? Réponse à la lettre ouverte de @Feliwyn (archive)

Source originale du contenu

Réponse à la lettre ouverte de @Feliwyn : http://feliwyn.fr/Lettre-a-Framasoft.html

TL;DR :

Réponse détaillée :

Bonjour Feliwyn,

Tes questions sont importantes, et comme elles sont posées publiquement et méritent de prendre plus de caractères que quelques tweets, nous avons décidé d'utiliser Framabin (en ouvrant les commentaires).

Les soucis que tu relèves avec l'utilisation massive des services de GAFAM (centralisation et non-anonymisation des données) sont en effet primordiaux dans leurs modèles économiques et de fonctionnement. Leur principe est de connaître au mieux possible les utilisateurs et utilisatrices (quitte à exploiter les données des gens avec qui ils et elles sont en contact) et de construire un profil si détaillé qu'il deviendra une manne aussi bien dans la vente directe de services (Microsoft, Apple, Amazon etc.) que dans l'exploitation publicitaire de ces profils ultra-détaillés (Google, Facebook, etc.).

Tu l'as bien compris, notre but est de sensibiliser les gens à ces enjeux, de proposer ( = de "faire goûter à") des alternatives et d'essaimer. C'est beaucoup plus logique pour quelqu'un-e d'auto-héberger son owncloud ou d'utiliser les services de Indie Hosters, la mère Zaclys et autres lorsque cette personne a déjà essayé et qu'il ou elle s'est habitué-e à owncloud.

Concernant la protection des données mises sur nos serveurs, elle nous semble meilleure que chez GAFAM sur plusieurs points :

1) Nous utilisons du logiciel Libre. Cela signifie que le code source (la recette de cuisine du logiciel) est disponible, et donc auditable. Toutes les personnes (qui en ont la capacité) peuvent le lire, déterminer s'il y a des portes dérobées visant à de l'espionnage publicitaire et/ou gouvernemental, ou encore trouver des failles de sécurité (c'est du code : il y en a toujours) et aider à les réparer. Personne (à part ces entreprises) ne peut assurer la même chose quant aux codes de Dropbox, GoogleDrive, OneDrive, Icloud...

2) Nous sommes des "petits". Héberger 1500 comptes Owncloud est une grosse affaire pour nous, mais c'est une peccadille pour Google (pour info, notre budget représente 2.7 secondes du chiffre d'affaire annuel de Google ^^). Cela signifie que pour une agence gouvernementale ou pour un hacker/une hackeuse, nous sommes une cible franchement moins intéressante. L'essaimage des hébergements (et donc des données) a cet énorme avantage de sécurité face aux solutions centralisantes. De plus, nos admin-sys utilisent toutes les techniques à leur portée pour sécuriser vos données (utilisation de SSL/TLS, pare-feu, supervision et mises à jour, etc.). Il n'y a jamais de risque 0, mais nous tenons à protéger ce que vous nous confiez.

3) Nos serveurs sont hébergés en Allemagne, alors que notre siège social dépend de la juridiction Française. Cela permet une complexité juridique de plus si jamais une agence gouvernementale nous oblige à fournir les données d'une personne nous les confiants. Néanmoins, nous avons précisé dans nos CGU que nous respecterons la loi et que nous demandons à qui utilise nos services de faire de même, quoi que l'on puisse en penser. Pour comparer, la plupart des services de GAFAM sont hébergés aux USA, dépendant donc des lois étasuniennes, où les agences gouvernementales ont une espèce d' "open bar" sur nos données (surtout si ce sont celles de personnes étrangères aux USA -_-).

4) Nous utilisons, tant que faire se peut, le chiffrement de vos données (framapic, framabin, framadrop, etc.) Ce n'est pas le cas pour ton exemple sur Framadrive : un tel paramétrage nous aurait demandé des ressources (puissance, espace disque, etc) que nous n'avons pas. Cela aurait aussi imposé aux utilisatrices et utilisateurs une complexité qui peut aller à l'encontre de notre volonté d'éducation populaire au Libre. Mais surtout, dans ce cas précis, les clés de chiffrement auraient été sur le serveur, ce qui est finalement contre-productif (en cas de compromission du serveur, les clés l'auraient été aussi). Nous nous sommes posé la question, avons voté au sein de l'association, et nous sommes mis d'accord pour ne pas mettre en place cette solution pour l'instant pour Framadrive.

5) Nous dépendons de vous (le public, les bénéficiaires de nos services). Framasoft est une association loi 1901, qui existe depuis 14 ans, et dont 80 % du budget dépend des dons (le reste est de la vente de goodies, et quelques prestations autour des projets Framakey ou Framapad). Si un jour nous "déconnons" avec vos données, cela se saura, se dira, les gens cesseront de nous faire confiance et donc de nous faire des dons... et l'asso comme nos projets mourront. Nous ne dépendons que de vous, c'est aussi simple que cela. Ce modèle économique fait notre fierté, car il nous rend indépendant de la pub, la vente de produits enfermant/privatifs et de l'exploitation des données, modèle cher à GAFAM.

6) Enfin, et c'est le plus important : nous nous estimons dignes de confiance (sans avoir les chevilles qui gonflent, hein ^^). Hors de l'auto-hébergement, dès que l'on utilise un service web, on confie ses données à quelqu'un : le cloud n'existe pas, ce n'est que l'ordinateur d'autrui. Nous avons pleinement conscience que, dans le monde numérique, la réputation est un valeur souvent bien plus importante que l'argent. Des centaines (milliers ?) de personnes participant aux projets Framasoft ont aidé à construire cette réputation, et nous ne désirons pas l'engager à la légère. Lorsque nous engageons le nom de Framasoft sur une charte https://n1.framasoft.org/nav/html/charte.html et sur des conditions générales d'utilisation https://n1.framasoft.org/nav/html/cgu.html , ce n'est pas à la légère. Tout dans ces textes expliquent que nous n'avons que faire de vos données. Nous avons la chance d'avoir une communauté fidèle et exigeante, qui sait nous indiquer quand nous risquons de faire fausse route... et nous y sommes de fait très attentifs.

Donc voilà : nous faisons de notre mieux avec vos données. Il se peut que ce ne soit pas suffisant : rien n'est jamais sûr à 100 %... on fait, simplement, du mieux que nous pouvons.

Concernant la re-centralisation des données (quitter Google pour Framasoft), nous travaillons activement à faciliter l'essaimage de projet comme le nôtre, qui n'est d'ailleurs pas le premier : (lire cette BD http://framablog.org/2014/10/10/geektionnerd-degooglisons-internet/ ). Cela prendra du temps, car nous devons lutter contre des habitudes ancrées chez les utilisateurs, et contre des géants de l'internet qui ont infiniment plus de moyens que nous. Mais nous souhaitons faire notre part et continuer à agir pour faire découvrir au public des logiciels libres de qualité. Que certains considèrent cette qualité comme moindre n'en fait pas une faiblesse, mais un potentiel d'amélioration, et surtout un espace pour de la pédagogie, de la découverte, et une meilleure confrontation à des ergonomies, des logiques, mais surtout des valeurs différentes de celles proposées par GAFAM.

Nous avons donné la plus grande attention à ce que notre mode de fonctionnement, nos façons de faire et nos outils correspondent à nos engagements et à nos valeurs. Tu me diras : GAFAM aussi (google assume le fait de lire tes emails et les pdf attachés afin de personnaliser Gmail et la pub que tu y trouves). Mais si tes données sont plus sûres chez nous que chez eux, nous pensons que c'est fondamentalement une question de valeurs.

L'équipe Framasoft.