A place to cache linked articles (think custom and personal wayback machine)
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

index.md 32KB

4 yıl önce
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
  1. title: Un Web sous surveillance, conf au Capitole du Libre 2016
  2. url: https://www.miximum.fr/blog/conf-cdl-2016/
  3. hash_url: 858e0a442225f1fcb544f42b88cf28ba
  4. <p class="lead" itemprop="headline">
  5. Ce billet est la transcription de la conférence « Un Web sous surveillance » donnée le 19 novembre à Toulouse au Capitole du Libre.
  6. </p>
  7. <div itemprop="articleBody">
  8. <h1>Introduction</h1>
  9. <p>Quand j'étais petit, je voulais être dictateur. Pour pouvoir tout savoir sur
  10. tout le monde. Comme Dieu, le Père Noël ou Mark Zuckerberg.</p>
  11. <p>Imaginez le pouvoir à ma disposition si je pouvais connaître toutes vos pensées
  12. les plus intimes, fouiller dans les recoins de vos disques durs ou consulter
  13. l'historique intégral de votre navigation sur le Web.</p>
  14. <p>Ce fantasme de l'omniscience est aujourd'hui à la portée de tous, puisque nous
  15. sommes entrés dans l'aire de la surveillance généralisée.</p>
  16. <h1>Les données que vous laissez sur le Web</h1>
  17. <p>Dans notre usage quotidien du Web, nous générons des sommes de données
  18. astronomiques.</p>
  19. <p>D'abord, il y a les données que nous livrons volontairement aux services que
  20. nous utilisons. Aujourd'hui tout est stocké en ligne, toutes les démarches se
  21. font sur le Web, on va publier nos photos, nos emails, notre agenda, nos
  22. documents, nos tweets, nos posts Facebook, c'est déjà a peu près toute notre
  23. vie.</p>
  24. <p>Ensuite, il y a les données que nous communiquons nous-même, mais sans
  25. forcément en avoir conscience, ou sans avoir conscience que ce sont des données
  26. exploitables. Quand vous cliquez sur un bouton de partage sur un site Web, vous
  27. donnez des indications sur vos centres d'intérêt. Quand vous vous connectez au
  28. wifi depuis votre smartphone, le mot de passe sera stocké sur les serveurs de
  29. Google ou Apple. Quand vous postez une photo de vous sur Facebook, vous
  30. communiquez en fait la signature de votre visage. Quand vous vous connectez sur
  31. une page Web, votre navigateur envoie un grand nombre d'information sur la
  32. configuration de votre machine. La liste est sans fin.</p>
  33. <p>Ensuite, il y a les données que d'autres publient à votre place sans votre
  34. consentement. Quand vous envoyez un mail à quelqu'un qui utilise gmail, vos
  35. conversations privées se retrouvent sur les serveurs de Google. On a tous cet
  36. « ami » qui ira publier des photos de vous bourré en chemise à fleurs sur
  37. Facebook et tagguer votre visage. Il suffit que vos relations enregistrent
  38. votre numéro dans leur carnet d'adresse pour que Facebook sache que vous êtes
  39. connectés.</p>
  40. <p>Il y a ensuite les données qu'on peut obtenir par des moyens détournés. Par
  41. exemple, la Google Car qui emprunte toutes les rues du monde pour prendre les
  42. photos pour Google Street View va en même temps permettre à Google de
  43. géolocaliser tous les réseaux Wifi. Il y a la surveillance et l'espionnage :
  44. depuis Snowden, on sait que même les plus paranos étaient encore très en
  45. dessous de la réalité. Et puis le vol. Quand Yahoo se fait voler les
  46. informations sur 500 millions de compte, ça fait pas mal de données qui partent
  47. dans la nature. Le problème, c'est que la sécurité des systèmes d'information
  48. est un problème très difficile, et dont beaucoup d'acteurs n'ont absolument pas
  49. conscience. Il y a deux semaines, la CNIL a adressé un avertissement public au
  50. parti socialiste parce que sa plate-forme d'adhésion présentait des défauts de
  51. sécurisation et qu'il était très facile d'accéder à des informations sensibles
  52. et privées sur les adhérents. De plus en plus d'entreprises fabriquent des
  53. objets connectés qui ne respectent pas les mesures élémentaires de sécurité, et
  54. qui sont donc piratables extrêmement facilement.</p>
  55. <p>Et puis, il y a le truc le plus pernicieux, ce sont les infos qu'on peut
  56. déduire ou extrapoler, en recoupant plusieurs jeux de données, en analysant les
  57. méta-données, ou en comparant vos données avec celles provenant de millions
  58. d'autres comptes.</p>
  59. <p>Des chercheurs de l'université de Cambridge ont montré qu'il était possible de
  60. construire un modèle statistique qui permettait, simplement en analysant la
  61. liste de vos « like » Facebook, d'établir un portrait de vous avec une
  62. précision carrément terrifiante, prenant en compte votre âge, vos préférences
  63. sexuelles, votre idéologie politique, votre orientation religieuse, la couleur
  64. de votre peau, est-ce que vous consommez de la drogue ou pas, si vous êtes
  65. épanoui dans votre travail, et même votre QI ! Et ça, juste à partir de vos
  66. « like » sur Facebook.</p>
  67. <p>Mais ça, on va se dire que c'est à peu près intuitif. C'est à dire que, si
  68. j'aime plutôt les articles de Marianne ou du Figaro, on comprends pourquoi
  69. c'est révélateur quant à mes préférences politiques.</p>
  70. <p>Mais il y a des cas beaucoup plus inattendus. Par exemple, savez vous que la
  71. structure du graphe de vos amis sur Facebook est un bon indicateur de la santé
  72. de votre mariage ? Simplement en regardant les relations entre les gens,
  73. Facebook est capable de dire « oui, il y a une forte probabilité que ces deux
  74. personnes soient encore en couple dans 5 ans », ou « non, il y a de l'eau dans
  75. le gaz ». Tout simplement parce que graphe va dépendre de votre vie sociale. Si
  76. vous avez beaucoup d'activités communes avec votre partenaire, vous aurez
  77. beaucoup de relations en commun.</p>
  78. <p>Évidemment, ce n'est pas fiable à 100%, mais on peut imaginer que ce n'est
  79. qu'un signal parmi tant d'autres. Les entreprises qui disposent de catalogues
  80. de données entiers sur <em>vous</em> sont capables de recouper tous ces signaux et
  81. disposent maintenant de modèles statistiques qui leurs permettent de dresser
  82. votre profil avec une précision confondante. Il faut vous rendre à l'évidence,
  83. Facebook vous connait mieux que votre propre mère.</p>
  84. <h1>Qui recueille ces données ?</h1>
  85. <p>Concrètement, qui recueille nos données ? En premier lieu, il y a les acteurs
  86. que tout le monde connait : les géants du Web, les Gafas (Google, Amazon
  87. Facebook etc.) Ce sont les entreprises qui ont les moyens de collecteur eux
  88. mêmes de grosses quantités de données sur leurs utilisateurs.</p>
  89. <p>Il existe une autre catégorie d'acteurs, c'est celle des courtiers en données
  90. (data brokers). Le métier de ces entreprises, c'est tous simplement de
  91. collecter, acheter, nettoyer, qualifier, retraiter, croiser, et au final,
  92. revendre des données sur des gens. Il en existe des centaines, mais parmi les
  93. leaders, on va retrouver des noms comme Acxiom, Experian, CoreLogic, Datalogix,
  94. et, en France, Mediapost, une filiale du groupe La Poste.</p>
  95. <p>Une société comme Acxiom, le leader du marché, c'est 1500 points de données par
  96. individu pour 500 millions de personnes dans le monde. Ce qui permet à ce genre
  97. de boites de vendre des fichiers extrêmement précis : vous voulez une liste
  98. d'emails de personnes qui aiment les chiens ? Des amateurs de sports d'hiver ?
  99. Des retraités qui habitent à la campagne ? Des jeunes couples qui ont du mal à
  100. finir le mois ? Des trentenaires sans enfants et qui aiment la moto ? Il n'y a
  101. qu'à demander !</p>
  102. <p>D'où viennent ces données ? Elles sont aspirées sur le Web, achetées à d'autres
  103. entreprises (merci les cartes de fidélité et campagnes promotionnelles),
  104. récupérées dans des fichiers publics, tous les moyens sont bons.</p>
  105. <p>La troisième catégorie d'acteurs, ce sont les acteurs publics : gouvernements,
  106. services de renseignements, etc. En France, par exemple, on a un gouvernement
  107. très impliqué dans la protection de la vie privée, mais ils s'impliquent
  108. surtout pour la détruire, en fait. Nous avons eu la loi sur le renseignement,
  109. l'état d'urgence permanent, l'amendement sur le secret de sources, le fichier
  110. TES ! Le ministère de l'intérieur est chargé de la sécurité intérieure et des
  111. libertés publiques, et on sent bien qu'ils s'intéressent plutôt au premier
  112. point qu'au second.</p>
  113. <p>Il y aurait énormément à dire sur chacun de ces acteurs, mais concentrons nous
  114. sur le Web.</p>
  115. <h1>Comment fonctionne le tracking</h1>
  116. <p>Certains me diront peut-être : je n'utilise pas trop Google, je n'ai pas de
  117. compte Facebook, ces entreprises ne savent rien sur moi. Et là, je pouffe !</p>
  118. <p>Imaginez la scène suivante : c'est le dimanche matin, vous êtes affalé sur
  119. votre canapé, dans votre robe de chambre préférée avec peut-être un chocolat
  120. chaud ou un café, vous écoutez de la musique douce, peut-être du Debussy ou de
  121. l'AC-DC, et vous surfez sur le Web, pour lire les mises à jour sur vos sites
  122. préférés.</p>
  123. <p>En vérité, sans même que vous n'en ayez conscience, c'est votre pire cauchemar
  124. qui se réalise : vous êtes en pyjama, dans un hall de gare. Malgré l'impression
  125. de solitude que vous confère l'intimité de votre domicile, quand vous naviguez
  126. sur le Web, vous êtes suivis à la trace par d'innombrables paires d'yeux
  127. numériques qui vont espionner tous vos faits et gestes.</p>
  128. <p>Même si vous n'avez jamais mis les pieds numériques sur le site Web de
  129. Facebook, Facebook est capable de vous suivre à la trace sur le Web. C'est le
  130. principe du tracking. Pour bien comprendre la problématique du tracking, il
  131. faut d'abord comprendre comment fonctionne le Web.</p>
  132. <p>Quand j'utilise mon navigateur pour consulter un article sur lemonde.fr, c'est
  133. un peu comme si j'envoyais un coursier à la bibliothèque du coin pour emprunter
  134. un livre. Ici, la première partie de l'url, c'est le nom de domaine c'est à
  135. dire l'adresse de la bibliothèque, et le reste de l'url, c'est la référence du
  136. document.</p>
  137. <p>Les humains utilisent un protocole pour communiquer : c'est la politesse. C'est
  138. simplement un ensemble de règles qui permettent de structurer la communication.
  139. Mon navigateur et le serveur de Monde utilisent aussi un protocole : c'est le
  140. protocole http. Il est un peu plus technique, un peu plus verbeux, mais pas
  141. beaucoup plus compliqué. Le navigateur émet une requête, qui est simplement du
  142. texte un peu structuré, le serveur envoie une réponse.</p>
  143. <p>Une des limitations d'http, c'est qu'il n'y a pas de mécanisme de session. Il
  144. n'y a pas de fonction qui indiquerait que plusieurs requêtes successives sont
  145. émises par une seule et même personne au cours d'une même session de
  146. navigation. C'est un peu embêtant si je suis en train d'acheter quelque chose
  147. sur un site de ecommerce, ou si je consulte une page pour laquelle j'ai du
  148. m'authentifier.</p>
  149. <p>C'est à la charge des développeurs de chaque site d'implémenter leur propre
  150. système de session. Pour faire ça, en général on utilise l'équivalent d'une
  151. carte de bibliothèque : ce sont les fameux cookies. Lorsque vous vous connectez
  152. pour la première fois sur un site Web, le serveur, dans sa réponse, va déposer
  153. sur votre navigateur une petite clé, une simple chaîne de caractère générée
  154. aléatoirement, et à chaque nouvelle connexion, le navigateur va renvoyer cette
  155. clé, ce qui permettra à l'application de savoir que vous êtes une seule et même
  156. personne. Il existe un mécanisme de protection qui est la règle du même domaine
  157. (same domain policy) : quand je me connecte sur google.fr, le serveur de Google
  158. dépose un cookie sur mon navigateur, seul google.fr sera en mesure
  159. ultérieurement de lire ce cookie.</p>
  160. <p>Mais alors, comment les cookies sont-ils utilisés pour le tracking ?</p>
  161. <p>Et bien, contrairement à un livre, une page Web n'est pas un élément unique,
  162. elle est en fait constituée de plusieurs ressources. Vous allez avoir le
  163. contenu de la page Web, mais aussi les styles c'est à dire les indications sur
  164. le rendu graphique, les éventuels scripts, les images, les sons, les vidéos,
  165. les typographies, les cartes, les pubs, etc. Et pour chacune de ces ressources,
  166. le navigateur va émettre une nouvelle requête.</p>
  167. <p>Or, il est fort possible que certaines de ces ressources soient hébergés sur
  168. d'autres serveurs, contrôlés par d'autres entreprises. Par exemple, pour
  169. afficher cette page du Monde, mon navigateur émet des dizaines voire des
  170. centaines de requêtes. Il va notamment émettre une requête vers un serveur de
  171. Google qui héberge l'un des nombreux scripts d'analyse utilisé par le Monde, et
  172. une requête vers un serveur de Facebook qui héberge le script qui permet
  173. d'afficher ce petit bouton de partage. Pour chacune de ces requêtes, mon
  174. navigateur va inclure les éventuels cookies préalablement déposés par Google et
  175. Facebook, ainsi qu'une autre information, qui est l'adresse de la page que je
  176. suis en train de visiter.</p>
  177. <p>Pour marquer les esprits, on peut prendre un exemple un peu plus frappant. Par
  178. exemple, ici, je me connecte sur le site d'une entreprise montpelieraine qui
  179. vend des médicaments en ligne pour acheter un test de dépistage du VIH. On
  180. imagine bien que j'aimerais que cette information reste relativement privée.
  181. Or, voici une partie de la liste des 130 requêtes nécessaires pour afficher
  182. cette page le jour ou j'ai fait le test. Et si je regarde le contenu de ces
  183. requêtes, je vais trouver un certain nombres d'informations envoyées par mon
  184. navigateur et notamment deux champs : les cookies déposés par le site
  185. concernés, et l'adresse de la page actuelle dans un champ nommé referer.</p>
  186. <p>Google sait que moi, Thibault Jouannic, je suis en train d'acheter un test de
  187. dépistage du VIH. Le tracking, aujourd'hui, c'est un problème endémique, il y
  188. en a partout puisque les gafas multiplient les services que les développeurs
  189. vont pouvoirs utiliser plus ou moins cavalièrement pour se faciliter la vie.
  190. Pour Facebook et Twitter, ça va principalement être des petits boutons de
  191. partage qui permettent de diffuser des articles sur les réseaux sociaux. Google
  192. est le champion du tracking puisque la quantité de services offerts aux
  193. développeurs Web est impressionnante : services d'analyse d'audience,
  194. cartographie en ligne, typographies, hébergement de contenu, etc. Tout ça, ce
  195. sont des services que vous pouvez utiliser et intégrer à votre site Web, au
  196. prix d'une multiplication des points de fuite de données.</p>
  197. <p>Une étude de l'université de Princeton a montré que Google, Facebook et Twitter
  198. sont les trois entreprises qui ont des trackers sur plus de 10% des sites de la
  199. planète, et que Google est au dessus des 70%.</p>
  200. <p>Pour bien mesurer l'ampleur du problème, vous pouvez utiliser une extension
  201. publiée par Mozilla qui s'appelle Lightbeam. Lightbeam, c'est un tracker de
  202. trackers qui va vous permettre de voir qui est mis au courant de votre
  203. navigation. Voici ce que révèle Lightbeam lorsque je navigue sur quelques
  204. sites : c'est proprement terrifiant. Cette année, pour Halloween, je me suis
  205. déguisé en rapport Lightbeam et j'ai eu beaucoup de succès.</p>
  206. <h1>Pourquoi la vie privée est importante ?</h1>
  207. <p>Certains parmi les plus facétieux d'entre vous me diront peut-être : « après
  208. tout, si des données me concernant se retrouvent sur des serveurs privés, et
  209. sont analysés par des logiciels en même temps que les données de millions
  210. d'autres personnes, qu'est-ce que ça peut bien me faire ?</p>
  211. <p>La question est posée : la vie privée est-elle une préoccupation de vieux con ?
  212. Et bien non ! Cette hémorragie de données a de véritables conséquences, très
  213. concrètes, sur notre vie de tous les jours.</p>
  214. <p>Il faut bien voir que vos données représentent une véritable mine d'or, qui
  215. peut être exploitée pour le meilleur ou pour le pire. On n'est pas sur TF1, il
  216. ne faut pas sombrer dans le complotisme. Avec ces données, on peut faire des
  217. choses extraordinaire. En sociologie, en médecine, pour améliorer notre
  218. urbanisme ou nos démocraties. Il y a des champs de recherche merveilleux. Le
  219. problème, c'est que ces données sont uniquement accessibles à quelques géants
  220. et à ceux qui ont les moyens de se payer leurs fichiers ; c'est à dire, à des
  221. organisations à buts lucratifs. Par conséquent, il est assez fréquent que ces
  222. données ne soient pas exploitées dans votre intérêt.</p>
  223. <p>D'abord, des sites comme Facebook ou Twitter ont tout intérêt à ce que vos
  224. données soient le plus publiques possibles. L'absence d'intimité, c'est le
  225. carburant qui fait fonctionner un réseau social. Il devient de plus en plus
  226. facile pour un simple individu de récupérer énormément d'informations sur une
  227. tierce personne, et ça, ça rend très simple l'usurpation d'identité ou le
  228. social engineering. C'est très facile pour moi d'appeler votre opérateur
  229. téléphonique, ou d'envoyer un mail à votre grand-mère et de me faire passer
  230. pour vous si je connais la moitié de votre vie.</p>
  231. <p>Mais la principale utilisation de vos données, c'est le profilage. Le
  232. profilage, c'est le fait de vous ranger dans des catégories les plus précises
  233. possible afin de prédire vos habitudes et comportements. Et une fois qu'on
  234. connait vos habitudes et comportement, on peut se faire de la thune sur votre
  235. dos.</p>
  236. <p>Par exemple, en vous proposant des publicités qu'on espère le plus ciblées
  237. possibles. Si vous êtes dans la catégorie des gauchistes fauchés, vous aurez
  238. droit aux promos sur les vélos décathlon et si vous êtes plutôt le Figaro et
  239. Valeurs Actuelles, on vous proposera des annonces pour des 4x4 ou des
  240. croisières. Et si vous venez d'arriver à la retraite, comme ma mère, de
  241. sympathiques courriers publicitaires pour des compagnies de pompes funèbres et
  242. ça, ça fait quand même méga plaisir.</p>
  243. <p>Le financement par la publicité est devenu le modèle par défaut sur le Web, et
  244. ça pose pas mal de problèmes. Quand vous utilisez un service financé par la
  245. pub, vous n'êtes pas le client, le client c'est l'annonceur. Il y a donc
  246. conflit d'intérêt entre vous et l'éditeur du service. Quand vous allez sur un
  247. site de presse, votre objectif, c'est de lire l'article. L'objectif de
  248. l'éditeur, c'est de vous faire cliquer sur la pub. Et ça produit des sites qui
  249. sont de plus en plus pénibles à utiliser.</p>
  250. <p>L'autre conséquences, c'est qu'on va privilégier la quantité à la qualité. La
  251. principale source de visites aujourd'hui pour un site de presse, c'est
  252. Facebook. Pour un journaliste, il sera sans doute plus rentable de publier une
  253. news people même pas vérifiée avec un titre aguicheur plutôt qu'un dossier sur
  254. des problèmes sociaux ou politiques importants. Le rapport signal / bruit du
  255. Web est devenu catastrophique. C'est pénible pour nous, mais c'est aussi une
  256. souffrance pour les journalistes, qui ne peuvent plus faire leur métier
  257. correctement.</p>
  258. <p>Je rappelle qu'une presse libre, indépendante et de qualité, c'est une
  259. condition importante pour une démocratie saine.</p>
  260. <p>Mais le profilage va permettre d'aller encore plus loin. Aujourd'hui, de plus
  261. en plus de services vont s'adapter à votre profil, la plupart du temps pour
  262. pouvoir vous vendre encore plus de pub. Par exemple, c'est un algorithme opaque
  263. qui va déterminer quels articles vont apparaître ou pas dans votre flux
  264. Facebook. De la même manière, Google va adapter ses résultats de recherche par
  265. rapport à ce qu'il pense que vous voulez trouver. Le résultat, c'est que vous
  266. êtes de moins en moins susceptibles d'être mis en contact avec des points de
  267. vue qui ne sont pas les vôtres. Vous êtes enfermés dans une bulle idéologique
  268. dont il devient difficile de sortir puisque vous n'avez même pas conscience
  269. qu'elle existe. Et ça, ça ne va pas favoriser le développement de citoyennes et
  270. de citoyens matures et éclairés. Pour en savoir plus sur la question, vous
  271. pouvez lire <em>The Filter Bubble</em>, de Eli Pariser.</p>
  272. <p>Parlons de l'exploitation politique de vos données. Aujourd'hui, tous les
  273. candidats avec un peu de moyens disposent d'outils extrêmement perfectionnés
  274. pour optimiser leurs campagnes électorales. Il existe des logiciels dédiés :
  275. NationBuilder, BlueStateDigital, NGP VAN, DigitalEBox en France ; ces logiciels
  276. vont fournir différents outils pour rationaliser les actions de campagne.
  277. Notamment, le recueil d'informations sur des bases d'électeurs potentiels, et
  278. le croisement de ces données avec des fichiers publics ou des fichiers achetés.</p>
  279. <p>Aujourd'hui, quand des sympathisants font du porte à porte et viennent toquer
  280. chez vous, ce n'est plus du tout du hasard. Ils savent qui habitent là, ils
  281. savent à quels arguments vous serez sensible.</p>
  282. <p>Pas de prosélytisme, je précise que tous les partis politiques utilisent ce
  283. genre de pratiques, de l'extrême gauche à l'extrême droite.</p>
  284. <p>Dans le principe, on ne peut pas reprocher à des politiciens d'utiliser des
  285. outils numériques. Instinctivement, on se rend bien compte qu'il y a une
  286. frontière au delà de laquelle ça va aller trop loin. Si on sait tout sur tout
  287. le monde et qu'on a les moyens de dire exactement ce que les gens ont envie
  288. d'entendre, d'abord c'est la porte ouverte au clientèlisme politique le plus
  289. abject, et surtout ça créé un déséquilibre des pouvoirs entre les citoyennes et
  290. les citoyens et la classe politique : comment moi, citoyen, vais-je pouvoir me
  291. faire une opinion politique éclairée si certains disposent d'outils extrêmement
  292. perfectionnés qui leurs permettent de tout savoir sur moi et de me dire
  293. exactement ce que j'ai envie d'entendre ? Et puis il va devenir tout simplement
  294. impossible pour une personne sans moyens importants de gagner une élection.</p>
  295. <p>Mais le meilleur moyen de gagner de l'argent avec votre profil, c'est encore de
  296. vendre l'information aux plus offrants. Et là, ça devient la porte ouverte au
  297. grand n'importe quoi. Imaginez une campagne électorale ou un candidat
  298. notoirement raciste lancerait de grandes campagnes de pubs ciblées sur les
  299. noirs pour les décourager de voter ? Ça existe, c'est ce que fait Trump
  300. actuellement. Imaginez un assureur qui analyserait votre flux Facebook pour
  301. adapter le montant de votre police d'assurance voiture ? Ça existe, c'est que
  302. qu'à tenté la compagnie Admiral au Royaume-Uni. Des exemple, il y en a plein,
  303. et la tendance va en s'accélérant.</p>
  304. <p>Aujourd'hui, les logiciels, applications, algorithmes et moteurs de
  305. recommandation sont de plus en plus présents dans nos vies. Avec l'augmentation
  306. du nombre d'objets connectés, de plus en plus de portes vont s'ouvrir sur notre
  307. intimité, de plus en plus de données vont être collectées. Et le profilage va
  308. avoir de plus en plus d'impact.</p>
  309. <p>Le problème de la surveillance généralisée, ce n'est pas tant le fait que des
  310. informations soient disponible sur vous, c'est surtout le fait que vous n'avez
  311. aucun contrôle sur qui exploite ces données, qui les achète, quand, pourquoi,
  312. combien ? Et quelles sont les conséquences pour vous.</p>
  313. <p>Un jour, on vous refusera l'entrée d'un magasin, l'accès à un service, on ne
  314. retiendra pas votre CV, on augmentera le tarif de votre police d'assurance, on
  315. vous assignera à résidence, parce que avez le mauvais profil dans la mauvaise
  316. base de données.</p>
  317. <h1>Qui est vulnérable ?</h1>
  318. <p>Une dernière chose sur cette question : peut-être qu'il y en a qui ne sont pas
  319. convaincus et que se disent que peut-être, il y a des problèmes plus graves.
  320. N'oubliez pas une chose : qui sont les personnes les plus susceptibles de
  321. souffrir de l'espionnage généralisé ?</p>
  322. <p>Si ma femme et moi décidons de pimenter notre vie sexuelle en filmant nos
  323. galipettes et qu'une fuite de données fait que cette vidéo se retrouve
  324. publique, qui va en souffrir le plus ? Pas moi, j'aurais droit à quelques
  325. commentaires graveleux de la part de mes amis, et ma vie continuera comme
  326. avant. Ma femme, par contre, elle ne pourra plus faire deux pas sur le Web et
  327. dans la rue sans être victime de harcèlement.</p>
  328. <p>Si le fichier géant du gouvernement est piraté et se retrouve sur
  329. thepiratebay.com, qui va en souffrir le plus ? Pas moi, qui suis blanc et
  330. athée. Mon voisin musulman qui a aussi le malheur d'être basané, par contre,
  331. par les temps qui courent, il a peut-être plus à craindre si son adresse se
  332. retrouve sur le Web.</p>
  333. <p>Si Google utilise mes données pour afficher des publicités ciblées, qui va en
  334. souffrir le plus ? Pas moi, qui suis éduqué à la problématique et qui sait
  335. installer des bloqueurs de pub. Ma grand-mère par contre, qui utilise le Web
  336. tous les jours et est en train de perdre la vue, n'est tout simplement plus en
  337. mesure de distinguer la différence entre les annonces et les vrais résultats,
  338. et elle est donc plus susceptible de se faire arnaquer.</p>
  339. <p>Bref, dans cette salle, il y a principalement (pas que) des hommes blancs
  340. éduqués et dans la force de l'âge. Nous ne sommes pas les plus vulnérables aux
  341. problèmes de surveillance, et par conséquent, il est facile de minimiser
  342. l'impact de ces problèmes. Les plus vulnérables en ligne, ce sont aussi les
  343. plus vulnérables dans le monde physique : les catégories défavorisées, les gens
  344. peu éduqués, les personnes physiquement vulnérables ou en situation de
  345. handicap, les femmes, les minorités ethniques, etc.</p>
  346. <p>Au minimum, si vous ne vous sentez pas concerné par l'espionnage généralisé, ne
  347. minimisez pas l'ampleur du problème, parce que d'autres personnes sont plus
  348. vulnérables que vous.</p>
  349. <h1>Que faire pour se protéger ?</h1>
  350. <p>Que faire pour se protéger ?</p>
  351. <p>La première chose à faire à mon avis, c'est de ne pas céder à la paranoïa.
  352. Certes, nous entrons dans l'aire de la surveillance généralisée, mais après
  353. tout, à moins d'être un criminel, activiste politique ou de vivre dans une
  354. dictature, vous ne risquez quand même pas la prison ou la peine de mort.
  355. D'autant que nous ne sommes pas les plus mal lotis : nous avons la CNIL et une
  356. législation française et européenne qui va quand même relativement dans le sens
  357. d'une protection de la vie privée.</p>
  358. <p>Oui, il existe des mesures techniques pour garantir l'anonymat, mais déployer
  359. systématiquement tous ces outils reviendrait un peu à rentrer dans une banque
  360. avec une cagoule : vous allez attirer l'attention sur vous plus qu'autre chose.</p>
  361. <p>La deuxième chose à faire, c'est de ne pas sombrer dans le je m'enfoutisme.
  362. L'intimité et la vie privée restent des valeurs humaines fondamentales. On ne
  363. peut pas vivre sans, contrairement à ce que Mark Zuckerberg voudrait nous faire
  364. croire. Il y a des gens qui pensent que, quand on est né avec Facebook, on
  365. s'habitue à ne pas avoir d'intimité, de la même manière que nous nous somme
  366. habitués à des trucs qui paraissaient horribles pour nos grands parents. Si
  367. vous avez des enfants en bas-âge, je vous encourage à faire l'expérience
  368. suivante : privez les totalement d'intimité. Vous les faites dormir dans le
  369. salon, vous suivez toutes leurs communications, etc. Et puis dans 10 ~ 15 ans,
  370. vous nous direz comment ils ont tournés. La science vous remerciera.</p>
  371. <p>La vie privée est un droit très chahuté ces derniers temps. Par exemple, notre
  372. bon gouvernement a publié un décret récemment qui autorise la création d'une
  373. base de données qui contiendra des informations sur 60 millions de français,
  374. notamment l'apparence physique, la photo, les empreintes digitales, les
  375. coordonnées, etc. Le but officiel, c'est de lutter contre la fraude
  376. documentaire mais comment ne pas imaginer que ce fichier ne sera jamais
  377. détourné ou piraté ? C'est d'ailleurs ce que dénonce la député Isabelle Attard,
  378. qui me semble être l'une des dernières personnes encore saines d'esprit dans
  379. notre gouvernement. Bref ! Si on veut préserver ce qui reste de notre intimité,
  380. il va falloir mettre la main à la pâte.</p>
  381. <p>Quelles sont les mesures techniques à prendre pour nous protéger ? Le strict
  382. minimum pour contrer le tracking, c'est d'utiliser des logiciels libres, un
  383. navigateur libre donc Firefox ou à la rigueur Chromium et d'installer une
  384. extension de bloqueur de tracker comme uBlock (et pas Adblock, qui commence à
  385. vendre des pubs).</p>
  386. <p>Il faut bien comprendre que, quand on utilise des outils numériques, l'anonymat
  387. total est impossible, il reste toujours une trace quelque part. Si vous avez
  388. besoin d'anonymat, il existe différents outils, adaptés à différentes
  389. situations. Mais il n'y a rien de pire qu'avoir un faux sentiment de sécurité
  390. en installant des outils sans vraiment comprendre à quoi ils servent ou comment
  391. ils marchent. C'est pour ça que je ne vais pas vous donner de liste d'outils en
  392. vrac, par contre, je peux vous conseiller quelques ressources pour vous
  393. permettre d'approfondir la question. Vous pouvez par exemple lire <em>anonymat sur
  394. Internet</em> de Martin Untersinger. Je peux aussi vous recommander <em>Surveillance</em>
  395. de Tristan Nitot que je n'ai pas encore eu l'occasion de lire mais qui ont de
  396. bons retours. Vous pouvez également vérifier s'il ne s'organise pas du côté de
  397. chez vous des Café Vie Privée, des rencontres qui permettent aux gens de
  398. discuter d'anonymat, de cryptographies, et des technologies liées.</p>
  399. <p>Au delà des mesures techniques, il est important d'adopter une certaine hygiène
  400. numérique. Je ne vais pas vous dire qu'il ne faut pas utiliser le Web pour
  401. protéger votre vie privée, ça serait débile. Le Web, c'est quand même un des
  402. meilleurs trucs qui soient arrivés à l'humanité depuis l'imprimerie et la
  403. tartiflette. Néanmoins, quelques mesures permettent de limiter les hémorragies.</p>
  404. <p>On l'a vu, on peut déduire énormément d'infos en recoupant plusieurs sources de
  405. données. Si vous devez vraiment utiliser les services des Gafas, essayez de ne
  406. pas donner <em>toutes</em> vos données à une seule entreprise. Si vous utilisez Google
  407. comme moteur de recherche, essayez peut-être de ne pas aussi leur donner votre
  408. calendrier et vos emails.</p>
  409. <p>Il existe de plus en plus d'alternatives crédibles aux services des Gafas, et
  410. Framasoft fait un super boulot avec sa campagne de dégooglisation du Web. Si
  411. vous cherchez des alternatives à google docs, google mail, google calendar,
  412. google maps, etc., rendez-vous sur https://degooglisons-internet.org/.</p>
  413. <p>La plupart des services et produits que vous pouvez utiliser actuellement ont
  414. des options de protection de la vie privée qui ne sont jamais activées par
  415. défaut. Prenez un peu de temps pour le faire.</p>
  416. <p>Posez-vous la question : ai-je vraiment besoin que mes ampoules, mon glaçon,
  417. mon pèse-personne ou mon sextoy se connectent à internet ? À titre personnel,
  418. la réponse serait plutôt non, mais c'est peut-être le vieux con qui s'exprime.</p>
  419. <p>Enfin, il nous faut une réponse législative adaptée. Cette année, le nouveau
  420. règlement européen sur la protection des données personnelles est paru au
  421. journal officiel de l'Union européenne. Ce règlement apporte un certain nombre
  422. de mesures destinées à mieux protéger la vie privée de la personne, et c'est
  423. une très bonne chose. À titre individuel, à part bien réfléchir pour qui vous
  424. allez voter, vous ne pouvez pas faire grand chose au niveau politique. Par
  425. contre, vous pouvez apporter votre soutien à ceux qui montent au créneau et
  426. défendent vos libertés. Je pense par exemple à La Quadrature du Net, qui fait
  427. un super boulot sur ce genre de dossiers. Ce sont quand même des gens qui
  428. doivent subir Valls, Cazeneuve, Urvoas, donnez leur des sous.</p>
  429. <h1>Conclusion</h1>
  430. <p>Bref ! Comme le dit un proverbe Normand, toutes les meilleures choses ont une
  431. fin, sauf le saucisson qui en a deux.</p>
  432. <p>Je vais donc conclure cette petite intervention en disant que nous entrons de
  433. plein pieds dans l'aire de la donnée. Les possibilités qui s'offrent à nous
  434. dans ce nouveau monde sont énormes. Allons nous utiliser cette opportunité pour
  435. bâtir une utopie numérique empreinte d'humanisme et porter toujours plus haut
  436. les valeurs de liberté, d'égalité et de fraternité ou nous dirigeons nous vers
  437. une sombre dystopie dans laquelle la surveillance généralisée est mise au
  438. service du contrôle absolu par les actionnaires de multinationales et les
  439. fanatiques du pouvoir politique ?</p>
  440. <p>Et bien, probablement comme d'habitude, ni l'un ni l'autre mais quelque part
  441. entre les deux.</p>
  442. <p>Ces données représentent une richesse, exploitable pour le meilleur ou pour le
  443. pire. À nous de nous éduquer et nous former pour rétablir un peu l'équilibre
  444. des pouvoirs entre les Gafas, les pouvoirs publics et les simples citoyens.</p>
  445. <p>Merci de votre attention.</p>
  446. <h1>Références des illustrations</h1>
  447. <ul>
  448. <li><em>Le Souper à Emmaüs</em>, Le Caravage</li>
  449. <li><em>Werkstattinterieur mit einem Schuhmacher, einem Metzger, einer Klöpplerin
  450. und einem Jungen, der eine Saublase</em>, Jean Josef Horemans l'ancien</li>
  451. <li><em>Un atelier aux Batignolles</em>, Henri Fantin-Latour</li>
  452. <li><em>Œudipe et le Sphinx</em>, François-Xavier Fabre</li>
  453. <li><em>Le Souper à Emmaüs</em>, Rembrandt</li>
  454. <li><em>Phryné devant l'aréopage</em>, Jean-Léon Gérôme</li>
  455. <li><em>Le Fils de l'Homme</em>, René Magritte</li>
  456. </ul>
  457. </div>