Il sera peut-être une nouvelle fois traité de Cassandre et de parano, mais Bruce Schneier enfonce le clou !

Sensible aux signaux qu’envoient de façon croissante les faits divers mettant en cause les objets connectés — le fameux Internet des objets pour lequel « se mobilise » (sic) la grande distribution avec la French Tech — ce spécialiste de la sécurité informatique qui a rejoint récemment le comité directeur du projet Tor veut montrer que les risques désormais ne concernent plus seulement la vie numérique mais bien, directement ou non, la vie réelle. Il insiste aussi une fois encore sur les limites de la technologie et la nécessité d’un volontarisme politique.

Quand l’internet des objets menace la sécurité du monde réel

par Bruce Schneier

Article original sur son blog Real-World Security and the Internet of Things

Traduction Framalang : Valdo, KoS, serici, audionuma, goofy

Les récits de catastrophes qui impliquent l’Internet des objets sont à la mode. Ils mettent en scène les voitures connectées (avec ou sans conducteur), le réseau électrique, les barrages hydroélectriques et les conduits d’aération. Un scénario particulièrement réaliste et vivant, qui se déroule dans un avenir proche, a été publié le mois dernier dans New York Magazine, décrivant une cyberattaque sur New York qui comprend le piratage de voitures, du réseau de distribution de l’eau, des hôpitaux, des ascenseurs et du réseau électrique. Dans de tels récits, un chaos total s’ensuit et des milliers de gens meurent. Bien sûr, certains de ces scénarios exagérèrent largement la destruction massive, mais les risques pour les individus sont bien réels. Et la sécurité classique des ordinateurs et des réseaux numériques n’est pas à la hauteur pour traiter de tels problèmes.

La sécurité traditionnelle des informations repose sur un triptyque : la confidentialité, l’intégrité et l’accès. On l’appelle aussi « C.I.A », ce qui, il faut bien le reconnaître, entretient la confusion dans le contexte de la sécurité nationale. Mais fondamentalement, voici les trois choses que je peux faire de vos données : les voler (confidentialité), les modifier (intégrité), ou vous empêcher de les obtenir (accès).

« L’internet des objets permettra des attaques que nous ne pouvons même pas imaginer. »

Jusqu’à présent, les menaces occasionnées par internet ont surtout concerné la confidentialité. Elles peuvent coûter cher ; d’après cette étude chaque piratage de données a coûté 3.8 millions de dollars en moyenne. Elles peuvent s’avérer très gênantes, c’était le cas par exemple quand des photos de célébrités ont été volées sur le cloud d’Apple en 2014 ou lors du piratage du site de rencontres Ashley Madison en 2015. Elles peuvent faire des dégâts, comme quand le gouvernement de Corée du Nord a volé des milliers de documents à Sony ou quand des hackers ont piraté 83 millions de comptes de la banque JPMorgan Chase, dans les deux cas en 2014. Elles peuvent menacer la sécurité nationale, on l’a vu dans le cas du piratage de l’Office of Personnel Management par — pense-t-on — la Chine en 2015.

Avec l’Internet des objets, les menaces sur l’intégrité et la disponibilité sont plus importantes que celles concernant la confidentialité. C’est une chose si votre serrure intelligente peut être espionnée pour savoir qui est à la maison. C’est autre chose si elle peut être piratée pour permettre à un cambrioleur d’ouvrir la porte ou vous empêcher de l’ouvrir. Un pirate qui peut vous retirer le contrôle de votre voiture ou en prendre le contrôle est bien plus dangereux que celui qui peut espionner vos conversations ou pister la localisation de votre voiture.

Avec l’avènement de l’internet des objets et des systèmes physiques connectés en général, nous avons donné à Internet des bras et des jambes : la possibilité d’affecter directement le monde physique. Les attaques contre des données et des informations sont devenues des attaques contre la chair, l’acier et le béton.

Les menaces d’aujourd’hui incluent des hackers qui font s’écraser des avions en s’introduisant dans des réseaux informatiques, et qui désactivent à distance des voitures, qu’elles soient arrêtées et garées ou lancées à pleine vitesse sur une autoroute. Nous nous inquiétons à propos des manipulations de comptage des voix des machines de vote électronique, des canalisations d’eau gelées via des thermostats piratés, et de meurtre à distance au travers d’équipements médicaux piratés. Les possibilités sont à proprement parler infinies. L’internet des objets permettra des attaques que nous ne pouvons même pas imaginer.

L’accroissement des risques provient de trois choses : le contrôle logiciel des systèmes, les interconnexions entre systèmes, et les systèmes automatiques ou autonomes. Jetons un œil à chacune d’entre elles.

Contrôle logiciel. L’internet des objets est le résultat de la transformation de tous les objets en ordinateurs. Cela nous apporte une puissance et une flexibilité énormes, mais aussi des insécurités par la même occasion. À mesure que les objets deviennent contrôlables de façon logicielle, ils deviennent vulnérables à toutes les attaques dont nous avons été témoins contre les ordinateurs. Mais étant donné qu’un bon nombre de ces objets sont à la fois bon marché et durables, la plupart des systèmes de mise à jour et de correctifs qui fonctionnent pour les ordinateurs et les téléphones intelligents ne fonctionneront pas ici. À l’heure actuelle, la seule manière de mieux sécuriser les routeurs individuels c’est de les jeter à la poubelle pour en acheter de nouveaux. Et la sécurité que vous obtenez en changeant fréquemment d’ordiphone ou d’ordinateur ne servira à rien pour protéger votre thermostat ou votre réfrigérateur : en moyenne vous changez ce dernier tous les 15 ans, et l’autre à peu près… jamais. Une étude récente de Princeton a découvert 500 000 appareils non sécurisés sur Internet. Ce nombre est sur le point d’augmenter de façon explosive.

Interconnexions. Ces systèmes devenant de plus en plus interconnectés, une vulnérabilité de l’un entraîne des attaques contres les autres. Nous avons déjà vu des comptes Gmail compromis à cause d’une vulnérabilité dans un réfrigérateur connecté Samsung, le réseau d’un hôpital compromis à cause de vulnérabilités dans du matériel médical et l’entreprise Target piratée à cause d’une vulnérabilité dans son système d’air conditionné. Les systèmes sont soumis à nombre d’externalités qui affectent d’autres systèmes de façon imprévisible et potentiellement dangereuse. Ce qui peut sembler bénin aux concepteurs d’un système particulier peut s’avérer néfaste une fois combiné à un autre système. Les vulnérabilités d’un système peuvent se répercuter sur un autre système et le résultat sera une vulnérabilité que personne n’a vu venir et que personne ne prendra la responsabilité de corriger. L’internet des objets va rendre les failles exploitables beaucoup plus communes. C’est mathématique. Si 100 systèmes interagissent entre eux, cela fait environ 5000 interactions et 5 000 vulnérabilités potentielles résultant de ces interactions. Si 300 systèmes interagissent entre eux, c’est 45 000 interactions. 1 000 systèmes : 12,5 millions d’interactions. La plupart seront bénignes ou sans intérêt, mais certaines seront très préjudiciables.

Autonomie. Nos systèmes informatiques sont des plus en plus autonomes. Ils achètent et vendent des actions, allument et éteignent la chaudière, régulent les flux d’électricité à travers le réseau et, dans le cas des voitures autonomes, conduisent des véhicules de plusieurs tonnes jusqu’à destination. L’autonomie est une bonne chose pour toutes sortes de raisons, mais du point de vue de la sécurité, cela signifie qu’une attaque peut prendre effet immédiatement et partout à la fois. Plus nous retirons l’humain de la boucle, plus les attaques produiront des effets rapidement et plus nous perdrons notre capacité à compter sur une vraie intelligence pour remarquer que quelque chose ne va pas avant qu’il ne soit trop tard.

« Les risques et les solutions sont trop techniques pour être compris de la plupart des gens. »

Nous construisons des systèmes de plus en plus puissants et utiles. Le revers de la médaille est qu’ils sont de plus en plus dangereux. Une seule vulnérabilité a forcé Chrysler à rappeler 1,4 million de véhicules en 2015. Nous sommes habitués aux attaques à grande échelle contre les ordinateurs, rappelez-vous les infections massives de virus de ces dernières décennies, mais nous ne sommes pas préparés à ce que cela arrive à tout le reste de notre monde.

Les gouvernements en prennent conscience. L’année dernière, les directeurs du renseignement national James Clapper et de la NSA Mike Rogers ont témoigné devant le Congrès, mettant l’accent sur ces menaces. Tous deux pensent que nous sommes vulnérables.

Voici comment cela a été formulé dans le rapport sur les menaces mondiales du DNI :

La plupart des discussions sur les menaces numériques traitent de la disponibilité et de la confidentialité des informations ; l’espionnage en ligne s’attaque à la confidentialité, là où les attaques par déni de service ou les effacements de données menacent la disponibilité. À l’avenir, en revanche, nous verrons certainement apparaître des opérations modifiant les informations électroniques dont l’objectif sera de toucher à leur intégrité (c’est à dire leur précision et leur fiabilité) plutôt que de les effacer ou d’empêcher leur accès. Le processus de prise de décision des responsables gouvernementaux (civils ou militaires), des chefs d’entreprises, des investisseurs et d’autres sera handicapé s’ils ne peuvent faire confiance à l’information qu’ils reçoivent.

Le rapport sur l’évaluation de la menace pour 2016 mentionnait quelque chose de similaire :

Les futures opérations cybernétiques attacheront presque à coup sûr une plus grande importance à la modification et à la manipulation des données destinées à compromettre leur intégrité (c’est-à-dire la précision et la fiabilité) pour influencer la prise de décision, réduire la confiance dans les systèmes ou provoquer des effets physiques indésirables. Une plus large adoption des appareils connectés et de l’intelligence artificielle — dans des environnements tels que les services publics et la santé — ne fera qu’exacerber ces effets potentiels.

Les ingénieurs en sécurité travaillent sur des technologies qui peuvent atténuer une grande partie de ce risque, mais de nombreuses solutions ne seront pas déployées sans intervention du gouvernement. Ce n’est pas un problème que peut résoudre le marché. Comme dans le cas de la confidentialité des données, les risques et les solutions sont trop techniques pour être compris de la plupart des gens et des organisations ; les entreprises sont très désireuses de dissimuler le manque de sécurité de leurs propres systèmes à leurs clients, aux utilisateurs et au grand public ; les interconnexions peuvent rendre impossible d’établir le lien entre un piratage et les dégâts qu’il occasionne ; et les intérêts des entreprises coïncident rarement avec ceux du reste de la population.

Il faut que les gouvernements jouent un rôle plus important : fixer des normes, en surveiller le respect et proposer des solutions aux entreprises et aux réseaux. Et bien que le plan national d’action pour la cybersécurité de la Maison Blanche aille parfois dans la bonne direction, il ne va sûrement pas assez loin, parce que beaucoup d’entre nous avons la phobie de toute solution imposée par un gouvernement quelconque.

Le prochain président sera probablement contraint de gérer un désastre à grande échelle sur Internet, qui pourrait faire de nombreuses victimes. J’espère qu’il ou elle y fera face à la fois avec la conscience de ce que peut faire un gouvernement et qui est impossible aux entreprises, et avec la volonté politique nécessaire.

 

Bruce Schneier est un spécialiste reconnu en matière de sécurité informatique, sur laquelle il a publié plusieurs livres et de nombreux articles sur son blog schneier.com.

Clicnat, une application pour trouver les plages naturistes cet été ? Pas vraiment, c’est plutôt le Pokemon Go de Picardie…

Mais un Pokemon Go en réalité réelle (même pas besoin de l’augmenter :p) et avec des bestioles de toutes sortes : grâce à l’association Picardie Nature, vos balades peuvent alimenter les données naturalistes locales, et en plus, c’est libre !

Notre Fred avait rencontré l’été dernier (lors des RMLL de Beauvais) la joyeuse troupe de cette association, mais (tout au peaufinage de son polar) il n’a pas pu réaliser l’interview.

Qu’à cela ne tienne, l’intrépide Tripou, un des Framacolibris furetant sur le forum des bénévoles de Framasoft, a pris le relais, et est allé interroger Picardie Nature pour qu’ils nous en apprennent plus sur Clicnat.

 

Pourquoi avoir choisi le libre pour Clicnat ?

C’est déjà un réflexe naturel, Picardie Nature utilise du logiciel libre et partage ce qu’elle produit, la plus grande partie des postes de travail est sous Ubuntu. Mais aussi parce qu’on a souhaité qu’il soit accessible à d’autres et au-delà de la Picardie. De cette façon, l’effort qu’on a fourni pour le créer ne devrait pas être à nouveau mobilisé et l’énergie qu’on y apportera doit servir à en faire quelque chose de mieux.

Ceux que ça intéresse peuvent aussi regarder comment c’est fait, comment ça marche et il y a aussi forcément l’argument économique qui va devenir prépondérant dans le contexte actuel où la fonte de nos subventions est indexée à celle des glaciers.

C’est pour nous aussi un moyen d’indépendance, le maintien en ligne uniquement pour la saisie des données peut ne coûter qu’une machine et un peu de temps bénévole. C’est le travail de développement, d’animation, de mise en circulation des données qui sera impacté, l’existant peut être préservé et on pourra toujours continuer à noter nos observations.

Est-ce parce que Sterne et BDN (utilisés à l’ONF) ne vous convenaient pas, que vous avez choisi de développer une application libre ?

Avant de se lancer on a testé plusieurs outils, on a pu accéder au code et en installer certains. Ces applications ont certainement eu une évolution depuis mais a ce moment-là pour nous elles étaient, selon nous, trop orientées vers un public scientifique et leur module cartographique ne nous satisfaisait pas. On s’approchait de ce qu’on voulait faire mais sans l’atteindre.

Clicnat a été créé avec des logiciels libres, lesquels ? (OpenLayers pour la cartographie, mais encore) ?

Clicnat est principalement écrit en PHP, pour la base de données c’est PostgreSQL avec PostGis et on utilise également MongoDB. Sur l’interface on a effectivement OpenLayers pour la cartographie et aussi l’incontournable jQuery. En ce moment on commence à introduire React dans les interfaces, on s’attaque aussi au développement pour les mobiles avec Cordova en utilisant toujours React et OpenLayers.

Il n’y a pas encore de standard d’échange de données dans le monde naturaliste. Comment fait-on, alors ?

On parle souvent de la même chose, au minimum, une date, un lieu, une espèce ou taxon. Pour les deux premiers on s’en sort bien, c’est une fois qu’on discute de l’espèce ou du taxon que ça commence à se compliquer.

Les noms changent régulièrement au fil du temps, certains peuvent être regroupés ou séparés en plusieurs nouveaux taxons, c’est là qu’il faut s’entendre sur un référentiel, Clicnat a son propre référentiel et on utilise le référentiel taxonomique TAXREF, qui est géré par le Muséum national d’histoire naturelle, pour les échanges, et qui devient maintenant un standard.

En France le Muséum national d’histoire naturelle propose aussi un standard d’échange, et travaille à la mise en place du SINP pour faire circuler les données. Au niveau international il y a le Système mondial d’information sur la biodiversité (GBIF) qui existe aussi, on peut accéder aux données via des API (interface de programmation applicative), c’est très ouvert.

Qui rédige les fiches espèces auxquelles on peut accéder ?

Principalement des naturalistes picards, les textes pour les oiseaux viennent du livre Les oiseaux de Picardie. Certains ont été écrits par des stagiaires ou CDD, c’est un exercice que l’on peut faire pour acquérir la connaissance locale pour une espèce qui va faire l’objet d’une étude.

Si on ne connaît pas l’espèce que l’on croise, c’est gênant pour alimenter Clicnat ?

Ça n’est pas gênant, il y a des processus de validation et de contrôle, votre observation ne fera pas obstacle à la construction d’une autoroute si elle est farfelue. L’erreur est permise et c’est aussi un des premiers contacts que vous aurez avec un humain qui va vous questionner sur votre observation peut-être inhabituelle.

Et selon le contexte d’utilisation on va adapter le niveau d’exigence pour une donnée d’observation, dans le cadre d’une action en justice ou pour évaluer l’impact d’un projet on va regarder à la loupe ce qui est rapporté. Si on ne connaît pas l’auteur, que la présence de cette bestiole implique de gros enjeux, on va vous demander d’étayer éventuellement avec une photo et de répondre à quelques questions pour évacuer une confusion avec une autre espèce par exemple et on saura dire si ça tient la route ou pas.

 

La donnée devient fiable à quel moment ? C’est à dire on observe un animal à un endroit précis, on va l’inscrire sur Clicnat et on sait que tel jour à tel moment un éléphant était devant la poste ?

Une fois que deux utilisateurs validateurs ont donné un avis favorable ou que le coordinateur du réseau faunistique concerné l’a validée manuellement dans un lot.

L’accumulation des données est traitée différemment ? Un troupeau d’éléphants passe chaque année à cette période devant la poste ?

Non, Clicnat est principalement un entrepôt et une ressource pour ceux qui vont écrire un article. Le travail d’étude est principalement fait en dehors de Clicnat mais il commence par une extraction de données de celui-ci. Et plus il y a de données, mieux c’est. Ça va permettre d’affiner les dates d’arrivée et de départ de certaines espèces, de détecter des régressions ou progressions d’espèces, de mesurer l’impact du réchauffement climatique.

C’est aussi un point d’échange, en Picardie et en Normandie les plateformes regroupent plusieurs structures qui mettent leur données en commun sur leur plateforme.

Existe-t-il un équivalent pour la flore ?

Oui, il y a Digitale 2 qui est porté par le CBNBL dans le Nord Ouest mais qui n’est pas libre.

Ça peut être pas mal pour alimenter la page Wikipédia sur la faune de Picardie dont les références les plus récentes datent de 1994. C’est prévu ou vous allez laisser faire les particuliers ?

L’article sur Picardie Nature a été supprimé de Wikipédia parce qu’on manque de notoriété d’après les critères wikipédiesques. Ça nous a laissé un goût amer, pour l’instant ça n’est pas prévu de notre côté.

Sur la carte on peut voir que Rouen ne participe pas du tout au référencement… à tous les coups son excuse sera probablement que ce n’est pas le même département…tst.

C’est normal on couvre la Picardie. Mais c’est une autre instance de Clicnat quand même. Le GONm utilise aussi Clicnat, on est encore dans une phase de déploiement pour la partie restitution. On a dû faire pas mal de modifications pour que le projet puisse tourner sur une autre région. Il y avait pas mal de choses dans le code qui nous étaient spécifiques et on a dû procéder à pas mal de nettoyage. Ça nous a servi de leçon et maintenant on est plus générique sur la façon de développer.

C’est le hasard mais j’ai entendu parler d’un système similaire il y a quelques jours : Silène, qui référence également la faune et la flore dans le sud de la France, vous vous inspirez entre vous, vous discutez, ou c’est cloisonné ?

Il n’y a pas beaucoup d’échanges entre bases, c’est vrai que c’est plutôt cloisonné. On regarde évidemment ce que les autres font, j’aime ce que fait Sigogne par exemple. Sinon les attentes des utilisateurs suffisent pour nourrir la réflexion et faire germer les idées.

Y’a t-il ce genre de système dans chaque région ?

Oui, pour ceux portés par des associations de naturalistes, le plus répandu est Visionature, ensuite il y a des choses comme Clicnat (Picardie, Normandie) et SIRF (Nord Pas de Calais)

D’autres régions/départements vous ont-elles contacté pour mettre en place ce type de dispositif ?

Évidemment la Normandie, on a aussi Faune-et-route, un morceau de Clicnat dédié au collisions routières, qui est porté également à présent par le CPIE de la Mayenne. On commence à être sollicité par d’autres régions et de temps en temps quelqu’un demande à accéder au dépôt du code.

Clicnat permet également de produire des synthèses, c’est-à-dire ?

C’est ce qu’on appelle entre nous le site public, il permet à tout le monde de consulter et télécharger les données de répartition des espèces.

Alors, si je comprends bien, étant braconnier revendeur d’espèces en danger, je peux aller sur Clicnat pour m’informer des meilleurs endroits pour les choper ?

Non, parce qu’on va flouter géographiquement la localisation sur des mailles de 5km2 et parfois ne pas indiquer les communes. On ne dévoile pas les indices de reproduction ou le comportement des espèces qui pourraient dire dans quel milieu elles se trouvaient.

Quand on travaille avec des bureaux d’études ou avec les fonctionnaires qui instruisent des dossiers liés à l’environnement, on passe au kilomètre carré. Et ensuite au cas par cas, pour de la rédaction d’articles, pour la contribution à un projet particulier ou pour des actions en justice, on peut extraire les données brutes avec un maximum de précision.

Sur quel animal menacé voudriez-vous attirer l’attention ?

Aucun, ils sont tous intéressants et méritent tous notre attention. Une espèce commune aujourd’hui pourra devenir menacée demain, et si personne ne prend le temps de les noter régulièrement on le verra pas venir. Quand on soupçonnera qu’il se passe quelque chose, on ne pourra pas étayer d’hypothèse avec des observations.

 

Pour aller plus loin :

• Le site de l’association Picardie Nature
• Découvrez Clicnat
• Le code source de Clicnat (licence AGPL V3)

Vous connaissez l’adage ? « Si le téléphone est intelligent, c’est que l’utilisateur est stupide. » Malheureusement, il se vérifie dans la manière dont les entreprises qui conçoivent ces ordinateurs de poche (avec option téléphone) nous traitent…

Entre la prison dorée qu’est l’Iphone d’Apple (qu’il nous faut « jailbreaker » pour un tout petit peu plus de contrôle, ce qui signifie en Français qu’on en « brise les barreaux »), l’espionnage total de Google sur les Android, les autorisations hallucinantes que nous demandent les applications propriétaires, l’esclavagisme qui se cache derrière les matériaux et la construction, l’obsolescence programmée… difficile de trouver un ordiphone qui convient à nos choix éthiques.

Gee, notre illustrateur-auteur-docteur maison, est parti à la quête d’un smartphone (et de ses logiciels) qui respecterait ce lourd cahier des charges. Nous reproduisons ici un article (libre, bien entendu) paru sur son blog, qui nous offre un retour d’expérience très personnel.

N’hésitez pas à ajouter vos astuces, alternatives, choix et bonnes adresses dans les commentaires !

Fairphone : un téléphone pour libriste ?

Aujourd’hui, je vous propose un petit retour sur le Fairphone 2 qui est devenu mon téléphone il y a un mois de cela. Bon, je n’ai jamais fait d’article de ce genre alors désolé si c’est un peu décousu. Je précise d’emblée que ce n’est absolument pas un article sponsorisé ou commandé, c’est juste un retour spontané parce que je pense que cela peut en intéresser certains (les libristes en premier lieu mais pas seulement).

By Gee Sur son blog

Mon problème avec les smartphones

Au départ, c’est tout bête : un téléphone vieillissant mal et la volonté d’en changer. Sauf que les smartphones, outre leurs avantages (oui parce que si j’en ai un, ça reste un choix), m’ont toujours dérangé pour plusieurs choses :

• ils sont chers (je n’ai jamais été très à l’aise à l’idée de me trimbaler avec des objets de plusieurs centaines d’euros dans la poche ou à la main) ;
• ils sont fragiles et conçus pour durer le moins de temps possible (jusqu’à la sortie du modèle suivant, en gros), obsolescence programmée, tout ça ;
• ils sont ultra-verrouillés. Firefox OS plus ou moins enterré, Ubuntu Touch à peine existant, c’est encore Android (et dérivées) qui se rapproche le plus du libre (c’est dire dans quelle merde on est).

Pour le prix, je m’étais toujours dirigé vers du milieu de gamme en faisant des concessions sur les perfs (je ne joue que très peu et ne regarde pas de vidéos de manière prolongée dessus, ça aide).

Pour le second, malgré tous mes efforts pour en prendre soin et pour ne conserver un système stable dans le temps, je n’ai jamais réussi à garder un smartphone bien longtemps. Le dernier en date (Sony Xperia J) va avoir 3 ans et honnêtement, il a déjà des soucis depuis facilement 1 an, c’est justement par pragmatisme que je l’ai gardé. Vous allez me dire, j’aurais pu mettre plus cher et avoir un truc plus solide. M’enfin ma sœur a réussi à péter un Samsung à 500€ avec une Chupa Chups, alors vous m’excuserez si je suis sceptique.

Pour le troisième point, il y a la solution de se lancer dans les joyeusetés du root et de l’install de ROM custom. J’ai testé avec CyanogenMod sur mon Xperia, eh bien c’est incroyablement chiant et compliqué (et je dis ça du point de vue d’un mec qui installe des GNU/Linux tous les 4 matins sur des appareils plus ou moins exotiques). Des ROMS hébergées sur d’immondes sites de direct download (avec 1 tiers de liens morts), des forums à inscription obligatoire pour lire les tutos, des utilitaires Windows-only à tous les étages. Yark. Et après on va me dire que Gnunux, c’est trop compliqué.

Le Fairphone

Bref, l’idée de changer de smartphone ne m’enchante pas vraiment. Forcément, j’en viens à chercher des choses comme « smartphone alternatif » sur Internet. C’est comme ça que je retombe sur le Fairphone (dont j’avais déjà entendu parlé d’une oreille distraite avant). Je ne vous refais pas la description, en gros un smartphone qui se veut un peu plus responsable que la moyenne : pas d’exploitation d’enfants pour l’extraction des matières premières, des circuits type commerce équitable, possibilité de facilement réparer et remplacer les pièces du smartphone pour ne pas devoir le jeter au premier souci, etc. Tout de suite, ça me tente bien.

Mais voilà, tout cela a un prix : 525€. Aïe. Bien plus cher que des téléphones aux caractéristiques équivalentes d’autres marques. Rien de surprenant, quand on paie correctement les travailleurs et qu’on essaie d’avoir des pratiques éthiques, on arrive forcément à un prix total plus élevé que des entreprises sans scrupules plus habituées aux filets anti-suicide pour les exploités au bout de la chaîne et du rouleau à la fois. Mais on est bien au-dessus de mon budget habituel. Non pas que je n’en aie pas les moyens, mais comme je l’ai dit, me balader avec des centaines d’euros à la main ou dans la poche, ça m’embête un peu.

Et là je tombe sur le truc qui va faire basculer ma décision : le Fairphone est vendu de base avec un Android classique… mais ils fournissent également une version d’Android Open Source débarrassée de toutes les apps non libres (dont toutes celles de Google, y compris Play Store). Oh. Alors certes, un Android Open Source, ce n’est pas Fairphone qui l’a inventé. Mais là, on parle d’un truc :

• supporté officiellement par le constructeur et prévu pile pour le téléphone en question ;
• qui ne fera donc pas péter la garantie si on l’installe ;
• qui est (visiblement) installable en un clic (hallelujah hare krishna).

Je demande quelques conseils sur Diaspora* et devant les avis majoritairement positifs, je saute le pas. C’est cher, mais après tout j’aurais réglé 2 de mes 3 problèmes avec les smartphones (l’obsolescence et le verrouillage) en faisant une concession sur le troisième (le prix).

Est-ce que ça marche ?

En bref : oui. Premier allumage, je rentre toutes mes infos, je zappe les parties Google et je remplace direct Android par la version open Source fournie par Fairphone. Deuxième allumage, un Android parfaitement fonctionnel sans Google et avec juste ce qu’il faut (applications téléphone, appareil photo, galerie, musique, etc.). Quand on est habitué au merdier que les constructeurs ajoutent habituellement dans leurs Androids personnalisés, c’est presque reposant.

 

Côté matos, rien à redire. On n’est sans doute pas au top de la technologie actuelle, mais pour quelqu’un comme moi habitué à du milieu de gamme, c’est parfait. Je ne vous fais pas la fiche technique, c’est dispo partout sur le web.

L’autonomie (le point qui laisse à désirer dans tous les tests) n’est pas fabuleuse mais rien de catastrophique non plus. En utilisation modérée (un peu de communication, quelques SMS, lire ses mails, ses tweets et ses forums de temps en temps), il peut tenir 2 jours voire 3 en utilisation très modérée. Après si on se lance dans les jeux ou de la navigation un peu intensive, on est plus sur 1 jour, c’est vrai. À part ça, il est stable, fluide, aucun ralentissement, appareil photo très performant (deux exemples ci-dessous). L’écran n’est pas mat mais l’affichage est de très bonne qualité.

Après quelques semaines d’utilisation, je m’y sens chez moi. Il y a déjà eu une mise à jour de l’OS depuis que je l’ai installé. Espérons que le support dure.

Android sans Google ?

Cette partie ne concerne pas spécifiquement le Fairphone. Comment on se débrouille avec Android sans compte et sans appli Google ? Comment on se débrouille avec Android quand on veut au maximum utiliser du logiciel libre ?

Déjà, un grand classique que tous les libristes connaissent : F-Droid. C’est un app center alternatif à Google Play Store promu par la Free Software Foundation Europe. Parfait pour n’installer que des applications alternatives et libres. Le logiciel n’est pas des plus sexy (pas de doute, on est bien chez la FSF ) mais il fait le boulot très bien. Le plus gros manque, à mon sens, c’est un système de classement : quand on recherche une app, on voudrait savoir laquelle est la plus appréciée ou la plus téléchargée et ce n’est pas possible. On finit toujours par chercher sur le web « best open source photo gallery app android » par exemple. Dommage. Pour le reste, c’est clair, épuré, on installe/désinstalle en un clic, des messages avertissent si l’appli est partiellement non-libre ou promeut des services non-libres, etc. Bref, F-Droid, c’est la supérette bio d’Android.

Ensuite, eh bien il faut juste trouver les applis qui vous conviennent. Le site Droid Break est très bien et donne quelques alternatives à des applications connues.

Un aperçu des applications installées sur mon téléphone :

Bien sûr, dans le tas, il y a des applis pour se connecter à des services non-libres (Twitter, YouTube, etc.). Mais contrairement aux applis officielles, elles ont tendance à vous demander sacrément moins d’autorisations, c’est déjà un plus. En vrac :

• TTRSS-Reader : lecteur de flux RSS spécialisé pour Tiny Tiny RSS (branché dans mon cas sur mon compte Framanews) ;
• Diaspora : branché sur mon compte Framasphère. Dispensable puisque la version web de Diaspora* est très satisfaisante ;
• Twidere : appli alternative pour gérer ses comptes Twitter. Pas de publications promotionnelles, pas de timeline et tout marche bien (manque les sondages pour l’instant). Rien à redire ;
• LeafPic : galerie photo bien foutue (je n’étais pas très satisfait de la galerie de base) ;
• Firefox : inutile de le présenter mais le panda roux / renard de feu (choisissez votre camp, perso j’en ai rien à carrer) marche bien aussi sur mobile ;
• K-9 Mail : excellente appli pour gérer des comptes mails multiples. Les fans de Dr Who apprécieront la référence (perso je n’en ai – encore une fois – rien à carrer) ;
• GBCoid : émulateur de GameBoy qui marche très bien et qui est très configurable. Oui, je disais que je ne jouais pas sur smartphone, mais c’est à moitié vrai. Disons que je suis plutôt retrogaming, ce qui se satisfait de perfs modestes en général. Les boutons émulés sur l’écran tactile, faut s’y faire (surtout pour les jeux d’adresse) mais c’est sympa d’avoir un téléphone qui fait GameBoy ;
• ScummVM : pour faire tourner les point’n’click des années 90 (particulièrement ceux de LucasArts) dont je suis un fan absolu. Je viens tout juste de me refaire tout Monkey Island 2 (et là je refais le un, OUI C’EST DANS LE DÉSORDRE ET ALORS) ;
• NewPipe : lecteur pour YouTube. Simple et efficace ;
• Wikipédia : rien à redire, ça marche nickel. J’aime particulièrement le fait que cliquer sur un lien interne ouvre un petit onglet de prévisualisation en bas au lieu d’ouvrir l’article directement ;
• Barcode Scanner : lecteur de QR-Code et assimilés. Le genre d’appli que j’utilise toutes les morts d’évêques mais qu’il est bien pratique d’avoir quand même ;
• Turbo Editor : éditeur de texte. Je n’en ai pas une grande utilisation (éditer du texte sur un smartphone, faut être motivé), mais ça dépanne bien ;
• Tomdroid : gestionnaire de notes. Bien pour relever les compteurs, noter un numéro, etc. Les linuxiens reconnaîtront Tomboy ;
• OsmAnd~ : cartes et navigation basé sur OpenStreetMap avec stockage des cartes en local. Une très bonne appli qui mériterait d’être plus connue, parfaite pour remplacer Google Maps ;
• ShoLi : gestionnaire de liste de courses. C’est tout con mais c’est très pratique (on prépare une liste puis on coche les éléments en tapotant dessus) et je m’en sers tout le temps ;
• DAVdroid : pour gérer les contacts et calendrier de mon compte Owncloud (sur Framadrive) ;
• RedReader : pour gérer un compte Reddit ;
• ownCloud : client OwnCloud (pour la partie fichiers donc), branché aussi sur mon Framadrive ;
• Amaze : l’appli est installée de base, c’est un bon explorateur de fichiers.

Et la petite appli « L’espace client » dont je n’ai pas parlé ? Eh bien là, c’est la solution de secours en l’absence d’alternative : utiliser un marque-page Firefox et en faire une icône. Là, il s’agit du portail web mobile de ma banque. Ils fournissent une appli non-libre sur le Play Store et c’est typiquement le genre de d’appli que, pour des raisons de sécurité, je n’irai pas télécharger en APK directement sur n’importe quel site venu. Bref, le web mobile, c’est bien, ça marche (quand c’est fait correctement).

Comme ça a tendance à manquer un peu, quelques captures d’écran de la plupart de ces applis :

Bilan

Alors, est-ce qu’au final, Android sans les applis fermées et sans Google, c’est faisable ? Bien sûr ! Et ça marche même très bien.

Mais est-ce que c’est pareil ? Aussi facile à utiliser ? Aussi pratique ? Alors là, je vais être un peu abrupt : la réponse est non.

Mais au bout d’un moment, il va falloir faire le deuil de ce genre de problématique. Aucune alternative libre n’a la puissance de frappe d’un GAFAM, il est illusoire d’espérer en obtenir la même chose. J’ai parlé de F-Droid comme de la supérette bio d’Android, et ce n’est pas un hasard : je pense que le choix du Libre en informatique, c’est comme le choix du bio en nourriture. Quand tu décides de manger bio, tu sais que les KitKats c’est terminé, tu sais que tes légumes seront peut-être moins brillants et que tu auras moins de choix en prenant des produits locaux (normal, on ne produit pas des bananes n’importe où et à n’importe quel moment de l’année). Mais tu manges bio parce que, quelque part, tu es prêt à faire des concession pour avoir accès à des choses plus saines et que tu sais qu’au final, tu restes « gagnant » par rapport à la bouffe industrielle. Et jamais tu n’exigeras autant de choix et de flexibilité à ta supérette bio qu’au Géant Casino d’à côté.

Le Libre, c’est pareil. Non, je n’aurai pas la dernière appli qui défonce tout, oui je me prive de certaines fonctionnalités hyper-pratiques (Google Maps et Waze pour t’aider à éviter les bouchons quand t’habites près de Nice, c’est un bonheur pourtant). Mais ça vaut le coup. Avoir un téléphone qui vous fout la paix, qui ne vous espionne pas. Des applis qui demandent juste les autorisations qu’il leur faut (c’est-à-dire souvent pas grand-chose). Pas de pub, pas de fonctionnalités payantes cachées, pas de connexion centralisée avec Google, Facebook ou qui sais-je encore. Juste des applis simples qui font le boulot et qui manquent parfois un peu de polish.

On ne démantèlera pas Géant Casino ou Carrefour avec nos petites paluches. Mais, supérette bio après supérette bio, on participe à une alternative de plus en plus viable. C’est pareil pour GAFAM et les petites alternatives qui ne paient pas de mine.

Et comme indiqué au-dessus, ça n’implique pas nécessairement de se couper totalement des services non-libres (type Twitter) dont on reste parfois encore dépendants (je n’ai pas la prétention d’être blanc comme neige sur ce point, je fais comme la plupart des gens : au mieux).

Je conclurais bien en disant que ça me rappelle un certain projet de dégooglisation, mais zut, on va encore dire que je fais de la promo pour les copains

 

Pour aller plus loin

• Grise Bouille, le BD-blog (et pas que) de Gee
• Le site du Fairphone
• F-Droid, la plateforme d’applications Android Libre
• Droid-Break [EN], pour trouver des applications alternatives.

Il n’est pas toujours facile de militer activement, ça demande du temps, de l’énergie et le courage de surmonter les difficultés.

Mais c’est aussi l’occasion de se confronter à la réalité du monde, de se découvrir aussi, et de tirer une fierté légitime de victoires auxquelles on a contribué. C’est dans cet esprit que nous publions aujourd’hui le témoignage de Bram.

Membre de Framasoft, il fut militant à la Quadrature du net et à la Nurpa, il se concentre aujourd’hui sur des actions plus locales comme la Brique Internet ou encore Neutrinet, une association bruxelloise fournisseur d’accès à Internet et membre de la fédération FDN.

Il nous propose ici un retour d’expérience en définitive plutôt positif et nous explique fort bien quels bénéfices il a tirés de cet épisode militant.
Alors bien sûr, face aux lobbies, les formes et stratégies du combat ont évolué depuis la victoire contre ACTA qu’il évoque dans ce témoignage, donc la lutte aux côtés de la Quadrature s’est donné de nouveaux outils et des campagnes moins difficiles à vivre.

Mais l’essentiel demeure : l’action collaborative résolue est déterminante et il est possible de faire une différence.

 Le jour où j’ai compris que je pouvais faire une différence en politique

par Bram

C’est une histoire que je raconte parfois, au coin d’une table, mais que je n’ai jamais eu le courage de mettre par écrit, je profite d’un instant de motivation parce que je pense qu’en ce moment difficile pour nos actions politiques il est important de partager nos histoires et les récits de réussites. Nous manquons d’ailleurs cruellement d’histoires de nos luttes dans nos communautés.

Cela remonte à l’année 2010, le gouvernement français venait de faire passer la loi Hadopi malgré tous ses déboires et j’avais regardé l’ensemble des débats à l’Assemblée nationale, j’étais particulièrement remonté avec l’envie de faire quelque chose et je venais à la fois de rejoindre la Quadrature du Net depuis 6 mois et de co-fonder la Nurpa dans la même période.

À ce moment-là, 4 eurodéputé·e·s venaient de lancer la déclaration écrite numéro 12 qui disait grosso merdo « si la Commission européenne ne rend pas public le texte d’ACTA, le Parlement européen votera contre ». Une déclaration écrite est un texte, qui, s’il est signé par la moitié des eurodéputé·e·s en moins de 6 mois, devient une prise de position officielle du Parlement européen (sans pour autant être contraignante).

Le problème c’est que signer ce texte ne peut se faire que de 2 manières : soit dans une salle obscure que personne ne connait au fin fond du Parlement européen, soit avant d’entrer en séance plénière, au moment où les Eurodéputé·e·s ont franchement beaucoup d’autres choses en tête que d’aller signer un papier — et bien entendu les plénières ne durent que quelques jours une seule fois par mois.

Mais le sujet était important, nous venions de découvrir ACTA, c’était une horreur et il fallait absolument se battre contre ce désastre annoncé

Pour précision, une déclaration écrite est également quelque chose de fort facile à proposer et par son côté non contraignant elle ne représente pas beaucoup d’enjeux. On a donc le droit à toute une série de déclarations écrites farfelues et sans grand intérêt généralement proposées par des Eurodéputé·e·s cherchant un moyen de montrer à leur électorat qu’elles ont foutu quelque chose sur un sujet quelconque. À l’époque nous avions trouvé, entre autres, une déclaration écrite proposant une journée internationale de la glace à Italienne artisanale et une autre demandant la déclassification de documents sur les OVNIs. Mais le sujet était important, nous venions de découvrir ACTA, c’était une horreur et il fallait absolument se battre contre ce désastre annoncé, la Quadrature du Net décida donc de soutenir cette déclaration écrite.

Février 2010, branle-bas de combat, un certain moustachu m’informe via IRC (eh oui) de la situation et me dit en gros : « ça serait bien si tu pouvais trouver quelques personnes et qu’on se rejoigne au Parlement, on a un truc important à faire signer aux Eurodéputé·e·s contre ACTA ». Pas tout à fait sûr de vraiment comprendre de quoi il s’agissait, mais ayant pressenti l’importance de l’événement, je me ramenai avec 4-5 personnes — à l’agréable surprise dudit moustachu. Ce fut alors le début de la bataille.

Une bataille épuisante qui dura plus de 6 mois à raison de une à deux visites au Parlement par mois. Notre action était simple : aller frapper à la porte des bureaux de tous les députés pour les convaincre de signer la déclaration écrite en leur expliquant à quel point c’était important et espérer qu’ils aillent signer, coller des affiches et distribuer mollement des tracts avant la plénière. Bien souvent nous n’avions affaire qu’aux assistants, les députés étant occupés à d’autres choses, quand ce n’était pas un bureau vide.

Ce fut l’occasion pour notre petit groupe (à l’exception du moustachu) de découvrir les rouages de l’advocatie de terrain, les lobbyistes ayant leur propre catégorie de badge au Parlement européen (que nous refusions, nous étions des citoyens, pas des lobbyistes) et les désillusions face aux arguments les plus efficaces… (« ton chef a signé et a dit de signer alors signe » « tous tes potes ont signé sauf toi » « ton adversaire a signé, si tu le fais pas tu vas passer pour un loser » « roh mais dites les Verts, l’ALDE a plus signé que vous ! » mais dit dans leur langue, bref, la cour de récré).

un travail pénible, ingrat et peu visible…

Je n’irai au Parlement que deux ou trois fois, cette activité étant bien trop stressante pour moi (merci les anxiétés sociales), je me suis retrouvé bien vite à m’occuper de quelque chose de fort important mais plus discret : maintenir la liste des signataires (en plus de trouver des bénévoles et de faire de la coordination). Une tâche bien moins simple que prévu à cause de l’incompétence technique du Parlement européen : il a plus de 700 Eurodéputé·e·s, certain·e·s partaient, certain·e·s venaient, les documents de ceux qui avaient signé changeaient tout le temps de forme et les députés parfois de nom (en fait c’était l’époque où le Parlement avait mal inscrit certains noms peu communs en Belgique notamment au niveau des accents) et le terme « opendata » commençait juste à apparaitre. Bref, un travail pénible, ingrat et peu visible, mais au moins on a pu faire des jolis graphiques (mmmh… en matplotlib) qui plaisaient beaucoup aux journalistes et qui étaient utilisés comme argumentaires auprès de certain·e·s Eurodéputé·e·s.

La route fut difficile, nous n’obtenions que peu de signatures au début, car nous préférions viser la droite en premier lieu dans l’espoir que ça ne finisse pas comme « un texte de gauche » que la droite refuserait de signer. Les progrès étaient lents et démotivants et le public était d’une totale indifférence pour cette procédure peu connue, sur un sujet pas encore très en vogue (pas grand-monde avait entendu parler d’ACTA ou saisi son importance). Ainsi, nos appels répétés à contacter les Eurodéputé·e·s restèrent sans grand résultat, pire encore à la plénière d’avril nous n’obtiendrons que 27 signatures. Combinées aux 62 et 57 signatures précédentes, cela nous amenait à 146 signatures : très très loin des 369 dont nous avions besoin alors qu’il ne nous restait que 4 plénières. Le moral était au plus bas et les drames présents.

des listes sur papier des Eurodéputé·e·s

Ce fut également une période intéressante au niveau de l’invention d’outils d’activisme : à partir des données des signataires (que j’avais extraites de memopol, qui à l’époque était une collection de 28 scripts Perl écrivant des pages mediawiki et pas le projet qui existe aujourd’hui) nous nous mîmes à concevoir des listes sur papier des Eurodéputé·e·s que nous prenions avec nous au Parlement européen avec des cases à remplir pour ensuite nous les échanger. Dans le désespoir de l’action « j’inventais » les pads avec la liste de toutes les informations des député·e·s à appeler et des champs à remplir en dessous avec les réponses obtenues (à l’époque le piphone n’existait même pas au stade d’idée, mais en est en partie inspiré) et j’invitais absolument tout le monde à aller dessus, ce fut très ironiquement aussi le moment où nous réalisions que les pads étaient limités par défaut à 14 connexions simultanées. Ce fut aussi l’époque où j’ouvris le compte twitter @UnGarage avec le moustachu.

l’instant magique plein de synergie

Les plénières suivantes ne furent gère meilleures : 39, 34 et 34 signatures soit 253 signatures au total, il nous en manquait 116 pour la dernière plénière, cela nous semblait totalement impossible. Coïncidence heureuse : cette dernière plénière de juillet eut lieu pile pendant les RMLLs 2010 de Bordeaux. La pression était à son comble, nous étions épuisé·e·s et déjà fort occupé·e·s, l’idée était de lancer une séance d’appels au Parlement avec des téléphones SIP mais rien ne marchait. Après 2-3 jours d’engueulades et de tensions intenses (je me rappelle avoir vu Benjamin consoler une permanente en larmes), nous finîmes par occuper un local et mettre en commun tous les téléphones des gens voulant bien nous les prêter (avec la promesse de remboursement des factures) et à faire un atelier d’appels au Eurodéputé·e·s.

Ce fut alors l’instant magique de synergie où plein de participant·e·s des RMLLs se sont mis·es à appeler les Eurodéputé·e·s à la chaîne. Je me rappelle d’un présentateur radio qui avait particulièrement marqué la salle : après avoir appelé impeccablement bien tou·te·s les Français·es et les Belges, nous découvrîmes qu’il était bilingue lorsqu’il se mit à faire pareil avec tou·te·s Bulgares dans leur langue ! De son côté, le moustachu qui était lui au Parlement européen n’était pas en reste et les 4 Eurodéputé·e·s à l’origine de la déclaration non plus. Le résultat fut au rendez-vous : nous obtînmes 100 signatures, ce n’était pas les 116 qu’il nous fallait, mais c’était assez pour pouvoir demander une rallonge à la plénière suivante, qui fut obtenue, et nous savions que les 16 signatures manquantes étaient une formalité (et nous les obtînmes par la suite).

Nous avions gagné.

Les conséquences de cet événement furent également intéressantes : cette victoire nous avait coûté cher matériellement (tout le budget “actions européennes” de la Quadrature y était passé et nous étions à la moitié de l’année) et humainement pour un résultat moyennement intéressant : une déclaration écrite, soit une prise de position officielle mais non contraignante du Parlement européen. Les effets de bord l’ont été bien plus cependant : les personnes que j’avais embarquées dans l’histoire se sont forcément beaucoup politisées (Bouska par exemple se présentera quelques années plus tard en tant que député pour les Français à l’étranger du Benelux et a foutu le bordel sur la question des votes sur Internet), ce fut également une des premières actions politiques de la toute jeune Nurpa qui a beaucoup grandi et on retrouve également l’influence de cette période dans une partie de la boîte à outils de la Quadrature (memopol, piphone) comme dans une partie des méthodes d’action qui furent et sont encore parfois utilisées.

 

Un travail de groupe avant tout

J’étais personnellement épuisé et ce fut l’un des plus grand soulagements de ma vie mais aussi un accomplissement : je n’avais absolument pas tout fait tout seul, c’était un travail de groupe avant tout mais j’y avais eu un des rôles centraux et je ne sais pas si ça se serait fait sans moi tant la victoire avait été difficile à obtenir. J’avais 22 ans et j’avais eu un rôle central dans un groupe qui avait obtenu une prise de position publique du Parlement européen.

C’était donc possible.

Le chant des sirènes de la bonne conscience est hypnotique, et rares sont ceux qui n’ont jamais cédé à la tentation de signer des pétitions en ligne… Surtout quand il s’agit de ces « bonnes causes » qui font appel à nos réactions citoyennes et humanistes, à nos convictions les mieux ancrées ou bien sûr à notre indignation, notre compassion… Bref, dès qu’il nous semble possible d’avoir une action sur le monde avec un simple clic, nous signons des pétitions. Il ne nous semble pas trop grave de fournir notre adresse mail pour vérifier la validité de notre « signature ». Mais c’est alors que des plateformes comme Change.org font de notre profil leur profit…

Voilà ce que dénonce, chiffres à l’appui, la journaliste de l’Espresso Stefania Maurizi. Active entre autres dans la publication en Italie des documents de Wikileaks et de Snowden, elle met ici en lumière ce qui est d’habitude laissé en coulisses : comment Change.org monétise nos données les plus sensibles.

Dans le cadre de notre campagne Dégooglisons, nous sommes sensibles à ce dévoilement, c’est un argument de plus pour vous proposer prochainement un Framapétitions, un outil de création de pétitions libre et open source, respectueux de vos données personnelles…

 

Voilà comment Change.org vend nos adresses électroniques

par Stefania Maurizi

Article original paru dans L’Espresso : Così Change.org vende le nostre email

Traduction Framalang : Marie-Odile, Vincent, goofy, Lyn.

L’Espresso a obtenu les tarifs de l’entreprise (de 1,50 euro à 85 centimes) et a contacté certains clients. Entre les réponses embarrassées et les reconnaissances du bout des lèvres, nous avons étudié l’activité de l’« Amazon des pétitions en ligne ». Elle manipule des données extrêmement sensibles telles que les opinions politiques et fait l’objet en Allemagne d’une enquête sur le respect de la vie privée.

On l’a appelée le « Google de la politique moderne ». Change.org, la plateforme populaire pour lancer des pétitions sur les questions politiques et sociales, est un géant qui compte cent cinquante millions d’utilisateurs à travers le monde et ce nombre augmente d’un million chaque semaine : un événement comme le Brexit a déclenché à lui seul 400 pétitions. En Italie, où elle a débarqué il y a quatre ans, Change.org a atteint cinq millions d’utilisateurs. Depuis la pétition lancée par Ilaria Cucchi pour demander l’approbation d’une loi sur la torture, qui a jusqu’à présent recueilli plus de 232 000 signatures, jusqu’à celle sur le référendum constitutionnel, que celui qui n’a jamais apposé une signature sur Change.org dans l’espoir de faire pression sur telle ou telle institution pour changer les choses lève la main. Au 21^e siècle, la participation démocratique va inévitablement vers les plateformes en ligne. Et en effet on ne manque pas d’exemples dans lesquels ces pétitions ont vraiment déclenché des changements.

Il suffit de quelques clics : tout le monde peut lancer une pétition et tout le monde peut la signer. Mais il y a un problème :  combien de personnes se rendent-elles compte que les données personnelles qu’elles confient à la plateforme en signant les soi-disant « pétitions sponsorisées » — celles qui sont lancées par les utilisateurs qui paient pour les promouvoir (https://www.change.org/advertise) — seront en fait vendues et utilisées pour les profiler ? La question est cruciale, car ce sont des données très sensibles, vu qu’elles concernent des opinions politiques et sociales.

L’Espresso est en mesure de révéler les tarifs que Change.org applique à ceux qui lancent des pétitions sponsorisées : des ONG aux partis politiques qui payent pour obtenir les adresses électroniques des signataires. Les prix vont de un 1,5 € par adresse électronique, si le client en achète moins de dix mille, jusqu’à 85 centimes pour un nombre supérieur à cinq cent mille. Notre journal a aussi demandé à certaines des ONG clientes de Change.org s’il est vrai qu’elles acquièrent les adresses électroniques des signataires. Certaines ont répondu de façon trop évasive pour ne pas susciter d’interrogations. D’autres, comme Oxfam, ont été honnêtes et l’ont confirmé.

Pour Change.org, voici combien vaut votre adresse électronique

 

Beaucoup croient que Change.org est une association sans but lucratif, animée d’idéaux progressistes. En réalité, c’est une véritable entreprise, Change.org Inc, créée dans le Delaware, un paradis fiscal américain, dont le quartier général est à San Francisco, au cœur de cette Silicon Valley où les données ont remplacé le pétrole. Et c’est vrai qu’elle permet à n’importe qui de lancer gratuitement des pétitions et remplit une fonction sociale : permettre jusqu’au dernier sans domicile fixe de s’exprimer. Mais elle réalise des profits avec les pétitions sponsorisées, là où le client paie pour réussir à contacter ceux qui seront probablement les plus enclins à signer et à donner de l’argent dans les campagnes de récolte de fonds. Comment fait Change.org pour le savoir ? Chaque fois que nous souscrivons à un appel, elle accumule des informations sur nous et nous profile. Et comme l’a expliqué clairement la revue américaine Wired : « si vous avez signé une pétition sur les droits des animaux, l’entreprise sait que vous avez une probabilité 2,29 fois supérieure d’en signer une sur la justice. Et si vous avez signé une pétition sur la justice, vous avez une probabilité 6,3 fois supérieure d’en signer une sur la justice économique, 4,4 d’en signer une sur les droits des immigrés et 4 fois d’en signer une autre encore sur l’éducation. »

Celui qui souscrit à une pétition devrait d’abord lire soigneusement les règles relatives à la vie privée, mais combien le font et combien comprennent réellement que, lorsqu’ils signent une pétition sponsorisée, il suffit qu’ils laissent cochée la mention « Tenez-moi informé de cette pétition » pour que leur adresse électronique soit vendue par Change.org à ses clients qui ont payé pour cela ? Ce n’est pas seulement les tarifs obtenus par L’Espresso qui nous confirment la vente des adresses électroniques, c’est aussi Oxfam, une des rares ONG qui a répondu de façon complètement transparente à nos questions : « c’est seulement au moment où les signataires indiquent qu’ils soutiennent Oxfam qu’il nous est demandé de payer Change.org pour leurs adresses », nous explique l’organisation.

Nous avons demandé ce que signifiait exactement « les signataires ont indiqué vouloir soutenir Oxfam », l’ONG nous a répondu en montrant la case cochée par le signataire, par laquelle il demande à rester informé de la pétition. Interpellée par L’Espresso, l’entreprise Change.org n’a pas démenti les tarifs. De plus elle a confirmé qu’ « ils varient selon le client en fonction du volume de ses achats » ; comme l’a expliqué John Coventry, responsable des Relations publiques de Change.org, une fois que le signataire a choisi de cocher la case, ou l’a laissée cochée, son adresse électronique est transmise à l’organisation qui a lancé la pétition sponsorisée. Coventry est convaincu que la plupart des personnes qui choisissent cette option se rendent compte qu’elles recevront des messages de l’organisation. En d’autres termes, les signataires donnent leur consentement.

 

 

Depuis longtemps, Thilo Weichert, ex-commissaire pour la protection des données du Land allemand de Schleswig-Holstein, accuse l’entreprise de violation de la loi allemande en matière de confidentialité. Weichert explique à l’Espresso que la transparence de Change.org laisse beaucoup à désirer : « ils ne fournissent aucune information fiable sur la façon dont ils traitent les données ». Et quand nous lui faisons observer que ceux qui ont signé ces pétitions ont accepté la politique de confidentialité et ont donc donné leur consentement en toute conscience, Thilo répond que la question du consentement ne résout pas le problème, parce que si une pratique viole la loi allemande sur la protection des données, l’entreprise ne peut pas arguer du consentement des utilisateurs. En d’autres termes, il n’existe pas de consentement éclairé qui rende légal le fait d’enfreindre la loi.

Suite aux accusations de Thilo Weichert, la Commission pour la protection des données de Berlin a ouvert sur Change.org une enquête qui est toujours en cours, comme nous l’a confirmé la porte-parole de la Commission, Anja-Maria Gardain. Et en avril, l’organisation « Digitalcourage », qui en Allemagne organise le « Big Brother Award » a justement décerné ce prix négatif à Change.org. « Elle vise à devenir ce qu’est Amazon pour les livres, elle veut être la plus grande plateforme pour toutes les campagnes politiques » nous dit Tangens Rena de Digitalcourage. Elle explique comment l’entreprise s’est montrée réfractaire aux remarques de spécialistes comme Weichert : par exemple en novembre dernier, celui-ci a fait observer à Change.org que le Safe Harbour auquel se réfère l’entreprise pour sa politique de confidentialité n’est plus en vigueur, puisqu’il a été déclaré invalide par la Cour européenne de justice suite aux révélations d’Edward Snowden. Selon Tangens, « une entreprise comme Change.org aurait dû être en mesure de procéder à une modification pour ce genre de choses. »

L’experte de DigitalCourage ajoute qu’il existe en Allemagne des plateformes autres que Change.org, du type Campact.de : « elles ne sont pas parfaites » précise-t-elle, « et nous les avons également critiquées, mais au moins elles se sont montrées ouvertes au dialogue et à la possibilité d’opérer des modifications ». Bien sûr, pour les concurrents de Change.org, il n’est pas facile de rivaliser avec un géant d’une telle envergure et le défi est presque impossible à relever pour ceux qui choisissent de ne pas vendre les données des utilisateurs. Comment peuvent-ils rester sur le marché s’ils ne monétisent pas la seule denrée dont ils disposent : les données ?

Pour Rena Tagens l’ambition de l’entreprise Change.org, qui est de devenir l’Amazon de la pétition politique et sociale, l’a incitée à s’éloigner de ses tendances progressistes initiales et à accepter des clients et des utilisateurs dont les initiatives sont douteuses. On trouve aussi sur la plateforme des pétitions qui demandent d’autoriser le port d’armes à la Convention républicaine du 18 juillet, aux USA. Et certains l’accusent de faire de l’astroturfing, une pratique qui consiste à lancer une initiative politique en dissimulant qui est derrière, de façon à faire croire qu’elle vient de la base. Avec l’Espresso, Weichert et Tangens soulignent tous les deux que « le problème est que les données qui sont récoltées sont vraiment des données sensibles et que Change.org est située aux Etats-Unis », si bien que les données sont soumises à la surveillance des agences gouvernementales américaines, de la NSA à la CIA, comme l’ont confirmé les fichiers révélés par Snowden.

Mais Rena Tangens et Thilo Weichert, bien que tous deux critiques envers les pratiques de Change.org, soulignent qu’il est important de ne pas jeter le bébé avec l’eau du bain, car ils ne visent pas à détruire l’existence de ces plateformes : « Je crois qu’il est important qu’elles existent pour la participation démocratique, dit Thilo Weichert, mais elles doivent protéger les données ».

---

Mise à jour du 22 juillet : la traduction de cet article a entraîné une réaction officielle de Change.org France sur leur page Facebook, suite auquel nous leur avons bien évidemment proposé de venir s’exprimer en commentaire sur le blog. Ils ont (sympathiquement) accepté. Nous vous encourageons donc à prendre connaissance de leur réponse, ainsi que les commentaires qui le suivent, afin de poursuivre le débat.