APRIL

Subscribe to flux APRIL
L'April a pour objectifs de promouvoir et défendre le logiciel libre et ses acteurs.
Mis à jour : il y a 5 min 33 sec

Lettre d'information publique de l'April du 1er août 2014

4 Août, 2014 - 10:08

Bonjour,

Début juillet a été occupé par les Rencontres mondiales du logiciel libre (RMLL) à Montpellier. L'association y a tenu un stand à destination des visiteurs et nous avons donné une dizaine de conférences. Un grand merci aux organisateurs des RMLL et aux personnes qui ont aidé à l'animation du stand.

En 2012, nous avions réalisé un guide d'usage du logiciel libre à destination du monde association. Le guide avait été diffusé à 10 000 exemplaires et nous souhaitons procéder à une réimpression. Pour cela, une campagne de dons a été lancée. Ne pas hésiter à relayer notre appel voire à y participer financièrement si vous le pouvez.

Du côté du dossier Open Bar Microsoft/Défense, nous avons reçu un nouveau document qui montre de nouvelles parts d'ombre sur le respect du code des marchés publics. Au niveau européen, nous avons répondu à une consultation de la Commission européenne sur TAFTA.

Pendant ce temps là, le gouvernement britannique a annoncé qu'il utilisera exclusivement des standards ouverts pour les documents publics. Peut-être une source d'inspiration pour le gouvernement français.

La période estivale n'a pas empêché les actifs du groupe Transcriptions de transcrire, relire et publier plus de 2h30 de vidéos sur des sujets très variés. Bravo et merci de nous proposer ces lectures.

En pleines vacances il faut déjà penser aux événements de la rentrée. L'April sera présente une nouvelle fois à la Braderie de Lille, le week-end du 6 et 7 septembre 2014, au sein du village Libre. Nous serons également présents à la Fête de l'Huma à la Courneuve du 12 au 14 septembre 2014, la fête accueillant de nouveau un village du Libre. Nous avons besoin d'aide pour animer ces deux stands.

En parlant de vacances, un grand merci à Vincent-Xavier qui consacre une partie de ses vacances à la mise à jour de nos machines virtuelles. Merci également à François, Benj et Emmanuel qui lui donnent un coup de main.

Consultez la lettre publique ci-dessous pour toutes les autres informations et notamment la revue de presse qui propose une trentaine d'articles.

Si vous voulez nous soutenir, n'hésitez pas à faire un don ou à adhérer à l'association.

Une campagne de dons pour le Guide Libre Association

L'April a lancé une campagne de dons en faveur de la promotion du logiciel libre en milieu associatif. Nous souhaitons en effet financer une nouvelle édition de notre Guide Libre Association et le distribuer gracieusement auprès des associations. Nous avons besoin de vous pour diffuser largement l'appel à dons voire y contribuer si vous le pouvez. Il ne reste que quelques jours de campagne.

Transcriptions estivales

Les membres du groupe Transcriptions ont été très actifs et plus de 2h30 de vidéos ont été transcrites, relues et publiées. Bonne lecture.

toc_collapse=0; Sommaire 
  1. Une campagne de dons pour le Guide Libre Association
  2. Transcriptions estivales
  3. Dossiers, campagnes et projets
    1. Réponse de l'April à la consultation de la Commission européenne sur TAFTA
    2. Open Bar Microsoft/Défense : de nouvelles parts d'ombre sur le respect du code des marchés publics
    3. Le gouvernement britannique utilisera exclusivement des standards ouverts pour les documents publics
  4. Médias
    1. Revue de presse
  5. Conférences, événements
    1. Événements à venir
    2. Événements passés
  6. Vie associative
    1. Mise à jour de nos machines virtuelles
    2. Revue hebdomadaire
    3. Adhésions
  7. Soutenir l'association
  8. Rejoindre l'association à titre individuel
  9. Rejoindre l'association en tant que personne morale
  10. Archives
Dossiers, campagnes et projets Réponse de l'April à la consultation de la Commission européenne sur TAFTA

La Commission européenne a ouvert une consultation publique sur les modalités de la protection des investissements et des règlement des différends entre investisseurs et États (RDIE) dans le cadre du TAFTA. L'April a répondu à la consultation.

Open Bar Microsoft/Défense : de nouvelles parts d'ombre sur le respect du code des marchés publics

L'April a reçu en juin 2014 un nouveau document concernant l'Open Bar Microsoft/Défense, venant de la Commission consultative des marchés publics, organisme qui a pour but d'aider les acteurs publics dans leurs démarches autour des marchés publics. Cet avis, qui ne lie pas l'administration, permet cependant d'avoir des précisions juridiques sur des projets de contrat public.

Le gouvernement britannique utilisera exclusivement des standards ouverts pour les documents publics

Le mardi 22 juillet 2014, le gouvernement britannique a annoncé sa décision de passer à l'usage exclusif de standards ouverts pour les documents de communication. Le gouvernement britannique explique ce choix en mettant en avant l'importance de l'ouverture des formats ainsi que l'indépendance par rapport aux différents acteurs du marché. L'April se réjouit de cette décision et espère que le gouvernement français s'en inspirera pour généraliser les standards ouverts dans l'administration.

Médias Revue de presse

La revue de presse fait partie du travail de veille mené par l'April dans le cadre de son action de défense et de promotion du Logiciel Libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l'April.

Pour gérer cette revue de presse, un groupe de travail a été créé (vous pouvez en consulter la charte ici) ainsi qu'une liste de discussion rp@april.org où vous pouvez envoyer les liens vers des articles qui vous semblent intéressants.

La revue de presse est désormais également diffusée chaque semaine sur le site LinuxFr.org. Cette diffusion lui offre un lectorat plus large.

Cette revue de presse est commentée dans un podcast disponible sur http://audio.april.org. Il est repris chaque semaine dans l'émission Divergence numérique qui est diffusée sur Divergence FM, Radio Escapade, Radio Larzac. Le podcast est également diffusé sur Radio Ici&Maintenant et Radio Au fil de l'eau.

Il existe un flux RSS permettant de recevoir la revue de presse au fur et à mesure (rapidement et article par article donc).

Les derniers titres de la revue de presse :

Un Petit guide revue de presse est disponible pour ceux qui souhaitent contribuer.

Voir la page revue de presse sur le site pour le détail des articles.

Conférences, événements Événements à venir
  • L'April sera présente une nouvelle fois à la Braderie de Lille, le week-end du 6 et 7 septembre 2014, au sein du village Libre organisé par l'association Chtinux en collaboration avec le Café Citoyen. Si vous souhaitez participer à l'animation de ce stand, ne serait-ce que quelques heures, merci d'inscrire vos disponibilités sur le tableau depuis la page wiki.
  • L'April sera donc au village TIC de la fête de l'huma, les 12, 13 et 14 septembre 2014. Si vous souhaitez participer à l'animation de ce stand, ne serait-ce que quelques heures, merci d'inscrire vos disponibilités sur le tableau depuis la page wiki.
Événements passés Vie associative Mise à jour de nos machines virtuelles

Le système d'information de l'April, qui gère nos différents outils, repose sur la technique de virtualisation : des machines virtuelles sont configurées sut plusieurs machines physiques.

Vincent-Xavier Jumel, bénévole de l'équipe d'admin sys de l'April, s'occupe en ce moment de la mise à jour des machines virtuelles et des logiciels installés quand c'est nécessaire. Il est aidé ponctuellement par François Poulain, Benjamin Drieu et Emmanuel Charpentier. Un grand merci à eux pour ce travail si important pous nos actions.

Revue hebdomadaire

Chaque vendredi à midi pile les adhérents et les permanents qui le souhaitent passent en revue les tâches et actions relatives à l'April dont ils ont la charge lors de la « revue hebdomadaire April » sur IRC (canal #april sur irc.freenode.net, accès avec un navigateur web). La durée est limitée, généralement un quart d'heure. Cela stimule les bonnes volontés, suscite idées et contributions, permet de suivre les activités des autres et d'éliminer un certain nombre de problèmes bloquants...

Une page décrivant le principe d'une revue hebdomadaire est en ligne.

Vous pouvez en savoir plus et consulter en ligne les archives des premières revues hebdomadaires, et notamment la synthèse de la revue du 4 juillet 2014, la synthèse de la revue du 11 juillet 2014, la synthèse de la revue du 18 juillet 2014, la synthèse de la revue du 25 juillet 2014.

Adhésions Adhésions de personnes physiques

Au 1er août 2014, l'association compte 4 104 adhérents (3 709 personnes physiques, 395 personnes morales).

Adhésions de personnes morales

Nous avons le plaisir d'accueillir l'entreprise :

  • Kavarna SARL (67) : Notre société, localisée à La Walck, prés de Strasbourg, est spécialisée dans le développement de solutions informatiques dédiées aux professionnels des établissements et services du social et médico-social.

Nous souhaitons également la bienvenue a l'association suivante :

  • ALLIS (31) : ALLIS est une association loi 1901, créée en mars 2014 par des passionnés d'informatique libre et des personnes soucieuses de développer des initiatives locales porteuses de sens.
Soutenir l'association

L'April a besoin de votre aide. Vous pouvez faire un don à l'association et participer ainsi au financement de nos actions.

Pour faire un don à l'association, rendez-vous à l'adresse suivante http://www.april.org/association/dons.html (il est possible de faire un don par chèque, virement, carte bancaire ou encore prélèvement automatique).

Pour tout renseignement n'hésitez pas à nous contacter.

Rejoindre l'association à titre individuel

Dans une association, l'adhésion est un acte volontaire. C'est aussi un acte politique car c'est manifester son soutien à l'objet de l'association ainsi qu'aux valeurs qui le sous-tendent. Une adhésion fait la différence en contribuant à atteindre les objectifs de l'association.

Adhérer à l'April permet :

  • de défendre collectivement un projet de société ;
  • de s'investir activement dans la vie de l'association à travers ses groupes de travail et ses actions ;
  • d'être informé régulièrement des événements logiciel libre ;
  • d'agir sur les institutions à travers un partenaire incontournable ;
  • de soutenir financièrement les actions de l'association.

Il est possible d'aider l'association en lui donnant de son temps ou de son argent. Toutes les contributions sont les bienvenues.

Pour les hésitants, nous avons mis en ligne les réponses à de fausses idées classiques.

Pour adhérer à l'April, il suffit de vous rendre à l'adresse suivante : http://www.april.org/adherer?referent=lettre%20publique.

Pour tout renseignement, n'hésitez pas à nous contacter.

Rejoindre l'association en tant que personne morale

Que vous soyez une entreprise, une collectivité ou une association, adhérez pour participer activement aux décisions stratégiques qui vous concernent !

Votre structure a besoin de tirer le meilleur parti du logiciel libre et pour défendre ses intérêts, elle doit :

  • exercer une veille permanente pour se tenir informée des opportunités et des menaces ;
  • constituer et entretenir des réseaux relationnels institutionnels ;
  • être éclairée sur les contextes juridiques et stratégiques ;
  • contribuer à la défense de l'informatique libre face aux acteurs qui lui sont hostiles ;
  • mieux faire connaître et valoriser son action.

April est au cœur des grandes évolutions du logiciel libre. Adhérer à April permet :

  • de défendre collectivement un projet de société ;
  • de s'investir activement dans la vie de l'association à travers ses groupes de travail et ses actions ;
  • d'être informé régulièrement des événements logiciel libre ;
  • d'agir sur les institutions à travers un partenaire incontournable ;
  • de financer ou cofinancer des actions stratégiques.

Pour adhérer à l'April, il suffit de vous rendre à l'adresse suivante : adhérant dès maintenant à l'April.

Pour tout renseignement n'hésitez pas à nous contacter.

Archives

Pour recevoir automatiquement par courriel cette lettre, inscrivez-vous à la liste de diffusion : http://www.april.org/wws/info/april-actu.

Les archives de la lettre sont disponibles en ligne à l'adresse suivante : http://www.april.org/wws/arc/april-actu.

Transcripción de la playa of First August 2014

2 Août, 2014 - 11:07

Nougats, chocolats, spéculoos, demaaaaandez votre cookie !

Voici la météo des plages de transcriptions.

L'anticyclone Marie-Odile nous a amené des textes à profusion.

Bookynette a chaussé ses plus belles tongs pour marcher entre les sablés, tandis que Echarp a sorti le rosé et son plus beau marcel.

Beuc et Nanie, chacun sur leur cumulus, ont fait des relectures fort utiles...

Corinne et Christian ont repoussé les nimbus pendant que Ju éloignait la dépression.

Pour les températures, les transcripteurs ont été très chauds :

2h30 de vidéo ont été relues et publiées:

Si vous levez la tête et regardez le ciel, vous pourrez parcourir les textes suivants:

Les logiciels libres - jdll - Lyon 2014:
http://www.april.org/les-logiciels-libres-aux-jdll-lyon-2014
5 min 08

Éducation au code. Pourquoi ? Comment ?
http://www.april.org/education-au-code-pourquoi-comment
16 min 43

Pour une politique publique en faveur du Logiciel Libre - Jeanne Tadeusz - EGOS 2013
http://www.april.org/pour-une-politique-publique-en-faveur-du-logiciel-l...
14 min 15

Le Conseil National du Logiciel Libre - Patrice Bertrand - Radio RMLL 2014
http://www.april.org/le-conseil-national-logiciel-libre-interview-de-pat...
24 min 20

La réappropriation de nos correspondances privées.CaliOpen - Conf de Laurent Chemla - RMLL2014
http://www.april.org/la-reappropriation-de-nos-correspondances-privees-c...
1h 18 min

Interview audio de Alexis Kauffmann à propos du logiciel libre sur le Mouv Brisez vos chaînes numériques Août 2013
http://www.april.org/brisez-vos-chaines-numeriques-interview-de-alexis-k...
10 min 25

Bonnes lectures...

Brisez vos chaînes numériques, interview de Alexis Kauffmann sur le Mouv

1 Août, 2014 - 23:18


Informations Transcription

Traduction intervention Steve Jobs : Ce qu'il faut pour que l'industrie informatique se développe en Europe et en France c'est une solide industrie du logiciel, parce que le logiciel c'est le pétrole des années 80 et 90, de cette révolution informatique. Il faut des centaines de mini entreprises de logiciels et la France pourrait dominer l'Europe dans le logiciel. Elle a les étudiants les plus brillants, une bonne maîtrise de la technologie. Ce que nous devons faire c'est encourager les jeunes à créer des sociétés de logiciels. Nous, nous ne voulons pas mettre la main dessus, le gouvernement ne doit pas non plus tenter de le faire. Elles doivent appartenir à ceux qui prennent des risques.

Thomas Rozec : C’était Steve Jobs, en 1984, à la télévision française. Archive dégotée par notre réalisateur Michel-Ange Vinti. C’était juste de beaux discours d'après vous, Alexis Kauffmann, ce qu'il disait Steve Jobs ?

Alexis Kauffmann : Quand j'entends « nous nous ne voulons pas mettre la main dessus », eh bien on constate aujourd’hui que cette belle citation, malheureusement, s'est avérée fausse.

Rires

Thomas Rozec : Je rappelle que vous êtes l'un des fondateurs de l’association Framasoft, réseau de sites et de projets autour du logiciel libre et l'un des animateurs du Framablog, le site d'info qui est lié à l'association. Ça vous inspire quoi la sortie en grande pompe de ce biopic sur Steve Jobs aujourd'hui en France ?

Alexis Kauffmann : Ah, c'est sûr qu'on ne peut pas échapper aux affiches. Je vois « découvrez l'homme derrière l’icône ». Ça m'a frappé parce qu'effectivement icône ça appartient au lexique, au registre religieux et c'est vrai que les utilisateurs d'Apple sont appelés des fans, des fanboys, alors que dans le logiciel libre on a plutôt à faire à des communautés. Peut-être qu'on essayera de comprendre la différence

Thomas Rozec : Différence de philosophie sans doute. La mainmise des grands industriels de l'informatique que sont donc Apple par exemple et Microsoft, elle est toujours aussi forte aujourd’hui ?

Alexis Kauffmann : Je n'ai pas envie de dire plus que jamais, non, parce que justement il y a des alternatives qui ont de plus en plus souvent le droit à la parole comme aujourd’hui, merci de m'inviter. Il n’empêche que les nouvelles technologies et internet, il y a eu de nombreuses évolutions, notamment pour tout ce qui concerne la mobilité, les smartphones, les tablettes, qui tout d'un coup se retrouvent avec un internet un peu différent, un peu cloisonné.

Thomas Rozec : Cloisonné c'est-à-dire ?

Alexis Kauffmann : C'est-à-dire que de nombreuses critiques que l'on peut faire pour Apple c'est de contrôler un peu toute la chaîne de l'ordinateur aux logiciels, aux stores où vous allez prendre vos apps, vos applications et ces applications sont sur une plate-forme unique qui est contrôlée par Apple et c'est Apple qui choisit si telle ou telle application a le droit de cité.

Thomas Rozec : C'est un peu totalitaire comme système !

Alexis Kauffmann : Voilà. Si jamais c'est une application qui est similaire à une application que propose déjà Apple, elle sera refusée ; si jamais c'est une application qui parle de la concurrence, style Android, elle sera refusée ; si il y a un bout de sein qui dépasse, comme sur la pochette d'un album il y a quelques années, une chanteuse, je crois Caroline Loeb, ce sera aussi supprimé, parce que c'est le puritanisme américain, etc.

Thomas Rozec : Il n'y a pas beaucoup de place quoi ! C'est ça la leçon à en tirer ?

Alexis Kauffmann : Disons que vous ne vous retrouvez plus sur la grande liberté d'internet mais dans un guichet unique.

Thomas Rozec : Richard Stallman qui est un des pères du logiciel libre parle des produits Apple en disant que ce sont des menottes numériques. C'est ça en fait d'après vous ?

Alexis Kauffmann : Tout à fait. D'ailleurs il avait créé la polémique quand Steve Jobs est décédé, parce qu'il avait écrit sur son site qu'il n’était pas content qu'il soit mort, mais il était content qu'il soit parti !

Thomas Rozec : Sympa ! Quand on parle de logiciel libre ! Précise !

Alexis Kauffmann : Oui. Il évoquait Apple comme une prison dorée. Il disait « a cool jail »

Thomas Rozec : Une prison chouette !

Alexis Kauffmann : Voilà. Qui prive ses utilisateurs d'une certaine forme de liberté.

Thomas Rozec : Justement quand on parle de liberté, quand on parle de logiciel libre, qu'est-ce que ça veut dire exactement le logiciel libre ?

Alexis Kauffmann : Le logiciel libre ! Il faut comprendre qu'Apple propose des logiciels qui ne le sont pas libres, tout comme Microsoft, etc. On dit qu'ils sont propriétaires voire privatifs si on veut être un petit peu militant.
Le logiciel libre se définit par quatre libertés : la liberté d'utilisation, liberté d'usage, la liberté d'étude, étudier le logiciel, savoir comment il fonctionne. On soulève le capot ; on a le droit de soulever le capot.

Thomas Rozec : Ce qui n'est pas le cas sur les produits Apple et Microsoft.

Alexis Kauffmann : Non pas du tout. Si on veut soulever le capot du système d'exploitation Apple pour iPad, iPhone, qui s'appelle iOS, on n'a pas le droit de le faire et ça a un nom que je trouve caractéristique, ça s'appelle jail breaking !

Thomas Rozec : Sortir de prison !

Alexis Kauffmann : Voilà, exactement. Ça veut bien dire ce que ça veut dire. Donc liberté d'usage, liberté d'étude, une fois qu'on a cet accès, on peut modifier, adapter à ses besoins, fondamental, donc améliorer, troisième liberté. Et la quatrième celle de la copie et de la distribution.

Journaliste : Pour moi utilisatrice lambda, finalement qu'est-ce que ça changerait s'il y avait plus de logiciels libres ?

Alexis Kauffmann : Qu'est-ce que ça changerait ? Je ne peux pas vous dire ça changerait tout. Mais ça changerait énormément de choses, notamment d'abord vous auriez une autre expérience d’utilisateur parce que le logiciel libre c'est une certaine forme de pluralité. A partir du moment où tout le monde a accès au code, tout le monde peut le modifier, le changer, le distribuer, etc. Mais c'est surtout une question d'état d'esprit.

Avec Apple vous êtes en mode de consommation individualiste. C'est-à-dire que vous, vous vous connectez, vous vous mettez en contact avec Apple, iStore l'iPhone, etc, mais pas en contact avec votre voisin. Vous ne pouvez pas. Si j'avais un iPad et que Thomas avait un iPad, je serais ravi de pouvoir partager, échanger les applications qu'il y a dedans et le contenu qu'il y a dedans, la musique, la vidéo. C'est totalement impossible, c'est totalement verrouillé. Vous êtes uniquement en relation avec Apple en mode univoque, en mode individuel.

Thomas Rozec : C'est quoi les logiciels libres les plus utilisés au monde? Parce qu'en fait on en utilise beaucoup parfois sans savoir que ce sont des logiciels libres.

Alexis Kauffmann : Oui. On a tendance à le dire. On les confond souvent avec les logiciels gratuits. En tout cas, les exemples, parce que l'intitulé de l'interview s'appelle « Brisez vos chaînes numériques » que je trouve intéressant. J’avoue que j'aurais préféré le brisons parce que dans le logiciel libre il y a vraiment une notion,

Thomas Rozec : Communautaire

Alexis Kauffmann : Voila, de collaboration, de collectivité, de faire les choses, d'avancer ensemble. Et puis une autre petite remarque sur le titre, c'est que les chaînes numériques au fur et à mesure où la société se numérise de plus en plus vite et qu'elle envahit notre quotidien ça va finir par devenir « brisons nos chaînes » tout court.

La question donc par rapport à comment briser ces chaînes? C'est avant tout une question d'état d'esprit. Mais d'un coté pratico-pratique vous pouvez commencer par installer et utiliser des logiciels libres qui ont fait leurs preuves, qui sont là depuis des années, qui sont de très bonne qualité.

Thomas Rozec : Par exemple?

Alexis Kauffmann : Comme le navigateur Firefox, par exemple. Comme la suite bureautique alternative à Microsoft Office qui s'appelle Libre Office ou Open Office, puisque justement on parlait de pluralité, il y a deux versions de cette suite bureautique libre. Vous avez un lecteur qu'en fait tout le monde utilise sans savoir qu'il y a un logiciel libre qui s'appelle VLC, c'est un lecteur multimédia qui lit un nombre incalculable de formats ; vous savez la petite icône, le plot orange et blanc de chantier. Et puis surtout, vous pouvez carrément changer le principal logiciel, celui qui est là pour dialoguer avec la machine, celui qu'on utilise quand on allume la machine qui est le système d’exploitation, sur lequel vous pouvez installer les autres logiciels, qui est donc Mac OS pour Apple, Windows pour Microsoft et dans le monde du libre nous avons le système d'exploitation Gnu/Linux, entre autres.

Thomas Rozec : Il parait qu'on utilise tous des bouts de Linux sans le savoir, qu'il y a des bouts de Linux un peu partout qui sont utilisés dans par exemple les distributeurs automatiques, ou même quand on tape sur Google, on utilise un petit bout de Linux aussi.

Alexis Kauffmann : Oui. Linux est particulièrement adapté à l'informatique embarquée justement. Si vous avez non pas un iPhone mais un téléphone qui fonctionne sous Android, la couche basse, c'est du Linux.

Thomas Rozec : Donc le logiciel libre est déjà un petit peu partout. Ces logiciels qu'on a cités, est-ce que les utilisateurs ne les favorisent pas d'abord parce qu'ils sont gratuits avant d’être libres ? Est-ce qu’il n'y a pas déjà un problème fondamental là-dessus ?

Alexis Kauffmann : Fondamental, non. Framasoft est né justement en démarrant avec un annuaire de logiciels libres et gratuits. L'idée était que les gens cherchaient des logiciels justement gratuits et que nous on leur explique qu'il y a des logiciels qui sont différents, qu'un petit supplément d’âme en plus d’être gratuits, ils sont libres, et ça change beaucoup la donne.

Thomas Rozec : Le gouvernement est plutôt du côté du libre, on va dire un petit peu du côté du libre. À la fin de l'année dernière notamment, les ministères ont été encouragés par le premier ministre à utiliser des solutions Open Source. C'est un premier pas d'après vous vers une politique plus générale, on va dire plus active, sur le domaine du libre.

Alexis Kauffmann : Voilà. C'est un premier pas. Il faut rester extrêmement vigilant. C'est vrai que moi je suis enseignant, à la base je suis professeur de mathématiques. C'est quand même triste de constater que le logiciel libre n'ait pas la priorité pour tout ce qui est dépense de l'argent public et on se retrouve à payer un nombre incalculable de licences Microsoft, de licences Apple, alors que les logiciels libres sont là, sont efficients, et ils ne demandent qu'à être utilisés, qu'à être améliorés par des développeurs locaux, j'ai envie de dire, pour faire tourner aussi toute l'industrie informatique du territoire et non pas justement ces grosses multinationales qui d'ailleurs pratiquent plus ou moins l'évasion fiscale et qui font travailler les petits chinois,etc.

Thomas Rozec : Il y a donc un intérêt éthique et économique. Merci beaucoup Alexis Kauffmann, fondateur de Framasoft, donc réseau de sites et de projets autour du logiciel libre dont le site d'infos Framablog. Tout ça c'est à retrouver sur www.framasoft.net. Merci beaucoup d'avoir été avec nous ce matin.

La réappropriation de nos correspondances privées - conférence de Laurent Chemla lors des rmll 2014

1 Août, 2014 - 22:54


Actualités de l'April du 22 juin 2014

Informations
  • Titre : La réappropriation de nos correspondances privées
  • Intervenant :Laurent Chemla
  • Date : juillet 2014
  • Lieu : rmll de Montpellier
  • Durée :1h 18min
  • Média : vidéo
Transcription

Alors. Ça fait donc un an maintenant qu'on a eu les révélations d'Edward Snowden sur PRISM et sur le scandale de la NSA. Et depuis un an il faut bien constater que pas grand-chose n'a changé. Il y a eu beaucoup, beaucoup de mots qui ont été échangés depuis, mais -- voilà. Quand c'est arrivé, moi entre autres, je n'ai pas été particulièrement étonné par le fait que les espions nous espionnent. Je m'attendais à quelque chose de cet ordre, évidemment pas de cette ampleur, ça, ça a été une surprise. Mais la vraie surprise n'est pas tellement venue de l'ampleur des révélations que du fait que d'un seul coup le grand public a été partie prenante. C'est-à-dire qu’il s’est enfin passé quelque chose. On a déjà eu ce type de révélation dans le passé, avec Échelon il y a une petite dizaine d'années, Frenchelon un peu plus tard, et à chaque fois c'est resté très confiné dans les milieux hackers et sans du tout que le grand public n'en soit informé.

Avec Edward Snowden et la façon peut-être dont les révélations ont été faites, d'un seul coup il y a eu cette grosse innovation de la prise de conscience, par le grand public, du fait que la vie privée était devenue quelque chose d'un peu difficile à protéger. Donc on a eu une petite évolution, malgré tout, quand je dis il ne s'est rien passé, il y a eu ça, il y a eu cette prise de conscience au niveau du grand public. Ceci dit, techniquement et socialement, ça n'a pas empêché la NSA de continuer à nous espionner, ça n'a pas empêché les députés français de voter la loi de programmation militaire qui étend la surveillance en France et ça n'a pas non plus modifié le comportement du grand public, même si quelques technophiles se sont penchés sur la façon de protéger un peu mieux leur vie privée, en pratique, leur nombre est tellement réduit, que ça n'a pas changé grand-chose.

Donc j'ai cherché depuis un an, d'abord à réfléchir à ce qui s’était passé, et à essayer de comprendre comment faire pour résoudre cette question de la vie privée sur Internet et ailleurs.

Alors il y a eu quelques évolutions techniques. Il y a eu depuis, donc j'ai dit les techniciens, oh ce n'est pas si mal, les techniciens se sont mis à utiliser un peu plus les outils de sécurité de type PGP, Tor. On a vu très récemment Google, entre autres, annoncer qu'il allait mieux référencer les sites qui protégeaient le mieux la vie privée, c'est-à-dire les sites qui vous affichent un petit cadenas quand vous vous y connectez, seraient un peu mieux référencés que les autres; et a annoncé aussi que Google mail allait bientôt proposer une solution de chiffrement pour le courrier électronique. Évidemment ça pose le problème de la confiance. Est-ce qu'on a confiance dans Google et surtout dans le cas d'une entreprise dont le modèle économique est basé sur l'exploitation de vos données privées ? Comment faire confiance ? Comment pouvoir imaginer un seul instant que vos courriers chiffrés qui sont chez lui, avec votre clef privée bien sûr, parce que sinon vous ne pouvez plus y accéder facilement, vous ne pouvez plus faire de recherche dedans, comment croire que Google ne va pas, lui, les utiliser pour vous afficher de la pub contextuelle ? Et s'il peut les utiliser lui, comment croire qu’une entreprise américaine, donc soumise au Patriot Act, ne va pas les fournir à la NSA sur demande ? Ce n'est pas parce que Google vous proposera demain une messagerie sécurisée chiffrée que vous serez mieux protégé qu'aujourd'hui.

Il y a eu aussi une prise en compte politique de cette question, de plus en plus d'ailleurs. Là aujourd'hui, il est question de poser une question au gouvernement sur l'accueil d'Edward Snowden en France, en tant que réfugié. Il y a peu de chance que ça arrive, mais on voit quand même que, pour que des questions au gouvernement soient posées en Assemblée Nationale concernant ce type de sujet, il y a une vraie évolution sociale qui se fait.

Et puis il y a une réflexion un peu plus globale qui se fait au niveau des grands corps, des grands organismes qui gèrent Internet, pour mettre la sécurité un peu plus au centre. C'est vrai que c'est un domaine qui était resté très cadenassé, très fermé dans les milieux spécialisés dans la sécurité, mais en dehors, les développeurs en général sur Internet se préoccupaient assez peu de la sécurité jusqu'à présent. Là il est vraiment question de rendre cet aspect du développement d'Internet fondamental. C'est-à-dire que plus rien ne pourrait se créer sur Internet sans qu'au moins il y ait des questions de sécurité qui se posent, voire à ce qu'on essaye de les rendre les plus sûres possible.
Donc on a vu quelques résultats suite à ces révélations. On a vu que l'utilisation de PGP, GPG, c'est la même chose, plus ou moins, et de Tor qui est un système d'anonymisation totale (quand vous naviguez avec Tor vous naviguez de façon complètement anonyme sur Internet), elle est augmentée, dans des proportions très limitées, encore une fois.

On a vu arriver beaucoup de projets orientés vers la protection, sans doute un peu portés par l'air du temps et pour surfer sur la pub faite par Snowden. Je pense en particulier à des sites comme le site suisse ProtonMail, dont on parle aujourd'hui encore parce qu'il pose peut-être des questions de sécurité qui n'ont pas toutes été résolues, mais qui vous garantit, lui, que tous vos mails seront chiffrés, qu'il n'y a aucun moyen de les déchiffrer chez lui, sauf que, on a vu, une faille a été annoncée hier, et puis surtout c'est un système centralisé. Donc si une faille est détectée par un chercheur indépendant, qu'eux la corrigent, c'est très bien, mais c'est centralisé, tout est chez eux. Du coup si la NSA trouve une faille chez eux, tous les mails qui sont stockés chez eux seront déchiffrés par la NSA. Et si le chercheur indépendant les prévient « hé, j'ai trouvé une faille il faut la corriger », c'est bien. Si la NSA trouve une faille, il ne faut pas compter sur eux pour les prévenir. « Hé, j'arrive à lire tout ton mail ! » À partir du moment où on a un système centralisé, la confiance encore une fois, même si c'est en Suisse, et même si c'est totalement du coup indépendant de NSA, en tout cas on peut l'espérer, ça pose quand même des problèmes.

Donc en pratique au quotidien, on voit bien que les résultats en question n'ont pas changé grand-chose au problème. Le problème, c'est quoi en réalité ? C'est une vraie question. Moi depuis des années je me dis que la vie privée est une affaire de vieux cons. Ça a été théorisé, entre autres, par Manach qui a écrit un très bel article là-dessus, et un bouquin même. C'est-à-dire que, dans ma génération, l'idée même d'avoir des caméras partout qui nous surveillent, c'était quelque chose d'un petit peu insupportable. Et puis petit à petit, les choses ont évolué, à la fois par le discours politique sur la sécurité, à la fois par le discours médiatique sur toutes les émissions de télé-réalité.

La première émission de télé-réalité en France, ça remonte à au moins une génération donc Love Story. Ça avait déclenché à l'époque un tas de réactions très fortes en France, puis aujourd'hui, une émission de télé-réalité, tout le monde s'en fiche, c'est devenu naturel.

Même chose, quand moi j'étais gamin, je n'avais pas un baby-phone qui prévenait ma mère quand j'avais pleuré. Je n'avais pas des caméras de sécurité qui me surveillaient. J'avais à la limite des tickets de métro complètement intraçables, une carte Orange ensuite toujours aussi intraçable. Et puis petit à petit sont venues les caméras de sécurité partout, les systèmes d'abonnement, mais d'abonnement nominatif, aux transports en commun, qui fait que le transport sait en permanence où vous allez, qui vous êtes et ce que vous faites. Les cartes de fidélité des grands magasins aussi, qui savent exactement tout ce que vous achetez pour pouvoir vous envoyer des pubs un peu plus ciblées. Tout ça est devenu quelque chose, bien en dehors d'Internet, d'assez largement accepté. Il n'y a plus de réaction face à ça. Du coup on pourrait se dire, après tout, si la vie privée vaut si peu pour le grand public, à quoi bon ? À quoi ça sert de se battre pour essayer de retrouver une protection ? Et pourquoi ne pas laisser les espions continuer à nous espionner ?

D'autre part Internet, depuis aussi une petite dizaine d'années maintenant, est devenu quelque chose de… Le modèle économique fondamental le plus important sur Internet c'est « je vous offre un service gratuit mais en échange j'utilise vos données confidentielles ». Et le grand public aussi a pris l'habitude de ça. C'est difficile aujourd'hui de dire au grand public : « Vous tous, il va falloir maintenant arrêter d'utiliser Gmail parce que c'est gratuit et prendre un service payant qui sera en plus un peu moins pratique à utiliser parce que plus sécurisé ». Et du coup les gens n'ont pas envie. Non seulement c'est compliqué parce qu'il faut changer l’adresse e-mail, mais en plus c'est payant, donc on n'a pas du tout envie de faire ça. Le modèle économique en question est devenu tellement habituel pour le grand public, que lui dire il y en a d'autres possibles, qui eux vous garantiront un peu plus de vie privée, ce n'est pas un geste si simple.

Ça pose un autre problème, cette histoire de modèle économique sur Internet, le fait d'échanger la gratuité contre des données personnelles et donc contre de la publicité, c'est quoi ? C'est que les régies publicitaires, elles, vont plutôt avoir tendance à mettre leurs annonces et leurs offres sur les plus gros sites, ceux qui ont le plus de public, bien sûr. C'est toujours plus intéressant de balancer sa pub sur un site qui a un très fort taux d'audience. Seulement, à ce moment-là, quand vous faites ça, vous renforcez le plus gros des sites, et donc, vous renforcez la centralisation sur Internet. C'est-à-dire que Google n'était pas énorme au début, mais petit à petit, comme il était le plus important des moteurs de recherche, toute la pub s'est faite dessus, et du coup, Google gagne beaucoup d'argent, peut racheter tous ses concurrents. On a une centralisation qui se fait comme ça. C'est pareil pour Facebook, c'est pareil pour tous les très gros sites, ce qu'on appelle les GAFA <(Google, Apple, Facebook, Amazon).

Le problème qui se pose quand on centralise Internet, c'est que pour des espions c'est tentant. Si vous allez chez Google et que vous avez un milliard d'utilisateurs qui utilisent son service de mails, vous n'avez pas envie d'aller espionner les petits Protonmail et autres qui se mettent en place autour de la planète. Tout le monde, de toutes façons, va à un moment ou à un autre, échanger avec des gens qui utilisent Gmail. Donc vous lirez leur courrier même si eux ne sont pas chez Gmail. Donc la centralisation c'est tentant, ce sont des bonbons pour les espions. On n'a qu'à mettre nos micros là, et on espionne la terre entière. On n'a pas besoin d'aller déployer des micros et des sondes absolument partout sur Internet. Il suffit de nous mettre chez Google, chez Amazon, chez Facebook, ça y est on a tout le monde. Ça ne coûte pas cher. C'est beaucoup plus simple.

Donc on voit comment le modèle économique de la gratuité sur Internet amène à une telle facilité qu'il est difficile d'en vouloir à des espions d'espionner. C'est devenu tellement simple pour eux qu'ils auraient tort de s'en priver.

C'est donc le deuxième problème je dirais économique. C'est, non seulement la vie privée pour la plupart des gens d'aujourd'hui est quelque chose qui n'a pas beaucoup de valeur, mais en plus l'espionnage de masse est devenu très peu cher justement du fait de cette centralisation. Donc on a vraiment un rapport de force économique qui se met en place comme ça.

Au niveau politique, il est normal dans une société démocratique qu'il y ait un équilibre entre la liberté et la responsabilité. Ce sont des choses qui se font naturellement. Par exemple en droit pénal, vous n'avez pas de responsabilité si vous n'avez pas la conscience d'avoir mal agi. C'est important. Mais, du coup, vous voyez bien la liaison entre: vous êtes libre d'agir mal mais à ce moment-là vous en êtes responsable. Et de la même façon vous ne pouvez pas être responsable si vous n'avez pas conscience, si vous n'avez pas cette liberté d'avoir mal agi.

Cet équilibre-là, il implique qu'on doive rendre des comptes quand on s’exprime par exemple. Sur Internet, l'expression publique est quelque chose qui doit permettre ensuite, à la justice d'un pays démocratique, de dire non, là vous avez été trop loin, ça n'est plus de l'ordre de la liberté d'expression, c'est de l'ordre du délit, c'est de l'incitation à la haine raciale, c'est autre chose.

==13' 16, relu avec son Beuc ==

Pour pouvoir faire ça on comprend bien qu'un état ait besoin d'avoir des moyens de surveillance. Quand on tient ce discours-là on comprend bien que l'État, pour lui c'est facile de dire « je ne peux laisser tout dire sur Internet, donc il faut que j'ai les moyens de surveillance, il faut que je mette en place des systèmes qui surveillent toute la population pour pouvoir savoir quand quelqu'un va trop loin, et donc, il est normal qu’Internet soit surveillé, il est normal que votre vie privée soit mise en jeu, de façon à ce que je puisse, moi, vous garantir les libertés publiques et la sécurité publique ». Ce n'est pas très cher pour un politique, encore une fois, de mettre en œuvre des systèmes de surveillance. Encore une fois, l'aspect économique de l’atteinte à la vie privée se pose. Le discours politique qui permet de vous surveiller est un discours qui passe facilement.

D'autre part en période de crise, de toutes façons, et ça historiquement, la défense des libertés n'a jamais été quelque chose de fondamental. En période de crise les gens sont plus intéressés par : « Comment est-ce que je vais manger demain ? Où est-ce que je vais habiter après-demain ? ». On a tellement de mal à se projeter dans l'avenir que défendre ses libertés ce n'est pas la priorité du jour. Donc encore une fois, il est plus facile en période de crise de vous vendre de la sécurité que de vous garantir vos libertés fondamentales. On verra plus tard.

Donc on voit d'ailleurs, on l'a revu et j'en reparle à nouveau, la loi de programmation militaire qui aurait, en plein milieu du scandale Snowden et en plein milieu du scandale des écoutes de la NSA, aurait dû déclencher une réaction assez forte du public, n'en a déclenchée presque aucune. C'est-à-dire que les quelques activistes qui s'intéressent à ces dossiers ont dit ce n'est pas normal, on ne peut pas faire ça, on ne pas continuer à étendre les systèmes de surveillance partout sans aucun garde-fou, sans aucune garantie, mais ça s'est arrêté là. Le grand public n'a pas réagi. La loi est passée comme une fleur. Ni le PS, ni l'UMP, ni les Verts n'ont souhaité amener ce projet de loi devant le Conseil Constitutionnel et voilà. Terminé, c'est passé. Ce n'est pas assez cher politiquement de protéger les libertés. Ça ne vaut pas le coup.

Pourtant, si dans une société, toujours dans un état de droit, la vie privée est si importante, c'est surtout parce que sans vie privée on n'a aucune liberté, en réalité. C'est ça que les gens ont un peu de mal à comprendre. On délègue à l'État la responsabilité de garantir la sécurité publique. Mais en échange de cette sécurité publique, il doit aussi garantir les libertés individuelles. Ça doit être un équilibre entre les deux. La sécurité publique elle doit vous permettre, à vous tous, d'agir librement individuellement. Si en échange de la sécurité publique on doit cesser d'avoir une vie privée, donc cesser, je ne sais pas, imaginez que demain vous ayez visité un site, j'allais dire zoophile, pourquoi pas, on peut inventer n'importe quoi, par erreur ou simplement parce que ça vous amuse, chacun son truc. Imaginons ça. Ça n'a pas d'importance après tout dans votre boulot, tout le monde s'en fiche, vos amis savent exactement que vous aimez les teckels morts, il n'y a pas de problème. Donc vous visitez le site et vous vous dites, après tout, que l'état soit au courant, que la NSA soit au courant, je m'en fous, ça n'a aucune importance. Sauf que vous pouvez avoir des gamins demain qui eux vont avoir envie d'avoir une carrière politique par exemple. Ces données qui pour vous n'ont aucune valeur, peut-être que demain elles pourront être utilisées par des opposants politiques pour les mettre en difficulté. On ne peut pas savoir. Vous prenez un selfie devant une jolie fontaine en vacances en Turquie et derrière vous il y a un opposant politique que la police recherche. Vous, votre selfie, vous trouvez que ça n'a aucune importance. L’opposant politique que la police va pouvoir repérer sur Facebook, ou là où vous aurez publié la photo, lui pour le coup ça avait une importance.

Donc on voit quand même que sans vie privée, sans garantie de défense de votre vie privée, si vous ne pouvez pas savoir ce que seront fait, enfin bref vous avez compris, il y a un vrai problème, on n'est plus aussi libre qu'avant si on n'a pas la possibilité, à tout instant, d'agir de façon secrète quand on est soi-même dans sa tête. Or aujourd'hui c’est de moins en moins vrai. Donc cette garantie des libertés individuelles en échange de la sécurité publique, elle doit être proportionnelle. Elle ne peut pas, comme aujourd'hui, continuer à dériver de plus en plus, vers plus de sécurité et moins de liberté, sinon au bout du compte on n'a plus de liberté du tout.

Pour prendre un exemple un peu plus physique : imaginons que demain on vous dise vous allez tous porter des lunettes Google, parce que ça va permettre à la police de surveiller absolument tout ce qui se passe tout le temps, partout, y compris chez vous, vous serez parfaitement en sécurité. Est-ce qu'aujourd'hui on est prêts à accepter ça ? Je ne crois pas. Mais vu l'évolution dans laquelle on est depuis une quinzaine d'années, j'ai bien peur que dans cinq, six ans, ce soit tout à fait acceptable, si on continue comme ça.

Et du coup, là pour le coup, il n'y a plus du tout ni vie privée, ni liberté quelle qu'elle soit. La liberté individuelle, c'est aussi de pouvoir dire « non, cette loi je ne la respecte pas, je vais me battre contre ». Quand, je ne sais pas, Mediapart dit « moi je ne respecterai pas la loi qui m'impose une TVA à 19,6 » alors qu'elle l'impose aux autres journaux, elle le fait publiquement, mais elle pourrait aussi le faire, un certain temps, sans le rendre public. Si Mediapart est surveillé en permanence, il ne peut pas se battre contre cette loi.

On a besoin d'avoir un espace de vie privée pour pouvoir prendre des décisions et on ne peut pas être libre si on n'a pas cet espace de vie privée.

Alors quelle réponse donner à ça ? Évidemment il y a une réponse politique qui devrait se mettre en place, on l'espère, mais on ne le voit pas. Au quotidien, encore une fois, on voit des lois de plus en plus répressives arriver les unes derrière les autres. Aujourd'hui qui permet de fermer un site terroriste sans décision judiciaire. C'est une simple décision administrative qui force votre fournisseur d'accès à vous empêcher d'aller sur un site terroriste. Pourquoi pas ? C'est quoi terroriste ? Qui définit ce qu'est le terrorisme ? Aux États-Unis Edward Snowden, pour certains, est un terroriste. Si on ne définit pas plus que ça, demain l'État français peut dire, je ne sais pas moi, l'utilisation du logiciel libre, c'est un acte terroriste. Pourquoi pas ? Je l'ai déjà entendu, ce n'est pas quelque chose qui vient de nulle part. Si on dit ça, à ce moment-là, on doit empêcher, sans décision judiciaire, l'accès à tous les sites de logiciels libres, si on n'a pas défini le terrorisme. Alors qui peut définir le terrorisme ? Encore moins dans un texte de loi.

Donc si on n'a pas une action politique pour éviter ce type de loi, pour se battre contre, ce que fait la Quadrature en permanence. J'en profite pour vous rappeler que la Quadrature est en période de levée de fonds, donc si vous avez quelques sous à lui donner, n’hésitez pas. Si on ne se bat contre eux, on va continuer à perdre des libertés, petit à petit comme ça, quotidiennement, jusqu'à n'en avoir plus aucune.

Évidemment, il y a aussi la réponse sociale. On peut apprendre à utiliser des logiciels plus sûrs et on peut militer autour de soi. L'exemple que j'aime bien prendre c'est de demander à son docteur comment est-ce qu'il protège vos données médicales qui normalement sont confidentielles. Est-ce qu'il les met sur le cloud sans chiffrement ? Ou est-ce qu'il les garde sur son ordinateur avec un gros mot de passe et chiffrées ? C'est important de le savoir. Et puis en en parlant avec lui ça peut, lui, le motiver à faire un peu plus attention non seulement à ses données mais aussi aux vôtres.

On fait ce travail-là avec les journalistes aussi. On va les voir en leur disant « vous êtes censés garantir l'anonymat de vos sources, comment vous faites ? Est-ce que vous échangez par mail sur Google Mail avec eux ? Ou est-ce que vous utilisez PGP ? »

On peut faire ça. On peut espérer aussi que les corps dont j'ai parlé tout à l'heure, l'IETF, W3C, donc les gens qui organisent Internet, plus ou moins, continuent leurs développements et arrivent peut-être un jour à ce qu'on espère : c'est-à-dire un Internet beaucoup plus sécurisé, mais on en est très loin !

Alors, en tant qu’activiste, il est important aujourd'hui de se poser cette question : « Comment est-ce que moi je vais faire pour améliorer les choses ? »

D'abord je dois apprendre à mieux communiquer. Typiquement je dois venir devant vous, ce n'est pas un acte aussi simple que ça pour quelqu'un comme moi. Je dois, à l'image d'Edward Snowden, apprendre à faire en sorte qu'on parle de mon affaire. Je dois, quand j'ai un scandale que je veux dénoncer, je dois apprendre à le feuilletonner, à trouver les journalistes qui vont faire ça bien, de façon à intéresser le grand public. C'est un vrai boulot d'apprendre à communiquer pour des gens dont ce n'est pas le boulot, mais on est obligés de le faire de plus en plus.

Enfin une réponse technique, qui est peut-être celle dans laquelle je me sens le plus à l'aise, moi, mais qui n'est pas le cas de tout le monde. D'abord il va falloir arrêter de croire que simplement parce qu'on a développé un outil qui permet la confidentialité, tout le monde va se mettre à l'utiliser un jour ou l'autre. Les logiciels libres, après tout, c’était un peu le modèle au départ. On fabrique un logiciel libre, on le met à disposition de tout un chacun, on met la doc en ligne, et puis petit à petit les gens vont l'utiliser. C'est normal, il est meilleur, il est libre, il y a tout intérêt à ce que les gens viennent. Pourquoi est-ce que tout le monde n'abandonne pas Windows ? C'est bizarre ! En même temps, c'est comme ça que ça se passe.

Pour que [GNU/]Linux puisse devenir quelque chose de largement utilisé, il a fallu faire autre chose que simplement le mettre en ligne et laisser les gens s'en emparer. Il a fallu le rendre agréable, facile d'emploi, joli, sexy, quelque chose d'attirant pour le grand public, qui ensuite, que ce soit libre ou pas, il s'en fiche. Ce qu'il veut, lui, c'est que ce soit pratique, sympa, pas difficile.

En sécurité, on n'a jamais fait ce travail là. En sécurité on a fabriqué PGP. Qui l'utilise dans la salle ? Au quotidien ? Voilà. Alors un, deux, trois, quatre, cinq. Qui utilise PGP, qui est le logiciel qui permet de chiffrer son mail, au quotidien ? J'ai bien dit au quotidien, c'est-à-dire que tous les jours vous vous rentrez votre password au moins une fois. Voilà ! Et encore on n'est quand même pas dans un public technophobe. Disons que là vous êtes quand même tous un petit peu technophiles. On a cet outil-là. Il existe depuis vingt ans. En vingt ans il a atteint une dizaine de personnes dans la salle ! Ça ne marche pas ! Il va falloir qu'on fasse mieux que ça. On ne peut pas se contenter de dire ça existe, il y a eu le scandale donc les gens vont l'utiliser. Le scandale il a un an, il y a dix personnes dans la salle qui l'utilisent !

==26' 00, relu avec son Beuc ==
Il faut aussi qu'on arrête de fabriquer des services centralisés. J'aime bien l'exemple de Protonmail, je vous ai expliqué pourquoi tout à l'heure ce n’était pas une bonne idée. C'est qu'un service centralisé, il y aura toujours, toujours une faille. Peut-être que lui, que les auteurs du service auront créé le site web parfait qui n'a aucune faille, qui ne risque de subir aucune injection SQL, rien du tout, mais de toutes façons il aura utilisé des librairies, il aura utilisé un NodeJS quelconque, qui lui aura une faille. Même si personne ne l'a vue, personne ne peut savoir si la NSA ne l'a pas vue. Les développeurs du libre ont des moyens restreints. La NSA a d'énormes moyens. Ça n'a rien à voir. Eux, ils ont des gens à plein temps pour trouver des failles. Nous on a un programmeur dans un coin qui a un site web à livrer, une application à fabriquer, et qui n'a vraiment pas du tout le temps d'aller chercher des failles dans son truc. On peut demander aux autres, à la communauté de faire des audits. Mais la communauté, encore une fois, c'est du bénévolat. Il ne faut pas compter qu'elle soit aussi efficace que des gens qui eux ont des milliards de dollars tous les ans juste pour ça, pour chercher des failles.
Clairement si vous un service centralisé, le plus sécurisé possible, vous n’aurez quand même une faille et vous n'aurez aucune confidentialité.

Il faut aussi évidemment trouver des nouveaux modèles économiques, arrêter de dire aux gens venez chez moi c'est gratuit. Si c'est gratuit, soit vous avez quelque chose en échange, hé donc de la pub, a priori je ne vois que ça. Vendre des services autour, mais des services autour, vous les vendez comment si vous n'utilisez pas les données personnelles de vos utilisateurs ? Et si vous les utilisez, où est la vie privée ? Donc il faut, en tout cas, je n'ai pas les clefs, mais clairement en tout cas, il y a un modèle économique qu'il faut complètement abandonner, c'est le modèle de la publicité. Celui-là, il va falloir faire rentrer dans la tête des utilisateurs que ce n'est pas un modèle, que la publicité ne fait que détruire Internet parce que ça le centralise de plus en plus, et que du coup ça le rend fragile et trop facile à espionner, et qu'il va falloir accepter soit de faire des efforts, soit de payer, en tout cas de trouver de nouveaux modèles économiques. C'est sûr que ça ne va pas être facile.

C'est sûr que ce n'est pas en disant : « J'ai la même que Google Mail, venez chez moi, la seule différence c'est que vous serez sécurisés, mais c'est payant », vous allez réussir à faire venir les gens. Vous en aurez, je pense. Protonmail, la dernière que j'ai eu des chiffres, c’était pas loin de un million d'utilisateurs ; c'est énorme un million d'utilisateurs. Google Mail c'est un milliard d’utilisateurs. Donc sur mille mails échangés entre les utilisateurs pris au hasard, vous en avez 999 qui sont échangés avec Google Mail. Les utilisateurs qui sont chez Protonmail, quand ils veulent parler avec leurs amis, ils ont 999 pour mille chances d'envoyer leurs mails chez Google. Le reste du temps, ouais, ils sont sûrs. Mais un mail sur mille sera sûr. Les 999 autres ils vont chez Google, donc à la NSA. Donc en pratique ça ne sert à rien. Ça ne sert à rien parce que la NSA s'en fiche de ne pas avoir ce un pour mille. Elle a tout le reste donc elle sait ce que vous faites. C'est à 999 pour mille elle le sait. Donc ça lui suffit largement, elle n'a pas besoin d'en savoir plus.

Il faut évidemment maintenant, quand on crée un nouveau projet, mettre la sécurité au centre de ses préoccupations, mais ça, ça devient de plus en plus vrai heureusement.

On a vu l'équation économique, c'est un vrai problème. La valeur de la vie privée est trop basse, donc il va falloir faire en sorte de la remonter. Ce n'est pas simple ! Il va falloir convaincre le grand public que sa vie privée a une valeur. Comment faire ? On y réfléchit. On a essayé, nous, de trouver des idées. Vous en aurez j'espère d'autres. C'est un peu l’objectif de ce type de conf que de dire aux gens, il n'y a pas que CaliOpen. CaliOpen c'est un cas, dont je vais parler plus tard, et j'espère qu'il y aura d'autres idées qui sortiront de mes conférences et de mes discours, parce voilà : CaliOpen va répondre, je crois, à un certain nombre des problèmes que je pose, mais pas à tous.

Donc il faut une vraie envie, pour l'utilisateur, de quitter des services non sécurisés, de quitter des services trop centralisés, et pour ça on ne peut pas se contenter juste de lui dire : "c'est la même chose mais sécurisé". Ça ne marchera pas, pas plus que pour PGP. Il faut trouver des nouveaux services à lui proposer qui lui donneront envie de venir. Et peut-être qu'une fois qu'il sera là, on pourra le motiver pour utiliser des systèmes un peu plus complexes mais beaucoup plus sécurisés. Les motivations on les trouvera. Il faut donc créer cette envie de migrer. Il faut pour ça évidemment créer des services attirants. Ce n'est pas simple. Il faut aussi arrêter de croire que, simplement parce qu'on se protège soi, on est sûr, on est tranquille. Ce n'est pas en se protégeant soi qu'on est tranquille. C'est en se protégeant nous-même et en protégeant tous ceux qui nous entourent. Si chacun se protège dans son coin, c'est-à-dire moi, mes photos à moi, elles sont sécurisées, mais les photos de moi que quelqu’un d'autre a prises, qui elles ne sont pas sûres, elles en disent tout autant de ma vie.

La vie privée, si on veut la garantir, il faut arrêter de croire qu'en se protégeant soi-même seulement, on va réussir à le faire. En se protégeant soi-même, on va chez Protonmail, on fait partie du un million, mais le milliard en face, il continue à nous exposer. Ça ne sert à rien ! La seule façon de protéger la vie privée, ça n'est pas au niveau individuel, c'est au niveau de la masse. Il faut, pour ça, rendre la surveillance de masse beaucoup chère qu'elle ne l'est aujourd'hui. Encore une fois on en revient à ce modèle économique. Si ça devient beaucoup plus compliqué pour les espions d'espionner, du coup qu'est-ce qu'ils vont faire ? Ils ne vont pas arrêter d'espionner, c'est leur boulot, mais ils vont peut-être être un peu plus pointus dans leurs recherches. Plutôt que de dire : "j’aspire tout, les informations de la terre entière en permanence, comme ça je suis sûr que quand je cherche, je trouve", dire : "bon, lui, j'ai vraiment une bonne raison de le suspecter, donc je vais mettre les moyens dessus. Peut-être pas sur Internet, Internet c'est devenu trop sécurisé, tant pis, mais je vais, je ne sais pas moi, lui envoyer une nana jolie, mettre un micro chez lui". Les espions ont toujours su espionner, ils n'ont pas attendu Internet pour ça.

Donc si on rend la surveillance de masse beaucoup plus chère on a une petite chance que les espions arrêtent de nous espionner en permanence, tous. Il n'y a que comme ça qu'on pourra vraiment retrouver un peu de vie privée. Ce n'est pas en se protégeant soi-même dans son coin qu'on y arrivera. La sécurité globale n'est pas la somme des sécurités individuelles, c'est le mot clef de cette chose.

Alors, il y a un autre problème qui se pose quand on veut pousser les gens vers de la sécurité, c'est qu'évidemment c'est moins facile. Un mot de passe sûr c'est un mot de passe compliqué. Si vous mettez "1234", ce n'est pas compliqué, mais c'est facile. Si vous allez chez Gmail ce n'est pas compliqué, mais ce n'est pas sûr. Si vous voulez être sûr vous allez mettre une passphrase de au moins trente caractères de long, qui sera difficile à retrouver et il faudra la taper plusieurs fois par jour parce qu'elle ne sera valable qu'un certain temps. Ça va vous compliquer la vie. Mais allez vendre ça au grand public, en lui disant on est un milliard d’utilisateurs qui maintenant vont décider de, au lieu de mettre "1234" chez Google et avoir un joli service facile à utiliser, ils vont devoir mettre une phrase de trente caractères, compliquée à retrouver, chez un service payant. Comment faire pour motiver autant de gens, suffisamment pour rendre la surveillance de masse assez chère ? C'est un vrai problème, ce n'est pas simple du tout.
Pour CaliOpen on a imaginé une solution à ça. CaliOpen est un projet qui a un an maintenant à peu près, mais qui en réalité a plus de dix ans. Il y a dix ans j'avais voulu déjà créer un service de mails, pas spécialement sécurisé, mais au moins gratuit et un peu plus intelligent que ce qui existait à l'époque. On avait bien avancé sur ce projet et puis Google est arrivé avec Google Mail. On a arrêté parce que forcément on avait un peu de concurrence.

L'an dernier donc suite aux affaires, suite au scandale, Jérémie Zimmermann est passé me voir ; il m'a dit tu dois relancer ton projet et en faire quelque chose. D'abord du libre, ce qui n’était pas le cas de la première version, et puis qui permette aux gens de retrouver de la vie privée. Le challenge était lourd puisqu'il fallait répondre à tous les problèmes que j'ai soulevés jusqu'à présent.
En tout cas, à force de réflexion, on a imaginé une solution pour pousser les gens d'abord à venir vers CaliOpen et ensuite pour adopter des comportements plus sûrs.

D’abord pour les attirer vers CaliOpen on est sorti du modèle, c'est-à-dire qu'on s'est dit on ne va commencer à développer, on sait faire un service de mails, ce n'est pas difficile, mais on n'a pas envie de le faire comme les autres. Parce que si on fait la même chose, pourquoi les gens viendraient chez nous ? Ça n'a pas d’intérêt. Il va falloir qu'on trouve quelque chose de mieux, encore une fois.
Alors on a travaillé, on a travaillé pendant six mois sur une page blanche en disant : « Qu'est-ce que nous on a envie d'avoir ? » Et puis, petit à petit, vraiment avant la moindre ligne de code, on a bossé six mois, moi en ergonome et des graphistes. C'est tout. Aucun technicien, à part moi, mais il y a longtemps que je suis dépassé en technique.

On a, petit à petit, imaginé ce qu'on voulait. On ne voulait plus une interface trop difficile, on voit un peu, ouais, on ne voulait plus cette notion de folders à gauche. On voulait quelque chose qui se rapproche un petit peu, je ne sais pas moi, d'une timeline type Twitter ou autre, juste avec la conversation au fur et à mesure.

Puis on s'est demandé c'est quoi une conversation ? Jusqu'à présent une conversation par e-mail c'est un sujet et sous ce sujet on classe les échanges qui se font. Mais la réalité au quotidien, de nos jours, ce n'est plus ça. Quand vous échangez, je ne sais pas, avec votre fils, votre fille, votre mère, vous commencez un mail un jour, avec un sujet, bien sûr, vous devez en rentrer un, et petit à petit vous continuez à échanger et puis vous faites reply à chaque fois, vous ne changez pas le sujet. La conversation elle dérive. Le sujet reste le même, en tout cas affiché, mais la conversation n'a plus rien à voir.

Donc qu'est-ce qui définit une conversation ? Ça n'est pas son sujet, ce sont les gens qui y participent. Donc on s'est dit on va faire ça, on va oublier cette notion de sujet, on va juste créer une conversation, un échange ce sont les gens qui y participent. Ce qui définit une conversation dans CaliOpen c'est qui participe à la conversation.

On a viré les folders du coup parce qu'on n'en a plus l’usage. On n'a plus besoin de dire : « ça c'est classé dans tel dossier, ça c'est classé dans tel autre ». On n'a pas besoin de ça. On sait de quoi on parle et avec qui on parle, donc on retrouve facilement. On peut mettre des mots-clés et dire ça, cette discussion-là, elle traite de tel sujet ou ce message-là traite de tel sujet.

Petit à petit comme ça on s'est orienté vers une jolie interface qui reste à développer, hélas ! On a beaucoup avancé sur le reste, mais pour l'interface, j'y reviendrai, on a besoin de développeurs frontend web, et ce ne sont pas des gens faciles à débaucher ceux-là.

Donc on s'est dit ça. On a une nouvelle interface, qui est plutôt sympa, mais ça ne suffira pas à attirer les gens. Au contraire, ça risque de les rebuter. Donc qu'est-ce qui va les attirer ? Si on ne définit plus une conversation par son sujet, ça n'a pas besoin d’être forcément une conversation par mail. Ça peut être du SMS, ça peut être du chat en ligne, ça peut être des forums de discussion, ça peut être un peu tout ce qui concerne la correspondance privée. Aujourd'hui on commence une correspondance sur Twitter avec quelqu'un, en 140 caractères, ensuite on passe au message privé ; du message privé c'est trop long, donc on s’échange des e-mails, on passe à l'e-mail, peut-être demain à Jabber, mais ça reste la même conversation, ce sont les mêmes personnes. Donc si on arrive à présenter ça sur une interface agréable en disant tous vos échanges, toute votre correspondance privée, regroupés là, quel que soit le protocole, quel que soit le média utilisé, là pour le coup on a quelque chose de nouveau. Là pour le coup on peut peut-être attirer du public vers un nouveau service. On n'a rien résolu au niveau de la sécurité mais on a peut-être trouvé une bonne raison pour que le public dise ça, ça m'intéresse, je vais voir. Ensuite il va falloir le faire venir, le faire rester.

Pour ça, et surtout pour qu'il utilise de plus en plus d'outils de sécurité, on a imaginé de le noter. Évidemment les gens qui s'y connaissent, ça les intéresse, eux, de savoir que tel message a été chiffré, tel autre ne l'a pas été, parce que comme ça ils savent quelle est la chance que leur courrier ait été intercepté ou non. Mais eux-mêmes n'ont pas de note.

Nous, on a imaginé dans Caliopen, que tout sera noté d'un point de vue de confidentialité. C'est-à-dire que la conversation, en elle-même, a un niveau de confidentialité, le message en lui-même en a un, le contact en a un ; le terminal sur lequel vous vous connectez a un niveau de confidentialité ; le service Caliopen sur lequel vous vous connectez en a un aussi. Tout a un niveau de confidentialité. Et ça donne quoi ? Ça donne que, quand vous utilisez, au départ vous arrivez grand public, vous n'y connaissez rien, vous l'utilisez comme un service un peu nouveau qui vous permet de tout centraliser là, mais il n'y a pas encore de notion de sécurité ni de confidentialité.

Puis un jour, quelqu'un vous dit « Moi je ne veux pas que tu m'envoies de mails, je refuse que tu m'envoies des courriers via Caliopen parce que ton niveau de confidentialité à toi est trop bas et que ma sécurité à moi compte plus que ce que tu pourrais me dire. Donc pour pouvoir m'écrire il va falloir que tu augmentes ton niveau de confidentialité. Et pour ça, il va falloir, je ne sais pas, tu regardes : Caliopen va te proposer des sources, des pistes, tu vas devoir créer un couple de clés, une clé privée, une clef publique, tu vas devoir mieux renseigner le niveau de confidentialité du terminal que tu utilises, tu vas devoir avoir une action qui va te faire monter de niveau. Une fois que tu auras le niveau suffisant pour m'écrire, là j’accepterai de lire tes courriers, sinon je ne les lirai pas ».

Et du coup quand on va se retrouver comme ça, devant des portes fermées, on va avoir envie de monter de niveau. Et puis de toutes façons, même humainement, quand on voit qu'on arrive sur un service et qu'on a un niveau nul, on se dit c'est quoi cette histoire de niveau ? Est-ce que je peux m'améliorer ? C'est comme un jeu quelque part.

Donc, on espère par ce jeu social, pousser les gens vers de la confidentialité, de les pousser à adopter des nouveaux comportements plus respectueux des autres, pas seulement d'eux, mais y compris de leurs correspondants. Par exemple, un correspondant vous envoie un courrier que lui estime confidentiel. Et vous, vous décidez d'aller le lire sur un terminal, sur une borne Wi-fi dans une gare ! Du coup, le message que lui estimait être confidentiel, vous le rendez public quelque part, en tout cas facilement exploitable par un tiers. Évidemment, celui qui vous l'a écrit ne pensait pas que vous alliez agir comme ça. Qu'est-ce qui doit se passer dans un cas comme ça ? D'abord Caliopen, en tout cas un système de ce genre-là, doit vous prévenir : attention ce message-là il a un haut niveau de confidentialité et toi tu vas l'utiliser sur un terminal qui n'en a aucun. Est-ce que tu es vraiment sûr de vouloir faire ça ? Si tu fais ça, tu vas perdre des points. Ton niveau à toi va baisser. Évidemment ton correspondant va être informé du fait que tu as rendu public un message qu'il estimait lui confidentiel, parce que c'est important pour lui de le savoir. Jusque là il croyait que personne d'autre que toi n'allait le lire, mais là, du coup, tu le rends public en faisant ça, il faut qu'il en soit informé. C'est peut-être important pour lui de prendre des garanties du coup. Si c'est, je ne sais pas, une source vis-à-vis d'un journaliste et que d'un seul coup la source doit se protéger, c'est important qu'elle soit informée. Et c'est important aussi que les gens qui continuent à t'écrire sachent que tu as baissé de niveau et que tu as un comportement à risque.

Et du coup, forcément, en agissant comme ça et en proposant ce type d'outil, on va reformer les gens non seulement à se sécuriser mieux, mais aussi à plus respecter la vie privée de leurs correspondants et de leurs contacts. Et c'est comme ça qu'on espère, petit à petit, arriver à quelque chose d’efficace.

Après c'est beaucoup plus technique et je ne pense pas faire une conférence technique. On a aussi pensé que, évidemment, pour pouvoir afficher un niveau de confidentialité d'un message, on ne pouvait pas se contenter d'un simple modèle client-serveur, parce que entre le client et le serveur il y a toujours possibilité d'une interception, man in the middle ou autre, et donc quand vous vous connectez sur un service Caliopen, le jour où vous vous y connecterez, vous vous y connectez à travers un navigateur, mais le service lui-même n'est pas centralisé, mais intégré. C'est-à-dire que l'outil qui vous envoie l'information à afficher est au courant, parce qu'il est sur le même service que le serveur qui a reçu le courrier, de la façon dont ce courrier a été reçu : s'il a été reçu par SMTP simple, sans aucun chiffrement, sans rien du tout, ou s'il a été reçu via SMTP-TLS, donc avec un chiffrement de bout en bout, si le serveur qui a envoyé le courrier a un certificat à jour ou pas. Ce genre d'informations, c'est le serveur qui reçoit votre courrier qui en est informé, pour pouvoir vous l'afficher sur l’écran. Il faut que l'outil qui vous l'affiche soit proche du serveur et qu'il n'y ait pas de possibilité d’intervention entre les deux. Donc on a imaginé un service très intégré.

L'interface seule ne peut pas suffire à vous afficher l'information suffisante pour vous informer sur le niveau de confidentialité. Je pense par exemple à, comment s'appelle-t-il l'autre outil qui est en le développement et qui a commencé un peu en même temps que Caliopen ? Comment ? Ouais, Mail page. Mail page n'est qu'une interface, pour le coup. Donc effectivement, elle vous permet de chiffrer, de déchiffrer votre courrier, mais ça n'est qu'une interface. Le serveur n'est pas intégré dedans, du coup les informations qu'il va vous afficher sont très limitées. Vous n'avez pas réellement assez d'informations pour pouvoir estimer si votre courrier a été intercepté ou pas.

Public : On peut poser des questions ?

L. C. : Oui, oui.

Public : inaudible.

L. C. : Alors idéalement non. En pratique oui. En pratique on imagine, nous déjà, des modes dégradés d'utilisation de Caliopen évidemment, donc un client IMAP pourrait s'y connecter, mais de façon dégradée. D'abord le client IMAP, lui, va s'attendre à avoir une structure mail, donc des sujets, donc tous les échanges qui ne sont pas du mail on aura du mal à les afficher, clairement. Un client IMAP s'attend aussi à des folders. On n'en a pas. On peut recréer des pseudos folders, en agissant sur « je crée le folder avec tous les échanges tagués boulot et je crée donc un folder boulot pour l'afficher au client IMAP ». Mais on sera en mode très dégradé avec aucune notion de confidentialité. Et dans ce mode dégradé là, a priori normalement, un serveur Caliopen n'enverra pas les messages dont le niveau de confidentialité est trop élevé. Il n'enverra que les messages dont le niveau de confidentialité est assez bas.

Oui oui, n'hésitez pas à me poser des questions, bien sûr. Ça marche.

Public : inaudible.

Un autre aspect important, toujours en termes techniques, c'est que la chose qui me permettra de dire on a réussi quelque chose avec Caliopen, ça n'est pas le nombre d'utilisateurs dans le service Caliopen, évidemment. Caliopen ce sera du logiciel libre et on espère qu'il y en aura beaucoup des services Caliopen qui s'ouvriront. Mais pour ça il faut qu'on fasse quelque chose de facile à déployer. Aujourd'hui déployer un service web, ça prend quelques minutes, même à un administrateur pas très compétent, il suffit de, voilà, en cliquant sur quelques trucs, on installe un Apache. Apache est pré-installé de toutes façons dans toutes les distributions et sur tous les serveurs que vous pouvez louer partout. Et ensuite il vous suffit de cliquer, de choisir un CMS, de le dézipper et de cliquer sur quelques trucs et vous avez votre site web, ça y est.

Mettre en place un service de mails, sans parler d'un service aussi complexe qu'un Caliopen qui va gérer le mail, mais XMPP donc Jabber, mais peut-être un jour les SMS, peut-être un jour la vidéo, peut-être d'autres protocoles, là pour le coup, ce ne sont pas quelques minutes qu'il va falloir, ce sont quelques jours. Même pour du mail seul encore une fois. Pourquoi ? Parce que personne n'a jamais bossé là-dessus. On n'a pas d’intégration pour installer sur un serveur, un serveur loué, un système qui reçoit et qui envoie du mail, avec un niveau de confidentialité suffisant, c'est-à-dire avec la configuration du DNSSEC qui va bien pour que votre correspondant quand il reçoit votre courrier, il est bien sûr que c'est de vous qu'il l'a reçu et pas d'un service qui se fait passer pour vous, avec donc du DNSSEC, du dn, avec un certificat à jour. Ce genre de choses est compliqué. Ça ne s'installe pas si simplement que ça.

On espère, avec Caliopen, justement faciliter ce type de déploiement. Pourquoi ? Pour que le gens qui aujourd'hui disent, en entreprise ou même à la maison, moi je ne vais pas m'installer mon serveur de mails, c'est trop compliqué. Y compris en entreprise, je ne prends pas le risque, moi, de devoir gérer le spam, au niveau de ma boîte, parce que ça va me prendre un temps fou, parce que mon patron va m'en vouloir s'il a plus de spams avec mon service que chez Google. Je préfère dire au patron mettez tout le monde chez Google, c'est plus facile.

Si demain Caliopen est facile à déployer et permet d'avoir un service efficace, là pour le coup, on change encore une fois l'équation économique. Le DSI de l’entreprise va pouvoir se dire, je vais pouvoir dire à mon patron que j'ai fait du bon boulot parce que ses concurrents américains ne pourront pas lire son courrier, via la NSA, via Google, via je ne sais. Toujours est-il qu'il ne pourra pas accéder à son courrier aussi facilement, du coup, on va déployer notre truc. Et comme ça, on espère déployer énormément de Caliopen partout, non seulement dans les entreprises, mais y compris dans les associations, y compris, je n'en sais rien dans les écoles, les facs, pourquoi pas. Et c'est le nombre de Caliopen installés qui va faire la masse suffisante d'utilisateurs qui, petit à petit, seront poussés vers l'utilisation des outils de confidentialité, qui fera que peut-être un jour on atteindra ce milliard qui fera qu'on sera à égalité avec un Google Mail et que là, pour l'espion, ça deviendra trop cher de dire je choppe tout parce que j'ai douze mille Caliopen installés dans le monde, je ne suis plus comme à l'époque de Google, pour pouvoir espionner tout le monde il va falloir que je mettre douze mille sondes. Là ce n'est plus le même prix ! Ce n'est pas une sonde, c'est douze mille. Si j'en ai deux cent mille installés, des Caliopen, bonjour le prix ! Donc je vais arrêter d’espionner tout le monde, c'est trop cher. Je vais me remettre à espionner les gens au cas par cas.

Donc la facilité de déploiement de Caliopen est quelque chose de très important depuis le départ aussi. On a imaginé tout ce qui pouvait, à notre niveau, on ne peut pas penser à tout, mais un certain nombre de modèles économiques aussi qui permettront de faire fonctionner un Caliopen, on s'en fiche, et c'est important le modèle économique parce que, si on parle de confidentialité et de vie privée, il est évident que, dès lors que vos échanges ne sont pas stockés chez vous, Caliopen n'est pas prévu pour être en auto-hébergement, s'il y a des questions là-dessus je veux bien y répondre. Votre mail est stocké chez votre fournisseur de mails, donc qui utilise Caliopen lui, mais votre mail vous appartient à vous, pas à lui. Si son modèle économique ne tient pas la route et qu'il se casse la gueule, qu'il doit fermer, vous perdez vos courriers, vous perdez vos échanges, vous perdez tout. En tout cas vous perdez une partie de votre vie privée. Que vont devenir ses disques durs ? Que vont devenir ses serveurs une fois qu'il aura fermé ? Tout ça c'est à vous et si vous ne savez pas ce que ça devient, vous n’êtes plus sûr que ça ne va pas partir chez des gens qui, eux, vont vouloir vous espionner encore une fois. On n'a pas de sécurité.

Pour avoir un minimum de sécurité, il faut que le modèle économique tienne la route. Donc on essaie d'en imaginer, mais surtout on s'est demandé comment faire pour pousser les gens qui vont installer des Caliopen à adopter des modèles économiques un petit peu stables. Et donc on a imaginé une association autour de Caliopen qui dise vous pouvez, si vous voulez, une fois que vous avez installé votre Caliopen, adhérer à l'association.

Elle, son boulot c'est évidemment de faire le suivi du logiciel, d'assurer des mises à jour, de faire de la maintenance, de boucher les trous de sécurité, il y en aura comme toujours, il y en a partout. En échange, si vous adhérez, vous aurez non seulement ces mises à jour et puis de l’information, vous permettrez la création des mises à jour, donc vous aurez un service plus sûr vous-même. Mais en plus de ça on va vous donner en échange de ça un certificat de l’association, un label qui dit, oui, cette entreprise, ce particulier, ce service web qui est ouvert au grand public, a adhéré à la charte de l'association et la charte implique que son modèle économique n'est pas basé sur la publicité, qu'il est un petit peu fonctionnel, en tout cas qu'il ne soit pas complètement surréaliste, que par exemple quelqu'un n'ouvre pas un service grand public, ouvert à tous complètement gratuit, sans rien en échange, parce qu'on voit bien que lui va se casser la gueule très rapidement et que du coup les données privées de ses utilisateurs risquent de partir dans la nature.

Il s'est aussi engagé, si par malheur le modèle économique que nous on a estimé viable en tant qu’association, se casse quand même la gueule, il s'est engagé, au moment où il a adhéré à l’association, à transférer ses utilisateurs chez un autre membre de l'association ou à leur rendre leurs données. En tout état de cause il s'est engagé suffisamment pour qu'on ait une bonne chance que l'utilisateur puisse récupérer son adresse e-mail, parce que ça lui appartient, y compris l'adresse elle-même avec le domaine, mais tout ce qui a été échangé là-dedans.

En plus de ça, ce label associé à un certificat pourra permettre peut-être un jour de créer un réseau entre tous les services Caliopen, qui utilisera d'autres protocoles, un peu plus sûrs que les protocoles existants, en tout cas on a le choix, et qui, eux, seront plus difficiles à écouter. Donc on aura recréé un réseau d'échange entre tous les Caliopen qui permettra, par exemple, à quelqu'un qui utilise un service A de savoir quel est le niveau de confidentialité d'un contact qui lui est sur un service B. Mais tous les deux sont des Caliopen, ils ont tous les deux adhéré à l’association. Ils sont à l'intérieur d'un réseau privé qui échange ce type d'informations-là via des protocoles beaucoup plus confidentiels et sécurisés. Et donc on retrouve des fonctionnalités qu'on auraient perdues sinon. Et du coup forcément le service qui lui s'est engagé à respecter la charte mais ne le fait plus, perd ça, perd son label, mais perd aussi son certificat et d'un seul coup ses utilisateurs perdent des fonctionnalités. Donc on n'a pas intérêt non plus.

À chaque fois qu'on a mis en place une idée, on a essayé de comprendre pourquoi les gens allaient être motivés, et pas seulement par la sécurité. Il faut qu'il y ait quelque chose d'autre que la sécurité pour pousser les gens vers l'utilisation des outils de sécurité.

Donc voilà en gros ce qu'est Caliopen et en quoi il répond à la problématique que j'ai soulevée avant.

Le dernier point dont j'ai un peu parlé tout à l'heure : on a beaucoup avancé, à la fois sur lui, donc le design qu'on veut obtenir et sur tout ce qui est back-office, c'est-à-dire le stockage, les outils de stockage, les outils d'indexation, de façon à les rendre facilement déployables mais aussi très adaptatifs, c'est-à-dire qu'ils pourront servir d'une petite association à une très grande entreprise ou à un service gigantesque à la Gmail qui soit public et payant. On a quelque chose qui est très facilement installable à tous les niveaux. Mais pour ça, ce qu'on n'a pas réussi à faire jusqu'à présent, c'est développer l'interface utilisateur parce qu'on a besoin pour ça d'avoir des développeurs web et c'est vraiment ce qu'on recherche en priorité maintenant : ce sont de gens qui viennent nous aider à créer. On sait ce qu'on veut obtenir, on a des mockups, on a tout ce qu'il faut, on a du graphisme, mais le boulot de développement web, lui, on est vraiment très en retard dessus. Donc si vous connaissez des développeurs web qui pourraient être intéressés par ce projet, n'hésitez pas à les mettre en contact avec nous.

Si vraiment on n'en a pas trouvé suffisamment d'ici la rentrée, on envisagera soit de faire un hackhaton, soit de faire carrément un kickstart, pour avoir de l'argent pour payer des gens pour le faire, pour amener au moins le projet jusqu'à un point où les développeurs viendront plus facilement, parce que c'est vrai que c'est difficile d'intégrer un projet où on ne voit pas quelque chose à l'écran.

Voilà, maintenant je suis à votre disposition si vous avez de questions. Je vais les répéter.

Public : Est-ce que vous envisagez de mettre en place une sorte de standard qui permettrait à d'autres projets d’être compatibles avec Caliopen, d'être compatible avec des langages différents, avec des OS ou des serveurs différents, qui rendraient plus sûr finalement le réseau puisqu'en cas de panne de sécurité, seule une partie... inaudible

L. C. : Donc l'ouverture de Caliopen vers d'autres services ? En fait une plus grande compatibilité de Caliopen, que ce soit au niveau de systèmes d'exploitation que de l'ouverture à d'autres services ? Caliopen, comme la plupart des web services aujourd'hui, est basé sur une API. L'API est évidemment ouverte et grand public puisqu'on est dans le Logiciel Libre. L'idée étant que n'importe qui puisse ajouter, parce que son modèle est connu et qu'il est basé là-dessus, demain de la vidéo ou d'autres protocoles qui viendront et s'intègrent à l'interface utilisateur telle qu'on l'imagine, Cette API est ouverte et permet déjà, permettra, en tout ça on l’espère, de créer des modules, des plugins tout ce qu'on peut imaginer.

Au-delà de ça, oui, on commence déjà à réfléchir avec les gens de Cozy Cloud en particulier, à voir comment faire en sorte d’intégrer les services qui sont différents mais qui ont une logique presque identique. Cozy Cloud tend à vous rendre la main sur vos données, cette fois-ci, quelles qu'elles soient, sur vos photos ou vos fichiers, tout. Caliopen est orienté vers la correspondance uniquement. On voit bien qu'il y a une compatibilité entre les deux et moyen de trouver des synergies. Aujourd'hui par exemple, eux veulent avoir quand même un service de mails intégré dans le Cozy Cloud, donc ils essaient de réfléchir à comment faire en sorte de développer quelque chose qui sera proche de l'interface utilisateur de Caliopen, de façon à ce que Caliopen puisse réutiliser une partie de leur boulot pour l'interface utilisateur. Et peut-être un jour, oui pourquoi pas, une intégration des deux, même si c'est compliqué. Parce que pour parler encore une fois de Cozy Cloud, eux sont basés sur un modèle client-serveur pour le coup très affirmé et donc on a un vrai problème de compatibilité, là pour le coup oui, parce que, voilà, comment faire en sorte dans un modèle client-serveur d'intégrer un système qui lui ne veut pas l’être ? Ce n'est pas simple.

Ensuite, sur la question de la portabilité entre les différents OS ? C'est du logiciel libre et les outils qui sont derrière sont déjà portés sur à peu près tous les OS existants, même si clairement je me vois mal installer un poste fixe sur un Windows. Je sais qu'on peut. Je pense quand même que, de toutes façons, ça restera en très grande majorité sur des Unix, mais tous les Unix pourront faire tourner un Caliopen et évidemment pas seulement GNU/Linux. Tous les VSD feront tourner les Caliopen, même les Mac feront tourner des Caliopen. Il n'y a aucun problème par rapport à ça.

Public : Oui. Je pensais que ce genre d'application, je pensais que c'est peut-être quelque chose d'intéressant pour tout l'auto-hébergement et aussi l'hébergement associatif. Notamment parce qu'il y a un aspect éthique, donc un aspect sécurité qui est important pour eux. Et puis donc je pense à présent, enfin nous en ce qui me concerne, on est donc une association qui s'appelle MarsNet qui est à Marseille, qui est un peu à la suite de Globenet et donc, nous ça nous intéresse beaucoup. Mais je me pose des questions au niveau de l'ergonomie, des choix de l'ergonomie, parce que ça me paraît un peu surprenant et puis je me dis est-ce que ce n'est pas aussi intéressant de travailler justement avec les hébergeurs au niveau de ces choix de l'ergonomie et au niveau du public aussi, au niveau des usagers. Je voudrais savoir en fait combien d'usagers ont travaillé avec vous pour tester ces choix ergonomiques ?

L. C. : L'ergonomie, il y a six mois de boulot dessus, je ne pense pas tellement qu'on va y revenir maintenant. Par contre, est-ce qu'elle sera facile à utiliser, agréable à utiliser, on le verra quand on l'aura. Ça, vraiment, c'est le problème. Aujourd'hui on a fait ce qu'on appelle une Proof of Concept, c'est-à-dire qu'on a développé une interface minimale pour voir comment ça se passe. Ça a l'air utilisable. Il y a des questions qui vont se poser c'est sûr ; on n'a pas résolu tous les problèmes de l'interface utilisateur.

Typiquement, un exemple assez classique, c'est quand c'est du mail je sais afficher facilement un graphe avec untel a répondu à untel qui a répondu à untel dans tel ordre, mais là il y a une autre réponse. Voilà je fabrique mon graphe comme ça. Quand on intègre à la fois du mail, du chat en direct, des SMS, de la vidéo, n'importe quoi, le graphe devient quasiment impossible à imaginer. Comment faire en sorte ? Comment présenter la chose ? On a des idées, mais on ne les a pas toutes. Ça viendra au fur et à mesure et avec le retour des utilisateurs. Pour qu'on ait un retour des utilisateurs, il faut déjà qu'on ait quelque chose à leur faire tester. Et tant qu'on n'aura pas de développeurs web pour faire cette interface et jusqu'à l'interface utilisateur, on n'aura pas grand-chose à faire tester.

Sur l'auto-hébergement, je reviens là-dessus juste un mot. Le mail, mais pas seulement, tout ce qui est correspondance privée, à cause du spam notamment, mais pas que, n'est pas quelque chose qui s'allie bien à l'auto-hébergement. Moi j'auto-héberge mon e-mail perso depuis 92, à peu-près. Au début c’était facile. Ces dernières années, une fois par moi, je dois me taper je ne sais pas combien de milliers de spams pour modifier ma base d'anti-spams, modifier mes configs. Tout ça pour une personne. C'est un travail délirant. Ça ne sert à rien. Enfin ça sert pour moi, mais c'est complètement fou quoi. Le mail, à cause du spam entre autres, c'est quelque chose qui se centralise pas trop, mais quand même un peu, de façon à ce que quand on gère un service de mails, on ait un anti-spam pour tout le monde, En plus de ça plus on a d'utilisateurs plus c'est facile de faire de l'anti-spam parce que le travail de la logique bayésienne se fait plus facilement sur un grand nombre de courriers différents.

Imaginons que vous avez cent mille utilisateurs sur votre service, d'un seul coup vous avez un mail, le même, qui arrive pour dix mille utilisateurs ! Spam ! Grosse chance de spams ! Ça peut être La Redoute aussi, mais pas forcément. En tout cas on peut augmenter comme ça facilement le niveau et détecter des choses plus facilement.

Pareil vous mettez du greylisting sur votre service. Le greylisting, quand vous êtes tout seul, à chaque fois qu'un nouveau contact vous envoie du mail, il se prend un quart d'attente et son serveur doit faire un retry et vous, vous attendez un quart d'heure de le recevoir. Si le greylisting est au niveau d'un service un peu plus centralisé, il y a un utilisateur qui va se prendre le quart d'heure de retard, mais tous les autres ça passe pour eux. Donc le courrier électronique et tout ce qui est correspondance privée c'est bien quand c'est un peu centralisé pour tout un tas de raisons. Ça permet de partager des règles de filtrage, ça permet de partager des contacts, ça permet de partager des carnets d'adresses, ça permet de partager des fichiers plus facilement. Ça permet aussi de ne stocker les fichiers qu'en un seul exemplaire, si justement La Redoute envoie à tous vos utilisateurs le même e-mail, plutôt que de stocker sur votre service dix mille fois les mêmes photos, vous n'allez les stocker qu'une seule fois pour dix mille personnes, ça coûte un peu ; pour cent mille personnes ça ne coûte plus rien par rapport à l'effort d’hébergement que vous avez fait.

Du coup il y a une vraie raison de centraliser un peu le courrier électronique, y compris économique. Technique et économique. Trop centraliser, on l'a vu ce n'est pas bon. Ce n'est pas bon parce que du coup c'est là que l'espion mettra son micro. Mais pas centraliser, c'est vraiment trop compliqué et pas adapté.

Donc l'auto-hébergement pour le courrier, ce sera possible, mais ce sera possible vraiment pour quelques fous, quoi ! Je ne pense pas que ce soit l'objectif d'un Caliopen que d'avoir des services auto-hébergés pour un utilisateur. Par contre à l’échelle d'une famille, pourquoi pas ! A l’échelle d'une entreprise, évidemment, là oui. Là il y a une vraie logique à mettre en œuvre un Caliopen. Mais en auto-hébergement perso, je le vois pas tellement. En association parfaitement. Oui absolument.

Public : inaudible

L. C. : Justement. Attends attends, parce que je dois répéter, si tu es trop long je vais en oublier un morceau. Donc est-ce que le fait de rendre public le niveau de confidentialité d'un utilisateur CaliOpen n'est pas à l'opposé de la confidentialité ? C'est ta question ? Est-ce que ce n'est pas une métadonnée ?

Alors ça en est sans doute une. Je doute qu'à elle seule elle intéresse grand monde. Dans les métadonnées, ce qui est intéressant ce n'est pas la donnée sur l'utilisateur, c'est avec qui il parle. Ça n'est pas qui il est pour l'instant. Le vrai truc des métadonnées c'est de créer des graphes pour dire, untel parle à untel, parle à untel, or le troisième, là, m'intéresse, donc je vais aussi espionner untel, untel, untel, untel.

Là, même si effectivement ça peut poser un problème, je l'entends bien, je le comprends, je n'ai pas envie moi que tout le monde sache que je suis complètement nul en confidentialité, et c'est le cas, mais justement c'est tout le principe. Si on oublie ça, on n’arrivera pas à créer la motivation nécessaire aux gens pour monter de niveau. Si cette information-là n'est pas publique, les gens qui t'écrivent sans te connaître particulièrement, ne savent pas si tu es quelqu'un à qui ils peuvent faire confiance ou pas. C'est quelque chose de fondamental donc c'est quelque chose qui doit être public. C'est un choix qu'on fait. Ce n'est pas un choix forcément partagé par tous, je comprends bien. Mais c'est un des choix fondamentaux de CaliOpen que cette information-là, elle, oui, elle doit être publique. Le fait que tu n'es pas quelqu'un de sûr, c'est public.

Eh bien tant mieux, mais tant mieux ! Ça poussera les gens à faire plus attention. Moi c'est comme ça que je le vois, si tu veux. Peut-être que je me goure, peut-être que les gens continueront à dire, tant pis, moi je m'en fous ! Et puis que les gens sachent que je suis une grosse brêle en sécurité et que tout ce qu'ils m'envoient est public, et que je le répète à tous parce que j'adore raconter la vie de mes potes à tout le monde. Mais moi je crois que, peut-être avec ce type de choses, justement, c'est comme ça qu'on arrivera à renverser, c'est un vrai boulot, de renverser toute cette charge qu'on a depuis des années, de rendre la vie privée de moins en moins importante, tout ce que je disais au début, pour que, justement, transformer et revenir en arrière vers quelque chose d'un peu plus équilibré, il va falloir ce genre de choses. Et si pour ça il faut rendre public le fait que toi tu n'es pas quelqu'un à qui on peut faire confiance, eh bien tant pis, faisons-le.

Public : Est-ce que au niveau d'un serveur inaudible

L. C. : Alors, j'entends. Est-ce que par le biais des niveaux de confidentialité on pourrait créer un graphe ? Non. Non. C'est l'utilisateur qui décide au moment où il écrit, ça n'est pas le système qui l’empêche d'envoyer un courrier à quelqu'un de non confidentiel, c'est lui. C'est lui qui dit, lui n'est pas confidentiel je ne lui écris pas. Ah, ben là c'est ma mère ! Oui, je peux lui écrire quand même. Elle a un niveau de confidentialité complètement nul, mais ce n'est pas grave, ce que je lui dis n'est pas important. Donc tu ne peux pas recréer simplement en regardant, ces trois-là, ils ont le même niveau de confidentialité donc ce sont forcément des gens qui se parlent entre eux, ce n'est pas une information.

Public : inaudible

L. C. : Là on rentre dans une logique beaucoup plus floue, sachant qu'en plus tout ça est sur différents serveurs.

Public : inaudible

L. C. : Est-ce que la démocratisation d'outils de type PGP pourrait se faire d'abord par le développement d'outils plus agréables en JavaScript tels qu'il en existe de plus en plus et en plus est-ce que ce ne serait pas une solution au problème du spam ?

Alors oui et oui. D’abord évidemment que les outils qui seront intégrés dans CaliOpen et dans son interface seront de cet ordre-là. On ne va pas réinventer le truc. J'ai refusé qu'on utilise l'état de l'art aujourd'hui, parce que tant que l'interface utilisateur n'est pas un peu plus aboutie, je n'ai pas du tout envie qu'on se mette à coder en utilisant telle ou telle librairie Java qui permet de le faire, alors que demain il y en aura une meilleure qui sera sortie. Typiquement, ce qui existait il y a six mois, au moment où on a vraiment commencé à bosser, et ce qui existe aujourd'hui, a évolué, ne serait-ce que parce que Google a mis en ligne son propre système qui est plutôt pas mal foutu. L’utiliser tel quel je n'irai pas, déjà parce que c'est RSA et que je n'ai pas confiance. Mais, en l'adaptant un peu, on peut en faire quelque chose de plus agréable que ce que j'ai vu ailleurs.

Ensuite est-ce que le spam peut être résolu ? Je n'en ai pas parlé directement, mais j'ai dit qu'il n'y avait plus de folders dans CaliOpen. Un des folders habituels, dans tous les webmails, ce sont les indésirables, le spam en gros. Dans CaliOpen on n'a pas de folder, donc on n'a pas ça. Ce qu'on a à la place c'est un deuxième niveau qui s'affiche, et qui lui aussi est réglable, qui est le niveau d'importance qu'on calcule à la fois en fonction du tag associé s'il y en a un, ou du tag reconnu même si on n'en a pas mis. Typiquement vous recevez un mail de votre patron, votre patron est taggé "boulot". Donc le mail, automatiquement, même si vous ne l'avez pas fait, sera taggé "boulot". Ce type de chose permet d'associer à un tag, à un contact, à une discussion, un niveau d'importance. Et puis petit à petit le système apprend à classer les choses par niveau d'importance.

Quand il voit un spam le niveau d'importance est très, très bas. Par défaut la timeline d'un Caliopen ne vous affichera pas les contenus dont le niveau d'importance est trop bas. Vous le pouvez. Comme vous pouvez ouvrir votre dossier spam. Mais c'est diminuer le niveau minimal d'importance que vous voulez afficher. Mais par défaut il ne vous affichera pas les spams simplement parce que leur niveau d'importance sera trop bas.

Évidemment oui, un message confidentiel, donc chiffré, a un niveau d'importance plus élevé qu'un message non chiffré. Donc oui, un spam chiffré pourrait passer. Mais aujourd'hui, en effet, les spammeurs n'utilisent pas, ni PGP, ni aucun outil de chiffrement. Il ne faut pas se faire d'illusions si vraiment CaliOpen arrive à concurrencer un jour Google Mail, évidemment les spammeurs s'y mettront. Donc il faudra trouver d'autres solutions. De toutes façons ça ne s’arrêtera pas demain la guerre anti-spam. Il ne faut pas rêver. Mais ça leur coûtera plus cher, ce n'est déjà pas mal. Oui en effet.

Cool, pas d'autres questions ? On va manger les cahouettes alors.

Public : inaudible

L. C. : Ah mais moi je ne demande que ça. Mais pour l'instant au stade où on en est, ça n'est pas encore à l'ordre du jour. Ça le deviendra j'espère très, très vite. Aujourd'hui l'utilisateur, s'il va regarder le projet CaliOpen, il va voir quoi ? Des slides, ceux que vous avez vus là, et tout un tas de trucs qui sont du back-end. Ce sont vraiment les outils, l'API dont je parlais tout à l'heure, les différents systèmes qui se mettent en place derrière l'interface. Mais tant qu'on n'aura pas cette interface à montrer, on n'a rien à montrer à un utilisateur final. L'utilisateur final, c'est la seule chose qu'il verra dans CaliOpen. Ce n'est pas un administrateur. Donc tant qu'on n'a pas ça, non seulement on n'a rien à faire tester ni rien à faire traduire, parce que j'ai des offres aussi de gens qui me disent : « Est-ce que je peux faire de la traduction? ». Mais volontiers ! Mais pour l'instant ce n'est pas encore à l'ordre du jour. Évidemment dès qu'on aura quelque chose, moi je serai très preneur d'avoir des retours et de continuer. On n'a pas toutes les réponses, encore une fois je l'ai dit. Il y aura plein de gens qui voudront nous en apporter, j'espère bien, oui. Mais aujourd'hui on ne peut pas parce qu'on n'a pas ces développeurs. C'est lié. Il faut qu'on trouve très vite maintenant des développeurs web pour avancer et montrer quelque chose. En plus de ça, le fait de montrer quelque chose, ça aussi ça motivera d'autres développeurs pour dire : «nbsp;Attends, mais là il te manque ce bout-là, moi je sais le faire, je te le fais. Là aujourd'hui, il te manque tous les bouts, tu es gentil mais je n'ai pas envie ».

Donc on en est à ce stade difficile où on a vraiment besoin de trouver. C'est pour ça que je fais autant de confs aussi d'ailleurs, pour ça que j'en parle autant, c'est que vraiment, si on veut que ça existe un jour, il va falloir qu'on trouve une solution maintenant, cet été, pour avancer sur l'interface utilisateur. On a été vraiment déjà très loin sur le reste, maintenant il faut qu'on avance là-dessus et on prend un retard conséquent.

Gandi m'aide depuis le départ du projet et met à disposition du projet du temps homme comme on dit maintenant. En gros, les gens chez Gandi qui ont envie de bosser sur CaliOpen sont libres de le faire, y compris sur leur temps de travail. Ils ne sont pas forcés. Ça reste du logiciel libre, personne n'est forcé de bosser dessus. On avait un développeur web jusqu'à il y a un mois. Maintenant il a trop de boulot ailleurs, toujours chez Gandi. Gandi du coup embauche d'autres développeurs web. Peut-être qu'un de ceux-là, et je sais que c'est en cours, a envie de travailler sur CaliOpen et pourra le faire du coup. Mais c'est une seule boîte.

Gandi ne fait pas ça juste parce qu'il m’aime bien et que c'est mon ancienne boîte. Il fait aussi ça parce que, depuis maintenant dix ans, je ne sais pas, il gère gratuitement du mail pour ses utilisateurs. Quand on gère du mail en tant qu'entreprise, au début ça va, ce n'est pas très cher. Mais le mail, ça s'accumule. Un utilisateur que vous avez depuis un an, il a une quantité donnée de mails, dix ans plus tard il en dix fois plus. Vous, vous êtes toujours gratuit, vous n'avez pas moyen de dire, mec vous allez payer maintenant parce que dès le départ c’était gratuit et que les gens n'accepteront pas si facilement ou ils iront ailleurs, ils s'en foutent.

Du coup comment faire en sorte de, sinon faire payer un nouveau service, je ne pense pas que ce soit dans l'idée de Gandi de le faire, mais pourquoi pas, mais au moins mettre en place quelque chose qui soit un peu plus moderne en terme de stockage et qui ne soit pas des fichiers plats stockés sur de disques, avec des filesystems forcément, même un peu évolués, qui ne sont pas faits pour, parce qu'au delà d'un certain nombre de mails stockés ça devient juste ingérable d'un point de vue système. Du coup eux, CaliOpen, ça les intéresse aussi pour ça, parce que si demain ils peuvent dire à la place de notre web mail tout court, notre joli web mail, on propose aux utilisateurs d'utiliser l'interface CaliOpen, nous derrière aussi ça veut dire qu'on aura tout le back-end de CaliOpen pour avoir un stockage beaucoup plus facile à gérer, qui s'auto-réplique...

Il n'y a pas que Gandi qui est dans cette situation. Il y a tous les gens qui fournissent du mail. Et parmi les gens qui fournissent du mail, il n'y a pas que Gandi qui a des développeurs en interne. Donc il y a d'autres boîtes que Gandi qui pourraient avoir la même logique et se dire aussi moi ça m'intéresse que ce truc existe, ne serait-ce que parce que ça me coûtera moins cher de gérer le mail de mes utilisateurs demain. Donc qui pourraient envoyer d'autres développeurs, ceux qui sont chez eux, en attendant, voilà !

Mais là, il faut que j'arrive à expliquer ça aux gens et c'est un boulot. On m'a demandé de porter ce projet. Du coup c'est devenu mon projet. Il me semble important. Comme l'a dit Stéphane à la dernière conf, je ne suis pas là pour faire de l'argent et je vois d'ailleurs mal comment on pourrait faire de l'argent avec un CaliOpen. On peut monter un service CaliOpen, l'ouvrir au grand public, le rendre payant. On sera rentable, j'ai peu de doutes là-dessus, mais on ne va pas devenir milliardaires en vendant CaliOpen à Google puisque c'est du libre, et puisque le modèle est décentralisé ; ça n’intéressa pas Google, quoi ! Ce n'est pas avec ce projet-là que je vais gagner beaucoup de sous.

J'essaie de motiver les gens, d'intéresser les gens, de leur expliquer pourquoi, comment, et quoi. Mais c'est tout ce que je peux faire à ce stade. Et quand j'ai voulu, moi, plonger dans le code, en disant après tout j'ai été développeur, je peux le redevenir, les jeunes m'ont dit non ! Tu es trop vieux ! Va t-en ? Tu vas nous ralentir et déjà on ne va pas vite. Va faire des confs, écris de articles, mais arrête. Le code ce n'est plus pour toi. Voilà ! Je suis là aujourd'hui à cause de ça. Mais je ne peux pas faire plus que d'essayer de vous convaincre d'en parler autour de vous et de motiver et d'essayer de faire avancer pour qu'on ait ce projet parce que je crois vraiment que c'est une belle solution.

Applaudissements.

Le Conseil National Logiciel Libre interview de Patrice Bertrand lors des RMLL 2014

1 Août, 2014 - 22:25


Informations
  • Titre : Le Conseil National du Logiciel Libre
  • Intervenant :Patrice Bertrand - Journaliste de Radio RMLL
  • Date : Juillet 2014
  • Lieu : RMLL - Montpellier
  • Durée :24 min 20
  • Média : Lien vers le site rmll

Patrice Bertrand, président du CNLL nous présente le rôle de cette fédération d’associations d’entreprises œuvrant pour le logiciel libre.

Transcription

Luc : Radio RMLL. Bonjour. Je suis avec Patrice Bertrand, qui est à la tête du CNLL, le Conseil National du Logiciel Libre. Donc qu'est-ce que c'est que le Conseil du Logiciel Libre ?

Patrice Bertrand : Le Conseil National du Logiciel Libre, c'est une association qui est un peu dans un mode de fédération, puisque ses membres sont eux-mêmes des associations. Ses membres sont des associations régionales d'entreprises du Logiciel Libre.

Luc : Donc c'est une sorte de fédération, en quelque sorte ?

Patrice Bertrand : Voilà, c'est ça. C'est une sorte de fédération qui a été créée en 2010 et qui est active depuis cette date et j'en suis le porte-parole, renouvelé dans ce mandat en février dernier. Les associations régionales dont je parle, qui sont membres du CNLL, sont au nombre de treize. Ce sont des associations d'entreprises qui, certaines, existent depuis plus de dix ans, qui sont très actives dans leur région, très reconnues des pouvoirs publics et qui ont chacune, disons, entre une vingtaine et une soixantaine de membres.

Luc : Ça fait combien de membres au total pour le CNLL ?

Patrice Bertrand : Un peu plus de trois cents.

Luc : D'accord.

Patrice Bertrand : Et donc ces associations régionales ont une activité qui a trois typologies de missions. La première c'est de faire collaborer entre eux, de créer des actions communes entre ses membres qui peuvent être de niveau commercial, de répondre ensemble à un appel d'offres, ou d'associer un éditeur de logiciels avec un intégrateur qui pourra déployer son propre produit, etc. La deuxième c'est de communiquer autour des valeurs, des croyances, mais aussi des intérêts économiques des entrepreneurs du Logiciel Libre, et puis d'offrir des interlocuteurs aux pouvoirs publics régionaux pour déployer leur action.

Luc : Et pour avoir des interlocuteurs nationaux également au travers du CNLL ?

Patrice Bertrand : Et voilà. Ces associations, en 2010, ont fait le constat qu'il manquait un relais au niveau national et ont créé le CNLL avec un peu les mêmes missions : créer des liens entre les associations. Et par exemple, depuis l'année dernière, et ça va avoir lieu à nouveau cette année, on a créé un cycle de réunions qui s'appelle les Rencontres Régionales du Logiciel Libre, un peu comme comme les Rencontres Mondiales du Logiciel Libre. Le premier cycle était spécifiquement orienté vers les collectivités locales, donc pour dire comment est-ce qu'on déploie du Logiciel Libre dans les collectivités locales, et donc il y a eu peut-être l'année dernière pas loin d'une dizaine de conférences qui se sont tenues. Et donc le CNLL était typiquement dans sa mission, non pas d'organiser directement ces conférences, mais d'aider les associations régionales à collaborer dans leur organisation.

Luc : Le CNLL, donc ça représente des petites entreprises, des PME essentiellement ?

Patrice Bertrand : Oui. Le CNLL représente des petites entreprises pour la plupart. On estime que la moitié d'entre elles environ ont moins de cinq salariés et la taille moyenne est à une dizaine de salariés et il y a un petit nombre, à peine, je crois une petite dizaine d’entreprises, qui vont avoir passé la centaine de salariés.

Luc : D'accord.

Patrice Bertrand : Donc ce sont des PME et des TPE.

Luc : Dans vos actions vous avez également fait passer un questionnaire, c'est ça, récemment ?

Patrice Bertrand : Oui c'était une des dernières études qu'on a publiée, c’était au mois de mars. On a interrogé les chefs d’entreprises. Comme ce sont des petites entreprises, le chef d'entreprise est souvent le créateur de l’entreprise et on les a interrogés sur toute une palette de sujets d'actualité qui allaient de l'action du gouvernement, la priorité au Logiciel Libre dans l'éducation, la stimulation de la R&D en France, mais également jusqu'aux conséquences de l'affaire Snowden, etc.
Le détail de l'analyse des réponses de ces chefs d'entreprise figure sur le site du CNLL, je ne peux pas en faire la synthèse précise ici, mais disons qu'une des choses vraiment essentielle qui est ressortie, c'est un grand alignement des points de vue. On a eu plus de cent personnes, près de cent vingt personnes qui ont répondu à ce questionnaire, donc un nombre très conséquent, et sur beaucoup de sujets on voyait qu'à 80 % les réponses allaient dans le même sens.

Luc : Preuve qu'il y a effectivement vraiment une communauté qui tirait dans le même sens. Ce sont des gens qui ont une vision des choses assez proche.

Patrice Bertrand : Exactement oui, et ça c'est vraiment un effet majeur. Une des actions, alors ça remonte à un peu plus loin, mais qui est encore d'actualité malgré tout, une des actions majeures du CNLL ces dernières années, avait été d'interroger par écrit les candidats à l'élection présidentielle sur leurs engagements sur huit grandes questions qui tiennent à cœur aux entreprises du Logiciel Libre. Et les principaux candidats, Sarkozy, Hollande, pour l'essentiel, avaient répondu de manière très détaillée. Et aujourd'hui c'est important d'avoir ça entre les mains, parce que régulièrement, chaque fois qu'il y a des échanges avec le gouvernement ou des ministres ou des secrétaires d'état, on peut dire regardez ce qui avait été écrit par le ..

Luc : Le candidat avant qu'il soit élu.

Patrice Bertrand : Voilà, tout à fait.

Luc : Très bien. Il y a du boulot là-dessus. Je me souviens d'une déclaration de Fleur Pellerin quand elle était Secrétaire d’État au Numérique, qui avait dit que le Libre, en tout cas toute la partie entreprises, manquait d'un gros acteur, une bonne grosse machine pour avoir un interlocuteur avec qui parler.

Patrice Bertrand : Alors oui, elle, elle ne parlait non pas tellement d'un gros acteur, d'une grosse entreprise, mais elle parlait de la structuration, on appelait ça la structuration de la filière. C’était il y a deux ans. C’était le mot clef de toute la communication, effectivement, en partie du cabinet de Fleur Pellerin, pas uniquement d'ailleurs par rapport à la filière d'entreprises du Logiciel Libre, mais elle disait ça un peu de toutes les filières et on peut comprendre que ça ait un intérêt pour le gouvernement, en particulier, de ne pas avoir trop de gens à qui parler. Néanmoins justement ce qu'on a répondu à ça, nous, très légitimement, c'est que justement le CNLL avait pour vocation de donner un interlocuteur unique au niveau national pour représenter spécifiquement les entreprises du Logiciel Libre. Cela dit, elle, elle allait plus loin, elle disait c'est toute la filière des nouvelles technologies, toute la filière de l'ingénierie. Et effectivement, Syntec Numérique, qui représente de manière pour le coup très très large toutes les entreprises, on disait informatiques avant, et numériques maintenant, revendiquait aussi de représenter, entre autres, les entreprises du Logiciel Libre. À quoi nous CNLL, on répondait, non ; il y a beaucoup de choses sur lesquelles on peut partager des projets, des messages, en particulier tout ce qui est l'aide à l'innovation, ce sont des choses qu'on partage avec le Syntec Numérique.

Luc : Le Syntec Numérique quand il y a eu un projet de loi, un amendement pour mettre la priorité du Logiciel Libre dans l'éducation, le patron de la Syntec s'est élevé contre et s'est clairement prononcé contre cette priorité.

Patrice Bertrand : Voilà, exactement. J'ai entendu qu'après il avait un peu regretté cette action, parait-il, mais en tout cas, ce qui est certain, sans vouloir polémiquer, ce qui est certain, c'est que, plus on prétend représenter un périmètre très large, moins on peut avoir de messages spécifiques et plus on est pris dans des ambiguïtés ou dans des conflits de messages entre ses différentes typologies d'adhérents. Nous, CNLL, on a le mérite d'avoir une représentativité très ciblée : les entrepreneurs faisant un majorité de leur chiffre d'affaires sur le Logiciel Libre et c'est sur ce créneau qu'on est des interlocuteurs pertinents pour les gouvernements, entre autres.

Luc : D'accord. Ça fait un petit moment que je n'ai pas vu de chiffres passer sur les marchés, en tout cas sur le marché du Logiciel Libre et des prestations professionnelles autour du Logiciel Libre. Ça disait, la dernière fois que j'en ai vus, que ça croissait beaucoup plus vite, qu'on était à quelque chose comme, de mémoire je crois que c'est 6 %. Je me trompe peut-être, 6 ou 8 % ?

Patrice Bertrand : Oui, tout à fait, 6 %

Luc : 6 % et que ça montait plus vite que les reste du marché informatique ?

Patrice Bertrand : Oui. Alors ce sont de chiffes effectivement qui n'ont pas été mis à jour ces deux dernières années, mais pour l'essentiel ils restent valables. On parlait à l'époque, c'est une étude de Pierre Robin Consultant qui parlait de 2,5 milliards d'euros de chiffre d'affaires pour l'ensemble de la filière, représentant trente mille emplois. Mais, il faut bien préciser quand même, que le périmètre que prenait en compte ce chiffre n'est pas le périmètre des PME et même plus des grandes entreprises spécialisées en Logiciel Libre. C'est la part du Logiciel Libre dans l'industrie des logiciels et services français, incluant peut-être, à la fois d’importants volumes d'affaires qui sont pratiqués chez ce qu'on appelle les utilisateurs finaux. Ça peut être Airbus, STMicro, Renault, etc, et y compris chez des SSII généralistes.
Notre analyse c'est qu'environ 10 % de ce chiffre, c'est à dire 250 millions d'euros, environ trois mille emplois, est représenté par les membres du CNLL, donc petites entreprises spécialisées dans le Logiciel Libre.

Luc : D'accord.

Patrice Bertrand : Mais effectivement avec un taux de croissance qui est sensiblement plus important que celui du marché, enfin de l'économie française en général, et des TIC en particulier.

Luc : Et en plus ça se maintient. D'accord. J'avais lu aussi des choses, il me semble venant du CNLL, si je ne me trompe pas parce que ça remonte à loin, sur des difficultés au niveau du recrutement, avec la difficulté à trouver des gens, des jeunes diplômés notamment, qui avaient des compétences dans les technologies libres.

Patrice Bertrand : Oui tout à fait. C'est un sujet récurrent parce qu'il n'est pas toujours pas résolu. Presque toutes les entreprises du Logiciel Libre estiment qu’elles pourraient créer davantage d'emplois si elles avaient moins de difficultés à recruter. Et on pense que c'est un axe vraiment stratégique pour la France que de mieux former au Logiciel Libre dans toutes les filières d'enseignement supérieur. Il y a une variété de sujets autour de ça. Il y a la formation au Logiciel Libre dès l'enseignement primaire, mais là on se focalise vraiment sur l'adéquation entre la formation et les attentes du marché, et déjà là, il y a énormément à faire pour mieux former à la fois aux technologies. Il ne s'agit pas tellement d'apprendre LibreOffice au lieu de Excel ou je ne sais trop. C'est beaucoup plus large que ça, ce sont les technologies dans un sens assez large, et entre autres, les technologies particulières de la contribution à un grand projet open source, les technologies du développement communautaire, en réseau, etc.

Luc : Du coup, le CNLL a mené des actions auprès du Ministère de l’Éducation par exemple ou de l’éducation supérieure, qui iraient dans ce sens-là ? En tout cas pour faire entendre ce truc-là ?

Patrice Bertrand : Des actions sont régulièrement menées. Mais j’avoue que je n'ai pas le sentiment d'avoir été énormément entendu sur ce terrain. Néanmoins, de manière plus terre à terre, auprès de tel établissement, tel ou tel établissement d’enseignement, là, on s’aperçoit que parfois, on a au contraire une bonne écoute et il y a beaucoup d'établissements d'enseignement informatique qui commencent à accorder une place très sérieuse au Logiciel Libre.

Luc : On vient tout juste d’hériter d'un, alors je ne sais plus quel est le terme exact, mais au niveau de l'Assemblée Nationale, d'une sorte d’organisation qui doit parler de numérique, qui doit se spécialiser là-dedans. On sait qu'il y a des députés qui sont entrés dedans. On a quelques personnes qu'on apprécie dans le Logiciel Libre qui y sont rentrées, notamment, j'ai un trou de mémoire, mais c'est….

Patrice Bertrand : Tristan Nitot ?

Luc : Non, ce n'est pas lui.

Patrice Bertrand : Ah, pardon, je vois, de la Kinetic, François Pellegrini ?

Luc : Oui lui est entré dedans. On a quelqu’un d'autre. Peu importe. En tout cas, c'est un truc qui n'est pas, comme d'autres choses qu'on a pu voir par le passé manifestement complètement noyauté et verrouillé. Est ce que, de ton avis, il y a des choses intéressantes qui peuvent sortir de cette organisation-là ? Est-ce que c'est quelque chose que tu surveilles, que la CNLL surveille ?

Patrice Bertrand : Oui, pendant longtemps, effectivement à l'époque où s'est constitué le Conseil National du Numérique, on était un peu préoccupés de la représentativité qui était donnée à telle et telle typologie d’acteurs. Avant même de parler de Logiciel Libre, il a semblé, dans un premier temps, que les acteurs vraiment porteurs de la technologie étaient trop peu représentés, et à l’intérieur de ceux-là, alors encore moins, il y avait une place quasiment nulle pour le Logiciel Libre. Ça a un peu changé entre autre avec justement la nomination, je crois, de Tristan Nitot.

Luc : Ça c'est, oui, effectivement le CNNum.

Patrice Bertrand : CNNum, oui c'est ça.

Luc : Voilà. On a tous les deux un trou de mémoire, donc on va passer à autre, parce que là-dessus ça ne va pas être brillant. Moi, il y a un sujet qui m'intéresse par rapport au monde des entreprises, c'est ce qu'on appelle l'open-washing, c'est toute la partie libre, open source, tout ça, ça devient un sujet un peu valorisant et on sait qu'il y a des entreprises qui disent en faire, n'en font pas ou en tout cas se collent l'étiquette open quelque chose, pour faire à peu près n'importe quoi. Est-ce que c'est quelque chose sur lequel le CNLL est attentif ? Est-ce qu'il y a une charte ou quelque chose comme ça qu'on attend des entreprises membres ?

Patrice Bertrand : Alors, oui, c'est très important effectivement. En fait de charte, on peut citer une charte libre emploi mais qui est spécifiquement orientée vers les candidats cherchant un emploi dans une entreprise de logiciels libres. Mais, de manière plus large effectivement, je dirais même en revenant aux sources, on pourrait dire que les pères fondateurs, si je peux dire, autant logiciel libre que plus tard l'open source, tout le monde s'est attaché à bien définir les termes, pour justement qu'on ne puisse pas être plus ou moins libre, plus ou moins ceci. Non ! On était libre ou on ne l’était pas. On était libre si on respectait les quatre libertés fondamentales. On était logiciel open source si on respectait les dix, je crois, conditions de licence. Et justement pour qu'il n'y ait pas d'abus de langage, les termes devaient être bien définis.

Et malheureusement, malgré ces précautions initiales, on a vu ces dernières années, que beaucoup d'entreprises, justement, affichaient sur leur site, open source et alors après quand on essayait d’enquêter, on disait « Où est-ce que je télécharge votre logiciel puisqu'il est open source ? Où elle est la licence ? Qu'est-ce que j'ai le droit de faire ? Est-ce que j'ai bien le droit de faire tout ce que l'on m'a promis ? » Et là ils disaient « Ah non ! On est logiciel libre parce qu'on a fait du PHP quelque part ! Mais pour ce qui est de télécharger, ah non, ça ne va pas être possible, etc ». Et donc ça, tous les acteurs sont extrêmement remontés contre ça et luttent vraiment ardemment. Je crois que d'ailleurs c'est une lutte qui porte et j'ai le sentiment qu'on en voit un peu moins qui jouent ce jeu vraiment de s'annoncer libre et en fait de ne pas mettre ses programmes sous des licences libres et en téléchargement libre.

Par contre il y a un autre sujet qui est souvent associé à celui-là, ce sont des éditeurs de logiciels qui ont une version libre et une version qui n'est pas libre qu'ils appellent entreprise, ce que certains critiquent vertement, sous le nom de Open core, ou des choses comme ça. Moi personnellement, j'ai toujours été un peu moins remonté contre ça que contre quelques autres pratiques, sachant qu'effectivement ça crée une frontière moins tranchée, il faut le reconnaître, et ça peut même créer un peu de trouble dans les esprits, en particulier d'utilisateurs et en particulier d’utilisateurs entreprises, enfin disons d’informatique professionnelle.

Et cependant, je dirais que dans certains cas, ça peut être un moyen tout à fait légitime de financer le développement de logiciels libres. C'est-à-dire qu'on a des logiciels comme ça, dont une version est véritablement authentiquement libre, sous GPL, vous téléchargez les sources quand vous voulez, vous déployez et ça marche et même parfois 95 % des utilisations vont faire usage de cette licence ; et néanmoins le développement de ceci va être financé par les 5 % d'utilisateurs qui seront prêts à mettre dix vingt mille euros pour avoir une licence d'une application qui ne sera pas libre, c'est vrai, mais bon, qui en fera plus. Et finalement c'est un mode de financement. Comme je dis, il a ses quelques petits inconvénients c'est de créer une frontière qui n'est plus aussi marquées, parce que sous la même dénomination on a un logiciel libre vrai et un logiciel pas libre du tout, donc ça crée un peu de flou, mais c'est un des modèles économiques qui fonctionne, malgré tout et qui crée du logiciel de qualité. Donc de ce point de vue-là, moi je suis un peu plus indulgent que par rapport aux vraies arnaques au logiciel libre.

Luc : D’accord. Dans le monde open source, je ne vais pas dire libre, on a des très gros acteurs. Quand on regarde le site du projet Linux, les premiers membres qui sont mis en avant c'est IBM, c'est HP, ce sont des très grosses boîtes qui ne font pas nécessairement du libre et qui en utilisent. On sait que toutes les grosses entreprises, les Google, même Apple avec le noyau bsd, Facebook, etc, toutes ces boîtes n'existeraient pas sans libre, mais après ça ont des politiques où elles ne reversent pas du tout, ou en tout cas leurs applications sont très fermées, ou vont reverser un peu ou pas trop. Néanmoins elles sont là. Moi ça pose deux questions. C'est est-ce qu'on est encore vraiment dans une démarche libre ? Est-ce que c'est juste de l'open source, c'est-à-dire qu'ils prennent ce qui les intéresse, collaborent ensemble sur la partie qui leur est favorable et se désintéressent complètement de ce qu'il peut y avoir par ailleurs ? Et est-ce que ce n'est pas également un danger par rapport justement à des PME ? Et comment des PME peuvent exister à l'ombre de géants de ce type-là ?

Patrice Bertrand : Oui alors excellent et vaste sujet. Les membres qui sont mis en avant souvent sur le site de la Fondation Linux, en règle général ce sont les plus gros contributeurs qui ont le plus de pouvoirs dans ce type de fondation et effectivement les plus gros contributeurs vont être les sociétés, des grandes sociétés d'acteurs que tu citais : Red Hat qui est toujours en très bonne place et qui pour le coup est un acteur spécialisé et puis quelques plus petits. Et ces sociétés-là payent des développeurs, des équipes de développement de leurs salariés, à travailler sur le noyau Linux.

Et c'est ça qui fait que le noyau Linux progresse de manière extrêmement dynamique par le fait de développeurs qui ne sont, pour la plupart, pas des bénévoles mais qui sont des développeurs payés. Et ça, pour moi, c'est au contraire, je dirais, une des très belles réussites du Logiciel Libre. C'est-à-dire que le Logiciel Libre, en l'absence de la Fondation Linux, on pourrait dire que telle ou telle entreprise, ou tel ou tel utilisateur, même à la rigueur individu, aurait intérêt à se mettre ensemble et faire du développement, de la R&D mutualisée. C'est-à-dire dire nous avons un besoin semblable, nous partageons un même besoin, ça nous coûterait cher d'aller chercher des solutions chez Microsoft ou chez Oracle, eh bien plutôt que d'aller les acheter ailleurs, mettons en commun nos ressources pour créer le logiciel dont nous avons besoin et puis on fera prendre ça, une sorte de boule de neige et on aura un logiciel de qualité dont on pourra tous bénéficier. Eh bien ça c'est un processus qui a énormément de mal à se mettre en place à partir de zéro. Mais lorsqu'une fondation est là pour amorcer le processus, et c'est clairement ce qu'a fait depuis maintenant quelques dizaines d'années la Fondation Linux, eh bien on arrive à avoir un gigantesque effort de R&D mutualisée.

Et pour moi, là, au contraire, je n'y vois quasiment que du bon, si ce n'est le point que tu soulignais, la présence très réduite des petites entreprises là-dedans. Mais sinon pour moi, les contributeurs ont le plus de pouvoirs parce que ce sont ceux qui donnent le plus. C'est-à-dire que les entreprise, une petite précision à ajouter là-dessus, c'est qu'il y a des entreprises qui vont utiliser beaucoup tel ou tel logiciel, par exemple disons Linux, et qui ne vont pas se soucier beaucoup de reverser ou de contribuer. Mais celles dont on parle et qui détiennent le pouvoir dans des grandes fondations sont justement celles qui contribuent. C'est par la contribution qu'elles ont obtenu ce pouvoir.

J'aimerais dire encore un petit mot à propos de la Fondation Linux, ça fait pas mal d'années qu'elle est en place. Mais plus récemment on a vu l'éclosion et même on pourrait dire la montée en puissance extrêmement rapide d'une autre fondation un peu sur un modèle comparable, c'est la Fondation OpenStack, où, de la même manière, des grands acteurs ont mis ensemble des ressources de développement importantes, très importantes et ça a donné une dynamique phénoménale à ce cloud. Autant, il y a trois ans il y avait plusieurs clouds open source qui auraient pu être en concurrence et très rapidement tous les efforts de développement ont convergé sur celui-ci. Ce qui est intéressant c'est qu'à la fois un, c'est un nouveau succès de ce modèle de R&D mutualisée, et deux, il y a une petite boîte française qui s’appelait Innovance, qui malgré sa petite taille, mais je ne sais pas bien qui doit avoir à tout casser entre cent et deux cents salariés, relativement petit boîte française, qui avait réussi par son dynamisme et son implication et son expertise à tenir sa place à côté des géants américains au sein de la Fondation OpenStack. Elle a, alors heureusement ou malheureusement, mais en tout cas, elle a été acquise dernièrement par Red Hat pour une somme assez astronomique, mais en tout cas c'est la récompense d'une stratégie très bien pensée et le résultat, pour le commun des mortels, le résultat c'est un logiciel de qualité, pour le cloud, que tout le monde peut utiliser.

Luc : Très bien. Eh bien, Patrice Bertrand, je te remercie beaucoup. Je crois que tu as des conférences à aller voir, c'est ce que tu m'as dit tout à l'heure, cet après- midi, et on garde un œil sur ce que fait le CNLL.

Patrice Bertrand : Merci également. Effectivement le programme est passionnant, donc j'ai une après-midi chargée.

Luc : Bonnes RMLL.

Patrice Bertrand : Merci.

Pour une politique publique en faveur du logiciel libre - Intervention de Jeanne Tadeusz -

1 Août, 2014 - 21:35


Informations Transcription

Effectivement mon intervention va traiter de : « Pour une politique publique en faveur du Logiciel Libre » et donc je vais commencer par quelque chose de très simple, probablement de franchement basique pour la plupart d'entre vous j'imagine, c'est de rappeler ce que c'est que le Logiciel Libre. Le Logiciel Libre qu'est-ce que c'est ? Pourquoi on en parle aujourd’hui ? Donc le Logiciel Libre c'est d’abord les quatre libertés : la liberté d'usage, la liberté d'étude, la liberté de modification, la liberté de redistribution. Donc de ces quatre libertés naissent de multiples avantages, notamment en termes de sécurité, de pérennité, d'interopérabilité, etc. Donc c'est quelque chose dont on a déjà parlé aujourd'hui, dont je pense que d'autres tables rondes, d'autres intervenants vont à nouveau détailler. Il y a beaucoup d'avantages techniques, ça je pense que personne ici n'en doute. Donc face à ces avantages il n'est pas surprenant que le Logiciel Libre soit l'objet de nombreuses attentions politiques ces dernières semaines, avec par exemple, la circulaire qui a été signée par le Premier ministre Jean-Marc Ayrault, sur le bon usage des Logiciel Libres. Il y a aussi eu la réponse, par exemple de la ministre, à une question écrite d'un député la semaine passée qui signalait l'importance du Logiciel Libre y compris au niveau européen.

Mais toutes ces questions techniques, ces facteurs objectifs, finalement, ils vont être détaillés dans d’autres interventions donc ce n'est pas vraiment ce dont je vais parler, là, pendant les un peu moins de quinze minutes qui me restent.
Ce que je voudrais aborder c'est d'abord le Logiciel Libre comme une question politique, comme une question éthique, une question de technique. Pourquoi ? Parce que simplement l'importance d'une politique publique en faveur du Logiciel Libre c'est à la fois des actions concrètes pour permettre de mettre en place des avantages qui sont à la fois évidents et pertinents mais c'est aussi un choix éthique et politique, une décision en termes de liberté, de possibilité de choix, d'usages pour les citoyens qui ne sont pas seulement donc les administrés, mais aussi en tant que citoyens à part entière, et ça représente un avantage important et clairement essentiel à aborder aujourd'hui.

Pour commencer sur la question de signaux politiques forts effectivement puisqu'on en a eu ces dernières semaines, ces derniers mois. Avant tout le premier signal, celui que je pense on a tous entendus, c’était en septembre dernier, avec la circulaire signée par le Premier ministre sur le bon usage des logiciels libres dans les administrations, donc septembre 2012. Ce texte a été une excellente nouvelle pour plein de raisons, plein d'aspects. D'abord parce qu’il montre une compréhension fine de ce que c'est que le Logiciel Libre, de son mode de fonctionnement, de son écosystème. La signature même par le Premier ministre est bien évidemment aussi un signal. Et aussi parce que cette circulaire valide un travail qui a été effectué depuis très longtemps par un certain nombre d'agents publics, notamment dans les groupes thématiques de mutualisation et d'autres, sans même parfois qu'ils aient un soutien des cabinets ministériels, dans le passé. On a eu ces groupes qui ont vraiment fait un travail de fond très intéressant, très détaillé et très pertinent, alors même que certaines administrations centrales pouvaient faire des choix qui étaient parfois assez discutables, notamment en termes de choix de logiciels et de marchés publics ou d'appels d’offre. Donc ce signal politique est intéressant. Il est aussi la manière de voir si d'autres choses vont se produire. Je pense notamment au fait que c'est l'occasion de voir si tous les ministères participeront aux thématiques qui ont été mises en place. C'est aussi de voir la suite de ce qui va se passer par exemple au niveau du Ministère de la Défense, qui avait signé en 2008 un accord Open Bar avec Microsoft, qui avait posé un certain nombre de questions, d'interrogations. Vu que cet accord est arrivé à terme aujourd'hui il serait intéressant de voir ce qui va pouvoir se passer sur ce dossier-là ensuite.

Donc on peut retenir ce symbole comme un symbole fort. On peut aussi effectivement retenir donc la réponse de la ministre à la question du député Jean-Jacques Candelier. Le député qui demandait si la ministre comptait s'engager à promouvoir et à défendre les libertés du Logiciel Libre. Elle avait notamment répondu qu'il était essentiel que le cadre législatif européen reste favorable à une croissance forte du Logiciel Libre. Donc à travers aussi une réponse qui témoigne d'une bonne compréhension des enjeux, on a cet aspect de cadre législatif qui est effectivement crucial, pour savoir comment le Logiciel Libre et les Logiciels Libres aussi, l'ensemble de la communauté, l'ensemble des acteurs économiques et politiques peuvent effectivement survivre et progresser dans l'écosystème qui est le nôtre. En effet, ce cadre législatif, notamment au niveau européen, c'est une des questions qui semblent actuellement finalement les plus complexes, les plus contestables en terme d'action et là on voit qu'on n'a pas encore, mais on peut espérer avoir, une véritable politique publique en faveur du Logiciel Libre.

Pour faire ça je vais détailler une exemple particulier, même s'il en existe d'autres. On peut penser notamment à la question du choix des standards ouverts ou de l'absence de choix de standards ouverts dans les différents règlements européens, mais il me semble qu'une des questions les plus parlantes sur ce sujet, c'est la question du brevet unitaire. Le brevet unitaire c'est typiquement ce qu'on va considérer, ce que je vais considérer en tout cas comme une occasion manquée notamment d'avoir une politique en faveur du Logiciel Libre et de l'innovation dans l'ensemble de l'Union européenne et aussi avec une place de la France qui a été interrogée sur l'engagement actuel en tout cas ou sur la suite qui va être donnée.

Rappel effectivement d'abord de ce dont on parle, quand on parle du brevet unitaire. Donc le brevet unitaire c'est un règlement européen qui a été adopté en décembre dernier malgré une opposition de beaucoup de monde : plus de six cents entreprises avaient signé un appel à revoir le texte ; beaucoup d'associations, de collectifs, de citoyens, s'étaient engagés, mais malgré tout le texte est passé, sans doute principalement parce que, au moins en apparence, le texte ne semblait pas spécialement problématique. L’idée de base c’était d'avoir un brevet, un titre de brevet qui soit d'application uniforme dans l'ensemble de l'Union européenne. Ça, ça fait partie de la construction européenne, ce n'est évidemment pas problématique en soi. Le problème et la question c'était sur la manière dont ce brevet allait être unifié, notamment qui allait avoir le contrôle, parce que quand on parle de brevet, on parle évidemment assez vite dans notre domaine d'une question qui nous préoccupe tous, qui est la question notamment de la brevetabilité du logiciel, donc de savoir qui délivre les brevets et qui contrôle leur validité, c'est finalement qui dit si les logiciels sont brevetables ou non.

Et justement dans le cadre de ce projet donc de brevet unitaire, l'ensemble du système était confié finalement aux acteurs déjà impliqués dans le monde des brevets, à cet espèce finalement de petit microcosme, d'avocats, de juristes, spécialisés dans ce domaine, donc qui ont tendance à avoir un biais assez logique en faveur de l’extension de la brevetabilité et donc aux dépens notamment du logiciel libre mais aussi de l’ensemble des acteurs qui défendent une innovation basée sur la capacité à partager les connaissances et à pouvoir travailler de manière collective. Donc comment ça c'est passé concrètement ? Avec le nouveau système qui pourrait être mis en place d'ici quelques années, les brevets seraient délivrés par l'Office européen des brevets, dont la position en faveur de la brevetabilité du logiciel existe depuis longtemps, on a un lobbying assez intensif de leur part fait sur ce sujet notamment à Bruxelles. Ils ont publié un certain nombre de tribunes en sa faveur.

Ensuite la question de la juridiction, donc de qui va dire si les brevets sont valides ou non serait confiée exclusivement à une cour spécialisée, non soumise à une quelconque cour suprême, que ce soit la cour de justice de l'Union européenne, que ce soit la cour de cassation, ni quoi que ce soit et donc composée exclusivement de juges spécialisés. Ces juges spécialisés qui sont soit des juges qui ont reçu une formation spécifique sur le droit des brevets, soit des personnes spécialisées dans le droit des brevets qui auraient reçu une formation pour être juges. Ça veut dire qu'on a les personnes qui sont déjà dans le monde des brevets, qui sont déjà intéressées sur les questions de brevetabilité qui deviendraient juges et donc finalement avec un tout petit monde qui deviendrait à la fois juge et partie, même si ce ne seraient pas évidemment les mêmes personnes exactement, mais ce serait des gens qui se connaissent, pourquoi pas des collègues, etc, qui à la fois délivreraient des brevets et décideraient de leur validité sans qu'il n'y ait aucun moyen de contrôle possible, ni par le Parlement européen, ni par le Parlement français, ni par une cour, par un juge indépendant au sens où c'est un juge généraliste qui ne fait que juger tous types d'affaires.

Donc on est évidemment aujourd'hui avec ça dans une situation très dangereuse. Malheureusement le texte a été adopté au Parlement européen et au Conseil en décembre dernier. Maintenant il doit être ratifié par les états. Aucun état ne l'a ratifié à ma connaissance. Certains commencent même à revenir en arrière, notamment la Pologne, où le Parlement polonais a annoncé qu'il refuserait de le ratifier. L'Angleterre où il y a aussi beaucoup d'hésitations.

Malheureusement malgré les dangers assez clairs pour l'innovation, ce n'est pas encore le cas et ce n'est pas le cas en France, notamment, un de arguments qu'on entend régulièrement, c'est que dans la mesure où la cour, donc cette nouvelle cour des brevets sera basée à Paris, c'est un atout clair pour notre pays et que donc, on pourra de toutes façons, surveiller ce qui s'y passe, donc il n'y a pas d'inquiétudes à avoir ! Ça me semble pour le moins limité comme argumentation. On est sur une question qui est extrêmement dangereuse actuellement en termes de logiciels libres et question de brevets et donc le risque très clair du retour des brevets logiciels. Donc là on a vraiment eu à mon sens une occasion manquée de la part du gouvernement français de mettre en action ce qu'ils ont annoncé, puisque je rappelle que la ministre a dit encore la semaine dernière, qu'il est essentiel que le cadre législatif européen reste favorable à une croissance forte du Logiciel Libre. Là clairement, avec ce qu'on a eu, ce n'est pas du tout le cas aujourd’hui.

Malgré donc effectivement des interventions répétées, je peux penser à l'April, je peux penser au CNML, mais d'autres aussi, on eu finalement des annonces, des annonces intéressantes, mais encore pas beaucoup d'actions et pas vraiment d'actions en faveur du Logiciel Libre en tant que choix éthique et choix politique. On a effectivement nécessité d'avoir un écosystème mais pourquoi cet écosystème ? C'est aussi parce que le Logiciel Libre est un choix éthique et politique, c'est la citation célèbre de Richard Stallman, le père du Logiciel Libre, qui avait dit qu'il pouvait expliquer la base du Logiciel Libre en trois mots, liberté, égalité, fraternité. Liberté parce que les utilisateurs sont libres, égalité parce qu'ils disposent tous des mêmes libertés et fraternité parce que nous encourageons chacun à coopérer dans la communauté. Quand on voit ces trois objectifs et cette base philosophique, finalement, le lien avec les objectifs de l’État est assez clair, il se fait de lui-même. La possibilité d'accès de tous, liberté de tous d'avoir un égal accès à l'ensemble des informations, l'absence de discrimination entre tous types d'utilisateurs, la possibilité aussi de travailler en communauté, donc avec des manières de travailler qui sont intéressantes et sans doute différentes, avec lesquelles on pourrait s'inspirer.

Donc on a des pistes de réflexion qui existent, il y en a déjà eu quelques-unes qui ont été abordées aujourd'hui.

Une politique publique en faveur du Logiciel Libre concrètement ce serait déjà le respect de la loi en termes de marchés publics, avec une absence de citation de marques pour que tout le monde puisse avoir un égal accès. C'est la migration de l'ensemble du parc informatique de l’État et des collectivités vers des logiciels libres pour des questions d'indépendance et pour des questions d'égalité et d'accès de tous. C'est aussi la révision du RGI, du Référentiel Général d'Interopérabilité, pour s'assurer que l'ensemble des informations produites et proposées par les administrations soient librement utilisables, qu'il n'y ait pas de faux formats ouverts, qu'on exclue les licences frand qui sont un non- sens en termes d’innovation et en termes de compétition également, et enfin pourquoi pas, une nouvelle loi permettant d'imposer dans la mesure du possible l’usage des standards ouverts, des logiciels libres et de la production de logiciels libres par l’administration.

Sans compter qu'on a aussi des questions qui se posent en termes d'éducation, bien évidemment, à la fois en termes d'usages, mais aussi d'apprentissage de l'informatique en tant que science, quelque chose qu'on voit encore de manière très faible voire encore marginale.

En conclusion très rapidement parce que j'ai déjà dépassé mon temps de parole, on a aujourd'hui une annonce, une intention visible en faveur du logiciel libre, une intention politique en faveur du logiciel libre, c'est une bonne chose, mais je pense vers une politique publique en faveur du logiciel libre, il y a encore des étapes à suivre et donc j'espère que cette journée sera l'occasion de voir les premières étapes, les premières actions concrètes en sa faveur.

Education au code. Pourquoi? Comment?

1 Août, 2014 - 21:01


Informations
  • Titre : Education au code. Pourquoi? Comment?
  • Intervenant :Dattaz
  • Date : Juin 2014
  • Durée :16 min 43
  • Slides
  • Média : vidéo ubicast
Transcription

Bonjour.
Je vais vous parler d'éducation au code. Il y a beaucoup de gens qui disent : « Il faut que tout le monde apprenne le code. C'est bien le code. C'est génial le code ». Ouais ! Mais il y a quand même certains critères et certains aspects à voir. Et on va voir comment le faire.

D'abord pourquoi apprendre le code ? Il faut qu'il y ait une raison valide quand même. On peut en voir plusieurs. La première... je suis désolé, j'ai descendu mes notes. Voilà... Pourquoi ? Donc oui on peut apprendre le code, tout le monde peut apprendre le code, mais il faut quand même des raisons. Premièrement, apprendre une logique, une façon de raisonner, qui peut être très utile dans d'autres situations pour résoudre des problèmes ou pour voir justement ces problèmes autrement. Deuxièmement, apprendre la rigueur. Le code ça doit être rigoureux, bien ordonné, bien propre. Mais ça, ça s'apprend aussi et c'est une compétence très importante qui peut resservir dans plein d'autres domaines. Il y a aussi l'initiation, comprendre comment ça marche, simplement. On peut avoir de la collaboration, écrire du code à plusieurs. Donc là, ce serait plus proche de toute la philosophie du libre et de l'open source. On peut voir ça aussi comme l'ouverture de la machine, la comprendre. Et il y a les gens aussi qui voient ça simplement comme un art, pour le plaisir d'écrire du code.

Mais il y a aussi des choses qui font dire que non ! Il n'y a pas besoin d'apprendre le code et la première, la principale, c'est que tout le monde n'a pas besoin d’être codeur et de savoir coder professionnellement et bien, top niveau, etc...

Donc maintenant je vais vous présenter des outils qui permettraient d'apprendre le code, plutôt aux jeunes.
Le premier c'est Scratch. C'est un petit personnage qui se déplace et on le fait bêtement, juste comme ça, en mettant des blocs, en déplaçant des choses. C'est vraiment accessible à tous les jeunes à partir du moment où ils savent lire. Et globalement pour comprendre comment ça marche, toute la structure du code, la logique tout simplement, c'est vraiment bien pour débuter. Et on arrive très facilement à faire des choses vraiment concrètes. Donc là ce sont vraiment des jeunes qui s'en servent. Ils l'ont connecté avec ce qu'on appelle un MaKey MaKey, qui est un dispositif physique qui émule un clavier. Et ça permet vraiment de faire des choses qui peuvent être physiques, directement, et donc on peut arriver à se représenter plus simplement que juste un programme sur un écran. Donc là on a réussi à faire des choses physiques simplement. On a fait un atelier, en une heure et demie, avec des gens qui ne savaient pas faire, on a réussi à coder une petite histoire, tout simplement, et on se rend bien compte que le code ça fait vraiment quelque chose qu'on peut arriver à faire physiquement. Et c'est très bien pour aborder ça dès le départ.

Après on a un deuxième truc. C'est le Webmaker. Je connais quand même un peu plus. C'est un outil qui est fait par Mozilla et qui a pour but d’initier à la création du web et à regarder comment marche le web derrière. Comment on peut faire une page web. Il y a un outil. Voilà ça c'est une lunette à rayon X. Le but c'est de regarder une page. On clique juste sur le début, on clique dessus, ça nous affiche le code qu'il y a derrière. On voit le code mais à partir de ce qui a déjà été créé. Et on peut le modifier, le créer, le remixer, le partager, etc. Le but c'est vraiment d'initier, de passer du statut de consommateur du web à créateur du web, tout en apprenant comment peut être conçu le web, que c'est possible de le faire, et que tout le monde peut le faire.

Il y a deuxième truc qui s'appelle Thimble, pareil toujours dans le Webmaker, qui permet de créer le web mais c'est guidé en fait. On peut créer bêtement du HTML, ou du CSS, ou du JavaScript, et tout ça c'est guidé par des commentaires.

Après, si on veut aller vraiment plus loin dans la création du code et vraiment pousser pour apprendre le code, il y a Code Academy. C'est un site américain qui permet d'apprendre le code de façon active. Donc on contribue, on a des projets et tout est didactique et guidé, pareil. Là j'ai pris du HTML, mais on a un certain nombre de langages différents et de projets différents. Par exemple utiliser des API mais dans différents langages. On peut aller très loin dans l'apprentissage du code. On peut aller de l'initiation jusqu'à devenir plus ou moins codeur professionnel, directement comme ça. Enfin... codeur professionnel !

Pour moi le but d'initier le code dans les écoles et autres, c'est vraiment une initiation, comprendre comment ça marche et éventuellement créer des vocations. Le but ce n'est vraiment pas d’être tous codeurs. Mais récemment, ils ont décidé, il y a un projet de loi qui a été déposé au début du mois, pour qu'on introduise le codage informatique à l'école. Alors je ne pense pas qu'ils voulaient parler d'ASCII et de choses comme ça, parce que codage déjà, ce n'est pas un mot adapté. C'est pour coder l'information, ça n'a rien à voir avec le code. Enfin rien à voir ! Et, dans cette proposition, ils veulent faire que les objectifs prioritaires assignés aux écoles soient l'apprentissage de la langue française, bon, tout ça, tout ça, etc, et l'apprentissage du code informatique. Pourquoi pas ?! Mais, dans cette optique-là, ils veulent faire de ça ? Un outil indispensable et non pas un outil complémentaire. Moi je le vois vraiment comme un outil complémentaire qui peut créer des vocations, mais pas forcément indispensable à tous, tout simplement. C'est utile ! Ça peut être pratique ! Mais on n'a pas besoin de devenir tous codeurs professionnels. Voilà.

Donc sur Paris il y a un projet qui se monte c'est « Les voyageurs du code ». Leur but est justement de venir initier les gens au code, de leur faire comprendre comment ça marche, de leur faire découvrir, et créer des vocations éventuellement.

Applaudissements

Est-ce qu'il y a des questions éventuellement ?

Public : Oui, je voulais savoir dans quel contexte tu as abordé la programmation avec des jeunes ? Enfin je suppose que c’était le cas.

Dattaz : Je suis jeune aussi. J'ai 17 ans. Moi je code, mais pas du tout dans l’Éducation nationale. Comment j'ai abordé ça ? Tout simplement, moi je suis beaucoup investi dans le Webmaker que je vous ai présenté. En fait on a fait des ateliers et des après-midis où on venait montrer aux gens que eux aussi pouvaient créer du web et faire du code, simplement. Vraiment initiatique. Là je vous ai montré un projet qui n’était pas top, mais c’était vraiment créer des choses simples et qui parlent. Et c'était cool !

Public : Justement je suis d'accord. Je t'ai posé cette question parce qu'il y a une chose qui m'a un peu intrigué, c'est quand tu dis « Tout le monde n'a pas besoin, suite à ce que tu nous as présenté de la circulaire ministérielle, tout le monde n'a pas besoin de savoir coder. Effectivement, pas forcément besoin de savoir coder, je suis d'accord, mais...

Dattaz : Mais avoir des notions et être initié, oui.

Public : Je pense qu'on a un souci, pas qu'en France, pas que chez les jeunes, un peu partout, d'incompétence assez forte vis-à-vis de l'informatique et que le code, même à bas niveau, juste savoir ce que c'est une boucle, tu vois ce que je veux dire ?

Dattaz : Tout à fait. En fait, je voulais en venir et j'ai totalement oublié dans mes notes, c'est que sur cette loi pour le code à l'école, moi je pense OK, c'est important, c'est cool. Mais qu'il aurait été beaucoup plus important de mettre dans une loi que, parmi les choses principales, fondamentales qu'on doit apprendre à l'école, c'est savoir se servir vraiment d'un ordinateur, vraiment d'Internet. Ça c'est beaucoup plus important d'abord que le code. Parce que tu peux faire du code, mais si tu ne sais pas te servir d'un ordinateur, c'est beaucoup moins utile.

Public : Tu ne trouves pas que les deux sont liés ?

Dattaz : Les deux sont liés, mais il y a d'abord apprendre à se servir d'un ordinateur avant de faire du code, pour moi.

Public : J'espère ne pas être trop hors-sujet, mais je voulais témoigner de la chose suivante. Je considère que c'est un instrument que tous les jeunes devraient avoir entre les mains de savoir faire un site web. J'ai l'expérience d'avoir enseigné il y a très longtemps, il y a 20 ans, à L'INSTA, vous connaissez peut-être, Institut des Sciences et Techniques Avancées. Je donnais aux étudiants à faire des projets et je leur demandais de me le rendre sous forme de site web. Ils m'ont fait des trucs mais, quand je dis 20 ans, c'était dans les années 2000. Ils m'ont rendu des trucs juste fantastiques, j'ai encore leurs sites à Top(?). Simplement, eux, ils savaient programmer. J'ai enseigné la physique à Sciences Po. J'ai demandé exactement la même chose. Je voulais, à Sciences Po, qu'ils me fournissent, je ne veux pas qu'ils me donnent des feuilles de papier, je veux qu'ils me donnent des sites web comme résultat de leur travail. Eh bien ils ne savent pas faire à Sciences Po et on m'a dit que ce n’était pas à moi de leur apprendre, je n'avais pas le temps ! Et c’était vraiment dommage ! Il faut insister, ça doit être, c'est comme, je ne sais pas, savoir taper à la machine aujourd'hui. Faire un site web, ça fait partie de l'éducation de base.

Dattaz : Surtout qu'Internet est un moyen d'émancipation et de création, et vraiment ouvert à tous sans barrière d'entrée, c'est vraiment important qui plus est !

Public : Je vais revenir un peu sur des choses que j'ai entendues il y a relativement longtemps dans la bouche de Benjamin Bayart, qui nous présentait justement notre positionnement par rapport à Internet, qui récapitulait les différentes phases, où je suis, au début, enfin il avait un langage particulier pour dire je suis débutant, je ne connais rien, je fais un petit peu n'importe quoi, je progresse, et au final l'objectif c'est de devenir publicateur, justement, raconter des choses sur Internet. Et je pense que plutôt que l’Éducation nationale mette en avant cette notion où on pense qu'on va faire des développeurs Java de tous les petits français, alors qu’effectivement c'est complètement inutile, essayons déjà de leur donner la possibilité d’être publicateur sur Internet en leur expliquant comment ça fonctionne, quelle est la mécanique qui est dessous, et ce sera génial. Et effectivement, les plus motivés, ils creuseront, ils apprendront le HTML, ils feront du CSS comme moi je l'ai fait aussi à 20 ans. J'ai peur que quand on se met dans un contexte où on dit on va apprendre aux gens à coder, où là on soit dès le départ dans une impasse, parce que la finalité, à mon avis, elle n'est pas là. Par contre découvrir, savoir manipuler Internet, savoir faire attention quand je publie sur, je vais dire une énormité, sur Facebook ou sur mon CMS préféré. Mais si je comprends les mécanismes sous-jacents, là, à un moment donné, je vais avoir envie de coder vraiment et puis effectivement, on n'a pas tous besoin d’être codeurs et de savoir toutes ces choses-là.

Dattaz : Voilà. Tout à fait. N'hésitez pas, à la limite, à faire des retours à la personne qui a déposé le projet de loi. Peut-être que ça pourra faire avancer le débat. Ça se tente !

Public : C'est juste une petite remarque. C'est plus enfin la peur que l'apprentissage du code, du web à l'école, ça crée un rejet en fait. Des gens que ça ne va pas forcément intéresser tout le temps. Après c'est une expérience aussi, mais le code et la technique comme ça, ça peut aussi être mal vu de certaines personnes qui considèrent que c'est un truc de techniciens, que ce n'est pas un truc intelligent. Et j'ai peur que ça crée aussi un rejet comme il y a un rejet sur les maths qui apprennent aussi des idées de logique et de rigueur et qui sont cassées à l'école parce qu'il n'y a pas forcément une bonne compréhension des élèves et parfois ce n'est pas très sexy non plus à apprendre.

Dattaz : Oui. C'est un point de vue aussi. Oui, je suis assez d'accord.

Public : Je voulais juste rappeler que le premier code normalement que l'école est censée nous apprendre c'est l'écriture, en l’occurrence l'écriture de notre langue française, l'écriture aussi des autres langues. Et avec un petit peu de français et un petit peu de mathématiques, finalement on a toutes les bases pour avoir cette rigueur qui nous permettra plus tard de faire du code.

Dattaz : Oui. C'est vrai qu'on n'y pense pas forcément, mais, oui, la langue parlée c'est du code. Il y a aussi des points, des virgules, de la ponctuation.

Public : Toute une syntaxe à respecter, c'est exactement la même chose.

Dattaz : Exactement.

Public : Vous parliez de rejet tout à l'heure, mais il y en a qui rejettent très bien les maths, il y en a qui rejettent le français, pour autant ils sortent de l'école quand même avec des bases. Et même s'ils ont ce rejet finalement du code, ils auront les outils pour avoir autre chose qu'une simple utilisation passive de leur ordinateur, de leur téléphone, de tous les outils numériques qu'on a actuellement. Et ça ira bien au-delà de simplement le certificat d'utilisation, B2i, C2i, qui sont actuellement plus des passages obligés pour faire de bons petits consommateurs, prêts à utiliser les périphériques qu'on souhaite bien leur vendre, sans pour autant qu'ils comprennent. Le rejet, oui il y en aura, il y en a toujours eu. Mais au moins ça aura le mérite d'ouvrir à un plus large panel de personnes.

Dattaz : Oui, d'ouvrir, Après, effectivement, il y a peut-être plus de rejet vers le code parce que c'est quand même un peu élitiste, malheureusement. Mais on peut arriver à le rendre vraiment au bas niveau quand même. Peut-être, il faut voir.
Je crois que c'est fini. Voilà.

Les logiciels libres aux JDLL Lyon 2014

1 Août, 2014 - 20:41


Informations Transcription

L'informatique libre

Le numérique libre pour tous.

Vincent Mabillot : Aux JDLL, donc les Journées du Logiciel Libre, ce sont des ateliers, des conférences et un village associatif.

Journaliste : Pour le grand public, Logiciel Libre ça veut dire quoi ?

Vincent Mabillot : Pour le grand public il nous revient que le Logiciel Libre ça veut dire un logiciel qui est gratuit. Mais pour plus d'informations, un Logiciel Libre c'est un logiciel qu'on peut utiliser à volonté, sans contrainte. C'est un logiciel dont on peut savoir ce qu'il y a dedans. On a le droit de connaître la composition, un petit peu comme quand on mange quelque chose, un produit alimentaire, on a le droit de savoir de quoi il est fait, eh bien là c'est la même chose. C'est un logiciel qu'on a le droit de modifier, ce qui est super intéressant notamment pour une entreprise qui veut créer son site web. C'est un logiciel qu'on a le droit de distribuer gratuitement, librement, ou, en le faisant payer et qu'on a le droit librement de diffuser. Donc ça veut dire que si j'ai un Logiciel Libre et qu'il me plaît, je peux le donner à toutes les personnes qui sont dans mon entourage. Elles peuvent l'utiliser sans la moindre contrainte, sans la moindre restriction.

Journaliste : En général, dans ce genre de réunion, Windows, les Big Brothers, on n'aime pas trop. Pourquoi ?

Vincent Mabillot : L’intérêt d'un Logiciel Libre c'est comme on sait ce qu'il y a dedans, on sait comment il fonctionne et comme on a le droit de le modifier, s'il fonctionne mal ou s'il y a un ingrédient qu'on n'aime pas, si un logiciel collecte des données personnelles sur notre façon de naviguer sur internet. Par exemple, je vais sur un site, je regarde, des photos, des photos de chaussures, etc, je ne vais pas recevoir systématiquement une publicité pour acheter des chaussures la semaine prochaine, parce que le Logiciel Libre ne se sera pas chargé d'analyser ma fréquentation, ma navigation, ce que je regarde et ce qui m'intéresse pour me faire des offres commerciales ou pour réduire ma vision du web à des offres commerciales, parce que quand je dis réduire, c'est que, lorsqu'on va faire une requête sur un moteur de recherche très connu, où il y a deux O entre deux G à l'intérieur de son nom, et bien systématiquement, quand vous faites une requête, vous allez voir que principalement on vous propose des sites qui sont à proximité de chez vous. C'est aussi une façon de vous inciter à aller consommer des choses que vous n'avez pas forcément voulues. Et c'est aussi une façon de réduire votre champ de vision parce qu'on vous donne des informations qui sont valables sur votre quartier en pensant que ce qui vous intéresse c'est votre quartier et vous ne voyez pas le reste du monde. Donc cette idée c'est que le Logiciel Libre permet de s'ouvrir vers d'autres logiques, vers d'autres environnements et de choisir ce qu'on veut faire et non pas simplement de valider ce qu'on nous propose.

Journaliste : Est-ce qu'il y a des nouveautés cette année ?

Vincent Mabillot : Vous avez par exemple le développement d'applications qui permettent d'avoir son propre, entre guillemets, nuage, son propre Cloud comme on dirait de façon moderne et avec un très mauvais accent. J'héberge mes données sur internet mais à un endroit de confiance, et cet endroit de confiance c'est qu'aujourd'hui on va avoir des applications libres qui permettent d’avoir son propre « drop boîte », qui permettent de déposer les fichiers qu'on veut partager avec ses amis, sans être obligé de passer par un service qui va épier nos pratiques, qui va épier nos comportements, et les revendre à notre insu à d’autres entreprises ou des services de renseignements qui voudraient savoir ce qui nous intéresse.

Journaliste : Rassurez-nous, ici ce n'est quand même pas un lieu pour les paranoïaques ?

Vincent Mabillot : Un paranoïaque aura tendance à se cacher, à renfermer ce qu'il fait, nous, le principe du Logiciel Libre, c'est d’être un logiciel qui est ouvert, on parle même d'open source à certains moments, donc on est véritablement dans cette logique d'ouverture.

Journaliste : Pour le grand public, comment il s'en sort ?

Vincent Mabillot : Installer un système Linux ça prend à peu près une demi-heure, et au bout d'une demi-heure on va avoir les principales applications qui sont prêtes à l’emploi, sur lesquelles il n'y a besoin que de cliquer pour que ça fonctionne, avec un environnement qui est ultra sécurisé. Quand je dis ultra sécurisé, c'est que c'est un environnement dans lequel on n'a pas besoin d'avoir d'antivirus parce que le système a un mode de fonctionnement qui le protège aujourd’hui des attaques de virus. On a un système qui est facile à mettre à jour parce que comme les logiciels sont libres et très souvent gratuits, quand il y a une nouvelle version, eh bien elle est automatiquement installée pour remplacer une version qui serait défaillante alors que quand on est dans une logique avec des applications qu'on a achetées ou qu'on aurait dû acheter, eh bien soit on paye la mise à jour soit on expose notre machine à être plus fragile.

Journaliste : Le plus dur c’est de se décider.

Vincent Mabillot : Le plus dur c'est de se décider. C'est parfois de dépasser une réticence qu'on peut avoir. C'est parfois, effectivement, les craintes justifiées qu'on peut avoir lorsqu’on a déjà, je dirais, un patrimoine numérique, nos photos de vacances, les choses qu'on est les seuls à avoir. Dans un premier temps le sauvegarder sur un support externe, un disque dur, une grosse clé USB, etc, et ça ce sont des choses qui se font relativement rapidement et pour lesquelles on peut trouver assez facilement de l'aide. Et puis, dans un deuxième temps, il va y avoir le fait de faire passer la machine du système qu'elle a aujourd'hui vers un système Linux. Et pour les gens qui auraient une réticence, qui auraient des petites inquiétudes parce qu'ils ne sont pas certains d’être compétents à 100 % sur ce genre de truc, il y a ce qu'on appelle des install-parties. Nous, l'ALDILL, on va faire cet accueil-là assez régulièrement dans différents endroits pour accueillir les publics qui vont venir avec leurs ordinateurs et puis on va les aider. Le trajet pour venir nous voir est souvent plus long que le temps de faire bouger leur ordinateur d'un environnement à l'autre.

Revue de presse de l'April pour la semaine 30 de l'année 2014

28 Juillet, 2014 - 21:13

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 30

[Next INpact] Le Royaume-Uni impose des standards ouverts à ses administrations

Par Xavier Berne, le vendredi 25 juillet 2014. Extrait:
> Alors que la publication des déclarations d’intérêts des parlementaires a donné lieu hier à de nombreuses critiques, étant donné que les plus de 900 fichiers ainsi mis en ligne se sont avérés être des versions scannées de formulaires remplis au stylo, le gouvernement britannique semble avoir un train d’avance sur les pouvoirs publics français. Mardi, les services du 10 Downing Street ont en effet annoncé que deux types de standards ouverts seraient désormais imposés à toutes les administrations du pays dès lors qu’il serait question de documents publics.
Lien vers l'article original: http://www.nextinpact.com/news/88863-le-royaume-uni-impose-standards-ouverts-a-ses-administrations.htm

Voir aussi:
Le gouvernement britannique utilisera exclusivement des standards ouverts pour les documents publics

[JDN] Comment se repérer dans la jungle des licences open source

Par Alain Clapaud, le jeudi 24 juillet 2014. Extrait:
> N'est pas logiciel libre ou open source qui veut. Pour éviter le droit d'auteur classique, il faut choisir une licence. Pas si simple: il en existe pléthore avec des nuances subtiles.
Lien vers l'article original: http://www.journaldunet.com/solutions/dsi/comparatif-des-licences-open-source.shtml

[Mediapart] Profil de libriste: Goffi

Par André Ani, le jeudi 24 juillet 2014. Extrait:
> Je m’appelle Jérôme Poisson, aussi connu sous le pseudonyme «Goffi», développeur et voyageur à mes heures, j’ai plusieurs centres d’intérêts, dont la politique. Difficile d’en dire plus: je préfère nettement une rencontre autour d’une bonne bière qu’une autobiographie
Lien vers l'article original: http://blogs.mediapart.fr/blog/andre-ani/240714/profil-de-libriste-goffi

[Next INpact] La distribution Tails, spécialisée dans l'anonymat, comporte des failles 0-day

Par Vincent Hermann, le jeudi 24 juillet 2014. Extrait:
> La distribution Tails Linux, axée sur la sécurité, contiendrait plusieurs failles de sécurité 0-day qui exposeraient les données de l’utilisateur. Un vrai problème pour le chercheur Loc Nguyen, qui a fait la découverte, puisque ce système se veut justement nettement plus sécurisé que la moyenne.
Lien vers l'article original: http://www.nextinpact.com/news/88877-la-distribution-tails-specialisee-dans-anonymat-comporte-failles-0-day.htm

[ZDNet] Alliage, solution aquitaine en logiciels libres pour personnes âgées

Par Thierry Noisette, le mercredi 23 juillet 2014. Extrait:
> Portée par le pôle Aquinetic, la solution Alliage a été développée et expérimentée pendant deux ans. Objectif: améliorer la qualité de vie à domicile des personnes âgées. Une cinquantaine de seniors l'ont testée pendant plusieurs mois.
Lien vers l'article original: http://www.zdnet.fr/actualites/alliage-solution-aquitaine-en-logiciels-libres-pour-personnes-agees-39804191.htm

Et aussi:
[Silicon.fr] Systematic met en lumière ses champions du monde Open Source

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

Conférence : Cloud à qui sont les données ?

27 Juillet, 2014 - 16:31

Présentation

Conférence organisée par les étudiants de Master 2 de Droit du commerce électronique et de l’économie numérique le 5 juin 2013 à la Sorbonne dont Ebticem Krouna, stagiaire à l’April fait partie.

Les intervenants

Guillaume Jahan, directeur juridique de Numergy
Cédric Manara, Professeur associé à l’EDHEC et chargé d’enseignement dans le Master 2
Romain Perray : avocat Cabinet&Co et chargé d’enseignement dans le Master 2
Jeremie Zimmermann, cofondateur et porte parole de la quadrature du net

Animation

Judith Rochfeld, Professeur de droit à l’école de droit de la Sorbonne, directrice du Master2
Etudiants du Master 2

L’enregistrement s’étant déroulé dans des conditions un peu acrobatiques, des passages inaudibles ou sans intérêt ont été tronqués.

transcription

Introduction

Nous avons choisi le sujet du cloud computing compte tenu de l'importance du phénomène. En effet, si l'on en croit les derniers chiffres publiés par Markess International, il résulte que depuis 2009, le cloud à destination des entreprises connaît une forte croissance (une augmentation de près de 30% depuis 2009).
 
Parallèlement à cette croissance, le cloud reste un phénomène mal connu. A titre d'exemple, une étude réalisée aux USA a mis en évidence le fait que parmi les Américains répondant à cette enquête, près de la moitié n'avait aucune idée de ce qu'était le cloud. Certains croyaient même que c'était un phénomène météorologique et que les services de cloud computing pouvaient être influencés par une tempête...
 
Le cloud est également dans tous les esprits : cloud privé, public, hybride, services SAAS, IAAS, PAAS... autant de notions qui sont inconnues pour des novices comme nous et qui nous invitent à nous demander comment définir plus précisément le cloud computing, si cela s’avère possible. Peut-on parler de cloud ou faudrait-il parler des clouds ?

Une proposition de règlement sur la protection des données à caractère personnel est actuellement en discussion au niveau européen. Ces nouvelles dispositions pourraient avoir un impact sur le cloud computing, notamment au regard de la responsabilité des différents acteurs impliqués et des droits des personnes concernées sur les données stockées.

Le cloud computing est au centre des discussions et l’expression connaît de multiples déclinaisons : Cloud public, Cloud privé, SaaS, Iaas. Le cloud est donc multiple et n’est pourtant toujours pas défini par le législateur. Quelle définition retenir en conséquence : peut-on adopter une définition unitaire ou doit-on aller vers des définitions multiples ?

Guillaume Jahan : en France, le cloud est un phénomène qui n’a pas de définition juridique. Il est communément entendu comme l’informatique à distance fournie grâce aux connexions internet et permettant l’accès à une capacité de calcul et de stockage qui se trouve chez un prestataire et non dans la société.
Il existe différentes catégories de cloud:
IAAS (Infrastructure as a Service) qui fournit l’infrastructure informatique virtualisée pour utiliser des serveurs qui vont permettre le traitement, le stockage… à distance avec un système d’exploitation au choix.
PAAS (Platform as a Service) qui en plus de l’infrastructure fournit des outils de programmation pour offrir un environnement de développement et de test aux développeurs.
SAAS (Software as a Service) qui met à disposition des utilisateurs des applications et usages, par exemple un service de messagerie électronique.
De nouvelles catégories de « aaS » (as a Service) apparaissent chaque jour selon les nouvelles fonctionnalités proposées dans le cloud.
Aux Etats-Unis, le National Institute of Standards and Technology a fixé une définition communément acceptée en fonction d’un certain nombre de critères :
un service à la demande,
des ressources mutualisées : le prestataire met à disposition un data center où les serveurs sont partagés avec d’autres clients mais les espaces créés pour chaque client informatiquement cloisonnés,
un accès permanent à ce service.
L’Europe s’intéresse au cloud : elle souhaite développer ce type de service et réfléchit à des outils juridiques et pratiques pour rendre le cloud plus accessible aux européens. Pour structurer le marché, elle préfère les recommandations à la réglementation. Le marché du cloud est en train de se structurer.

Jérémie Zimmerman : il faudrait préférer l’acception « clown computing » tellement l’on en parle ces derniers temps. On pourrait appeler le cloud l’informatique en fumée ou fumeuse. Les entreprises utilisent la complexité de la technologie pour faire barrage entre vous et vos données.

Le cloud regroupe en réalité deux concepts anciens :

  • la virtualisation : dissociation de la machine et du software ;
  • l’externalisation : on ne maitrise pas son infrastructure, on choisit de faire confiance à quelqu’un d’autre.

Le cloud soulève en conséquence deux questions fondamentales :
celle de la confiance envers la personne qui stocke vos données et y accède potentiellement. Exemple de risque : fuite de données des comptes de Playstation Network de Sony qui ont fuité avec les mots de passe.
celle du contrôle : qui contrôle les données ? votre informatique ?

Romain Perray : il existe des définitions variées du cloud computing.
La difficulté est de savoir si l’on peut réellement appréhender ces pratiques par le biais d’un instrument juridique unique comme la loi. Cela paraît peu envisageable et même manquer d’intérêt tant les pratiques sont justement très différentes les unes des autres et évoluent beaucoup alors que la loi est figée et ne constitue de ce fait pas nécessairement une bonne solution.
En tout état de cause, le cloud pose un problème à la fois de transparence et, par conséquent, également d’information.
Sur ce point, s’il n’y a certes pas de législation spécifique au cloud, il existe tout de même des dispositions qui s’appliquent indirectement, dont celle sur la protection des données à caractère personnel. La loi Informatique et libertés établit en effet des règles spéciales pour garantir l’information de la personne concernée. Ces règles sont certes prévues mais la vraie question est de savoir si elles sont appliquées, particulièrement par les sous-traitants dans le cas du cloud. Il existe donc déjà des dispositions qui peuvent s’appliquer indépendamment de la façon dont le cloud est organisé.

Cédric Manara : il y a certes « l’approche technique » du cloud computing, mais il ne faut pas oublier « l’approche usage » : le cloud permet à chacun de sauvegarder ses données et de pouvoir les récupérer. Il facilite et accompagne les usagers contemporains. Le cloud permet aussi le partage. Il permet aussi à des petites entreprises qui ont peu de moyens et qui veulent créer un nouveau modèle économique de rendre leur nouveau service disponible à une échelle mondiale via le cloud et de voir leur projet aboutir plus rapidement.
Le cloud accompagne nos usages et nous rend plus libres.
La notion de cloud est avant tout un concept marketing qui regroupe sous un même nom des pratiques très différentes. Se pose alors la question de la qualification juridique de ce phénomène. Mais faut-il vraiment le qualifier ? Internet, ou encore le site web sont aussi des notions qui ne sont pas qualifiées juridiquement et cela ne pose pas problème. En revanche il peut être utile de qualifier les différents services de cloud.

Les enjeux sont de deux ordres :
Le cloud est une adjonction d’une couche technique et juridique entre l’utilisateur et ses données. Selon qui administre cette couche, des difficultés peuvent survenir. La différence entre le stockage chez soi et le stockage dans le cloud, c’est que dans ce dernier cas on introduit un tiers.
La centralisation : internet est un réseau acentrique, mais avec le cloud, les ressources peuvent être concentrées chez un minimum d’acteurs français ou étrangers. On assiste à la déconstruction d’internet et au regroupement des données dans un nombre d’endroits très limités et chez des acteurs très limités. Les données de Wikileaks par exemple étaient situées sur le cloud d’Amazon. Le gouvernement américain a fait pression pour demander à Amazon de mettre fin au service.

Pourquoi les entreprises se tournent-elles vers le cloud aujourd’hui, quels sont ses avantages ?

Guillaume Jahan : le cloud demande de faire confiance à un prestataire. Avant, le stockage se faisait en interne ce qui impliquait des coûts de maintenance et d’expertise. L’avantage pour les PME qui ont peu de ressources matérielles et humaines, c’est qu’elles peuvent accéder à tous ces services à distance, comme si c’était de l’électricité. L’informatique devient du consommable, on paie ce que l’on consomme. On passe progressivement de dépenses d’investissements matériels à des dépenses de services consommés. Les entreprises n’ont plus à gérer les contraintes matérielles et logicielles (mises à jour, confidentialité, sécurité sont gérées par le prestataire). Les entreprises de cloud ont la capacité à grande échelle de développer ces services à moindre coût.
L’externalisation n’est pas forcément adaptée pour tous les services de l’entreprise. Cela suppose de se poser la question du type de données qui peuvent être confiées.

Jérémie Zimmerman : les entreprises utilisent le cloud souvent par incompétence.
ITunes, par exemple, fait des mises à jour automatiques : c’est lui qui nous contrôle. Apple ne nous demande pas notre avis et il n’y a pas moyen de refuser ces mises à jours.
Dans les Spyfiles de Wikileaks figuraient des vidéos montrant comment la société FinFisher diffuse des logiciels espions qui prennent le contrôle de l’ordinateur et qui s’installent grâce au bug dans le système de mise à jour automatique d’Apple.
Avec le cloud, on renonce au contrôle de son infrastructure par manque de connaissance des technologies.
La loi FISA aux Etats-Unis a été amendée il y 1 an et aujourd’hui il y a un vide juridique : l’amendement dit que quand les données de citoyens non-américains sont stockées sur un cloud américain, les juges américains peuvent accéder aux données sans aucune autorisation.

La question est de savoir comment utiliser intelligemment le cloud ou quelle alternative existe t-il ?
Alternative juridique : aller vers un prestataire français afin que la juridiction française soit compétente ; c’est plus simple et la protection des données personnelles sera mieux assurée.
Alternative technique : avoir la maitrise de son système d’information, ou stocker les données, mais chiffrées (attention, un chiffrement point que l’on maîtrise, et non pas un chiffrement vendu par un prestataire extérieur.)

Romain Perray : l’avantage est clair : l’argent. Avoir recours au cloud permet aux entreprises de faire des économies. Il ne faut pas considérer le cloud seulement au travers de l’exemple de Google : selon les pratiques, le curseur de la protection et des problématiques évolue notamment en terme de protection des données.
Avec l’externalisation, on a un prestataire qui centralise les données, mais cela n’a rien de très nouveau. Le souci vient du fait que ce qui était une concentration devient décentralisée. Cette décentralisation pose la question de la propriété sur les données et de l’impression d’en avoir le contrôle. La loi Informatique et Libertés permet d’envisager un certain nombre de droits et les prestataires de cloud en tiennent parfois compte. Cependant, la décentralisation et l’atomisation des données sont en même temps une garantie de la sécurité de la donnée. Si la donnée est atomisée, les risques sont moindres dans la mesure où il faudrait un logiciel pour tout recentraliser et unifier.
Le cloud offre un avantage financier incontestable mais des inconvénients en terme de protection et sur le fait de savoir, au delà des droits que l’on peut exercer sur ses données, comment leur sécurité est garantie.

Question du public :
Le cloud souverain (dont les données sont hébergées en France) peut-il être une alternative ?

Guillaume Jahan : Numergy est un prestataire de services « BtoB » dont tous les serveurs sont localisés en France. Elle met en avant la notion de proximité, par opposition à Amazon dont les serveurs sont surtout aux Etats-Unis et dont les données circulent d’un endroit à l’autre, d’un pays à l’autre selon l’espace disponible dans un Datacenter. Le cloud souverain peut être une réponse, notamment en terme de données à caractère personnel puisque les transferts de données hors de l’Union Européenne sont soumis à des contraintes.
En terme d’intelligence économique, le cloud souverain est d’autant plus une réponse que les principaux prestataires de cloud sont américains et que les 2/3 de leurs serveurs sont aux Etats-Unis régis par le Patriot Act (qui donne accès au gouvernement américain aux données situées sur les serveurs d’Amazon). C’est un échelon supplémentaire en terme de confiance.

Jérémie Zimmerman : le chiffrement le plus sécurisé est le chiffrement RSA. C’est celui le plus répandu et il peut être utilisé en logiciel libre. L’algorithme le plus utilisé est donc public et peut être implémenté en logiciel libre. C’est une forme d’intelligence collective qui offre un niveau de protection suffisant.
On parle d’intelligence économique : certaines unités de l’armée chinoise qui cassent des systèmes d’information partout dans le monde pour en extraire des données.
L’Agence Nationale de la Sécurité des Systèmes d’Information a sorti un guide sur l’hygiène informatique dans laquelle manque la notion de logiciel libre et de souveraineté informationnelle sur ses propres systèmes et ses processus.

Romain Perray : le cloud souverain pose problème en terme de données à caractère personnel. La loi Informatique & Libertés a été adoptée en 1978 car l’Etat avait envisagé l’interconnexion d’un ensemble de fichiers à partir du numéro unique d’identification nationale : le numéro de sécurité sociale. Le risque lié au choix d’un cloud souverain qui stockerait les données des concitoyens est de basculer dans un régime autoritaire et fort. Le cloud souverain peut être un mécanisme incitatif mais s’il devenait un mécanisme d’Etat, cela poserait évidemment des problèmes en terme de démocratie.

Guillaume Jahan : l’Etat fournit 20% de ses fonds à Numergy par le biais de la Caisse des Dépôts et Consignation mais la société n’appartient pas à l’Etat. L’Etat français a fait le choix d’investir pas de contrôler ou diriger.

Quels sont les droits de l’utilisateur sur ses données ?

Romain Perray : du point de vue des données à caractère personnel, la loi Informatique et Libertés accorde un certain nombre de droits à la personne concernée :
le droit d’opposition : il présente a priori peu d’intérêt en matière de cloud, sauf dans le cas où les données personnelles de salariés relevant exclusivement de leur vie privée seraient stockées dans un système de cloud mis à disposition par l’entreprise ;
le droit d’accès ;
le droit de modification ;
le droit de suppression : mais malgré l’effacement, certains fournisseurs conservent parfois les informations ;
le droit à l’information : en matière de cloud, les dispositifs impliquent souvent des transferts hors de l’Union Européenne, et sont donc soumis à des dispositions très détaillées. La réglementation française prévoit notamment des mentions supplémentaires à faire figurer sur la localisation des données transférées.

Il faut également noter au-delà de ces droits, la place importante que joue le consentement dans la protection des données personnelles. Pour autant, prévoir un e consentement explicite en toute circonstance n’est pas non plus la solution à tout et ne correspond pas, en tout état de cause, à la réalité économique, notamment en cas de clauses standardisées. Car, le consentement sur le traitement de données personnelles est souvent lié au consentement à conclure un contrat. Le consentement explicite n’est pas, à mon sens, le rempart ultime ni la seule solution pour assurer la protection des données à caractère personnel.

Jérémie Zimmerman : quels devraient être les droits des utilisateurs pour avoir une vague chance de reprendre le contrôle sur leurs données personnelles ?
Pour reprendre le contrôle sur nos données, il faut comprendre la technologie et repenser le rapport que nous avons chacun à la technologie. Sinon, on signe un contrat qu’on ne lit pas.
Ce que devraient être les droits de l’utilisateur (et qui est en train de se faire réduire par les géants de la Silicon Valley, banque, assurance, et gouvernement américain) :
la notion de consentement explicite de l’utilisateur pour les traitements de données ;
l’obligation de notification des fuites de données : aujourd’hui le prestataire se tait. S’il en avait l’obligation, il serait plus vigilent ;
la question du profilage : doit-on accepter que l’on puisse autoriser ou interdire des décisions qui peuvent avoir un impact décisif sur la vie de quelqu’un ? Certaines banques refusent un crédit car les données sur Facebook ont montré que la personne était dépensière.

Attention à la notion de pseudonymisation : c’est une notion fumeuse car on peut très bien attribuer le pseudonyme à quelqu’un. Cela rendrait le règlement vide de sens. Il en va de même pour la notion d’intérêt légitime qui fait perdre de sa force au règlement.

Il faudrait connaître la valeur exacte de nos données. Aujourd’hui on fait des échanges économiques sans en connaître la valeur. On échange de l’or contre des patates. Si on connaissait la valeur exacte, on pourrait faire des choix éclairés : cela soulève la question de la souveraineté informationnelle.

Cédric Manara : les contrats sans garantie sur la sécurité existe depuis longtemps (chemin de fer, obligation de sécurité du transporteur…).
Il n’est pas certain que la solution se trouve au niveau de l’information de l’utilisateur. Elle se situe sans doute plutôt dans les contrats qu’il faudrait revoir (notamment les clauses abusives) plutôt que croire à la capacité de chacun à comprendre tout ce qu’il se passe. Il n’est pas si facile que ça pour tout un chacun de reprendre le contrôle technique.
Sur 12 millions d’utilisateurs de Facebook, un seul a attaqué la société et est parvenu à retoquer des clauses du contrat (Cour d’appel de Pau, 1ère Chambre, 23 mars 2012).
Il existe également des droits sur les fichiers qui ne sont pas des données personnelles : dans le cadre d’un conflit B2B,  le prestataire (Wizzgo) a par exemple été attaqué sur le fondement de la contrefaçon (Cour d’appel de Paris, Pôle 5, Chambre 1, 14 décembre 2011). 

Guillaume Jahan : pour qu’une société comme Numergy soit compétitive, il faut qu’elle soit irréprochable en matière sécuritaire et pas seulement des prix attractifs ou la localisation des données en France, notamment face à Amazon qui a plus d’une dizaine d’année d’expérience dans le domaine et Google avec les moyens d’une multinationale.

Compte tenu des inconvénients liés aux services de cloud computing et aux problématiques liées à la protection des données à caractère personnel, il ne faudrait pas revoir le partage des responsabilités entres les parties au contrat (d'autant plus lorsqu'il s'agit d'établir les responsabilités en cas de perte, vol et piratage des données) et agir directement au niveau contractuel ? A ce titre pouvez-vous nous parler davantage des parties qui sont amenées à collaborer dans un contrat de cloud?

Guillaume Jahan : il y a deux dimensions :
Dans le BtoB, les contrats ne sont pas du « sur-mesure » pour chacun des clients car cela serait compliqué et contre-productif. C’est en bâtissant une offre standardisée qu’il est possible à un prestataire informatique de proposer des prix compétitifs et l’élasticité des ressources. Numergy opte donc elle aussi pour un contrat standard mais qui se veut équilibré avec des adaptations possibles à la marge pour répondre à des demandes très particulières. Tout dépend de la relation que l’on a avec son prestataire : si le client est important, le prestataire n’a aucun pouvoir de négociation, et inversement. Numergy est dans une situation un peu différente de la plupart des prestataires cloud car ses offres sont distribuées pour et aux entreprises (BtoB) par des partenaires distributeurs, avec le bénéfice de leur valeur ajoutée (expertise métier, intégrateur, etc.). Un prestataire cloud qui n’est pas dans ce schéma acceptera de négocier un contrat différent selon la mesure du marché passé avec le client (coût global, durée…) ;
Vis-à-vis des utilisateurs particuliers, donc pour le BtoC : le problème est plus flagrant car la souscription se passe en ligne et les conditions générales d’utilisation sont illisibles. Le problème majeur qui se pose alors, face à des services sur internet de dimension internationale, est celui de la loi applicable. Il s’agit de celle précisée dans le contrat.

La responsabilité peut se diluer car il y a souvent plusieurs sous-traitants. Le client a un seul interlocuteur mais, derrière, il y a plusieurs acteurs. Il faut être vigilent sur ce que l’on achète et sur ce que l’on signe.
Le projet de règlement européen envisage des obligations pour le sous-traitant et le sous-sous-traitant. Aujourd’hui la loi Informatique et Libertés envisage seulement le responsable de traitement et le sous-traitant. La transparence n’est pas toujours de mise pour l’ensemble des intervenants de la chaine. Numergy n’a pas de sous-traitant.

Cédric Manara : quel contrat de cloud ? Pour un contrat de base, la réponse est moins dans les clauses du contrat que dans le prestataire que l’on choisit. Par exemple, je vais chez Numergy car je sais que les données sont en France, peu importe les clauses du contrat qui nous lie.
Quels sont les moyens mis à disposition des personnes lésées par le contrat ? Quel est le pouvoir des internautes ? Faut-il rééquilibrer les pouvoirs ? Quels seront les moyens donnés aux autorités pour mettre en œuvre les nouveaux droits du projet de règlement ? Aujourd’hui les autorités compétentes ont peu de moyens.

Romain Perray : les responsables de traitement n’ont pas toujours conscience qu’ils le sont. La relation de sous-traitance pose des difficultés : la loi Informatique & Libertés, à la différence de la directive européenne, prévoit une obligation d’organiser les relations avec les sous-traitants en terme de sécurité et de confidentialité. Mais la loi ne se prononce pas sur les sous-traitants ultérieurs. Le projet de règlement européen prévoit, quant à lui, ou envisage de prévoir, que cette responsabilité ne soit pas autant diluée.
Le problème vient du fait que les sous-traitants peuvent exploiter au maximum la rédaction de la loi, dans la mesure où, selon le texte, ils ne doivent intervenir que sur demande du responsable de traitement. Donc s’ils n’ont pas reçu d’instruction, les sous-traitants peuvent échapper à leurs obligations.
Cette situation est d’autant plus difficile dans le cas où les utilisateurs de cloud sont des individus. Certes la personne concernée est placée au centre de la proposition de règlement européen : mais même si le consentement peut être un bon moyen, il n’est pas suffisant. La réglementation doit aussi protéger et ajouter d’autres principes qui viennent réguler cet aspect là, car même si le consentement est important, il ne permet pas à tout le monde de prendre librement des décisions qui le concernent lors de l’utilisation d’un service de cloud.

Jérémie Zimmerman : il n’est pas impossible que les gens comprennent les nouvelles technologies. C’est un choix politique. Ce qui est important, c’est la compréhension des technologies, qui sont faites pour être auto-apprises. C’est indispensable pour avoir conscience des choix que l’on fait, en toute liberté de conscience. Ce sont des choix politiques que l’Europe doit faire plutôt que renoncer.

Le rôle des pouvoirs publics sur les données personnelles est crucial. S’agissant de la proposition de règlement européen, pour le moment les Etats Membres seraient sur le point de tout céder à la Silicon Valley. Il faut attendre de voir alors quel va être le rôle des pouvoirs publics et si la France va céder ou non.

Judith Rochfeld : tous les droits s’appliquent pour le moment pour ceux qui ont les moyens de les faire valoir. Pour le consommateur lambda, le plus pénalisant, c’est le taux de litigiosité : il existe un seuil psychologique et financier en dessous duquel le consommateur ne poursuivra pas son action en justice.

Question du public :
Le prestataire garantit-il la sécurité des données ?

Guillaume Jahan : oui, le prestataire garantit un service (accessible par Internet) avec la sécurité et la confidentialité des données. En plus d’une liaison https et du chiffrement, un des moyens notamment est d’avoir obtenu la certification par un organisme indépendant qui vérifie l’application de standards dans le domaine (par exemple normes ISO). Cette procédure de certification, en plus du contrat, permet d’avoir l’attestation d’un tiers que la sécurité est effective. Le prestataire a intérêt à être certifié par les principaux organismes.

Jérémie Zimmerman : la sécurité ne se garantit pas. Il est impossible de vérifier au jour le jour que la sécurité sur nos données est bien garantie. La sécurité n’est pas un état mais un processus. Normalement pour vérifier la sécurité, il faudrait faire une analyse de risque.

Prochaine transcript'partie: vendredi 1er août 2014

24 Juillet, 2014 - 14:47
Début: 1 Août 2014 - 20:00Fin: 1 Août 2014 - 23:00

La prochaine transcript'partie aura lieu le vendredi 1er août à partir de 20h sur irc (freenode #april) et au local de l'April au 44/48 rue de l'ouest paris 14è

Au programme :

  • des transcriptions: les vidéos des rmll sont accessibles, il est donc normal de s'en occuper pour tous ceux qui n'ont pas pu y accéder!
  • de la relecture
  • et un maximum de publications!

Le gouvernement britannique va utiliser exclusivement des standards ouverts pour les documents publics

23 Juillet, 2014 - 11:27

Le mardi 22 juillet 2014, le gouvernement britannique a annoncé sa décision de passer à l'usage exclusif de standards ouverts pour les documents de communication. Le gouvernement britannique explique ce choix en mettant en avant l'importance de l'ouverture des formats ainsi que l'indépendance par rapport aux différents acteurs du marché. L'April se réjouit de cette décision et espère que le gouvernement français s'en inspirera pour généraliser les standards ouverts dans l'administration.

Les standards retenus sont les suivants :

  • PDF/A ou HTML pour visualiser des documents gouvernementaux ;
  • Open Document Format (ODF) pour partager ou collaborer sur des documents gouvernementaux.

Cette décision est l'aboutissement d'une consultation publique du gouvernement britannique sur l'utilisation de standards ouverts. Elle conclut un débat animé qui remonte déjà à plusieurs mois, incluant notamment un dialogue avec la société civile et la possibilité pour les citoyens de donner leur avis sur la politique envisagée1. L'April est très satisfaite de voir que les arguments d'interopérabilité, d'absence d'enfermement technologique ainsi que la possibilité pour tous de pouvoir communiquer avec l'administration aient prévalu. Elle regrette cependant que ce ne soit toujours pas le cas en France, où le référentiel général d'interopérabilité publié en 2009 entretient toujours la confusion sur les formats de bureautique, empêchant la généralisation des formats ouverts, et appelle le gouvernement français à suivre l'exemple britannique afin de mettre en place la généralisation des formats ouverts.

Revue de presse de l'April pour la semaine 29 de l'année 2014

21 Juillet, 2014 - 19:02

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 29

[Le Courrier picard] Beauvais, capitale mondiale du logiciel libre, l’été prochain

Par Mélanie Carnot, le vendredi 18 juillet 2014. Extrait:
> Les geeks de la planète ont rendez-vous à Beauvais l’année prochaine. L’association Oisux et la CCI de l’Oise organiseront les Rencontres mondiales du logiciel libre, en juillet.
Lien vers l'article original: http://www.courrier-picard.fr/region/beauvais-capitale-mondiale-du-logiciel-libre-l-ete-prochain-ia186b0n407085

[Developpez.com] Le choix des logiciels Libres & Open source entraine t-il des gains importants

Par la rédaction, le vendredi 18 juillet 2014. Extrait:
> Sur Internet, vous trouverez beaucoup d'études qui démontrent que les logiciels Libres & Open source entrainent des gains financiers importants, qui peuvent aller jusqu'à un facteur de 3. Des institutions ont déjà franchi le pas: la Gendarmerie, la ville de munich, etc.
Lien vers l'article original: http://open-source.developpez.com/actu/73401/Le-choix-des-logiciels-Libres-Open-source-entraine-t-il-des-gains-importants-Quand-est-il-reellement

[ZDNet] Code à l’ecole: les associations dans le flou

Par Louis Adam, le jeudi 17 juillet 2014. Extrait:
> Benoit Hamon annonçait dans le JDD sa volonté d’intégrer l’apprentissage du code à l’école primaire dès septembre. Cette première étape, prévue pour la rentrée 2014, devrait être dévolues aux associations qui proposeront leurs activités sur les temps périscolaires. Mais ces dernières cherchent encore l'appel à projets évoqué...
Lien vers l'article original: http://www.zdnet.fr/actualites/code-a-l-ecole-les-associations-dans-le-flou-39803961.htm

Et aussi:
[Next INpact] Apprentissage du code: des initiations dès la rentrée prochaine en primaire
[Next INpact] Initiation des enfants au code: l'appel à projets du gouvernement

[Le Monde Informatique] Systematic: bilan et perspectives du soutien au logiciel libre

Par Dominique Filippone, le jeudi 17 juillet 2014. Extrait:
> Après 7 ans d'existence, le Groupe Thématique Logiciel Libre (GTLL) du pôle Systematic paris Région a permis à 80 projets d'être labellisés et à près de la moitié d'entre eux d'obtenir des financements pour assurer leur développement. Big data, qualité logicielle et technologies de l'après PC constituent les principales priorités de soutien aux projets R&D en logiciels libres de GTLL pour les années à venir.
Lien vers l'article original: http://www.lemondeinformatique.fr/actualites/lire-systematic-bilan-et-perspectives-du-soutien-au-logiciel-libre-58108.html

[Numerama] L'April cherche des dons pour distribuer son Guide Libre Association

Par Guillaume Champeau, le mardi 15 juillet 2014. Extrait:
> Alors que le gouvernement a fait de l'engagement associatif la grande cause nationale 2014, l'Association promouvoir et défendre le logiciel libre (April) aimerait faire distribuer auprès du maximum d'entre-elles le guide à destination des associations qu'elle a mis au point pour leur apprendre à connaître les logiciels libres qui peuvent leur être utile.
Lien vers l'article original: http://www.numerama.com/magazine/30004-l-april-cherche-des-dons-pour-distribuer-son-guide-libre-association.html

Et aussi:
[Association mode d'emploi] Appel à dons pour la diffusion du Guide Libre Association

Voir aussi:
Donnez pour diffuser le Guide Libre Association

[Next INpact] Un rapport parlementaire encourage au développement des logiciels libres

Par Xavier Berne, le mardi 15 juillet 2014. Extrait:
> Un récent rapport sénatorial vient d’apporter un soutien de poids au développement des logiciels libres en France. Il y est en effet préconisé d’encourager le déploiement de ces programmes dont l'étude, la reproduction et la modification est autorisée, et ce à la fois «par leur intégration dans les marchés publics et par l’imposition de standards ouverts». Ce coup d’accélérateur pourrait avoir lieu à condition toutefois «de développer les compétences pour l’utilisation de ces logiciels et standards».
Lien vers l'article original: http://www.nextinpact.com/news/88675-un-rapport-parlementaire-encourage-au-developpement-logiciels-libres.htm

[Le Monde.fr] TiSA: un accord géant de libre-échange en discrètes négociations

Par Maxime Vaudano, le mercredi 9 juillet 2014. Extrait:
> Réunis à Paris mardi 8 juillet pour préparer le prochain volet de la régulation financière européenne, les représentants du monde financier ne semblent pas être particulièrement au fait des négociations secrètes qui pourraient demain bloquer toute volonté régulatoire de 50 des plus grandes économies mondiales. Une perspective nommée TiSA, pour Trade in Services Agreement, ou Accord sur le commerce des services en français.
Lien vers l'article original: http://www.lemonde.fr/les-decodeurs/article/2014/07/09/tisa-quand-le-liberalisme-revient-par-la-porte-de-derriere_4452691_4355770.html

Et aussi:
[Le Figaro] Le poulet au chlore va-t-il débarquer dans nos assiettes?

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

La première liberté ne serait-elle pas l’accessibilité des logiciels libres ? - Radio RMLL 2014

18 Juillet, 2014 - 17:43


Informations
  • Titre : La première liberté ne serait-elle pas l’accessibilité des logiciels libres ?
  • Intervenantes :Armony Altinier et Samuel Thibault
  • Date : juillet 2014 lors des rmll
  • Durée :17min
  • Média : Radio RMLL 2014
Transcription

Journaliste : De retour sur radio RMLL à Montpellier si vous nous écoutez de loin et de proche. Maintenant on va parler de liberty, Liberté 0 avec Armony et toi, j'ai oublié ton prénom.

Samuel : Samuel.

Journaliste : Et Samuel. Voilà. Bonjour à tous les deux, tout d’abord. Est-ce que vous pouvez déjà expliquer ce qu'est Liberté 0 ?

Armony : Liberté 0 c'est une association qui défend le numérique libre et accessible à tous.

Journaliste : D'accord !

Armony : Tu veux que je dise plus de choses ? Le nom Liberté 0 c'est en référence à la liberté 0 du Logiciel Libre. Le Logiciel Libre a quatre libertés. La liberté 0 c'est la liberté d'exécuter le programme, sauf que tout le monde n'a pas cette liberté si le programme lui-même n'est pas accessible. Donc l’objectif de l'association c'est de forker la philosophie qu'il y a derrière liberté 0, pour que ce soit, libre, du Logiciel Libre pour tout le monde, et, quelle que soit sa situation, sa façon d'accéder aux logiciels, qu'on ait un handicap ou non, qu'on utilise le logiciel avec la souris ou avec le clavier ou avec un lecteur d'écran ou avec certains dispositifs et technologies d’assistance.

Journaliste : D'accord. Vous avez commencé comment à penser à ça ?

Samuel : Y penser ça fait très longtemps. De toute façon, l'accessibilité, il y a des projets depuis une vingtaine d'années, peut-être. Sous Linux ça fait très longtemps que des logiciels existent. Après, se dire on se regroupe, on centralise, on essaie de s'ouvrir à la fois aux développeurs mais aussi aux collectivités pour leur expliquer. D'un côté pour les développeurs montrer que c'est important l'accessibilité. De l'autre côté, du côté de collectivités et compagnie de leur dire, oui, le Logiciel Libre, il y a moyen qu'il soit accessible pour pouvoir l'utiliser et que du coup ça soit plus intéressant pour les collectivités. Mais c'est relativement récent.

Cette année on va vraiment fonder l'association Liberté 0, mais en fait on a lancé ce projet-là l'année dernière aux RMLL, et puis les années précédentes, c’était déjà un peu dans la tête de se dire il faut être fédérateur.

Armony : D'un point de vue de l'historique c'est aux Rencontres Mondiales du Logiciel Libre de Nantes 2009, donc on a lien très fort avec les Rencontres Mondiales de manière générale, il se passe toujours plein de trucs pour nous, où on a fondé le groupe de travail accessibilité et logiciels libres de l'April.

Journaliste : D'accord.

Armony : Donc on s'est tous retrouvés à ce moment-là et puis en, je ne sais pas quelle année, il y a un an et neuf mois, donc j'animais le groupe de travail, j'en suis partie, parce qu'on n'avait pas vraiment le même positionnement au sein de l'April, puisque l'April c'est vraiment la définition de Richard Stallman uniquement, donc nous on va un petit plus loin.

Du coup on en est sortis et neuf mois plus tard on s'est retrouvés aux Rencontres Mondiales. Tout le monde était toujours partant pour faire des choses et donc on a créé Liberté 0, en se disant si dans un an, donc aux prochaines Rencontres Mondiales, donc cette année à Montpellier, il y a toujours du monde, c'est toujours dynamique, on se constitue en association officiellement, pour aller encore plus loin, porter davantage les projets, avoir une reconnaissance officielle. Et donc c'est ce qu'on vient de faire, puisqu’il y a une centaine d'inscrits je pense sur la liste de discussions, plein de projets et beaucoup d’échos très favorables, alors qu'on n'a pas encore commencé à communiquer.

Journaliste : Est-ce que vous avez d'autres retours aussi ? Par exemple un peu plus négatifs ?

Armony : Je ne sais pas, je ne vois pas de quoi tu parles !

Journaliste : Il y a beaucoup de ouï-dire qui se racontent, en tout cas sur le village, aux RMLL.

Armony : Oui on a fait un peu les trublions. Mais au départ, donc il y a un an, j'ai écrit un article sur le Framablog qui relatait une discussion qu'on a eue. J'ai eu une discussion privée par mails avec Richard Stallman, sur justement la liberté 0, qui était une vraie question, que j'avais déjà posée à l'April et ils ne savaient pas trop eux-mêmes. Ils m'ont dit « tu devrais en discuter avec Richard ». Est-ce qu'un logiciel libre est vraiment libre si finalement tout le monde ne peut pas y accéder pour des raisons d'inaccessibilité ?

Donc c'est une question qu'on avait déjà posée aussi sur Radio RMLL. On pensait, vraiment de bonne foi, que oui eh bien pour que ce soit libre et libérateur pour tout le monde il faut donc aussi prendre en compte l'accessibilité. Je me suis entretenue sur cette question avec Richard Stallman par mails et il n'a pas voulu que je publie notre conversation. Mais donc son point de vue c'est que l'accessibilité c'est une fonctionnalité. On ne peut pas l'imposer aux développeurs. Le Logiciel Libre en tant que tel, et la liberté 0 se suffit en tant que tel, pour faire de la liberté. Si les gens ne sont pas contents ils n'ont qu'à coder, puisqu'ils peuvent modifier le programme et s'ils ne savent pas faire ils n'ont qu'à financer la modification du programme.

Donc ça c'est le point de vue de Richard Stallman. J'avais relaté cette discussion. Son point de vue c'est que l'accessibilité c'est une fonctionnalité, ce n'est pas une question de liberté. Évidemment on n'est pas d'accord. Est-ce qu'on est libre quand on ne peut pas travailler parce que son logiciel n'est pas accessible, alors que d'autres le peuvent ? Eh bien non ! On n'a pas cette liberté. Il y a même des gens, des situations assez dramatiques, que le logiciel soit libre ou pas d'ailleurs, où des gens perdent leur travail ou ne peuvent pas accéder à certains emplois parce que les outils de travail ne sont pas accessibles. Donc leur expliquer qu'ils sont libres quand même, c'est un petit peu compliqué.

J'ai écrit cet article « L'accessibilité est-elle une question de liberté ?» sur le Framablog. Il y a eu pas mal d'échos. Ça a un peu lancé la liste de discussions et le groupe de travail. Donc là cette année effectivement j'en ai profité de voir Richard Stallman, pour aller lui dire nous on promeut le Logiciel Libre tel que tu le décris, on peut avoir des approches différentes. Mais lui expliquer que ce n’était pas inamical et que, au contraire, nous on continue à le promouvoir et qu'on continuera à promouvoir parce qu'il n'y a pas non plus d'accessibilité réelle sans liberté, sans logiciel libre, parce qu'on est dans ce cas dépendant d'un éditeur de logiciels, de ce qu'il peut décider et du coup on n'est pas libre non plus. Pour nous ce sont les deux qui doivent aller ensemble. Il n'est pas du tout d'accord avec ça et pour lui ça reste une fonctionnalité, seulement.

Journaliste : Là en fait, si je comprends bien, vous concevez cette liberté aussi basée sur le fait que vous n'ayez pas d'accessibilité en dehors du dit logiciel ou vous devez en fait utiliser des logiciels propriétaires pour remplacer ceux-là ? C'est ça ?

Armony : La liberté c'est deux choses. C'est, soit on ne m'interdit pas de faire quelque chose, donc ça c'est sur le principe juridique de la licence, si c'est sous licence libre, on ne m'interdit pas de le modifier, de l'utiliser etc. Et puis c'est la liberté de permettre de faire quelque chose, ça peut être dans ce sens-là et dans ce cas, il ne suffit pas que ce soit sous licence libre pour que je puisse l'utiliser. Si le logiciel est conçu de telle manière qu'un lecteur d'écran on ne peut pas, on ne va pas dire à la personne aveugle achète-toi des yeux ! Non, elle ne peut pas voilà. Non, elle n'a pas cette liberté. Du coup ça ce n'est pas uniquement l’accessibilité, ce n'est pas juste une question pour le Logiciel Libre, c'est juste que nous, notre travail, enfin notre mission qu'on se donne, c'est que le Logiciel Libre c'est une question de liberté, c'est un projet politique qui est important.
Et l'autre définition de Richard Stallman au-delà des quatre libertés, c'est liberté, égalité fraternité. Elle est où l'égalité, la fraternité si ce n'est pas accessible ? Pour nous les deux doivent aller ensemble. Je laisse Samuel compléter.

Samuel : Non. Je suis complètement d'accord.

Journaliste : Parler d’accessibilité est-ce que ce n'est pas extrêmement large, parce que ça peut inclure aussi bien tout ce qui est traduction, enfin internationalisation, etc ?

Samuel : C'est différent.

Journaliste : Si jamais on commence à dériver.

Samuel : Oui bien sûr. Mais il y a une différence qui est assez simple c'est qu'un logiciel qui n'est pas dans une langue qu'on connaît, au pire, on prend un dictionnaire et on arrive à trouver et on arrive à utiliser le logiciel. Alors qu'un logiciel qui n'est pas accessible, on peut faire ce qu'on veut, on ne pourra pas l'utiliser. On peut faire tous les efforts qu'on veut si on ne voit pas, on ne voit pas ! Et point. Si le logiciel n'est pas techniquement accessible il n'y a pas de miracle possible. Il faut modifier le logiciel pour le rendre accessible. Après, il est plus ou moins facile à utiliser, selon qu'il y a eu des efforts pour qu'il soit structuré de manière logique, pour que le lecteur d’écran puisse bien travailler, mais s'il n'est pas du tout accessible, là il n'y a rien à faire !

Journaliste : D'accord !

Armony : La différence c'est vraiment ça. C'est-à-dire que ce n'est pas une fonctionnalité. Il y a une différence. C'est une question qu'on a posée ce matin : quelle est la différence entre accessibilité et ergonomie ? Où est le curseur ? Quels sont les efforts qu'on attend finalement pour que ce soit accessible ? L'accessibilité c'est que tout le monde doit pouvoir y accéder quelle que soit sa façon d’utiliser son ordinateur. Voilà. C'est tout.

Après, est-ce que ce sera facile, agréable, est-ce que ça répond aux besoins vraiment ? Ça c'est une autre question. Donc effectivement ce sont des fonctionnalités en plus. Sauf que le besoin humain qui est, est-ce que je peux y accéder ou pas, là c'est une question d'égalité, de discrimination. Si le logiciel n'est pas accessible, il y a des gens qui ne pourront pas y accéder quels que soient leurs efforts.

Journaliste : D'accord. Une autre question qui me vient plutôt aussi, c'est, est-ce qu'on peut concevoir, est-ce qu'on a une nécessité de, un peu en quelque sorte, je ne veux pas dire fusionner, mais c'est un peu ça justement, la question de liberté d'exécuter et la question de l'accessibilité. À la base ce sont quand même deux choses différentes. Comment est-ce que vous articulez en fait, pour pouvoir arriver à dire que la liberté 0 c'est aussi la liberté avec l'accessibilité, alors que ce sont quand même des notions qui sont à la base bien scindées, en quelque sorte ?

Samuel : J'aurais envie de dire que ça dépend de la nature du contrat dont on parle. Quand on regarde, par exemple, la licence GPL, LGPL, etc, on se place d'un point de vue licence, c'est un contrat juridique, et donc effectivement, là ça prend du sens, la position de Stallman dire que la seule chose que le contrat juridique dit c'est : est-ce que tu as le droit ou pas. OK.

Ensuite tu peux avoir un contrat social. Typiquement Debian lui, son départ c'est un contrat social, plus que des questions de l'égalité de droit, et là par contre, l'accessibilité prend tout son sens. Quand Debian dit notre priorité c'est l'utilisateur, ce n'est pas qu'il puisse juste lancer le logiciel, ça ce n'est qu'une question de droit, mais qu'il aime bien utiliser sa distrib, il arrive à l'utiliser, que ce soit facile, etc, et là, l’accessibilité prend tout son sens.

Donc ça dépend de la nature du contrat auquel on s'intéresse, mais les deux en fait sont étroitement liées, bien sûr.

Armony : Le point de départ c’était le logiciel libre, la liberté 0, c'est la liberté de l’exécuter. Je suis en situation de handicap, le logiciel n'est pas accessible, je n'ai pas cette liberté de l’exécuter, est-ce que c'est toujours du logiciel libre ? Ça, déjà Stallman a apporté une clarification. Donc, oui, pour lui si théoriquement la possibilité, ça suffit. Sauf que concrètement si ce n'est pas accessible, on n'a pas forcément la possibilité de l'exécuter, ce programme.

Journaliste : D'accord. Donc on a le contrat de licence, mais pas le contrat social.

Armony : Voilà. Nous, on se place vraiment, on n'a pas pour ambition de réécrire la GPL ou quoi que ce soit. L'ambition c'est juste de dire, justement sur cette deuxième définition, liberté, égalité, fraternité, qu'il donne souvent en ouverture de conférence, si on ne fait pas du logiciel open source mais du logiciel libre, avec comme volonté de libérer les utilisateurs, dans ce cas il faut libérer tous les utilisateurs.

Journaliste : D'accord.

Armony : Et dans ce cas on est obligé de prendre en compte comme condition de base, pas comme une fonctionnalité optionnelle si on veut, non c'est une condition de base de prendre en compte l'accessibilité dans ses pratiques de développement.

Journaliste : OK. Et on est sur plus du factuel, enfin je veux dire factuel, au niveau des retours de développeurs, vous en avez assez bien ?

Armony : Sur ce discours-là ?

Journaliste : Oui.

Armony : Il y a quelqu'un qui nous a dit, là tout à l'heure, qui nous a rapporté à midi, je n'avais pas trop d'avis sur l'accessibilité. Depuis que j'ai vu la réaction de Richard Stallman, maintenant j'en ai un, qui est plutôt de notre côté. Oui les gens n'y pensent pas. En fait souvent, ils ignorent même que ça existe, qu'un aveugle peut utiliser un ordinateur, ça ne vient même pas à l'idée, on n'y pense pas. Et puis quand on y pense, je trouve que les retours sont extrêmement positifs et la question qui vient après c'est comment on peut faire.

Nous on a une liste de discussions aussi, liberte0.org. Il y a un wiki, une liste de discussions, deux listes, une en français, une en anglais, où on peut donner des ressources et aider les développeurs à se former. Après, on ne peut pas tout faire à la place, l'idée c'est vraiment de faire en sorte que les gens s'approprient la question et la prenne en compte dans les développements, dans leurs propres développements. On peut aider, mais tout le monde doit monter en compétences sur le sujet et le prendre en compte.

Journaliste : D'accord.

Armony : Moi je trouve que les retours sont extrêmement positifs. Je ne sais pas ce que tu en penses, mais pour l'instant ça fait un très bon effet.

Journaliste : Et vous pensez que dans l'avenir vous allez avoir un rôle c'est-à-dire pouvoir vraiment être importants et pouvoir améliorer, justement, ces questions d'accessibilité ? Comment est-ce que vous voyez le futur, de façon plus large ?

Samuel : Idéalement on n'aurait plus de rôle à jouer. C'est-à-dire qu'une fois que ça serait bien ancré dans les pratiques de programmation, dans les fondements de projets, on n'aurait plus rien à faire, idéalement. C'est un peu une des idées qu'on a eues quand on est allé voir les développeurs du projet GNU pour leur dire, il faut intégrer l'accessibilité dans votre projet, mais dans les textes, à la fois dans la documentation, dans les exigences de qualité du logiciel pour qu'il soit intégré au projet GNU. Ce genre de choses. Dire qu'éventuellement l'ergonomie n'est pas terrible, mais le logiciel doit être accessible pour qu'il puisse faire partie du projet GNU.

Armony : Oui. Et justement, en terme de retour des développeurs, les développeurs du projet GNU, il y a eu un GNU Hackers Meeting à Paris, ont été extrêmement réceptifs et poussent pour que ce soit intégré dans les, je ne sais pas quoi, Coding Standards, dans les standards de code, où il y a déjà l'internationalisation. Pour eux c'est une évidence. Il faut prendre en compte l'accessibilité et souvent c'est le fait d'y penser ; ils n'y avaient pas pensé.

Et en terme de l'avenir effectivement, l'objectif c'est souvent ce qu'on dit, l'objectif de Liberté 0 c'est de disparaître, c'est que ce soit tellement ancré chez tout le monde qu'on n'ait plus besoin de faire cette sensibilisation. Donc là, pour l'instant pour nous c'est de sensibiliser, de pointer. Ce n'est pas de faire les choses à la place des autres, c'est d’être un peu la plate-forme où toutes les initiatives, parce qu'il y en a plein qui sont méconnues, sur l'accessibilité, trouvent un portail de résonance, parce qu'on est plus fort si on est plus nombreux, pour donner plus de visibilité. Et c'est vraiment un peu juste une plate-forme de rencontre aussi, où il y a plusieurs développeurs, les utilisateurs, c'est plurihandicap, pour permettre de faire émerger des choses, de faire se rencontrer des gens.

Et on continue chacun, Samuel travaille sur Debian, beaucoup. Donc ce qu'il fait chez Debian, en fait, ça fait partie de ce que fait Liberté 0. Ça a un sens. On n'a pas besoin qu'il vienne le faire chez Liberté 0, ce n'est pas la marque en tant que tel, on s'en fiche. C'est juste qu'on va en parler sur Liberté 0 pour dire voyez ce qu'il est possible de faire et pour mutualiser et partager.

Moi j'ai aidé par exemple Framasoft aussi, à améliorer, ils ont plein de services aussi dont le Framadate qui n'est pas du tout accessible. Donc là on travaille ensemble. Bientôt il devrait y avoir, peut-être la semaine prochaine, la publication d'une version accessible du Framadate, c'est chez Framasoft et on ne leur demande pas de faire au nom de Liberté 0. On s'en fiche. Ce qui compte c'est que ce soit fait.
Après on va en parler. Ils ont déjà fait une conférence pour expliquer ce qu'ils faisaient pour l'accessibilité. Tout le monde peut le prendre à son compte. C'est ça notre objectif. Ce n'est pas de faire les choses nous-mêmes. Ce n'est pas possible, on n'est pas assez nombreux et chacun a sa propre responsabilité. C'est beaucoup plus facile, quand on code, d'y penser et de faire les choses en amont, au moment de coder, que de patcher une fois que c'est mis en production. C'est plus compliqué après.

Journaliste : Vous avez un site web où on peut retrouver ?

Armony : Oui. liberte0.org

Journaliste : OK. Eh bien merci beaucoup.

Armony : Eh bien merci à toi.

Samuel : Merci

Journaliste : Et bonne continuation.

Armony : Merci.

Radio RMLL 2014 : Tafta par Jeanne Tadeusz et Lucile Falgueyrac

17 Juillet, 2014 - 12:26


Informations Transcription

Quesh : Bonjour, bonsoir. On est soit en direct soit en podcast. On est avec Luc Fievet, c'est bien ça ?

Luc : Oui.

Quesh : Et donc avec ?

Manu : Manu, Echarp.

Quesh : Manu, Echarp, voilà. On est aussi avec Jeanne.

Jeanne : De l'April, oui, toujours.

Quesh : De l'April. Et Lucile

Lucile : C'est ça, qui travaille avec plusieurs organisations

Quesh : D'accord.

Luc : Lesquelles ?

Lucile : C'est un peu compliqué, mais ce sont plusieurs organisations françaises et allemandes qui travaillent sur la politique commerciale.

Quesh : D'accord. On est là pour parler de, en gros, de TAFTA. Tu veux nous en parler ?

Manu : TAFTA, ça veut dire quoi ?

Lucile : TAFTA, ça veut dire Transatlantic Free Trade Area, ce qui est la zone transatlantique de libre échange. C'est l’équivalent de l'ALÉNA, qui est la même chose entre le Canada, les États-Unis et le Mexique. Cette fois-ci, c'est entre l'Union Européenne et les États-Unis.

Luc : Donc c'est un super truc !

Lucile : C'est la plus grande zone de libre échange du monde.

Luc : C'est génial !

Lucile : Ah oui, c'est magnifique on va voir à quel point c'est super bénéfique !

Manu : Il y a plusieurs noms aussi, puisqu’ils ont changé le nom comme TAFTA pose problème, non ?

Lucile : C'est ça. Donc ils l'ont renommé en TTIP qui est Transatlantic Trade and Investment Partnership, qui est le partenariat transatlantique de commerce et d'investissement. Son nom essaye de rendre plus importante la question des investissements et la protection des investissements. On va en parler. Ce n'est pas du tout anodin ce changement de nom. Je pense que ce n'est pas que du maquillage pour qu'on n'ait pas le son de TAFTA qui rappelle trop

Luc : ACTA ?

Lucile : ACTA et NAFTA qui est ce fameux ALÉNA, mais en anglais. Je pense qu'il y a quand même des choses importantes dans ce changement et cette importance donnée aux investissements dans ce changement.

Quesh : Et donc Jeanne tu es là pour nous parler de ?

Jeanne : De TAFTA également, un petit peu, parce que c'est effectivement un dossier extrêmement important pour tous les acteurs du Logiciel Libre, mais pas que. Mais aussi de dossiers français comme notamment l'Open Bar Microsoft Défense et un peu de DRM.

Quesh : On a la totale. On a vu plusieurs choses lors des Rencontres Mondiales du Logiciel Libre. On a vu qu'il y avait des logiciels libres, mais il n'y avait pas que. Là on parle carrément de liberté, c'est à l'état pur quoi ! TAFTA tu peux nous en dire plus ?

Lucile : En quelques mots c'est une négociation qui a commencé depuis un an, à peu près. Qui est en préparation depuis dix ans. Qui est une priorité à la fois de l'Union Européenne et du gouvernement américain, ça a été clairement dit. C'est une priorité pour toutes les institutions européennes et les états membres de l'Union Européenne ont donné mandat à la Commission Européenne pour qu'elle négocie ce traité, dans le plus grand secret, comme d'habitude. Donc c'est très difficile de savoir ce qui se passe. On utilise des fuites, donc des leaks. Il y en a régulièrement, ce qui veut dire qu'on a encore des copains dans les institutions, ce qui est bien.

Quesh : Justement, ce côté secret, quand on regarde le truc de loin, ce qui mon cas, on a l’impression finalement qu'on dit « TAFTA ce n'est pas bien ! » Et on dit « Et pourquoi ? » et tu dis «  En fait on ne sait pas ».

Lucile : Il y a des choses qu'on sait. Par exemple, il y a eu un certain nombre de ce qu'on appelle des positions papers, qui sont des papiers où les négociateurs disent ce qu'ils ont l'intention de négocier. Il y a aussi un travail fort qui est fait de regarder ce que les différents lobbies attendent de TAFTA et il y a les déclarations diverses et variées, et il y a aussi, bien entendu, l'observation des différents traités, avant, qu'on peut voir et donc quels intérêts et quelles idées gouvernent ces négociations. Ça n’augure rien de bon !

Dans notre cas les États-Unis négocient en même temps le TPP, qui est le Trans Pacific Partnership, entre différents pays du Pacifique et ces négociations sont bien plus avancées, on a eu plus de fuites, plus de leaks. Et, si on imagine que ces positions sont ce que les États-Unis aimeraient bien, les États-Unis et d'une manière générale, ce qui est éventuellement attendu dans ces accords, on va en parler, mais il faut vraiment se mobiliser.

Quesh : D'accord. Et d'un point de vue Logiciel Libre, parce que c'est quand même le sujet qui nous intéresse ici aux RMLL, quelles sont les conséquences ?

Jeanne : D'un point de vue Logiciel Libre, comme vient d’être très justement dit, c'est difficile de dire précisément, parce qu'on n'a pas toutes les clefs en main ; finalement on a des fuites, des leaks qui nous permettent d'avoir une idée. Après, ce qu'on peut dire clairement, c'est qu'il y a une logique qui est à l’œuvre, qui est extrêmement nocive, qui est celle qu'on a pu avoir dans ACTA, qui est finalement la sacralisation du droit d'auteur et l’impossibilité de revenir en arrière sur tout un tas de législations qui nous posent déjà problème. L’exemple type ça va être sur les DRM ou ça va être encore sur le brevet logiciel. Quand on voit la différence de la position entre l'Europe et les États-Unis, le fait d'unifier la zone de libre-échange, et donc de pouvoir avoir des investisseurs américains qui, pour faire court, demandent à avoir les mêmes brevets en Europe que ceux qu'ils ont aux États-Unis, on peut bien imaginer les dangers que ça représente notamment pour tout le Logiciel Libre et tout l’écosystème qu'on a aujourd'hui en Europe.

Lucile : Pour donner un peu de contexte, et je suis complètement d'accord avec ce que je dit Jeanne, TAFTA a plusieurs objectifs, TAFTA que nous on appelle TTIP, donc avec le investissement au milieu, donc TAFTA a plusieurs objectifs. Le premier c'est quand même de protéger les investissements, c'est ça qui a été dit et un deuxième objectif très important, c'est d'harmoniser les normes entre les États-Unis et l'Europe puisque les barrières douanières sont actuellement finalement très basses et que, ce qui d’après les négociateurs empêche le commerce transatlantique ou le rend plus difficile, ce sont ces différences de normes. Par normes on peut dire les différences de boulons ou de prises ou des choses comme ça qui ne sont finalement pas très intéressantes pour nous, on peut aussi parler de tout ce qui est important, ça va de l'écologie à l'alimentation, à bien sûr, les brevets. On peut tout imaginer là-dedans.

Luc : Les normes sociales aussi ?

Lucile : Les normes sociales aussi. Et c'est pour ça que les syndicats dans plusieurs parties de l'Europe, pas trop en France, mais dans plusieurs autres pays européens, commencent à très sérieusement se mobiliser contre TAFTA. On pourra peut-être ne parler plus tard. Mais c’était juste pour donner un peu de contexte.

Jeanne : Tout à fait. Et juste pour compléter là-dessus, il faut bien voir que sur des textes TAFTA ou TTIP, on n'est pas les seuls, loin de là. On travaille aussi énormément avec tout un tas de collectifs de la société civile, qui travaillent sur des sujets aussi différents, donc les syndicats comme vient de le dire Lucile, mais aussi sur les semences, par exemple, sur les médicaments, des associations comme Act-Up sont très présentes, Médecins sans frontières. Il y a vraiment un regroupement, une forme de convergence là-dessus en terme de protection des droits, en terme de liberté aussi, individuelle, qui est réelle, parce que c'est clairement un danger qui est hyper important évidemment pour le Logiciel Libre, mais qui nous concerne évidemment tous aussi en tant que citoyens

Lucile : Ce qui pose problème dans TAFTA, c'est que ça change profondément la façon dont on va pouvoir faire des politiques publiques ou modifier des politiques publiques. On pourra en reparle r encore une fois. Mais il y a plusieurs mécanismes dans TAFTA soit qui inscrivent des principes dans un texte qui est presque impossible à réformer : je vais citer par exemple le principe de libre flux de données. C'est un principe qui est présent dans un des leaks sur le chapitre e-commerce. C'est le chapitre e-commerce d'un autre traité qui est CETA, tout se complique.

CETA c'est le cheval de Troie de TAFTA. C'est son petit frère. C'est le même accord qui est en train d’être négocié avec le Canada et qui est nettement plus avancé au niveau des négociations également, qui était censé être signé, la date de signature n’arrête pas d'avancer parce que la pression que met le public du fait de TAFTA rend la conclusion de l'accord plus compliquée. Bon bref ! On pense que CETA va être utilisé comme un texte de base pour TAFTA, et le chapitre e-commerce de CETA a fuité, et dedans il y a la reconnaissance de ce principe de liberté de circulation des flux de données. Et c'est un principe qui va être dans les traités internationaux qui vont être extrêmement durs à reformer et il y a parfois des exceptions, etc, mais ça met quand même en droit international des principes que nous on trouve très problématiques et qui vont nous poser des problèmes quand on va vouloir reformer ces domaines. C'est aussi le cas dans les chapitres propriété intellectuelle, etc. Quand on nous dit qu'on veut réformer le copyright et qu'on nous dit toujours « Non mais il y a TRIPS là, les ADPIC, ces accords de l'Organisation Mondiale du Commerce sur la propriété intellectuelle, qui mettent un socle minima de protection de la propriété intellectuelle et donc du coup qui rendent des réformes en profondeur, par exemple du copyright, beaucoup plus difficiles. Et là, avec TAFTA, sur un certain nombre de sujets très nombreux, on va vers ce genre de choses, c'est-à-dire des principes qui fixent des situations compliquées qu'on a maintenant.

Quesh : Une des situations, pour prendre un exemple, une des situations, ça serait, j'ai des informations privées, j'ai mes données personnelles, comme il y a libre circulation de données, elles peuvent se retrouver n’importe où, en tous les cas dans cette zone.

Lucile : La protection des données, c'est très compliqué. Personne n'est vraiment d'accord sur les définitions, etc. Il y a un gros travail qui est en train d’être fait en Europe là-dessus, je ne sais pas si tu es au courant, avec la directive de protection des données actuellement en négociation, enfin en discussion au niveau des institutions.

Il y a la différence entre les données privées et les autres. C'est très compliqué, ce n'est pas mon sujet, en plus, donc je ne vais pas m'étendre là-dessus, et donc dans le chapitre e-commerce de CETA, ils ne parlent pas de données privées, mais ils parlent de données en général, et il disent on peut faire des exceptions qui sont raisonnables, etc, pour la protection de la vie privée. Sauf que qui va juger de ça ? Ce sont les spécialistes du commerce, de l'investissement, etc, et pas des spécialistes des droits de l'Homme.

Luc : On va là retrouver là des trucs, enfin des notions de juridiction spécialisée, un petit peu comme on avait, donc TAFTA, ou des trucs qui ont été mentionnés, je crois, sur le brevet unitaire en Europe ?

Jeanne : Tout à fait et c'est finalement le deuxième problème. Le premier problème comme l'a dit très justement Lucile, c'est qu'on a un accord international qui dit quelque chose donc on ne peut plus revenir au niveau national ou européen dessus parce qu'il y a un accord qui finalement prime.

Echarp : Qui verrouille, carrément.

Jeanne : Qui verrouille. Et l’exemple ce sont les DRM. Quand on voudrait faire des choses sur les DRM, pourquoi pas interdire les DRM, ou au moins les limier, on nous répond systématiquement que non ce n'est pas possible puisque c'est dans les accords internationaux justement de l'OMC, de l' EPI pardon, mais on a vraiment cet aspect-là qui va être présent. Et la deuxième étape, qui se rajoute avec TAFTA ou le TTIP, c'est la mise en place de juridictions spécialisées, qui pourront simplement être saisies par les investisseurs étrangers. Donc on a quand même une forme d’injustice parce que, que ce soit les investisseurs nationaux, ou que que ce soit les citoyens éventuellement regroupés en collectifs, n'auront aucune prise sur ces juridictions-là, qui pourront assigner les états en justice, s'ils considèrent que la législation leur porte préjudice en fonction de l'accord.

Luc : Alors que la législation c'est justement par définition fait à pour porter préjudice à des intérêts privés. C'est l'idée.

Lucile : En fait dans ces accords, ces tribunaux en effet seront des tribunaux qui ne sont pas des tribunaux, ce sont des cours d'arbitrage, qui sont ad hoc, qui sont faites par des juges qui sont des juges « for profit », des juges à but lucratif, voilà, qui n'ont pas de salaire et qui donc gagnent de l'argent en faisant ces arbitrages. Ces arbitrages sont uniquement accessibles donc aux investisseurs étrangers, comme l'a dit Jeanne, et c'est en cas d'attaque d'un état sur les investissements d'un investisseur étranger. Toute la question est qu'est-ce que c'est qu'un investissement ? Qu'est-ce que c'est qu'un investisseur ? Est-ce que faire de la spéculation sur la dette d'un pays c'est un investissement ? Est-ce que etc, etc ?

Echarp : Ça voudrait dire que si moi je suis un pays, je vote une loi qui embête un investissement d'une société, même si c'est quelque chose pour protéger mes citoyens, eh bien je peux me retrouver devant cette cour, avec des juges payés ? Pour venir me gronder ?

Jeanne : Absolument. Aujourd'hui ça veut dire que si tu es Monsanto et que tu n'aimes pas la législation de la France contre les OGM, tu pourrais potentiellement aller attaquer la France devant cette cour en disant qu'ils viennent te pénaliser.

Lucile : En cas de nouvelle législation !

Jeanne : En cas de nouvelle législation, ça pourrait vouloir dire ce qu'il y a dans le texte de l’accord, texte qu'on ne connaît pas.

Echarp : J'ai cru que comprendre que l'Allemagne par exemple avait déjà ce genre de chose qui était en place et qu'ils avaient des problèmes leur interdiction du nucléaire avec je ne sais plus quelle société.

Lucile : Vattenfall, les Suédois. En fait on en a tous. L'Europe, je ne me souviens plus du chiffre exact, mais a des milliers d'accords. Cette protection des investisseurs qui est assurée via des recours à ces cours d'arbitrage, c'est une disposition qui est présente dans les accords internationaux signés par tous les pays, depuis longtemps. Je crois que le premier était en 54 entre l’Allemagne et le Pakistan, enfin peu importe, donc c'est quelque chose d'assez courant. Et ce qui est très important à regarder, c'est que le nombre de cas explose ces derniers temps, alors que le nombre d'accords signés n'explose pas, parce que les investisseurs ont compris que c’était génial ce truc et aussi parce qu’il y a une véritable industrie de l'arbitrage privé qui s'est développée et qui pousse les investisseurs à attaquer, ou à juste menacer les états d'attaques, pour que ces états ne légifèrent pas sur un certain nombre de choses qui seraient contraires aux intérêt des investisseurs étrangers.

Jeanne : Absolument. Et ce qu'il faut bien voir c'est que c'est en fait une manière de pervertir complètement ce qui était le but original de ces tribunaux d'arbitrage, ou de ces juges, de ces arbitres, finalement payés. Parce que la logique au départ c’était principalement pour les accords notamment avec les pays qui n'avaient pas forcément un système judiciaire ou un gouvernement réellement stable. On cite l'exemple des accords avec le Pakistan en 54, on est quand même dans une situation où le Pakistan en 1954, c'est le moment de l'indépendance, ce n'est quand même pas simple. Et donc l'idée c'est de pouvoir protéger les investisseurs qui veulent quand même investir dans ce pays, et finalement pour aider le pays, en leur assurant qu'ils auraient une forme de recours à une justice équitable s'ils ont une expropriation trop violente. C’était ça la logique de départ.

Sauf qu'aujourd'hui la définition de ce qu'est un investisseur, la définition de ce que c'est qu'une expropriation s'élargit énormément, c'est notamment le cas de tout ce qu'on appelle les expropriations indirectes, c'est-à-dire qu'on ne va pas directement prendre les biens d'une entreprise, mais on va mettre une législation qui la désavantage, par exemple, parce qu'elle ne répond pas à certaines normes de sécurité. Ça peut être quelque chose comme ça qui peut être considéré comme une expropriation indirecte et donc être sanctionné par ces juges qui, une fois de plus, sont des juges à but lucratif, donc plus ils ont d'affaires plus ils sont contents.

Lucile : Exactement. Donc ça, mais ça pousse le développement de ce système et l'interprétation qui est donnée au traité est aussi élargie au fur et à mesure, énormément. Donc des choses que les états ont signées en pensant que ça allait protéger les investisseurs, etc, deviennent des monstres terribles avec des cas. Tu parlais de l'Allemagne tout à l'heure, il y a deux cas avec Vattenfall et l'état allemand. Il y a un cas où ce n'est pas l'état allemand qui a été attaqué par Vattenfall, mais c'est Hambourg qui avait passé...

Luc : Un Länder ?

Lucile : Voilà, qui avait passé une régulation sur les taux d'émission de matières toxiques dans la rivière et ils se sont fait attaqués parce que, soi-disant, ces normes rendaient l'investissement de Vattenfall, de son usine qui rejetait des substances toxiques dans la rivière, mettait l'investissement en danger. Et donc du coup au lieu de trouver une solution à l'amiable, etc, ou de faire quelque chose, je ne sais pas, Vattenfall a attaqué la ville de Hambourg. La ville de Hambourg s'est dit on ne peut pas se permettre, parce que ce sont des millions et des millions, ce sont des millions en frais de justice et ce sont des dizaines voire centaines de millions, voire plus en dommages à donner.

Luc : Et c'est risqué parce qu'on ne peut pas savoir à l’avance si on va gagner ou on va devoir les payer.

Lucile : Effectivement, il y a une insécurité juridique énorme et donc la ville de Hambourg a dit OK, on fait un accord à l'amiable, on baisse les seuils, donc on protège moins nos populations, et on vous paie. Voilà. Donc catastrophe totale. Ça c'est une situation qui arrive régulièrement et c'est pour ça, souvent on nous dit oui,mais en général, les investisseurs qui portent des demandes qui sont disproportionnées, ils n'arrivent pas à leurs fins, ils vont perdre au tribunal. Déjà c'est faux et en plus, rien que l'effet (ou les faits) de menace est déjà un problème énorme.

La deuxième chose c'est en effet au niveau du nucléaire. Vattenfall qui demande trois milliards sept à l'Allemagne pour l’arrêt du nucléaire qui a été prévu. Les gens qui ont regardé vraiment l'historique de ce cas, disent qu'en effet, il y a des choses qui auraient pu être mieux faites dans le processus, mais que c'est complètement disproportionné ce que Vattenfall demande, et ils peuvent le faire parce que ce système est complètement pourri jusqu'à la moelle.

Jeanne : Et c'est clairement le danger de juridictions spécialisées en terme de la sécurité juridique. Pour prendre une comparaison aussi avec des choses qu'on connaît déjà, c'est le système des brevets aux États-Unis, qui est exemple classique là-dessus.

Luc : Pour le coup, sur les brevets aux États-Unis, on a l'impression qu'ils sont en train de faire marche arrière. Non ?

Jeanne : Oui, alors juste pour rappeler à tout le monde le système des brevets aux États-Unis, en fait les brevets sont délivrés de manière classique par un office des brevets, qui est un office à but lucratif c'est-à-dire qu'il se rémunère sur les brevets qu'il fournit, donc qui a tendance à donner beaucoup de brevets. Et ensuite les affaires sont jugées par une cour spécialisée, cour spécialisée qui gagne de l'importance et qui est déjà staffée par des gens qui sont dans le microcosme des brevets, qui sont son avocat et ainsi de suite et qui ensuite ont un tropisme très fort en faveur des brevets.
Donc aux États-Unis, au départ, les brevets logiciels étaient extrêmement limités, l'interprétation de la cour s'est élargie dans les années quatre-vingt, élargie, élargie pour voir des choses complètement abstraites et complètement folles qu'on a pu voir ces dernières années dans toutes les batailles des brevets : Apple contre Samsung entre autres, mais plein d'autres, les brevets sur l'achat en un clic d'Amazon, enfin il y en a beaucoup dans ce style-là. Et à chaque fois les brevets passaient parce que la cour spécialisée avait tendance a, dès que c’était un peu nouveau, ça suffisait pour accorder un brevet.

Sauf que l'avantage qu'ont les États-Unis et que nous, on n'aura pas, que ce soit dans le cadre du brevet unitaire ou que ce soit dans le cadre des accords type TAFTA, c'est que eux, ils ont la Cour suprême qui tranche en dernier recours. La Cour suprême, qui est une vraie juridiction, qui est indépendante, a repris le dossier, a réellement repris le dossier, a rendu tout récemment là, il n'y a même pas deux semaines, une décision qui était très attendue, pour dire ce qui était brevetable ou ce qui ne l’était pas en terme de logiciels. Alors ce n'est pas une décision, on va dire, qui va interdire les brevets logiciels, mais qui va en interdire 90 %, je pense, et notamment tous les plus nocifs, tous les plus, je ne sais.

Echarp : Et qui remet en cause la base même de cette notion de brevet, brevetabilité.

Jeanne : Oui, c'est ça. Qui remet en cause la manière dont c’était analysé en disant que c'est nouveau, c'est brevetable. Elle dit que non, non, c'est nouveau et il faut qu'il y ait un effet technique et l'effet technique ce n'est pas juste que ce soit sur un ordinateur. Ça veut dire qu'il faut que ça améliore directement la technique. Donc tous les brevets qu'on a pu voir, voilà, c’était l’achat en un clic, il y en a plein d'autres de ce type-là, eh bien tous ces brevets sont...

Echarp : Et puis les brevets sur les méthodes. Un acte chirurgical peut être breveté aux États-Unis ou pouvait l’être.

Jeanne : Et là c'est extrêmement limité, parce que si c'est un algorithme, un algorithme n'est plus brevetable en tant que tel.

Echarp : Tant que les juges le comprennent. Il y a peut-être des limites sur, justement, la manière dont ils ont jugé, si j'ai bien compris. Ils n'ont pas vraiment bien défini la brevetabilité, mais ils l'ont restreinte.

Jeanne : Ils ont considéré que ce n’était pas leur rôle de définir très précisément. Après ils ont énormément restreint et c'est finalement une claque, quand même monstrueuse, qui a été faite à l'office des brevets aux États-Unis et aux cours spécialisées, en disant vous êtes allés beaucoup trop loin dans l'interprétation de l'ancienne décision qui avait un peu ouvert la porte dans les années quatre-vingt. Ce n’est pas du tout ça qu'on voulait dire. On voulait juste dire qu'il faut finalement limiter la brevetabilité à ce qui est réellement quelque chose de technique.

Luc : Ce que tu disais que la Cour suprême est indépendante, mais est-ce qu'il n'y a pas quand même un phénomène très politique parce qu'on a vu dans la presse les réactions de Obama notamment, il y a à peu six mois, six mois un an, où déjà il y avait des trucs avec des voix plutôt politiques qui étaient en train de dire il va falloir calmer le jeu sur les brevets logiciels.

Echarp : Ça leur coûtait cher !

Lucile : Je pense que dans ce cas-là, ce qui est le plus important, ce n'est pas vraiment de décider si la cour est indépendante ou pas, ça je crois que c'est une question très compliquée, ce qui est important, c'est que c'est une cour généraliste. C'est-à-dire c'est une cour qui n'est pas spécialisée dans les brevets. C'est une cour qui pense que les droits de l'Homme, les intérêts économiques divers et variés ou le droit, enfin peu importe, que tous les domaines sont égaux en fait. Donc c'est une cour qui est capable de mettre fin à des abus d'une partie du droit qui devient complément disproportionnée, parce qu'elle est généraliste.

Luc : On a quand même eu des réactions politiques il y a six mois environ, six mois un an, qui disaient : les brevets logiciels ça va trop loin, et bizarrement, tu vois, on a une réponse de la Cour suprême qui va dans ce sens-là.

Jeanne : Mais la Cour suprême a aussi décidé il y a un an de se saisir de cette affaire, donc c'est aussi un choix juridique en voyant ce qui se passait, je pense.

Echarp : Il y a eut-être une convergence de la société en générale qui pousse à changer un petit peu la donne.

Lucile : C'est l'idée du droit qui s’adapte à la société. Comment est fait le droit, c'est toujours la résonance de mouvements qui se passent dans la société. Mais quand même pour rebondir là-dessus parce que c'est quand même magnifique, ces fameux règlements des différends investisseurs - états dont on parlait avant, un tribunal d’arbitrage composé donc de trois personnes, qui ne sortent de nulle part, qui sont à but lucratif, etc, peut tout à fait condamner, ou en tout cas condamner un état à verser des dommages immenses pour une décision d'une Cour suprême. Et ça a déjà été le cas, ça a déjà été le cas avec l’Équateur. Occidental qui est une compagnie pétrolière américaine, qui a eu un procès qui a duré des dizaines d'années avec l’Équateur sur la dépollution des terres autochtones, non ce n'est pas autochtones.

Luc : Indigènes.

Lucile : Indigènes, oui enfin bon, des terres des natifs, donc des Indiens, donc Occidental a complètement pollué, détruit des terres ancestrales de ces peuples. Après des années et des années de combats juridiques dans les cours équatoriennes ils ont été forcés de payer la décontamination des sols, etc, ils ont refusé de payer, l'état équatorien a saisi leurs propriétés, partout, pour faire appliquer la décision de justice et Occidental s'est retourné vers une cour d'arbitrage.

Echarp : Expropriation.

Lucile : Expropriation, etc, exactement, qui pense non justifiée et ce cas est terminé et c'est la plus forte somme qui n'a jamais été imposée à un état et qui est je crois de un milliard sept d'équivalents de dollars ou d'euros, je ne sais plus de tête, imposée à l’Équateur.

Echarp : Qui n'est pas un gros pays

Lucile : Qui est un petit pays avec un seuil de pauvreté, enfin avec un taux de pauvreté très important. Ces tribunaux ne regardent pas si la décision de l'état est juste ou pas juste, ils regardent si la décision de l'état nuit aux investissements, et c'est ça le

Luc : C'est fou parce que le principe d'arbitrer entre des intérêts publics et des intérêts privés, c'est nécessairement de nuire à des intérêts d'investissements, enfin on peut imaginer.

Jeanne : Sauf que là, non, c'est l'inverse. Avec tous ces textes

Luc : Non, mais du point de vue de l'état et de la justice. C'est-à-dire que quand tu tranches, nécessairement c'est en défaveur de quelqu’un. Mais là si tu dis que tu es là pour défendre les investissements. Si moi j'investis pour l’exploitation de Manu comme esclave !

Echarp : Super !

Luc : Voilà j'ai fait un investissement et si on va contre mon investissement.

Lucile : C'est pour ça que ces traités, les états les signent en se disant bon, ça va aider.

Echarp : Ça va aider à la croissance.

Lucile : Exactement. C'est ce que la Commission européenne et la DG Trade nous répètent à longueur de journée.

Echarp : Ils en rêvent !

Lucile : Et après il se passe des choses qui les dépassent complètement parce qu'on n'est plus du tout dans une idée de puissance publique qui a des droits, etc. Ces traités d'investissements c'est protéger les investissements étrangers. Et on peut détailler les clauses, etc, qui sont des clauses très, très larges. D'ailleurs demain aux RMLL, pour ceux qui vont nous écouter ce soir, Jeanne et moi et je crois quelqu'un d'autre, François, je ne sais pas qui, on va faire un atelier où on va essayer de répondre : la commission européenne a lancé une consultation, une consultation complètement bidon d'ailleurs, pour que les citoyens donnent leur avis sur ce mécanisme de règlement des différends investisseurs - états, et la date limite pour répondre est le 13 juillet, donc 2014, et donc on va faire un atelier demain pour répondre, en tout cas pour creuser.

Luc : Pour faire une répondre collective ?

Lucile : Peu importe. En fait je pense que l'objectif de formation des gens est plus important que vraiment répondre à la Commission, vu que de toutes façons, la Commission ne nous écoutera pas !

Jeanne : Voilà. Mais s'il y en a qui veulent justement aussi faire leur réponse individuelle, c'est toujours important qu'il y ait toujours du monde. On sera surtout là pour répondre aux questions et travailler collectivement là-dessus.

Echarp : Ceci dit, alors, je ne veux pas vous enlever l'énergie, mais on ne le signera jamais ce genre de traité. La France, notamment, on a des intérêts, on n'aime pas les hormones, on veut défendre nos vins. La France n'ira jamais signer ce genre de choses-là, c'est impossible, voyons !

Jeanne : Actuellement les deux principaux partis à l’Assemblée nationale soutiennent le traité !

Echarp : AHHH ! Le PS et l'UMP, là, comment on dit ? L'UMPS ?

Jeanne : Mais ce ne sont pas les seuls. Mais actuellement il y a tellement l'aspect entreprise, création d'emplois, qui est tellement seriné, avec un lobbying.

Echarp : Oui, mais on ne va pas mettre du fracking ! On ne va pas autoriser, les hormones, le bœuf aux hormones ça fait peur !

Luc : C'est une des solutions.

Lucile : Quand tu es forcé de faire des choses à un niveau national parce que les gens hurlent et que tu as un moyen de quand même faire ce que tu voulais faire mais par une autre porte.

Luc : Par l’intermédiaire d'un traité ?

Lucile : Surtout si c'est par l'intermédiaire d'un traité comme ça, qui est présenté comme technique, comme quoi que ce soit, comme du droit international, tout le monde s'en fiche, etc. Personne ne cherche à comprendre les questions de commerce. Les gens qui travaillent depuis quinze ans sur la politique commerciale de l'Union européenne n'en reviennent pas, parce que ce n'est pas nouveau tout ça. Et ça fait quinze ans qu'ils essayent d'en parler, et c'est là, c'est le grand méchant américain donc tout le monde se réveille, c'est abominable ce truc !

Echarp : C'est de l’impérialisme !

Lucile : En fait ce n'est pas nouveau. L'Europe est très forte pour imposer des traités commerciaux complètement défavorables aux pays du Sud. L'Europe est très forte pour que ses entreprise attaquent des états, etc. Vattenfall qui a attaqué l’Allemagne, ce ne sont pas des américains, ce sont des Suédois, grâce à la charte de l'énergie. On est à fond dans ce système et d'habitude nous on en bénéficie parce que ce sont nos grandes entreprises qui écrasent tout le monde !

Echarp : Là ce sont les américaines.

Lucile : Cette fois-ci c'est cinquante, cinquante !

Luc : Et là, ce n'est plus drôle.

Echarp : Du coup on va moins rigoler !

Lucile : Du coup maintenant tout le monde « le poulet chloré, etc. », sauf que !

Jeanne : Et je pense que la différence aussi c'est que ça touche des secteurs qui n’étaient pas forcément touchés par ce type de négociations jusqu'à maintenant, avec notamment une mobilisation citoyenne. Quand on parle de poulet aux hormones, quand on parle,

Luc : La sécurité sociale, elle serait mise en cause !

Jeanne : oui, de sécurité sociale aussi, quand on parle aussi tout ce qui est libertés numériques, on touche aussi des gens qui ont été réveillés, secoués, par ACTA récemment et je pense que c'est lié à ça aussi qu'on ait une mobilisation telle.

Lucile : Oui, je suis d'accord et ce que je voulais juste rajouter, c'est que, en effet, TAFTA c'est fondamental, CETA, donc le Canada - Union européenne, c'est son cheval de Troie, mais, la politique commerciale de l'Union européenne c'est une réalité, ça a existé avant, ça existera après. Il ne faut pas qu'on s'endorme sur le sujet. Par exemple, Jeanne tu me corrigeras si je me trompe, mais il me semble que le chapitre propriété intellectuelle de l'accord Union européenne - Singapour est une abomination avec tout ACTA dedans.

Jeanne : Absolument. Il y a beaucoup d'autres textes et je pense qu'on est rentré aujourd’hui dans une étape où on s'implique dans tout ce qui est traités commerciaux. Il va falloir continuer. On s'est battu contre ACTA, on a gagné. Aujourd'hui on se bat contre TAFTA, j'espère qu’on va gagner. Mais c'est tout un paradigme en fait qu'il faut changer, parce que sinon, on va continuer de se battre contre le nouveau, le nouveau, le nouveau !

Lucile : Exactement. Je trouve que c'est un bon mot de conclusion.

Quesh : Très bien. Eh bien merci beaucoup pour ces explications éclairantes et assez flippantes pour tout dire. Intéressez-vous au sujet et mobilisez-vous !

Des cryptoparties aux Café vie privée, le chiffrement en pleine démocratisation - conférence de Genma à Pas Sage En Seine, juin 2014

16 Juillet, 2014 - 23:25


Informations Transcription

On se donne encore deux minutes avant de commencer, le temps que les gens dans la salle puissent s’asseoir. Je vais peut-être y aller. Je vais commencer.

Bonjour et bienvenue. Le titre de ma conférence, c'est « Des cryptoparty aux café vie privée, le chiffrement en pleine démocratisation ».

Je vais commencer par me présenter. Qui je suis ? Je m'appelle Genma de mon pseudo, ça s'écrit G, E, N, M, A. Sous ce pseudonyme je tiens un blog qui s'appelle le blog de Genma. J'ai un twitter sur lequel je suis assez actif et je communique de façon assez régulière par rapport aux thématiques que je vais aborder dans cette conférence, à savoir, les chiffrofêtes, café vie privée, cryptoparty, je vais expliquer un peu pourquoi ces différentes terminologies-là. Comment j'ai été amené à être ici ? C'est parce que mes centres d’intérêt ce sont au départ la veille technologique et peu à peu je me suis intéressé à tout ce qui était vie privée, chiffrement, etc. J'ai acquis un certain nombre de connaissances que maintenant je rediffuse dans le cadre d’événements de type cryptoparty. Donc je vais expliquer tout ça.

Donc les chiffrofêtes, c'est quoi ? Qu'est-ce qu'une chiffrofête ? Au départ il y avait le terme de cryptoparty, qui est la contraction de crypto, donc chiffrement et party, la fête ; c'est un terme anglais qui est souvent francisé en cryptopartie, ie, mais nous on a, en fait, on a décidé, donc le petit groupe qui fait ces genres d’événements avec moi, d’appeler ça chiffrofête, parce qu'on trouvait ça marrant, c’était un petit côté francisation du terme et montrer qu'on se démarque un petit peu du terme de cryptoparty du départ. Parce que les cryptoparty ont toujours existé, moi je sais que ça fait quelques années que je m'intéresse à ces problématiques-là. J'avais regardé en cherchant sur Internet et je voyais que les cryptoparty c'était dans des milieux, un peu, on va dire, underground, dans des hackerspaces, des endroits un peu de réunion de hackers qui voulaient chiffrer leurs mails et leurs communications. Ça semblait quelque chose d'assez confidentiel, de gens qui s'y connaissent, qui ont un certain bagage technique. J'avais l'impression que le ticket d'entrée pour participer à ce genre d’événement était quand même assez élevé et donc je ne m'y étais pas trop mêlé et, comme on va le voir après, il y a eu en fait ce qui s'appelle les cafés vie privée, qui ont changé un peu la donne, de mon point de vue à moi, et c'est ce dont je vais vous parler là.

Quand ça a commencé en fait, comme je disais, les cryptoparty ça fait depuis un petit moment, mais, c'est en octobre dernier, en 2013, j'ai vu qu'il y avait quelque chose qui s’appelait café vie privée. J'ai regardé, c'était une certaine Amaelle Guiton qui a écrit un livre qui s'appelle « Hackers au cœur de la résistance » qui lançait ça avec Okhin qui est connu je pense, c'est celui qui a fait la conférence ce matin, qui lançait quelque chose qui s’appelait le café vie privée. Et il disait « Bon ! Si vous voulez discuter autour de l’anonymat, de la vie privée, des choses comme ça sur Internet, venez ». Je me suis présenté. J'ai vu un petit peu les ateliers qu'ils proposaient, c’était des thématiques qui me parlaient, et je me suis dit « Eh bien moi aussi j'ai des connaissances dans ce domaine, je commence à en parler sur mon blog. Je vais aider ».

En novembre 2013, on a remis ça en faisant deux jours qu'on a appelés Prism Break, où c’était des différents ateliers autour de différents outils que je vais présenter après très rapidement. Et c'est là que Okhin a dit : « Tiens, cryptoparty pourquoi on n'appellerait pas ça chiffrofête ». Depuis, depuis novembre dernier, tous les mois il y a à peu près un événement qui a lieu, il y en a des fois un peu plus souvent. Maintenant on commence à se faire connaître, entre guillemets. Il y a des gens qui nous demandent : « Est-ce que vous ne pouvez pas venir faire un café vie privée, chiffrofête ou cryptoparty pour notre association ou sur tel type d’événements, etc ? ». On est assez sollicités et on fait tout ça de manière bénévole. Donc l'idée c'est de recruter de gens et de vous inviter à faire, vous, de même. Parce qu'il y a des gens qui ont dit « Ah je suis sur Nantes, c'est sympa le concept, j'aimerais bien faire la même chose ». Ben Ouais, mais Nantes c'est un peu loin. Moi ce qu'essaye de faire à mon échelle, c'est de pas mal communiquer sur Twitter, sur les ??? qui existent, de relayer quand je vois qu'il y a ce genre d’événements qui ont lieu. Je sais que je suis abonné à des twitters de cryptoparty en Suisse, en Belgique, aux Pays-Bas, en France. Donc là il y en a sur Brest, il y a Toulouse où ils sont assez actifs, ils commencent à en faire quelques-unes, nous à Paris, Nantes. On cherche des gens, s'il y a des gens sur Nancy, il y a quelqu'un qui aimerait bien lancer ce genre d’événements là-bas. Je sais qu'il y a crypto à Marseille, il y a Crypto Mars qui en fait. L'idée c'est vraiment de montrer que ce n'est pas si compliqué que ça de diffuser des connaissances. Il faut vous lancer dans votre coin. Plus on sera de monde à le faire, mieux ça sera.

Voilà une petite affiche qui montre qu'on peut utiliser les trois appellations. C'est selon ce qu'on veut : café vie privée, cryptoparty, chiffrofête, il n'y a pas de copyright sur rien du tout, c'est vraiment le terme qui vous plaît. C'est selon les humeurs. Quand je twitte en anglais pour sensibiliser un peu les communautés autour de ça, eh bien c'est cryptoparty en anglais, en France ça va être café vie privée ou chiffrofête.

Le public concerné par ce type d’événements ?
Comme je disais au départ, pour moi, je parle en mon nom, de mon point de vue, les cryptoparty c’était très hacker, un milieu de connaisseurs, etc, et le terme de café vie privée, pour ce qu'il représente pour moi, le public concerné par ce type d’événements, c'est un public divers et varié. Ça va être des journalistes et autres professions à risques. Ça veut dire que ce sont des gens qui ont tout intérêt à savoir sécuriser leurs communications, protéger leurs sources, protéger leurs données. Ça peut être quelqu’un qui, tous les jours, transporte son ordinateur portable. Il faut qu'il sache comment sécuriser ses données dessus. Il y a différents types de profils. Ça peut être des scolaires, des lycéens, des étudiants. Là pareil, ça peut être des geeks, des libristes, des technophiles. Du grand public, tous âges confondus. Ça peut être des militants, ça peut être des gens qui sont syndiqués. Vraiment on essaie de s’adresser à qui veut. Nous, on a des connaissances à diffuser. On a aussi des connaissances à apprendre parce qu'il y a des gens qui viennent, qui ont des connaissances nettement supérieures aux miennes, ils m'apprennent des choses. Il n'y a pas celui qui sait et celui qui vient apprendre. On sait, on vient, et puis on discute, on lance éventuellement des ateliers, etc, comme je vais présenter par la suite et l'idée c'est vraiment partager les connaissances.

Le public visé, en résumé d'une façon générale, c'est toute personne qui est concernée par les problématiques de la vie privée, la sécurisation de ses communications, mais ça peut aller jusqu'à des bases de c'est quoi l’hygiène numérique, comment apprendre un peu les règles d'une meilleure hygiène numérique pour s'en sortir un peu mieux avec l'ordinateur.

Comment ça se passe une chiffrofête, un café vie privée typique.
Où, qui et quoi ?
Il suffit d'un lieu pour se réunir, par exemple ça peut être à Numa, on en a déjà faits. D'animateurs désirant parler de leurs connaissances. Ça va être, nous sur Twitter on dit « Tiens ! Tel jour à tel endroit on a un lieu, qui est-ce qui veut venir ? Qui est-ce qui est dispo ? ». Les gens viennent et puis on se met en rang. On dit voilà, nous on est là, il y a un public qui est venu aussi, Et puis on dit ce qu'on peut faire et on lance éventuellement des ateliers, des discussions et puis c'est parti. Donc en logistique c'est un lieu et puis des gens et de la communication au départ pour qu'il y ait des gens qui viennent.

Atelier, conférence, débat.
Donc déroulement type. Ça va être au début, comme je le disais, faire une présentation des différents sujets qui peuvent être abordés. Après, on peut faire soit une mini conférence, un lightning talk ou autre si on a support de présentation déjà fait. Un atelier ça peut être chacun un petit groupe qui a son PC et chacun va manipuler un outil précis pour s'approprier cet outil sur son ordinateur. Ça peut être, comme on l'a fait tout à l’heure, un séance de débat, questions réponses où on parle de sujets divers et variés, on part un peu dans tous les sens, on s'échange nos connaissances et on renvoie vers des sites qu'on connaît, vers des tutoriaux qu'on a pu mettre en ligne, etc.

Ce qu'on a vu, par expérience, c'est que la durée idéale de ce type de chose, c'est deux fois une heure et demie. Donc si on fait un atelier, ou une conférence ou autre, on fait une heure et demie, on fait une pause, une deuxième fois une heure et demie. Si l’atelier nécessite tout un après-midi parce que c'est quelque chose où on va très loin, de façon avancée, il faut quand même faire des pauses. Donc on va faire trois heures avec une pause au milieu, mais ça peut être une heure un lightning talk. C'est variable. Généralement on voit que quand on dit on se donne une heure, et puis le temps de dire on arrête, le temps de finir, etc, ça fait une heure et demie et en après-midi on fait généralement deux groupes ou deux séances et après les animateurs et les participants, ont déjà fait pas mal de choses, il faut souffler, donc on revient à la fois d'après.

En terme de logiciels, on essaye d'insister sur le côté logiciel libre. On n'est pas, comment dire, libristes à fond ou « Non t'as un Mac, t'as un Windows, on ne va pas t'apprendre des choses ». Les outils qu'on essaye de présenter, au maximum, sont multiplates-formes, donc compatibles Linux, Windows et Mac. On essaie de connaître aussi les logiciels plus spécifiques à Linux parce qu'il y en a, ou de connaître un peu les alternatives, tout en sensibilisant les gens au fait que, dès que c'est possible, il faut que ça soit du logiciel libre, parce qu'il y a le côté vie privée, sécurité etc. Si on veut faire confiance c'est du logiciel libre qu'il faut utiliser. Mais on peut expliquer, voilà comment installer, configurer le VPN sur son iPhone ou sur son Android, etc. Ça peut faire partie des problématiques qu'on abordera dans ce type d’événement. Après, c'est libre à chacun, par rapport à ses connaissances, ses compétences sur les différents domaines, est-ce qu'il a envie d'expliquer des choses sur Windows ou pas. C'est un peu par rapport à ce que les personnes présentes attendent et ce que l'animateur, qui est bénévole, a envie aussi de présenter. Il y a des gens qui vont être, non, je ne connais rien à Windows, je ne fais pas, des gens qui comme moi ont un double boot, ont un peu plus de connaissances sur les deux domaines, mais peut-être moins avancées, qui vont expliquer des choses sur Windows ou autre.

Comme je disais, le message qu'on fait aussi passer c'est que Apple, Windows, Android, iPhone, etc, ce sont des choses fermées et que selon le niveau de sécurité, de confidentialité, de vie privée qu'on veut avoir, on va se tourner vers d'autres alternatives. Après, quand on a acheté un MacBook, il faut bien faire avec, on ne va pas le jeter du jour au lendemain. Il faut quand même accepter la personne et lui montrer les outils, et qu'elle sache, pour la fois d'après, qu'il ne faudra peut-être pas acheter un MacBook si elle estime que non, finalement, ce n'est pas si bien que ça.
On n'est pas là pour juger les gens. Si on leur donne des informations, on transmet un savoir, ils se l'approprient, et après ils font en connaissance de cause. C'est leur donner toutes les clefs pour qu'ils puissent juger.

Comme je disais, le logiciel libre, j'expliquais tout ça. En terme de discussion interne on s'est posé justement la question est-ce que ça vaut le coup de perdre du temps, d'expliquer aux gens comment utiliser sur Windows, etc, parce que… Moi je pense que oui, parce que, comme j’expliquais, un peu d'hygiène numérique, déjà leur expliquer les bases, utiliser le logiciel libre, par exemple Firefox, etc, faire les mises à jour, c'est leur donner des recettes qui marchent un peu sur n’importe quel système. Ne pas cliquer sur n'importe quel lien, etc. Et après s'ils s'approprient déjà ça, naturellement ils passeront peut-être, ou on peut les aider en faisant des install party, etc, mais je ne pense pas forcément que ce soit notre rôle aussi de faire des install party. Il y a des associations qui font ça très bien, il y a des LUGs, etc, qui font des install party. Nous, je dirais, on vient en parallèle ou à côté, où on sensibilise aux problématiques de la vie privée, etc, d'où le logiciel libre. Après on dit voilà, il y a des associations qui sont là pour vous installer un double boot ou un single boot, etc, qui vont vous aider à faire ça, mais ça prend du temps. Il y a des gens qui sont déjà bénévoles dans des associations comme l'April, etc, qui militent pour le logiciel libre, on ne peut pas tout faire en un après-midi dans le cadre des cafés vie privée. Il faut peut-être voir aussi pour être en contact avec ce genre d’association pour faire des choses à côté.

Les ateliers proposés.

Dans un café vie privée, qu'est-ce qu'on peut faire ?

On peut apprendre à comment chiffrer ses mails avec GPG.

On peut voir comment surfer et utiliser Tor. Ça peut être soit le Tor Browser Bundle, soit niveau plus avancé Tails.

Protéger son navigateur, comprendre les certificats de sécurité. Ça va de j'installe http ???, je vérifie qu'il y a le cadenas : Ah, c'est quoi le problème de Heartbleed, c'est comment on vérifie un certificat SSL, etc, comment on crée son certificat SSL. Donc on voit qu'on a différents niveaux.

On peut faire comprendre et comment utiliser un VPN. Dans quel cadre ? Pourquoi faire ? Quelles sont les limites ?

Protéger ses communications, son surf, avec le WiFi, les outils. Je suis ici, qu'est-ce que je vais faire pour surfer en sécurité ? « Eh bien Je vais passer par un VPN qui est chez moi, ou passer par Tor, etc ».
Protéger ses informations avec True Crypt. On pourra en discuter dans la partie débat. Avant qu'il n'y ait l'annonce sur True Crypt, on conseillait True Crypt, moi j'estime qu'on peut encore le conseiller, parce que ça rejoint des slide que j'ai faites, alors je vais pas m'attarder là-dessus.

Mot de passe, identification multi-facteur. Donc déjà expliquer aux gens qu'il ne faut pas avoir le même mot de passe partout et aller un peu plus loin avec c'est quoi la double authentification, sensibiliser à c'est quoi qui passe. Donc pareil, s'adapter au niveau du participant et à son besoin et puis après on monte en compétences. Déjà qu'est-ce qu'un mot mot de passe, ne pas mettre le même mot de passe partout et après qui passe, double authentification.

Identifier, savoir gérer ou effacer des métadonnées. Expliquer ce que sont les métadonnées, en quoi c'est important de savoir les gérer, etc.

Le panel de choses qu'on peut proposer est extrêmement large. Donc après c'est un peu selon les envies. On vient, on dit voilà, moi je m'y connais en ça, je peux proposer de parler de ça, est-ce que ça intéresse quelqu’un ? Et puis s'il y a deux trois personnes, on fait un petit groupe et puis on explique et puis on partage des connaissances autour de ça.

Comment on peut organiser des chiffrofêtes ?

Le concept n'est pas nouveau, comme je disais, ce sont des cryptoparty. Il y a un manuel qui s'appelle « The CryptoParty Handbook », qui expliquait un peu, c'est en anglais, il a peut-être été traduit en français, sur comment on organise une cryptoparty dans les règles de l'art. On peut le lire, parce que les chiffrofêtes c'est juste une version grand public. On peut lire ça, s'en inspirer.

Qui peut faire une chiffrofête ?

Pour organiser, c'est toute personne qui a des connaissances minimales et qui souhaite les partager. Ce qui me semble important c'est la notion de partage. C'est je suis là pour diffuser un savoir, pour partager, pour échanger, pour apprendre des choses aussi en retour, puisque la personne en face a des choses à m'apprendre. Et donc n'importe qui peut lancer une chiffrofête. Il n'y a pas de copyright. Allez-y au contraire. Moi je suis là pour vous sensibiliser. Faites-le !

Quels sont les lieux susceptibles d’accueillir une chiffrofête ?

Comme c'est destiné à un public varié, du grand public aux utilisateurs plus avancés, les lieux ça peut être dans un hackerspace, ça peut être dans une médiathèque, ça peut être dans un salon informatique, ça peut être, je ne sais pas moi, à la salle communale dans votre ville, dans une école, dans une entreprise. C'est vraiment n'importe où. Il faut juste trouver un lieu, un créneau, voir s'il y a des gens qui sont motivés pour vous aider et des gens motivés pour apprendre. Et puis on se lance.

En terme de logistique, qu'est-ce qu'on a vu ?

Les éléments suivants ont été identifiés, des trucs tous bêtes. Savoir un peu la capacité d'accueil du lieu et avoir plusieurs contacts. Savoir un petit peu avec la personne, je vais arriver sur place, quel sera mon contact, la capacité du lieu. Savoir s'il y aura des prises électriques, du réseau. Donc une logistique.

On peut éventuellement envisager une inscription en ligne. Donc plus pour savoir un petit peu qui prévoit de venir. C'est plus pour compter, avoir un ordre d'idée, savoir si on est dix animateurs et il n'y a que trois personnes qui viennent c'est peut-être un peu dommage qu'il y ait autant de monde. Pourquoi pas ? Mais bon ! C'est avoir une idée, mais pas forcément quelque chose qui va tracer, on ne va pas faire un Google Docs. On fait un petit script dans un coin, une petite page et puis on dit, ou on essaie de voir en tweets et puis on voit par rapport au nombre de réponses, au feeling aussi, par rapport à la communication qu'on a pu faire.

Je disais prévoir un accès à Internet parce que c'est vachement pratique quand on veut expliquer le tracking sur Internet, etc, d'être sur que la connexion est faisable sur place. Éventuellement avoir un switch ou un routeur WiFi parce que les gens viennent avec leur ordinateur et ils vont pouvoir faire des ateliers. Des fois ils viennent, un peu comme vous, mains dans les poches. Donc là il faut avoir des slides de présentation aussi pour pouvoir faire des petits talks ou lancer comme je disais un débat questions réponses. Voir un peu, vidéo-projecteur, chaises, tables, rallonges. Savoir un petit peu la configuration du lieu, parce que si tout le monde est debout, comme c'est tout un après-midi, ce n'est pas forcément idéal. Donc ça c'est de la logistique banale, ce n'est pas bien compliqué.
On a vu ce sont des gens, un lieu et puis on y va.

Ce qui est important aussi c'est de faire de la communication. Comment on peut communiquer ? On a des petits slogans, mais après libre à vous d'en faire. Ça peut être : « Venez apprendre à protéger vos communications en ligne ». Ça reste vague mais ça donne une petite idée. « Chiffrement anonymat », « Reprenez le contrôle de votre vie privée », « Surfez et chattez couverts avec des cypherpunks gentils . Ou encore « Parce que préserver sa vie privée est un droit », « Parce qu'on a tous envie de ne pas être espionnés », « Parce qu'on a tous quelque chose à chose à cacher », « Parce que les outils existent et ne sont pas si compliqués, venez apprendre à vous protéger en ligne ». Après, c'est libre à vous de trouver comment vous voulez communiquer autour de l’événement que vous allez lancer.

Est-ce que j'aurais des conseils à donner ?

Quelques petits conseils pour le déroulement. S'adapter au niveau des participants. Les participants c'est un groupe hétérogène. On va avoir des débutants, des utilisateurs avancés. Il faut être en équilibre entre les deux parties. La personne qui est débutante, si on commence de lui parler SSL, elle va faire « Hein ! » mais si vous dites cadenas, « Ah oui le petit cadenas !», ça lui parle. Donc essayer de s'adapter au niveau. Il ne faut pas délaisser la personne qui s'y connaît, parce qu'elle va se lasser, elle va dire pourquoi je suis venu là je n'apprend rien. Il ne faut pas non plus larguer la personne qui n'a pas les connaissances techniques en la soûlant avec des mots compliqués. En ressortant elle aura appris des choses et la fois d'après elle aura un peu plus de connaissances. Mais, au départ, il faut essayer de vulgariser et vérifier que toutes les personnes ont bien compris ce dont on parle, éventuellement trouver des mots plus simples. C'est de la pédagogie comme n'importe quelle chose qu'on enseigne.

Comme je disais c'est prendre en compte les besoins et attentes du public. On fait un petit tour de table. S'il n'y a pas trop de monde, on dit voila « Vous êtes venus pourquoi ? Qu'est qui vous intéresserait ? » On ne va commencer à expliquer Tor à quelqu'un qui sait à peine faire des mises à jour.

Public : Si on utilise toute cette technologie de cryptage, etc, est-ce qu'on ne peut pas au contraire s'attirer l'attention de gens qui cherchent des gens à se dissimuler leur travail ?

Genma : Ta question c'est, tu veux dire quoi par « s'attirer » ?

Public : Est-ce qu'on n'aura pas le profil terroriste ?

Genma : Je ne pense pas. En fait, moi j'aime à dire c'est pourquoi j'en suis venu là ? Parce que ça fait dix ans que je suis un panda sur Internet, j'ai une tête de panda, j'ai aussi un pseudonyme et j'estime que j'ai le droit de pouvoir conserver ce pseudonyme. Et on est de plus surveillés. Il y a du tracking publicitaire, du tracking gouvernemental, etc. Et moi ça m'intéresse et donc je suis amené à diffuser, j'ai envie de diffuser ces connaissances-là. Justement, je ne vais pas dire que je ne suis pas un terroriste, parce que tu n'en sais rien, mais moi je sais que je ne le suis pas et j'estime que là, les outils que je peux présenter, OK, ce ne sont pas des trucs de terroristes. Oui ils peuvent être utilisés par des terroristes. Mais une voiture peut être utiliser par un braqueur de banque. Un couteau peut tuer quelqu'un.

Public : Inaudible

Genma : Ah ! Est-ce que tu peux être assimilé après à quelqu’un de… J'ai des stickers sur mon PC, est-ce que ça fait de moi un hacker ? Non ! Oui peut-être que, d'un regard extérieur, les gens vont se dire « Ah oui mais lui il s'intéresse à des trucs bizarres de crypto, etc… » On va peut être finir ça aux questions-réponses, comme ça les gens pourront intervenir. Je vais peut-être avancer comme ça on reprendra en questions réponses, si tu veux bien.

Donc je disais au début on fait une petite séance de questions-réponses, après on lance les ateliers d'un heure et demie. Oui il faut sensibiliser aussi, dire attention, si c'est filmé. Il y a des gens que filmer ou pendre des photos, parce qu'on est dans une thématique vie privée, il y a des intervenants, ils ont des fois une activité, activistes ou autre, ils n'ont pas forcément envie que ça se sache. Par exemple moi demain je n'ai pas envie que mon employeur sache que je fais ce genre d'animation-là. Comme tu disais, ça peut être « Oui, il fait des trucs de crypto machin, c'est un hacker, etc. Et puis, en plus il cache son nom derrière un pseudo bizarre ». Ben oui ! C'est pour ça qu'il faut demander au départ est-ce qu'on a le droit d’être filmé ou pas. Moi je dis oui, la conférence peut être filmée, parce que je veux qu'on diffuse ma conférence.

Surtout ne pas oublier l'objectif premier. On n'est pas SAV pour les virus. Il ne faut pas croire les gens se disent «  Ah ! C'est cool ! Il y des gens qui s'y connaissent en informatique. Mon ordinateur ne marche plus, vous ne pouvez pas me le réinstaller ou nettoyer les virus ? » L'idée ce n'est pas ça. On n'est pas là pour faire du SAV. C'est plus expliquer aux gens voila ce qu'il faut faire pour ne pas attraper de virus, ce qu'il faut faire pour aller plus loin dans tes connaissances en informatique et après c'est à toi de le faire, c'est à toi de t’approprier les connaissances et chercher à apprendre. Donc c'est le message qu'on veut faire passer. On n'est pas des techniciens. On diffuse un savoir et on essaie de sensibiliser les gens à « l'informatique ça s'apprend ». Quand on passe le permis, on apprend un code de la route et puis on apprend à conduire un minimum la voiture, on ne sait pas la réparer. Là c'est un peu pareil, on essaye de faire un peu un code de la route informatique. On leur donne des bases de notions d'informatique. Après on peut aller un peu loin, s'il y a des gens qui veulent bidouiller, aller un peu plus loin, on va leur apprendre. Mais au départ il faut commencer par le code de la route informatique avec un guide d'hygiène numérique et après on va de plus en plus loin selon le public qui est en face.

Pourquoi j'ai fait cette conférence ? C’était vraiment pour vous sensibiliser à « si vous vous lanciez à votre tour ». Comment vous pouvez aider, contribuer, si ça vous intéresse ces problématiques-là. Il y a deux façons de faire. Vous pouvez venir aux événements que nous on organise pour apprendre des choses, mais dès lors que vous, vous savez des choses, si vous n’êtes pas forcément en région parisienne, lancez-vous. Ce n'est pas très compliqué. Vous pouvez contacter une association qui existe déjà, un LUG ou autre, ou la médiathèque du coin, dire « Voilà moi je veux bien faire une petite conférence cet après-midi, sur c'est c'est quoi les extensions de Firefox qui sont bien ». Par exemple Adblock, parce qu'il y a beaucoup de gens qui ne connaissent pas Adblock. Ça en fait sourire certains, ben oui mais il y a des gens qui ne connaissent pas Adblock. Ou pourquoi il faut utiliser Firefox et pas Internet Explorer. Il y en a plein qui vont dire «  Ah ben oui ! » eh bien il y a des gens qui ne savent pas. Et ils ne savent pas pourquoi ? Parce qu'on ne leur a pas expliqué. On commence par là et puis après, on peut, une fois qu'ils savent qu'ils ne faut pas utiliser Internet Explorer, un jour on pourra dire il y a Tor qui existe et c'est quoi Tor ? Il ne faut pas commencer à dire « Ah ! Il y a Tor, c'est trop bien, etc, tu peux utiliser Tails en live CD ! », si la personne en rentrant chez elle, elle utilise Internet Explorer. Il faut être un peu cohérent, il faut élever le niveau de connaissance.

Moi, ce que je constate aussi c'est que les cryptoparties se multiplient. Il y en a à Toronto, Fribourg, Tokyo, en Belgique, à Amsterdam. Il y en a à Toulouse, Nantes, Brest. Et ça c'est bien parce qu'au-delà du côté crypto chiffrement, ça veut dire qu'il y a une volonté de diffusion de connaissances, que les gens se réapproprient l'ordinateur aussi, se réapproprient en fait Internet aussi, avec qu'ils n’aient pas peur de communiquer, c'est un tout. Autour des cafés vie privée, ce n'est pas uniquement le chiffrement, l'anonymat. C'est vraiment de l’hygiène numérique. C'est pourquoi Internet c'est bien. On va essayer. Quand on veut expliquer Tor, il faut expliquer un peu comment marche Internet. Quelque part on va expliquer un peu c'est quoi un routeur, c'est quoi une adresse IP. Ça va amener, peut-être, sur c'est quoi la neutralité du net. Donc on voit qu'on va toucher aussi d’autres thématiques qui sont aussi importantes, que les gens doivent s’approprier.

Personnellement, moi, si je peux aider, je sais que sur mon blog, dont je donnerai l'adresse et puis si vous voulez je vous la redonnerai tout à l'heure, sur le blog de Genma, tout ce que je fais c’est du Creative Commons. Il y a des articles de réflexion, il y a des petits tutoriaux, dès que je trouve quelque chose d'intéressant, j'en parle. Les conférences que je fais, les slides et tout ça, c'est pareil c'est du Creative Commons, donc vous prenez, vous diffusez, vous remaniez, vous en faites ce que vous voulez, vous pouvez utiliser pour vous-mêmes, passer derrière le micro pour expliquer, faire des talks. Il n'y a aucun souci avec ça. Si vous avez besoin de « Tiens j'aimerais bien ton avis là-dessus », etc, vous m’envoyez un petit mail et puis moi je vous dis je connais ou je ne connais pas. Je n'ai aucune prétention de tout connaître. Au contraire, je vais peut-être découvrir des choses et puis ça m'intéresse. Je vais dire « Ah trop cool, j'apprends des choses. Merci ». N'hésitez pas à me contacter, pour qu'on échange, pour qu'on communique, pour que moi j'apprenne des choses, pour que je vous apprenne des choses, c'est très bien.

Maintenant ce qu'il faut retenir aussi. Il y a des points positifs dans les chiffrofêtes, donc dans les cafés vie privée, etc, c'est quoi ? Les point positifs c'est qu’on participe à une réappropriation de l'outil informatique pour le grand public. Donc il y a une sensibilisation aux problématiques de la vie privée, du chiffrement. Montrer que le chiffrement ce n'est pas uniquement quelque chose de technique pour des hackers, ça peut être utile pour un journaliste, mais ça peut être utile pour quelqu’un, dans la vie de tous les jours, tout simplement. Parce que quand on veut se connecter au site de sa banque, on fait attention à ce qu'il y ait le cadenas. Quand on se connecte à son webmail, il faut faire attention aussi à ce que le login et le mot de passe ne circulent pas en clair. Quand je suis dans un cybercafé, je ne sais pas trop, ou j'ai un WiFi public, qu'est-ce que je peux faire, parce que il y a quelqu’un qui peut être à côté, qui sniffe le réseau, qui va récupérer mon mot de passe. Donc on sensibilise à tout ça et puis on élève le niveau de connaissance des gens.

Comme je disais tout à l'heure, il y a l'apprentissage de comment fonctionne Internet. Donc ça c'est bien pour tout ce qui est neutralité du net, etc. Après on peut dire « Ah et puis il y a la Quadrature qui fait ça ». Il y a plein de gens à qui je parle qui vont dire « C'est quoi la Quadrature ? C'est quoi la neutralité du net ?. Ils ne connaissent pas. Et donc, de façon détournée, je partais de l'anonymat sur Internet, j'arrive à expliquer c'est quoi la neutralité, c'est quoi la Quadrature, donc ce n'est pas un truc limité à cryptoparty. C'est pour cela que moi je parle plus de café vie privée où là c'est vraiment, ça englobe un certain nombre de choses.
Donc le point positif majeur c'est l’élévation du niveau des connaissances générales. On voit qu'il y a des personnes qui reviennent régulièrement et qui posent des questions un peu plus techniques ou un peu plus pointues, ou ils ont essayé. C'est-à-dire que les gens s'approprient l'ordinateur. Ils ont moins peur. Ils ne se disent pas c'est une boîte magique. Ils comprennent que l'ordinateur fait ce qu'on lui demande et qu'on peut apprendre des choses. Après on apprend au niveau de ce qu'on veut apprendre, c'est-à-dire qu'on ne va pas devenir des admin-sys. Ce n'est pas le but. Mais c''est de connaître un petit peu mieux l'ordinateur, d’être moins perdu avec l'outil qu'on peut utiliser, parce que Internet c'est un outil formidable. L'ordinateur il y en a de plus en plus partout.
Il y a un livre qui s'appelle « Lire, écrire, compter, coder ». On dit de plus en plus « Code is Law. » Le code c'est la loi, que maintenant, demain si tu ne sais pas coder, tu es perdu. Non ! Ce n'est pas si tu ne sais pas coder ! C'est si tu n'as pas compris comment marchait l'informatique que tu es perdu ! Nous ce qu'on essaye de faire c'est montrer, nous on a un peu de connaissances, on les diffuse pour que les gens s'approprient l'informatique.

Il y a des problématiques autour des chiffrofêtes. C'est pareil, c'est vrai qu'en discutant avec des gens qu'on connaît, etc, et puis entre nous on s'aperçoit de quoi ? Est-ce qu'on peut conseiller de chiffrer sur des OS privateurs ? Donc là le terme privateur, ça parlera aux libristes. Il faut présenter tous les outils avec leurs limites et considérer que la personne en face est suffisamment intelligente pour choisir. S'il y a quelqu’un qui a un Windows, est-ce qu'on peut lui dire « Non ! Tu passes à Linux ! Non, ce n'est pas sécurisé » ou pas. C'est à la libre appréciation de chacun. Moi j'estime que la personne a Windows, elle peut quand même chiffrer, parce que comme je vais expliquer après, ça dépend de son modèle de menace. Elle commence par là. On ne va pas tout de suite la mettre sur Linux. Si déjà elle peut utiliser un coffre-fort numérique TrueCrypt, ça la sensibilise déjà à je tape un mot de passe et puis je cloisonne un petit peu mes données confidentielles. C'est une première étape.

Il y a l'ergonomie des logiciels. Certains logiciels si on commençait par des lignes de commande, les gens sont perdus. OK, C'est beaucoup plus puissant, mais c'est moins pratique. Il faut penser à ça aussi. Tails ils font des séances aussi pour travailler l'ergonomie, pour que ça soit plus facile, etc. Mais déjà quand on parle de LiveUSB, il y a plein de gens ont leur dit live, USB. Eh bien oui, c'est quoi ? Tu installes le système sur la clef. Et ça marche comment ? Eh bien il démarre depuis la clef. Il faut expliquer le concept de LiveUSB. Après expliquer c'est quoi une iso, comment on vérifie l'intégrité de l'iso. Il y a plein de notions qui arrivent, qui ne sont pas forcément évidentes, autour de tout ça. Il y a aussi les softs.

Il y en a où il y a plein de paramétrages. Moi, je vois Enigmail, ou TrueCrypt même, quand on crée son conteneur au départ il y a pas mal de choix de l'algo. Je n'en sais rein quel algo choisir et pourtant j'anime des cafés vie privée. Donc je prends un algo qui ne me semble pas trop mal, etc, parce que ça me convient. Mais il y a des gens plus techniques qui vont dire il ne faut pas utiliser celui-là, il ne faut pas utiliser celui-là. Il faut peut-être aussi voir l'ergonomie des logiciels qu'on propose, bien la connaître, pour pouvoir être capable d'expliquer aux gens «  Tu prends cette option là par défaut elle est bien ! Non là, attention, il faudra cocher dans tel paramètre parce sinon ce n'est pas sécurisé ».
D'où la création d'un faux sentiment de sécurité aussi. Il y a le problème de, en quelques clics, on peut envoyer de mails chiffrés, on l'a vu ça avec Enigmail. Mais si on dit à a personne tu installes Enigmail, tu crées ta clef, hop tu envoies des mails. La personne : « Ouais c'est cool, je peux envoyer des mails chiffrés ». Le problème c'est qu'on oublie de parler de la problématique de, si on n'active l'option MIME, il me semble, moi-même je ne sais pas, les pièces jointes ne vont pas être chiffrées ou les pièces jointes vont apparaître. On oublie de dire que le sujet du mail est en clair, qu'on sait avec qui on a communiqué et quand, qui sont des informations qui peuvent être pertinentes ou utiles. Si moi je suis un syndicaliste, que je discute avec des militants, on voit que j'ai parlé avec eux. Peut-être que le contenu du mail on s'en fout, c'est juste important de savoir avec qui je parle. Et ça, ça circule en clair. Et si on ne l'a pas expliqué, la personne dit «  Ah c'est bon ! Je chiffre mes mails, je suis en toute sécurité ». Ben non ! On sait à qui tu parles et quand. Il y a tout un tas de problématiques où il faut expliquer des notions de sécurité, des notions d’anonymat, de chiffrement, etc, tout en disant attention, on fait tous des erreurs, on en fera forcément, il ne faut pas se croire invincible. Au contraire, c'est plus on apprend et plus on verra qu'il y a à apprendre.

Il y a aussi la problématique de Threat model, donc c'est le modèle de menace. C'est où est-ce qu'on place le curseur en terme de sécurité. Tout le monde n'est pas espionné par la NSA. Si ! Tout le monde l'est ! Tout le monde n'a pas intérêt à être la cible explicite de la NSA. Si on a une activité terroriste on sera peut-être plus surveillé que si on est quelqu'un de lambda. Moi, mon Threat model c'est, je ne donne pas mon vrai nom, mon vrai prénom, c'est, j'ai un pseudonyme sur Internet et je fais attention à différencier qui je suis, dans la vie de tous les jours, dans la semaine, etc, je gère mon identité numérique. C'est un modèle, le Threat model, c'est mon identité numérique. À côté un activiste aura un modèle de menace qui est un peu plus élevé. Quelqu'un qui va aider des dissidents à communiquer dans une dictature, lui, son Threat model, il est différent du mien. Il faut voir aussi, toujours pareil, avec le public en face comment on fait pour s'adapter et expliquer qu'il y a cette notion là aussi. Il y a de ??? qu'il faut faire.

Il y a plein de problématiques qu'on peut voir éventuellement pendant les questions. Il faut garder ça aussi en tête aussi que ce ne sont pas des outils miracles, que ça ne fait pas tout et que quand on commence à diffuser un savoir il faut se dire que la personne va se dit «  Ah, il sait plein de choses ». Lui dire, attention, je t'apprends des choses, mais toi-même il faut que tu apprennes, il faut que tu comprennes, et attention ce n'est pas garantit 100 % sécurité. C'est, c'est moins pire. Ce n'est pas l'idéal.

Donc la conclusion c'est je vous invite à participer aux chiffrofêtes, cryptoparties, qu'on peut organiser. Tous les jours, en fait ce n'est pas au rez-de–chaussée finalement c'est au 4ème étage il y a une salle où, de temps en temps, entre deux confs, si on n'assiste pas, on se pose, on peut discuter, reparler de tout ça. Moi je peux vous faire un petit cours improvisé où on peut débattre de tout ça. Si vous avez des connaissances vous-même vous pouvez venir partager ces connaissances avec d'autres.
N'hésitez pas à lancer des cryptoparties, chiffrofêtes ou cafés vie privée dans votre coin. C'est le plus important. On a un site qui s'appelle cafe-vie-privée.fr. Là on met les dates des événements que nous, on organise sur Paris. Pour l'instant il n'y a pas d’événement prochainement prévu. Mais si vous avez une association ou que vous êtes intéressé pour qu'on intervienne, vous nous contactez. Si vous-même, vous voulez vous lancer sur Paris ou autre et que vous avez de dates vous pouvez les communiquer, nous comme ça on sert de relais aussi pour communiquer autour de l’événement que avez lancé.
Merci de votre attention. Je pense qu'on va passer aux questions parce que vous en avez sûrement. Merci.

Est-ce qu'il y a des questions par rapport à tout ça ? Houla ! Personne ?

Public : Moi le truc, c'est que ce n'est pas une question exactement sur les cryptoparties. Mais comment est-ce qu'on sensibilise quelqu'un sur l'importance de chiffrer ses données ? Est-ce que tu as des exemples, des trucs qui peuvent les motiver parce que moi je t'avoue que je galère un petit peu ?

Genma : En fait ce qu'on expliquer c'est qu'il y a différents types de chiffrement. Tu peux avoir le chiffrement, typiquement, c'est chiffrement des données en local, c'est quoi ? Moi je dis à la personne quand elle vient, déjà l'ordinateur qui est là, je prends je pars avec, j'ai des connaissances suffisantes, pour, avec un système live, accéder à ces données-là. Qu'est-ce je vais trouver ? La personne me regarde « Ah Tu peux faire ça ? » Oui. Qu'est-ce je vais trouver ? Des mots de passe, parce qu'ils sont enregistrés en local ? « Non » Des fiches de paye ? «  Ah oui ». Donc déjà dire à la personne on te vole ton ordinateur, qu'est-ce qu'on trouve dessus ? Tu perds ta clef USB qu'est-ce qu'on trouve dessus ? Donc là, il y a le côté, le chiffrement du disque sur. Ça amène la notion de chiffrement. Chiffrement des mails, c'est réussir à faire comprendre à la personne que le mail c'est une carte postale. Donc après elle va dire « Mais moi je suis chez Gmail, je m'en fous ». Oui, mais bon. C'est un peu réussir à trouver la réponse à « qu'est-ce que tu as à cacher « ? Il faut creuser, creuser et puis la personne dit « Ah ! Je n'ai rien à cacher ». Oui Donne-moi tes mots de passe. Tes mails. Tu veux bien que je les regarde. « Ah non pas toi « ! Mais Gmail les regarde. « Mais Gmail ce n'est pas pareil ! » Mais tu regardes tes mails depuis le boulot. L'admin system du réseau lui il peut regarder les mails. « C’est-à-dire que le gars qui est à la machine tous les jours, il peut voir ce que j’écris ? » Ben oui, il est admin system, il peut voir les mots de passe circuler en clair il n'y a pas de souci. OK.

En fait, c'est en discutant avec la personne il faut réussir à trouver le point d'accroche, par où arriver. Ce n'est pas évident. Généralement les gens qui viennent aux cafés vie privée, ils ont vu le côté vie privée, ils sont sensibilisés à ça. On ne peut pas aller dans la rue et dire aux gens « venez à notre truc ». Les gens qui viennent sont déjà a minima sensibilisés. C'est sûr. Après ça peut être si t'en parles à tes copains ou dans ton club associatif qui n'a rien à voir, ton club de sport, etc et voir si les gens sont réceptifs ou pas. Il y a des gens qui vont dire non, t'es pas du tout réceptif. Et puis il y a des gens, ça va peut-être les intéresser. Ce n'est pas évident. Il faut essayer de trouver. Je ne sais pas s’il y a quelqu’un qui a une réaction par rapport à ça ou des questions là-bas.

Public : Merci. Justement pour la sensibilisation, j'avais fait un truc dans mon école pour sensibiliser les gens. Le truc qui marche bien c'est de leur faire des démos. Typiquement tu récupères un ordi de quelqu'un. Tu le démarres en live. Et le truc qui marche très, très bien c'est que tu récupères le cookie de sessions Facebook. En général les gens se rendent compte de ce que c'est et de ce que ça fait. Et du coup ça fait des réactions des fois. Moi je sais qu'il y en a pas mal qui avaient, après coup, posé de questions pour savoir comment se protéger.

Genma : Le coup du cookie de session Facebook, je note. C'est un bon exemple.
Est-ce qu'il y a d'autres questions, d’autres réactions. N'hésitez pas. On est là jusqu'à six heures puisque après il y a une autre conférence qui enchaîne, donc on a encore une petite vingtaine de minutes.
Par exemple là, je vous ai présenté un peu les cafés vie privée, etc. Qui serait partant pour venir au prochain café vie privée ? Est-ce que ça vous semble intéressant de venir à ce genre d’événement ou non, c'est bon ? Levez la main juste pour voir comme ça ? Bon voilà, ce n'est pas mal. J'ai sensibilisé des gens et ceux qui n'ont pas levé la main parlent entre eux.

Est-ce qu'il y a des gens qui seraient intéressés pour en lancer dans leur coin ? Éventuellement, alors on va dire hors Paris est-ce qu'il y a des gens qui sont intéressés pour en lancer ? Je vois une main qui se lève, une deuxième main, etc. Donc ce que vous pouvez faire c'est, si vous avez besoin de support, tutoriaux,etc, vous me contactez et moi je peux voir pour vous donner des tutoriaux déjà tout fait, des slides que j'ai faits, etc. Il y a Aeris aussi qui voudrait parler.

Aeris : Pour ceux qui veulent essaimer, on a fait ça pour Nantes récemment. N'hésitez pas à nous contacter on peut vous donner des noms de domaine, vous faire des sous-domaines sur le café vie privée, des sites Internet et compagnie. N'hésitez surtout pas des boîtes mail chiffrées, on peut vous fournir des espèces de clefs, de boîtes à outils clefs en main pour monter des chiffrofêtes dans vos patelins.

'''Gemna :''' Par exemple là il y avait des gens qui avaient assisté à ce qu'on fait et ils ont dit « Ah ben nous on aimerait bien ça sur Nantes ! » Je lui fait Nantes c'est un peu loin, il faut que me déplace et tout. Lance-toi. Et donc maintenant il y a Nantes-café-vie-privée. fr. Ils ont leur page, comme ça ils mettent leurs dates à eux, ils ont leur site internet entre guillemets où ils pourront mettre ce qu'ils veulent et ils font le truc dans leur coin.

En Belgique je sais qu'il y en a un qui fait ça. Amsterdam aussi, j'ai pris contact avec eux pour leur dire voilà, je fais une conférence, je leur ai envoyé les slides que j'ai traduits. Ils ont dit « Ah c'est dans le même esprit que ce qu'on fait, est-ce qu'on ne pourrait pas collaborer ? » J'ai dit pourquoi pas, ça peut être intéressant d’échanger nos expériences. Typiquement la question que tu as soulevée, je lui demanderai dans la semaine, par mail »Tiens comment toi tu sensibilises les gens à ça ? » Pour voir comment à un autre endroit, dans un autre pays, une autre culture, comment on sensibilise les gens à ces problématiques-là. Toujours dans la même idée de partage. Une autre question de quelqu’un ? Réaction ?

Tiens par exemple on peut faire des petits sondages, comme ça. Qui chiffre son disque dur ? Juste pour voir. Pas mal !
Qui chiffre ses mails ? Ouais ! Ça va, ça colle ?
Qui utilise XMPP et OTR ? Pas trop !
Qui utilise Tor ? Un peu plus de monde déjà aussi. D'accord.
Donc par exemple là on tombe dans le cas j'utilise XMPP OTR, mais il n'y a personne en face. Il faut déjà
sensibiliser les gens à XMPP au départ, parce que le nombre de personnes qui ne connaissent pas XMPP ! Er là en plus on rajoute un côté chiffrement au-dessus. Donc c'est du boulot. C'est comme tout. C'est comme pour les mails. Quand on veut commencer à chiffrer les mails, il faut sensibiliser, c'est du travail de communication, de vulgarisation, de persuasion aussi. Ce n'est pas évident, mais bon c'est ce qu'on essaye de faire.

Public : XMPPP, OTR, ça résonne, c'est quoi ? C'est différent de Jabber ou c'est la même chose ? C'est la même chose ?

Genma : Voilà. Donc là on tombe typiquement dans, moi je dis que ça la même pour simplifier, un aspect de vulgarisation, et là il y a Aeris qui veut réagir.

Aeris : Ce n'est pas exactement la même chose. En fait OTR ce serait une surcouche. OTR en fait existe en tant que tel à l'extérieur et on peut le mettre sur Jabber, on peut le mettre sur notre Facebook, on peut le mettre sur ce qu'on veut. En fait c'est l'équivalent de GPG pour les mails. On peut faire du mail sans GPG et on peut rajouter du GPG dans le mail. Donc OTR c'est juste un truc de chiffrement point à point qui vient et on passe par Jabber pour s’échanger le paquet. OTR, c'est Of The Record, donc en dehors de l'enregistrement.

Genma : Et en fait la question c’était, XMPP et Jabber c'est quoi la différence ?

Aeris : XMPP et Jabber, c'est pareil.

Genma : D'accord, ce que je disais, XMPP et Jabber c'est la même chose et OTR est une surcouche. Donc j'avais bien raison. En fait on s'est mal compris. D'autres questions, d'autres réactions ? Voilà. XMPP c'est la norme et Jabber… Voilà. OK.

Donc par exemple, je ne sais pas, vous venez à un café vie privée, qu'est-ce que vous attendez ? Quelles sont les thématiques que vous aimeriez aborder, je ne sais pas s'il y a quelqu'un qui veut se prononcer là-dessus ? Demain, vous venez à un café vie privée, à une chiffrofête, quel est le thème de prédilection qui vous intéressera en premier ? Quelle est la première chose que vous voudriez apprendre, par exemple ?

Public : Moi un petit howto, chiffrer ses mails et expliquer à ceux qui vont recevoir le mail comment est-ce qu'ils installent aussi Enigmail, ça peut être bien ça. C'est la base !

Aeris : Enigmail, c'est le mauvais exemple mais pour d'autres raisons, parce que c'est un peu compliqué. En fait Enigmail, le problème d'Enigmail, c'est qu'il n'y a plein de manière de se planter pour faire du chiffrement. C'est super cool, parce que vous pouvez tester, vous pouvez vous planter quand vous n'avez rien à protéger. Mais le jour où vous voulez vraiment faire du chiffrement et pas interceptable, on ne passe pas par Enigmail.
A part Enigmail, il y a des logiciels de mail qui embarque GPG en standard, il y a Claws Mail, ou Kontact, ou KMail, ou Mutt pour les plus consoles compliant. Enigmail, il y a beaucoup de moyens de se planter, parce qu'en fait ce n'est qu'un greffon de Thunderbird. Il n'a pas accès à tout et donc il se débrouille comme il peut pour faire son chiffrement mais ce n'est pas comme si c'était natif quoi.

Genma : Là, on voit, on tombe typiquement dans la problématique du Threat Model. Moi j'utilise GPG avec Enigmail, parce que bon, OK, même si je me plante, les mails que j'envoie ne sont pas forcément si confidentiels que ça. C'est je veux sensibiliser à ça. C'est communiquer de façon chiffrée et sécurisée parce que c'est intéressant. Mais on voit aussi le côté, si je veux diffuser ces connaissances, je sais que ça dépendra des personnes. Si c'est quelqu’un qui a juste besoin, comme ça pour chiffrer ses mails sans plus par curiosité, ça va être Enigmail. Par contre si c'est quelqu’un vraiment besoin de sécurité derrière ce n'est pas vers moi que je vais l'envoyer, je vais l'envoyer vers Aeris qui lui va aller un peu plus loin techniquement. C'est toujours la sécurité, c'est, plus on veut que ce soit sécurisé, plus ce sera compliqué. Donc là c'est, quel est le niveau, quel est le curseur ? Si c’est juste chiffrer au départ pour apprendre et se familiariser avec ça, Enigmail. Si on veut aller plus loin ça va être une implantation différente

Aeris : Le bon exemple que j'ai sur Enigmail, moi j’utilise GPG tous les jours, et je conversais avec des personnes sur Internet. Et un jour je mes suis dis tiens si j'allais voir le code source de mes mails. Et là j'ai vu qu'en fait les pièces jointes, quand on les envoie avec Enigmail, on a le nom de la pièce jointe qui est en clair. Donc au début, l'exemple que je donne, quand on s’échange des recettes de pizzas ou de macarons c'est super bien. Quand on commence à avoir docs-snowden.pdf, ça peut être un peu plus emmerdant. Et le jour où on se rend compte de ça, le problème c'est que du coup j'ai dû me taper un an et demi de conversations mails chiffrées, pour vérifier qu'est-ce qu'on avait bien pu leaker comme données. Et est-ce qu'il fallait faire quelque chose ? Est-ce qu'on avait vraiment balancé des données qu'on n'aurait pas dû. Donc si vous voulez vous amuser à faire du GPG pour discuter entre amis, il n'y a aucun problème avec Enigmail. Le jour où vous leakez des documents, passez à autre chose.

Genma : Est-ce qu'il y a d'autres questions ?

Aeris : Non, il n'y a pas eu de fuites, on s'en est rendu compte avant. Ah oui, par rapport à la question qui a été posée tout à l'heure en fait sur qu'est-ce que ça impliquait de participer à des chiffrofêtes ou des choses comme ça. Personnellement j'ai eu quelques petits problèmes professionnels. J'ai certaines demandes qui ont été faites pour avoir accès par exemple à du confidentiel défense ou pour travailler dans le nucléaire, ça m'a été refusé. Je ne sais pas pourquoi. J'ai pas mal d'associations, il n'y a pas que des chiffrofêtes. J'ai chiffrofêtes, j'ai de l'April, j'ai du Tor, j'ai du Nos Oignons. C'est peut-être la combo de tout ça qui fait que ça n'est pas passé. Mais aujourd'hui le problème c'est que la chiffro est mal perçue. On est peu vu comme des terroristes, des crypto terroristes quand on fait de la chiffro, donc ça peut être mal perçu en fonction de ce que vous faites. Ce n'est pas anodin de devenir animateur dans une chiffrofête. Mais après viendez quand même ! C'est la DGSI qui dit qu'on est des dangers de la nation. Ce sont les mêmes qui collaborent avec la NSA. Comme mon boss m'a dit le jour où il a reçu le dossier, il a dit « Ah tiens ! Enfin un vrai patriote ! » et ça, j'étais content.

Genma : Moi je parlerais en mon cas personnel en fait. Moi j'estime que, comme je disais au départ, on ne fait pas que des cryptoparties, on n'est pas uniquement chiffrement. C'est, on est dans une partie café vie privée, c'est on sensibilise les gens à différentes choses. Il y a la partie chiffrement qui est purement technique avec le côté, comme tu dis, il s'intéresse à ça, quelles sont les applications ? Mais à côté, je peux aller très bien dans une médiathèque demain, et je l'ai déjà fait, faire un guide d'hygiène numérique et passer deux heures à expliquer aux gens, il faut faire les mises à jour, ne pas cliquer n’importe où, etc, pour moi ça fait partie aussi de la partie animateur de café vie privée. Ou je vais expliquer le tracking des pubs sur Internet ou comment ne pas publier de données confidentielles sur Facebook, faire attention à ça, sensibiliser à ça. Parce que moi je suis sensibilisé du fait j'ai une identité numérique sous pseudonyme. Donc, après on peut très bien dire « Ah mais tu as un pseudonyme, tu as des choses à cacher ! ». Oui, mais c'est un choix. Pour l'instant on ne m'a encore reproché le militantisme que j'ai. Mais, j'ai envie de dire, si on commence à me le reprocher, on me dit « Ouais mais attends », j'ai envie de dire je serais presque content de faire ça parce que ça veut dire que j'ai raison de le faire. Si on me dit « Ouais mais attends tu expliques aux gens comment chiffrer ce n'est pas bien ! » Non ! Pourquoi ? C'est bien ! C'est quelque chose qui m’intéresse. Je ne vois pas où est le mal. J'essaye d'élever le niveau de connaissance dans un domaine que je connais, qui est ce domaine-là, le niveau de connaissance des gens quels qu'ils soient, j'essaye de leur apprendre, de diffuser un savoir et je trouve ça noble.

Aeris : Après les technos, c'est comme tout. Un couteau de cuisine peut servir à couper de la viande, comme ça peut servir à tuer quelqu'un. Ce n'est pas parce que ça peut servir à tuer quelqu’un qu'on ne va pas apprendre à un bébé à utiliser un couteau. La crypto, il faut apprendre à s'en servir. Ça permet d'avoir de la vie privée sur Internet pour ne pas balancer ses données à Google. Ça permet de se protéger pour justement avoir un pseudonyme, un vrai pseudonyme numérique sur Internet. Effectivement, ça permet, aussi, de faire un peu de terrorisme dans son coin ou de tuer des chatons ou de liquider des documents, mais ce n'est pas pour ça qu'il ne faut pas l'apprendre et qu'il ne faut pas montrer aux gens comment ça marche.

Genma : C'est un peu l'exemple que j'ai utilisé tout à l'heure. Voilà. Moi je suis moniteur d'auto-école, je vais apprendre aux gens à conduire. Demain la personne peut très bien, picoler, prendre sa voiture, écraser quelqu’un. Comment je vais savoir ça ? Je ne peux pas. C'est, j'ai appris à conduire et après il fait ce qu'il veut. Donc là c'est un peu pareil. C'est j'apprends aux gens à utiliser des outils pour communiquer de façon sécurisée. Mais c'est quoi ? C'est, je leur apprends, ce qu'est un certificat SSL parce que ça leur permet aussi de ne pas se faire attraper le login, mot de passe. C'est quoi les conséquences. Il est peu plus sensibilisé à la sécurité. Donc il va faire attention. Donc il ne va pas attraper de virus ou son PC ne sera un PC zombie. S'il va au cybercafé du coin, il va avoir quelques notions de sécurité. Il ne va pas répondre à du phishing ou a du spam, etc. Donc on sensibilise à tout ça. Après si ces connaissances il les utilise pour faire de choses, mal. Ouais, mais c'est si la personne fait de choses mal qu'il faut condamner. Le fait que nous on diffuse un savoir ce n'est pas condamnable pour moi.

Aeris : Après nous en plus on de la chance d’être en France, quand même dans une démocratie, enfin jusqu'à preuve du contraire, même s'il y a certains morceaux qui commencent à puer franchement. Mais la crypto, par exemple, ça sauve des gens quand on est en Syrie, quand on est en Libye, quand on est Iran. Quand le gouvernement syrien se met à signer des certificats SSL Facebook, c'est-à-dire que tout dissident qui a l'impression d’être sur un serveur américain est en fait sur un serveur syrien, contrôlé par le gouvernent. On est bien contents qu'ils soient passés par Tor, qu’ils aient appris à détecter un certificat à la con du made in the middle ou à se protéger contre ça. Quand on a des journalistes qui partent là-bas pour couvrir des événements, on est bien contents qu'ils effacent les méta-données des photos, parce que quand les gens sont cagoulés, c'est bien. Quand il y a les coordonnées GPS de là où est prise la photo, c'est un peu plus con, parce que c'est très facile après de programmer le missile Tomahawk pour aller taper là où a été prise la photo.

En France la crypto ça peut être marrant, on en rigole, ça ne nous change pas notre vie. Mais quand on est dans d'autres pays, ça peut vraiment, vraiment vous sauver la vie. Ça peut changer la donne. Ça permet à Bachar el-Assad de ne pas balancer des bombes au phosphore sur sa population sans que ça ne se sache trop. Ça permet aux Chinois d'avoir accès à des vraies données, en sachant que, ce qui s'est vraiment passé sur Tian'anmen, ça permet à des dissidents de tous bords de contacter le Courrier International ou EFF ou Médecins du Monde ou autre.

En France la crypto ça peut paraître anodin, mais en fait, socialement parlant, ça permet de faire des choses vraiment, vraiment très bien.

Genma : Oui et puis ça permet à journaliste, s'il veut, il pourra communiquer en sécurité pour dénoncer un scandale politique ou des magouilles financières. Ce qui se passe, peut-être que c'est vrai, peut-être que ce n'est pas vrai. Le journaliste envoie un mail sur sa boite Orange. Ou il va dire « Ah tiens, j'ai réussi à attraper les compte-rendus d'un site Internet combien il a été facturé à un parti politique ». Moi je suis un gouvernement un peu, qui surveille un petit peu. Je cherche les mots « politique, site Internet », dans toutes les boites Orange et puis là je tombe sur le mail en question. S'il est en clair, j'ai tout de suite, soit j'efface le mail, soit je fais pression sur le journaliste ou autre. Si le mail est chiffré, on ne pourra jamais rechercher les mots clefs sur ce mail-là. Donc c'est un exemple d'utilisation positive de la crypto. Et le journaliste, pour qu'il puisse l'utiliser, il n'est pas informaticien au départ, il faut qu'il ait été sensibilisé à ça, qu'il ait appris. Et nous ce qu'on fait, on lui donne les moyens de le faire. Après il utilise comme il veut. Mais au moins il a les outils et il a eu les connaissances qui étaient nécessaires. Moi j'estime que c'est nécessaire, que les connaissances que j'ai, de ne pas les garder pour moi.

Cryptoparty, pour moi, c’était les hackers entre eux. Non ! C'est il faut diviser le savoir. C'est je sais chiffrer mes mails, c'est j'apprends à d'autres. Je chiffre plus ou bien, mais j'apprends à d'autres. Si la personne a vraiment besoin de sécurité, elle aura déjà eu le vocabulaire de base pour creuser et aller encore plus loin. Il faut quelquefois, il faut la petite impulsion au départ pour être sensibilisé à ça. Savoir que ça existe, parce que, si on ne sait pas que ça existe, on ne peut pas l'inventer non plus. Nous on dit voilà, il y a ça, ça, ça qui existe et puis après chacun apprend et monte en niveau de compétence selon ses besoins. Mais il faut au départ qu'on nous ait dit que ça existe et on est là pour ça.

Aeris : Il y a aussi un autre gros effet positif aux chiffrofêtes et autres, c'est que justement en France on n'a pas grand-chose à craindre à utiliser ça. Donc utilisez-le. Si vous vous plantez, à la limite ce n'est pas grave, votre vie n'est pas en jeu et en plus ça fait du bruit dans les tuyaux. Quand le gouvernement syrien scanne les mails, quand il en aura marre de déchiffrer 999 mails qui disent « Bonjour Maman » ou « J'ai commandé une pizza quatre fromages », il laissera peut-être tomber le millième mail qui dit « Eh bien tiens les dissidents ils ont rendez-vous là à tel endroit ».
Faire du bruit dans le réseau c'est cool. En France on peut se le permettre. En plus on est assez nombreux pour faire beaucoup de bruit, parce que nous, on n'a pas grand-chose à protéger au final. Ça permet d'aider à protéger ceux qui en ont vraiment beaucoup beaucoup et où leurs vies sont en jeu là-dessus.

Genma : Donc là il est six heures, je pense qu'on va arrêter là. Si vous voulez encore discuter de ça, vous allez vers Aeris, il y a moi Genma. On est d’autres. On verra si, quand ils seront là vous repérez un peu les gens qui parlent un peu sur PSES de cryto, etc.

Vous n'hésitez pas à nous solliciter, à venir discuter avec nous si vous voulez approfondir le sujet ou voir différentes choses. Je vous remercie beaucoup de votre attention, en espérant que vous viendrez aux événements qu'on organise ou que vous-même, mieux, vous lancerez vos propres événements. Vous pouvez même les lancer sur Paris, vous pouvez venir aider, Paris, région parisienne, partout en France, il n'y a aucun souci. Au contraire, plus on est, mieux c'est. Et merci.

Mise à jour des serveurs de l'April vers Debian Wheezy

16 Juillet, 2014 - 17:43
Nous avons profité de la douceur du mois de juillet pour travailler sur la migration des serveurs (plus précisément des machines virtuelles) de l'April, migration qui est en passe d'être finie.

Ce travail a été essentiellement réalisé par Vincent-Xavier Jumel, adminsys bénévole de l'April.

Après avoir fait un test sur un serveur, nous avons validé la procédure suivante pour tous les serveurs non-critiques, c'est à dire tous sauf ceux gérant le site web www.april.org (lsd), les courriels (mail) et les sauvegardes (harmine) :

  • faire une copie de la machine virtuelle ;
  • valider la mise à jour de version sur la machine virtuelle, avec des tests fonctionnels ;
  • si la mise à jour s'est bien déroulée (aux bugs triviaux près), détruire la copie ;
  • refaire une copie de la machine virtuelle ;
  • faire la mise à jour Debian sur la machine virtuelle en production, et corriger les bugs éventuels (comme lors de la version de test) ;
  • vérifier que la mise à jour est valide ;
  • détruire la copie.

Quelques applications « historiques » n'ont pas supporté les changements. Avec François Poulain (PoluX), nous avons procédé au remplacement de notre gestionnaire historique de contact et calendrier, dotproject, par Owncloud et à celui de notre galerie photo, Gallery2, par Piwigo. Les données des anciens logiciels ont été importées avec succès.

Parmi les serveurs critiques, nous n'avons rien touché sur harmine, en attendant de nous former à l'utilisation de BackupPc et de vérifier que nous avons des sauvegardes fiables en dehors de pavot.

Avec Emmanuel Charpentier (echarp), nous avons étudié comment profiter de la migration vers Debian Wheezy pour passer à Drupal 7. Pour l'instant, ce n'est pas fonctionnel.

Enfin, mail a été mis à jour avec succès au matin du 16 juillet, pendant la plage horaire prévue. Une copie de mail (sous le nom mail_old) subsiste toujours (et aurait permis de revenir en arrière en cas de souci grave pendant la mise à jour). Cette mise à jour avait été préparée : mise à jour, tests, etc. Il n'y a eu qu'à changer l'adresse IP interne de la machine et corriger les bugs mineurs.

Néanmoins, certaines fonctionnalités peuvent ne plus être présentes sous leur forme précédente. Dans ce cas, merci de nous le signaler par courriel (format préféré) ou sur IRC (si pas de réponse, merci d'envoyer un courriel)

Le groupe adminsys de l'April est toujours à la recherche de bonnes volontés. En particulier, nous recherchons quelqu'un prêt à se mouiller dans la configuration d'un RT (Request Tracker). N'hésitez pas à vous manifester si vous pensez pouvoir nous aider (même canaux de communication que précédemment).

Rapport Morin-Desailly : de nouvelles propositions pour plus de logiciel libre et pas de brevets logiciels dans l'Union européenne

16 Juillet, 2014 - 17:10

Début juillet 2014 a été publié le rapport d'information (PDF, 398 pages) (également disponible en version HTML) de la sénatrice Catherine Morin-Desailly au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet ».

Ce rapport présente une partie sur le logiciel libre (à partir de la page 267), claire et précise, pour laquelle l'April félicite la sénatrice et les membres de la commission. On peut ainsi noter deux propositions particulièrement intéressantes, sur les brevets logiciels et sur le développement de l'usage de logiciels libres.

Proposition n° 42 : veiller à la préservation du principe européen de non brevetabilité des logiciels (page 271)

À ce sujet, le rapport rappelle d'ailleurs la promesse du candidat Hollande en 2012 selon laquelle il fallait veiller « à ce que la mise en œuvre du brevet communautaire ne soit pas l’occasion de légitimer les brevets sur les logiciels », et demande à ce que cette promesse soit réaffirmée aujourd'hui. Cette demande est d'autant plus importante que la Cour Suprême américaine vient de restreindre les brevets logiciels. L'Union européenne doit aller dans le même sens et les interdire définitivement.

Proposition n° 43 : encourager le développement des logiciels libres par leur intégration dans les marchés publics et par l’imposition de standards ouverts, à condition de développer les compétences pour l’utilisation de ces logiciels et standards (page 272)

Sur ce point, le rapport demande également à ce que les pouvoirs publics aillent plus loin que ce qui existe notamment avec la circulaire Ayrault sur le bon usage du logiciel libre dans les administrations, et de « favoriser une migration progressive d’une partie croissante de leur parc informatique vers les logiciels libres ». De plus, le rapport préconise « d'encourager l’usage des logiciels libres dans les enseignements informatiques », qui est une demande de longue date de l'April.

Ces propositions reprennent des axes centraux des positions et de l'action de l'April. Le rapport mentionne également la possibilité de donner la priorité au logiciel libre pour l'ensemble de l'administration, comme c'est déjà le cas en Italie.

L'April espère que des propositions, très positives, seront ensuite suivies d'actions concrètes, notamment sur la priorité au logiciel libre, qui est déjà présente dans la loi sur l'enseignement supérieur et la recherche. Elle invite donc les parlementaires à agir sur ces nouvelles propositions.

D'autres sujets importants, dont l'espionnage de la NSA, mais aussi le danger de l'enfermement des utilisateurs, sont également présentés dans ce rapport. L'April en publiera une analyse détaillée ultérieurement. Vous pouvez également consulter l'analyse du Conseil National du Logiciel Libre, qui s'est félicité de la partie logiciel libre de ce rapport.

Réponse de l'April à la consultation de la Commission européenne sur TAFTA

15 Juillet, 2014 - 11:57

L'April a répondu le 13 juillet 2014 à une consultation de la Commission européenne portant sur certaines modalités du règlement des différends dans le cadre du partenariat transatlantique TTIP (Transatlantic Trade and Investment Partnership, partenariat transatlantique sur le commerce et les investissements, également connu sous le nom de TAFTA - Transatlantic Free Trade Agreement, accord de libre-échange transatlantique).

Cette consultation était malheureusement biaisée : elle considérait comme acquis la mise en place d'un tribunal arbitral pour régler les différends entre investisseurs étrangers et États, alors que ce mécanisme même est une des principales sources de problème de l'accord.

En effet, ces tribunaux d'arbitrage, dans lesquels les juges ont un intérêt pécuniaire, sont réservés aux tribunaux étrangers ; ils sont composés de spécialistes du droit des investisseurs, et leurs décisions s'imposent aux États, sans aucun recours possible devant une cour judiciaire généraliste et indépendante.

La consultation a cependant eu un intérêt pédagogique, permettant à l'April de se plonger dans le dossier complexe qu'est le TTIP, ou plus précisément les mécanismes de règlement des différends proposés dans les accords commerciaux, et de dégager de premiers axes de position.

L'April a donc répondu à la consultation pour s'opposer à la mise en place d'une cour arbitrale telle que proposée par le projet d'accord et expliquer ses dangers. La réponse est disponible aux formats OpenDocument et PDF.

Revue de presse de l'April pour la semaine 28 de l'année 2014

14 Juillet, 2014 - 22:46

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 28

[Le Point] L'enseignement du langage informatique proposé en primaire dès la rentrée

Par la rédaction, le dimanche 13 juillet 2014. Extrait:
> L'enseignement du langage informatique sera proposé en primaire dès la rentrée de manière facultative, annonce dans une interview au Journal du dimanche le ministre de l'Education nationale Benoît Hamon, qui prévoit également de relier au haut débit hertzien 9.000 écoles dès septembre.
Lien vers l'article original: http://www.lepoint.fr/societe/l-enseignement-du-langage-informatique-propose-en-primaire-des-la-rentree-13-07-2014-1845757_23.php

[Slate.fr] Tor, de plus en plus partagé

Par Amaelle Guiton, le jeudi 10 juillet 2014. Extrait:
> Boosté par les scandales de surveillance numérique, le réseau d'anonymisation enregistre depuis un an un afflux conséquent d'utilisateurs. Ce changement d'échelle et de périmètre pose à ses développeurs des défis complexes.
Lien vers l'article original: http://www.slate.fr/story/89673/tor

Et aussi:
[ZDNet] NSA targets Linux Journal as 'extremist forum': Report

[CitizenKane] Sécurité informatique: 4 bombes atomiques en 12 mois

Par David Nataf, le jeudi 10 juillet 2014. Extrait:
> Nos systèmes de sécurité informatique sont bien plus nombreux et perfectionnés qu’il y a quelques années. Les normes de sécurité et leur intégration dans les entreprises sont de mieux en mieux implémentés. Et pourtant, ces derniers 12 mois ne nous ont pas gâté. Avec peut-être les 4 plus grandes bombes à retardement jamais vues en sécurité informatique.
Lien vers l'article original: http://citizenkane.fr/securite-informatique-4-bombes-atomiques-en-12-mois.html

[Solutions-Logiciels.com] Linux: trois événement majeurs lui seront consacrés du 13 au 15 octobre

Par Juliette Paoli, le jeudi 10 juillet 2014. Extrait:
> Le créateur de Linux, Linus Torvalds, et les dirigeants d'Amazon et de ownCloud ont répondu présents aux prochains événements organisés par la Fondation Linux du 13 au 15 octobre au Centre des Congrès de Düsseldorf. Trois événements en un avec LinuxCon, CloudOpen et Embedded Linux Conference Europe.
Lien vers l'article original: http://www.solutions-logiciels.com/actualites.php?titre=Linux-trois-evenement-majeurs-lui-seront-consacres-du-13-au-15-octobre&actu=14806

[Next INpact] Suite au «fail» de la DILA, Regards Citoyens publie un guide sur l’Open Data

Par Xavier Berne, le mardi 8 juillet 2014. Extrait:
> Suite aux différents problèmes qui ont accompagné la mise à disposition, gratuite, des données juridiques détenues par la Direction de l'information légale et administrative (DILA), l’association Regards Citoyens vient de publier un «petit guide à destination des administrations souhaitant basculer du payant à l’Open Data». L’occasion pour l’organisation de revenir de manière synthétique sur le processus d’ouverture et de partage de données publiques, tout en insistant sur le récent épisode de la DILA, qui est considéré comme «l’un des plus gros «fail» administratifs en matière d’Open Data».
Lien vers l'article original: http://www.nextinpact.com/news/88585-suite-au-fail-dila-regards-citoyens-publie-guide-sur-l-open-data.htm

[Wired] Out in the Open: The Crusade to Bring More Women to Open Source

Par Klint Finley, le lundi 7 juillet 2014. Extrait:
> (De récents rapports de Facebook et Google confirment ce que nous avons toujours su: les géants de la technologie ont un problème de diversité. Mais dans le monde open source, le problème est encore pire) Recent reports from Facebook and Google confirmed what we’ve known all along: the giants of tech have a diversity problem. But in the world of open source, the problem is even worse.
Lien vers l'article original: http://www.wired.com/2014/07/openhatch

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

Pages