où est prise la photo, c'est un peu plus con, parce que c'est très facile après de programmer le missile Tomahawk pour aller taper là où a été prise la photo.

En France la crypto ça peut être marrant, on en rigole, ça ne nous change pas notre vie. Mais quand on est dans d'autres pays, ça peut vraiment, vraiment vous sauver la vie. Ça peut changer la donne. Ça permet à Bachar el-Assad de ne pas balancer des bombes au phosphore sur sa population sans que ça ne se sache trop. Ça permet aux Chinois d'avoir accès à des vraies données, en sachant que, ce qui s'est vraiment passé sur Tian'anmen, ça permet à des dissidents de tous bords de contacter le Courrier International ou EFF ou Médecins du Monde ou autre.

En France la crypto ça peut paraître anodin, mais en fait, socialement parlant, ça permet de faire des choses vraiment, vraiment très bien.

Genma : Oui et puis ça permet à journaliste, s'il veut, il pourra communiquer en sécurité pour dénoncer un scandale politique ou des magouilles financières. Ce qui se passe, peut-être que c'est vrai, peut-être que ce n'est pas vrai. Le journaliste envoie un mail sur sa boite Orange. Ou il va dire « Ah tiens, j'ai réussi à attraper les compte-rendus d'un site Internet combien il a été facturé à un parti politique ». Moi je suis un gouvernement un peu, qui surveille un petit peu. Je cherche les mots « politique, site Internet », dans toutes les boites Orange et puis là je tombe sur le mail en question. S'il est en clair, j'ai tout de suite, soit j'efface le mail, soit je fais pression sur le journaliste ou autre. Si le mail est chiffré, on ne pourra jamais rechercher les mots clefs sur ce mail-là. Donc c'est un exemple d'utilisation positive de la crypto. Et le journaliste, pour qu'il puisse l'utiliser, il n'est pas informaticien au départ, il faut qu'il ait été sensibilisé à ça, qu'il ait appris. Et nous ce qu'on fait, on lui donne les moyens de le faire. Après il utilise comme il veut. Mais au moins il a les outils et il a eu les connaissances qui étaient nécessaires. Moi j'estime que c'est nécessaire, que les connaissances que j'ai, de ne pas les garder pour moi.

Cryptoparty, pour moi, c’était les hackers entre eux. Non ! C'est il faut diviser le savoir. C'est je sais chiffrer mes mails, c'est j'apprends à d'autres. Je chiffre plus ou bien, mais j'apprends à d'autres. Si la personne a vraiment besoin de sécurité, elle aura déjà eu le vocabulaire de base pour creuser et aller encore plus loin. Il faut quelquefois, il faut la petite impulsion au départ pour être sensibilisé à ça. Savoir que ça existe, parce que, si on ne sait pas que ça existe, on ne peut pas l'inventer non plus. Nous on dit voilà, il y a ça, ça, ça qui existe et puis après chacun apprend et monte en niveau de compétence selon ses besoins. Mais il faut au départ qu'on nous ait dit que ça existe et on est là pour ça.

Aeris : Il y a aussi un autre gros effet positif aux chiffrofêtes et autres, c'est que justement en France on n'a pas grand-chose à craindre à utiliser ça. Donc utilisez-le. Si vous vous plantez, à la limite ce n'est pas grave, votre vie n'est pas en jeu et en plus ça fait du bruit dans les tuyaux. Quand le gouvernement syrien scanne les mails, quand il en aura marre de déchiffrer 999 mails qui disent « Bonjour Maman » ou « J'ai commandé une pizza quatre fromages », il laissera peut-être tomber le millième mail qui dit « Eh bien tiens les dissidents ils ont rendez-vous là à tel endroit ».
Faire du bruit dans le réseau c'est cool. En France on peut se le permettre. En plus on est assez nombreux pour faire beaucoup de bruit, parce que nous, on n'a pas grand-chose à protéger au final. Ça permet d'aider à protéger ceux qui en ont vraiment beaucoup beaucoup et où leurs vies sont en jeu là-dessus.

Genma : Donc là il est six heures, je pense qu'on va arrêter là. Si vous voulez encore discuter de ça, vous allez vers Aeris, il y a moi Genma. On est d’autres. On verra si, quand ils seront là vous repérez un peu les gens qui parlent un peu sur PSES de cryto, etc.

Vous n'hésitez pas à nous solliciter, à venir discuter avec nous si vous voulez approfondir le sujet ou voir différentes choses. Je vous remercie beaucoup de votre attention, en espérant que vous viendrez aux événements qu'on organise ou que vous-même, mieux, vous lancerez vos propres événements. Vous pouvez même les lancer sur Paris, vous pouvez venir aider, Paris, région parisienne, partout en France, il n'y a aucun souci. Au contraire, plus on est, mieux c'est. Et merci.

Mise à jour des serveurs de l'April vers Debian Wheezy

16 Juillet, 2014 - 17:43
Nous avons profité de la douceur du mois de juillet pour travailler sur la migration des serveurs (plus précisément des machines virtuelles) de l'April, migration qui est en passe d'être finie.

Ce travail a été essentiellement réalisé par Vincent-Xavier Jumel, adminsys bénévole de l'April.

Après avoir fait un test sur un serveur, nous avons validé la procédure suivante pour tous les serveurs non-critiques, c'est à dire tous sauf ceux gérant le site web www.april.org (lsd), les courriels (mail) et les sauvegardes (harmine) :

  • faire une copie de la machine virtuelle ;
  • valider la mise à jour de version sur la machine virtuelle, avec des tests fonctionnels ;
  • si la mise à jour s'est bien déroulée (aux bugs triviaux près), détruire la copie ;
  • refaire une copie de la machine virtuelle ;
  • faire la mise à jour Debian sur la machine virtuelle en production, et corriger les bugs éventuels (comme lors de la version de test) ;
  • vérifier que la mise à jour est valide ;
  • détruire la copie.

Quelques applications « historiques » n'ont pas supporté les changements. Avec François Poulain (PoluX), nous avons procédé au remplacement de notre gestionnaire historique de contact et calendrier, dotproject, par Owncloud et à celui de notre galerie photo, Gallery2, par Piwigo. Les données des anciens logiciels ont été importées avec succès.

Parmi les serveurs critiques, nous n'avons rien touché sur harmine, en attendant de nous former à l'utilisation de BackupPc et de vérifier que nous avons des sauvegardes fiables en dehors de pavot.

Avec Emmanuel Charpentier (echarp), nous avons étudié comment profiter de la migration vers Debian Wheezy pour passer à Drupal 7. Pour l'instant, ce n'est pas fonctionnel.

Enfin, mail a été mis à jour avec succès au matin du 16 juillet, pendant la plage horaire prévue. Une copie de mail (sous le nom mail_old) subsiste toujours (et aurait permis de revenir en arrière en cas de souci grave pendant la mise à jour). Cette mise à jour avait été préparée : mise à jour, tests, etc. Il n'y a eu qu'à changer l'adresse IP interne de la machine et corriger les bugs mineurs.

Néanmoins, certaines fonctionnalités peuvent ne plus être présentes sous leur forme précédente. Dans ce cas, merci de nous le signaler par courriel (format préféré) ou sur IRC (si pas de réponse, merci d'envoyer un courriel)

Le groupe adminsys de l'April est toujours à la recherche de bonnes volontés. En particulier, nous recherchons quelqu'un prêt à se mouiller dans la configuration d'un RT (Request Tracker). N'hésitez pas à vous manifester si vous pensez pouvoir nous aider (même canaux de communication que précédemment).

Rapport Morin-Desailly : de nouvelles propositions pour plus de logiciel libre et pas de brevets logiciels dans l'Union européenne

16 Juillet, 2014 - 17:10

Début juillet 2014 a été publié le rapport d'information (PDF, 398 pages) (également disponible en version HTML) de la sénatrice Catherine Morin-Desailly au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet ».

Ce rapport présente une partie sur le logiciel libre (à partir de la page 267), claire et précise, pour laquelle l'April félicite la sénatrice et les membres de la commission. On peut ainsi noter deux propositions particulièrement intéressantes, sur les brevets logiciels et sur le développement de l'usage de logiciels libres.

Proposition n° 42 : veiller à la préservation du principe européen de non brevetabilité des logiciels (page 271)

À ce sujet, le rapport rappelle d'ailleurs la promesse du candidat Hollande en 2012 selon laquelle il fallait veiller « à ce que la mise en œuvre du brevet communautaire ne soit pas l’occasion de légitimer les brevets sur les logiciels », et demande à ce que cette promesse soit réaffirmée aujourd'hui. Cette demande est d'autant plus importante que la Cour Suprême américaine vient de restreindre les brevets logiciels. L'Union européenne doit aller dans le même sens et les interdire définitivement.

Proposition n° 43 : encourager le développement des logiciels libres par leur intégration dans les marchés publics et par l’imposition de standards ouverts, à condition de développer les compétences pour l’utilisation de ces logiciels et standards (page 272)

Sur ce point, le rapport demande également à ce que les pouvoirs publics aillent plus loin que ce qui existe notamment avec la circulaire Ayrault sur le bon usage du logiciel libre dans les administrations, et de « favoriser une migration progressive d’une partie croissante de leur parc informatique vers les logiciels libres ». De plus, le rapport préconise « d'encourager l’usage des logiciels libres dans les enseignements informatiques », qui est une demande de longue date de l'April.

Ces propositions reprennent des axes centraux des positions et de l'action de l'April. Le rapport mentionne également la possibilité de donner la priorité au logiciel libre pour l'ensemble de l'administration, comme c'est déjà le cas en Italie.

L'April espère que des propositions, très positives, seront ensuite suivies d'actions concrètes, notamment sur la priorité au logiciel libre, qui est déjà présente dans la loi sur l'enseignement supérieur et la recherche. Elle invite donc les parlementaires à agir sur ces nouvelles propositions.

D'autres sujets importants, dont l'espionnage de la NSA, mais aussi le danger de l'enfermement des utilisateurs, sont également présentés dans ce rapport. L'April en publiera une analyse détaillée ultérieurement. Vous pouvez également consulter l'analyse du Conseil National du Logiciel Libre, qui s'est félicité de la partie logiciel libre de ce rapport.

Réponse de l'April à la consultation de la Commission européenne sur TAFTA

15 Juillet, 2014 - 11:57

L'April a répondu le 13 juillet 2014 à une consultation de la Commission européenne portant sur certaines modalités du règlement des différends dans le cadre du partenariat transatlantique TTIP (Transatlantic Trade and Investment Partnership, partenariat transatlantique sur le commerce et les investissements, également connu sous le nom de TAFTA - Transatlantic Free Trade Agreement, accord de libre-échange transatlantique).

Cette consultation était malheureusement biaisée : elle considérait comme acquis la mise en place d'un tribunal arbitral pour régler les différends entre investisseurs étrangers et États, alors que ce mécanisme même est une des principales sources de problème de l'accord.

En effet, ces tribunaux d'arbitrage, dans lesquels les juges ont un intérêt pécuniaire, sont réservés aux tribunaux étrangers ; ils sont composés de spécialistes du droit des investisseurs, et leurs décisions s'imposent aux États, sans aucun recours possible devant une cour judiciaire généraliste et indépendante.

La consultation a cependant eu un intérêt pédagogique, permettant à l'April de se plonger dans le dossier complexe qu'est le TTIP, ou plus précisément les mécanismes de règlement des différends proposés dans les accords commerciaux, et de dégager de premiers axes de position.

L'April a donc répondu à la consultation pour s'opposer à la mise en place d'une cour arbitrale telle que proposée par le projet d'accord et expliquer ses dangers. La réponse est disponible aux formats OpenDocument et PDF.

Revue de presse de l'April pour la semaine 28 de l'année 2014

14 Juillet, 2014 - 22:46

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 28

[Le Point] L'enseignement du langage informatique proposé en primaire dès la rentrée

Par la rédaction, le dimanche 13 juillet 2014. Extrait:
> L'enseignement du langage informatique sera proposé en primaire dès la rentrée de manière facultative, annonce dans une interview au Journal du dimanche le ministre de l'Education nationale Benoît Hamon, qui prévoit également de relier au haut débit hertzien 9.000 écoles dès septembre.
Lien vers l'article original: http://www.lepoint.fr/societe/l-enseignement-du-langage-informatique-propose-en-primaire-des-la-rentree-13-07-2014-1845757_23.php

[Slate.fr] Tor, de plus en plus partagé

Par Amaelle Guiton, le jeudi 10 juillet 2014. Extrait:
> Boosté par les scandales de surveillance numérique, le réseau d'anonymisation enregistre depuis un an un afflux conséquent d'utilisateurs. Ce changement d'échelle et de périmètre pose à ses développeurs des défis complexes.
Lien vers l'article original: http://www.slate.fr/story/89673/tor

Et aussi:
[ZDNet] NSA targets Linux Journal as 'extremist forum': Report

[CitizenKane] Sécurité informatique: 4 bombes atomiques en 12 mois

Par David Nataf, le jeudi 10 juillet 2014. Extrait:
> Nos systèmes de sécurité informatique sont bien plus nombreux et perfectionnés qu’il y a quelques années. Les normes de sécurité et leur intégration dans les entreprises sont de mieux en mieux implémentés. Et pourtant, ces derniers 12 mois ne nous ont pas gâté. Avec peut-être les 4 plus grandes bombes à retardement jamais vues en sécurité informatique.
Lien vers l'article original: http://citizenkane.fr/securite-informatique-4-bombes-atomiques-en-12-mois.html

[Solutions-Logiciels.com] Linux: trois événement majeurs lui seront consacrés du 13 au 15 octobre

Par Juliette Paoli, le jeudi 10 juillet 2014. Extrait:
> Le créateur de Linux, Linus Torvalds, et les dirigeants d'Amazon et de ownCloud ont répondu présents aux prochains événements organisés par la Fondation Linux du 13 au 15 octobre au Centre des Congrès de Düsseldorf. Trois événements en un avec LinuxCon, CloudOpen et Embedded Linux Conference Europe.
Lien vers l'article original: http://www.solutions-logiciels.com/actualites.php?titre=Linux-trois-evenement-majeurs-lui-seront-consacres-du-13-au-15-octobre&actu=14806

[Next INpact] Suite au «fail» de la DILA, Regards Citoyens publie un guide sur l’Open Data

Par Xavier Berne, le mardi 8 juillet 2014. Extrait:
> Suite aux différents problèmes qui ont accompagné la mise à disposition, gratuite, des données juridiques détenues par la Direction de l'information légale et administrative (DILA), l’association Regards Citoyens vient de publier un «petit guide à destination des administrations souhaitant basculer du payant à l’Open Data». L’occasion pour l’organisation de revenir de manière synthétique sur le processus d’ouverture et de partage de données publiques, tout en insistant sur le récent épisode de la DILA, qui est considéré comme «l’un des plus gros «fail» administratifs en matière d’Open Data».
Lien vers l'article original: http://www.nextinpact.com/news/88585-suite-au-fail-dila-regards-citoyens-publie-guide-sur-l-open-data.htm

[Wired] Out in the Open: The Crusade to Bring More Women to Open Source

Par Klint Finley, le lundi 7 juillet 2014. Extrait:
> (De récents rapports de Facebook et Google confirment ce que nous avons toujours su: les géants de la technologie ont un problème de diversité. Mais dans le monde open source, le problème est encore pire) Recent reports from Facebook and Google confirmed what we’ve known all along: the giants of tech have a diversity problem. But in the world of open source, the problem is even worse.
Lien vers l'article original: http://www.wired.com/2014/07/openhatch

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

Revue de presse de l'April pour la semaine 27 de l'année 2014

7 Juillet, 2014 - 17:55

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 27

[Next INpact] Un rapport confidentiel plaide pour renforcer l’informatique à l’école

Par Xavier Berne, le vendredi 4 juillet 2014. Extrait:
> Au travers d’un rapport à destination du ministre de l’Éducation nationale, les services de la Rue de Grenelle viennent de plaider de manière appuyée en faveur d’une revalorisation de l’enseignement de l’informatique à l’école. Ce document, qui était censé rester confidentiel, suggère entre autre de faire de l’informatique une discipline à part entière au collège.
Lien vers l'article original: http://www.nextinpact.com/news/88541-un-rapport-confidentiel-plaide-pour-renforcer-l-informatique-a-l-ecole.htm

[Basta!] Le monde du logiciel libre se rassemble à Montpellier

Par Collectif, le vendredi 4 juillet 2014. Extrait:
> L’open data, la culture et les arts libres, l’entreprise et le logiciel libre: voici quelques uns des thèmes abordés lors des Rencontres mondiales du logiciel libre, qui se dérouleront du 5 au 11 juillet, à Montpellier. Au programme, des conférences, des ateliers, des tables-rondes, autour du monde du «libre», rassemblant des «geeks», des professionnels, des personnalités, de simples curieux, des utilisateurs et des politiques.
Lien vers l'article original: http://www.bastamag.net/Le-monde-du-logiciel-libre-se

Et aussi:
[20minutes.fr] Des logiciels libres aux atouts qui n'ont pas de prix
[les-infostrateges.com] Rencontres mondiales du Logiciel libre - du 5 au 11 juillet à Montpellier
[Numerama] La Corée du Sud lâchera Microsoft au profit de l'Open Source d'ici 2020
[LeMonde.fr] Décidément Gnu/Linux est supérieur à Windows

Voir aussi:
L'April vous donne rendez-vous aux Rencontres mondiales du logiciel libre à Montpellier du 5 au 11 juillet 2014

[EurActiv] Les documents du TTIP peuvent être publiés, selon la Cour de justice européenne

Par la rédaction, le vendredi 4 juillet 2014. Extrait:
> Un arrêt rendu par la Cour de justice de l'Union européenne le 3 juillet ouvre la voie à la publication des documents portant sur les négociations du TTIP. La Cour juge que les textes portant sur les questions internationales ne doivent pas être systématiquement confidentiels.
Lien vers l'article original: http://www.euractiv.fr/sections/euro-finances/les-documents-du-ttip-peuvent-etre-publies-selon-la-cour-de-justice

[Mediapart] Guide Libre Association, appel aux dons

Par André Ani, le vendredi 4 juillet 2014. Extrait:
> L’April a décidé de relancer le Guide Libre Association, afin de le mettre à jour, de le compléter et de le diffuser à nouveau le plus possible dans le milieu associatif.
Lien vers l'article original: http://blogs.mediapart.fr/blog/andre-ani/040714/guide-libre-association-appel-aux-dons

Voir aussi:
Une campagne de dons pour le Guide Libre Association

[Numerama] Le CSA veut "en finir avec la neutralité du net"

Par Guillaume Champeau, le vendredi 4 juillet 2014. Extrait:
> Le président du CSA Olivier Schrameck a confirmé la volonté du Conseil Supérieur de l'Audiovisuel (CSA) de saboter les tuyaux des fournisseurs d'accès à internet pour favoriser les services audiovisuels français par rapport aux services étrangers qui ne se soumettent pas aux lois françaises.
Lien vers l'article original: http://www.numerama.com/magazine/29911-le-csa-veut-en-finir-avec-la-neutralite-du-net.html

[Numerama] Hadopi: Filippetti assure la promo d'une étude risible de l'ALPA

Par Guillaume Champeau, le mercredi 2 juillet 2014. Extrait:
> Ou comment Aurélie Filippetti s'appuie sur une étude d'un lobby privé pour lui faire dire le contraire de ce qu'elle démontre en matière de réalité du piratage en France, et demander que la lutte contre les pratiques des internautes soit encore intensifiée...
Lien vers l'article original: http://www.numerama.com/magazine/29890-hadopi-filippetti-assure-la-promo-d-une-etude-risible-de-l-alpa.html

Et aussi:
[Numerama] Hadopi, "non merci!", dit Axelle Lemaire à Aurélie Filippetti
[Numerama] Nadine Morano experte d'Internet au Parlement Européen?
[Next INpact] Selon les ayants droit du cinéma, streaming, DDL et P2P ont baissé en France

[Le Monde.fr] Aaron Swartz, itinéraire d'un enfant du Net

Par Damien Leloup, le lundi 30 juin 2014. Extrait:
> Le documentaire «The Internet's Own Boy» dresse un long et beau portrait du militant des libertés numériques qui s'est suicidé l'an dernier en pleine procédure judiciaire.
Lien vers l'article original: http://www.lemonde.fr/pixels/article/2014/06/30/aaron-swartz-itineraire-d-un-enfant-du-net_4447830_4408996.html

[ZDNet] Levées de fonds dans l'industrie des logiciels libres et open source

Par Thierry Noisette, le lundi 30 juin 2014. Extrait:
> Ces dernières semaines, plusieurs entreprises du secteur de l'open source ont réalisé des tours de table de millions, voire dizaines de millions, de dollars ou d'euros. Récapitulatif pour Couchbase (USA), Commerce Guys (France) et Odoo (ex-OpenERP, Belgique).
Lien vers l'article original: http://www.zdnet.fr/actualites/levees-de-fonds-dans-l-industrie-des-logiciels-libres-et-open-source-39803167.htm

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

Apéro April le 18 juillet 2014 à partir de 19h00 dans les locaux de l'April (Paris) et à distance

7 Juillet, 2014 - 07:22
Début: 18 Juillet 2014 - 19:00Fin: 18 Juillet 2014 - 20:00 Un apéro April ?

Un apéro April consiste à se réunir physiquement afin de se rencontrer, de faire plus ample connaissance, d'échanger, de partager une verre et de quoi manger mais aussi de discuter sur l'actualité et les actions de l'April. Un apéro April est ouvert à toute personne qui souhaite venir, membre de l'April ou pas. N'hésitez pas à venir nous rencontrer.

L'apéro a lieu à Paris notamment parce que le local s'y trouve ainsi que les permanents et de nombreux actifs. Il est cependant possible d'y participer à distance en se connectant sur le salon irc de l'April (sur le salon #april du réseau irc.freenode.net, accès possible par webchat). Membre ou pas de l'April vous êtes les bienvenus.

Quand et quoi

Le prochain apéro aura lieu le 18 juillet 2014 à partir de 19h00 dans les locaux de l'April au 44/46 rue de l'ouest, bâtiment 8, 75014 Paris (entrée possible par la place de la Catalogne, à gauche du biocop, au niveau des autolib), le téléphone du local est le 01 78 76 92 80 en cas de besoin.

Pour tous les détails et vous inscrire rendez-vous sur le pad.

Pages