Apple n’est pas le champion de la protection des données personnelles qu’il prétend Décryptualité du 18 octobre 2021

Luc : Décryptualité. Semaine 41. Salut Manu.

Manu : Salut Luc.

Luc : Au sommaire nous avons quatre articles.
LeDevoir.com, « La liberté informatique, un nouveau contre-pouvoir », un article, une chronique de Mathieu Bergeron. Le Devoir est un site québécois, je crois.

Manu : Qui parle des GAFAM et des différentes problématiques qu’on a sur Internet liées à la vie privée notamment. Il met en avant les logiciels libres, c’est la manière de se battre contre ce problème. On va en parler juste après.

Luc : InformatiqueNews.fr, « Alter Way s’apprête à rejoindre Smile », un article de cpresse.

Manu : C’est un pseudo, je ne sais pas exactement qui est derrière. Ça parle d’entreprises françaises, il se trouve que c’est dans l’actualité, ça bouge un petit peu. Ce ne sont pas des entreprises majeures dont on parle tous les jours, mais ce sont des acteurs qui peuvent être importants, qui contribuent chacun à sa manière. C’est plutôt intéressant de voir comment ça évolue au jour le jour.

Luc : Next INpact, « Quatre associations demandent à Microsoft de participer aux surcoûts engendrés par ses patchs de sécurité », un article de la rédaction.

Manu : C’est plutôt intéressant parce que, effectivement, Microsoft c’est du logiciel privateur, il y a des mises à régulières, c’est plutôt bien, notamment des mises à jour de sécurité, c’est plutôt important, nécessaire même parce que sinon on se fait vraiment avoir encore plus vite que ce n’est déjà le cas. Mais, effectivement, il y a des coûts qui sont liés à tout ça et ça ne fait pas plaisir. Donc on demande un petit peu aux auteurs de ces problèmes de surcoûts de nettoyer un peu leur jardin, ce n’est pas simple.

Luc : Ce ne sont pas des petites associations locales de libristes qui ont envie d’embêter Microsoft, c’est le Cigref qui est l’ex-club informatique des grandes entreprises françaises, CIO Platform Nederland et des choses comme ça, donc des grosses associations de professionnels.
Challenges, « Thalès-Google : pourquoi Bercy a abandonné le cloud souverain (€) », un article de Paul Loubière. Paul Loubière était un de mes enseignants à l’université.

Manu : Donc un article bien, intéressant.

Luc : Oui !

Manu : Malheureusement c’est une mauvaise nouvelle. On avait abordé le sujet. Il y a des rapprochements entre les grosses boîtes françaises qui font du nuage, de l’informatique en nuage, et des boîtes américaines. Je rigolais la semaine dernière en faisant remarquer qu’on n’avait pas la compétence, nous en France, pour faire ces systèmes de cloud, donc effectivement on demande aux Américains de venir nous aider, eh oui, c’est ça, c’est exactement ça. Donc en arrêtant ces idées de faire du cloud qui soit géré par des entreprises seulement européennes, eh bien en arrêtant ça, en passant sur une idée de cloud de confiance, on s’ouvre à la possibilité de faire venir des acteurs externes. C’est un petit peu rageant, c’est un peu embêtant.

Luc : L’idée étant de payer des licences en disant « au moins les serveurs seront chez nous », donc une ambition assez réduite.

Manu : L’ambition c’est notamment de ne pas être sous les fourches des lois américaines. en espérant comme on est hébergé chez nous, ce sont des entreprises de chez nous qui gèrent ces données, donc les lois américaines ne s’appliqueront pas, notamment le PATRIOT Act qui permet aux États-Unis, aux institutions des États-Unis de mettre les mains sur n’importe quelles données hébergées par des entreprises américaines. On espère sortir un peu de ça.

Luc : Avec un peu de chance il n’y aura pas de backdoors dans les technos utilisées par ces entreprises. Peut-être qu’un jour ces entreprises européennes apprendront les technos et développeront les compétences nécessaires.

Manu : Je pense que pour les backdoors c’est foutu. À partir du moment où tu as mis Microsoft Windows, c’est de fait une grosse backdoor ; il contrôle plein de choses de plein de manières différentes.

Luc : Notre sujet de la semaine sera un peu différent.

Manu : C’est un sujet que tu aimes beaucoup parce que régulièrement tu craches sur Apple, quand même.

Luc : C’est ça. La semaine dernière on a taillé un short à Facebook, c’était facile.

Manu : C’était l’actualité.

Luc : Cette semaine c’est le tour d’Apple. Je pense que ça faisait longtemps et effectivement, j’aime bien dire du mal d’Apple. Ce qui m’a donné envie de parler de ça, c’est un article que j’ai vu passer sur Internet, sur Tom’s Guide, un article [1] en anglais. Une étude [2] a été menée par des chercheurs pour définir ce que les téléphones Android remontent comme informations privées par rapport aux téléphones iOS, donc les iPhones.

Manu : C’est une étude qui a été menée par Douglas J. Leith, ça a l’air d’être plutôt solide. Les gars ont vraiment mesuré et ils ont mis en test des téléphones Apple et des téléphones Google.

Luc : C’est l’université Trinity College à Dublin, en Irlande. Les résultats sont intéressants puisqu’il s’avère que les iPhones remontent beaucoup de données personnelles. Le volume est moins important que sur les téléphones Google, en revanche la surface, c’est-à-dire le type d’informations qui sont remontées, est plus importante que sur les téléphones Google.

Manu : Effectivement, le volume est considérablement moins important. Il y en a un, si je comprends bien, qui envoie un mégaoctet de données quand on allume son téléphone, alors que l’autre n’en envoie que 42 kilos, ça fait une sacrée différence.

Luc : Oui. En revanche, certaines choses qui sont remontées par l’iPhone ne sont pas remontées par un téléphone Android, notamment toute une série d’informations sur l’environnement réseau autour de l’iPhone. Donc ça remonte la localisation du téléphone, l’adresse IP du téléphone sur son réseau local, ça remonte l’identifiant réseau du Wi-Fi, donc l’adresse MAC du téléphone.

Manu : Petit détail, l’adresse MAC n’est pas une adresse MacIntosh, c’est une adresse technique.

Luc : Tu fais bien de préciser.

Manu : Oui, on ne le sait pas forcément. Je ne sais même plus d’où vient le terme MAC, en tout cas c’est une adresse technique [3] qui est donnée par le constructeur d’un appareil à sa fabrication, donc c’est assez unique et c’est plutôt difficile à changer. Ton téléphone a une adresse MAC, mon ordinateur a une adresse MAC, ma télé un peu connectée a une adresse MAC. Tous ces objets, à partir du moment où ils sont connectables, ont une adresse physique qui leur a été donnée à leur naissance. On ne change pas cette adresse et si tu es connecté dans un réseau local, que ton téléphone Apple a cartographié le réseau local et a cartographié les adresses MAC de tous les appareils qui y sont à un moment donné, eh bien si la même adresse MAC se retrouve dans un autre réseau, on sait que c’est le même appareil globalement.

Luc : C’est un identifiant unique.

Manu : Exactement et très difficile à changer ; ça se change, mais ce n’est pas donné.

Luc : Autre découverte. Que ce soit de l’Android ou de l’iOS, les téléphones sont extrêmement bavards y compris quand ils sont éteints ou déconnectés. Toutes les quatre à cinq minutes il y a des infos qui partent y compris de l’iPhone. Quand l’utilisateur s’est déconnecté de son compte Apple, l’iPhone continue à envoyer des cookies aux services dans le cloud Siri, itunes Store, Apple Analytics, alors même que le téléphone est en veille et que l’utilisateur est déconnecté.

Manu : Des données qui correspondent à certaines applications, on pourrait presque s’attendre à ce que ça les envoie. En même temps, pour des services comme Siri c’est un peu normal que ça écoute continuellement ce qui se passe.

Luc : L’utilisateur est déconnecté, le téléphone est en veille, il continue à surveiller ce qui se passe autour au niveau réseau.
La conclusion de l’analyse c’est qu’au final, qu’on soit sur iOS ou sur Android, la collecte de données est quand même très similaire, ils remontent à peu près les mêmes choses avec cette différence entre volume et qualité en quelque sorte, c’est qualité contre quantité, ce qui permet de dire qu’un iPhone surveille tout autant ses utilisateurs qu’un téléphone Android.

Manu : Tu dis ça parce que, on en a déjà parlé la semaine dernière, plein de gens qui aiment beaucoup les appareils Apple font régulièrement remarquer que le business modèle d’Apple n’est pas le même que celui de Google. Google existe grâce à la publicité et, pour faire de la publicité efficace, mieux vendue, il faut bien connaître les clients auxquels elle est destinée. Ce n’est pas le business de Apple, son business c’est de vendre du matériel. Au nom de ce mécanisme-là, plein de gens qui aiment bien Apple considéraient souvent que Apple n’avait pas intérêt à écouter ce que faisaient ses utilisateurs, ses clients, ce n’était pas nécessaire à son fonctionnement.

Luc : C’est un argument qu’on a souvent entendu dans les milieux libristes ou afférents sur les libertés informatiques avec cette idée que Apple était un moindre mal, avec cet argument que tu avances et, qu’au final, nos données étaient mieux protégées quand on était dans cet environnement-là.
Par ailleurs, Apple a beaucoup mis l’accent cet été et depuis quelque temps sur la protection des données personnelles en en faisant vraiment un gros argument de vente pour essayer de capter des clients en disant « chez nous vos données sont bien protégées ».

Manu : On se souvient, historiquement, ils avaient même protégé des téléphones de terroristes. Quand le FBI avait débarqué et avait voulu les débloquer, eux avaient dit « non, techniquement on ne peut même pas accéder à nos propres téléphones, ils sont bloqués ».

Luc : Il avait fallu qu’ils les piratent en allant chercher les services d’une entreprise spécialisées là-dedans. C’était le gros argument d’Apple qui a fait vraiment de la pub dans ce sens-là. Mais un certain nombre de choses ont fait grincer des dents. Cet été il y a eu le fait que Apple mette en place des systèmes pour surveiller les communications, notamment pour détecter la pédophilie. Ils ont dit « en application de la loi », mais on voit que de temps en temps quand le FBI dit… Aux États-Unis ils respectent la loi puisque rien ne les obligeait à le faire, mais, en tout cas, ça a fait grincer des dents en disant « de toute façon vous avez la capacité de lire tous les messages et de surveiller tout ce qui se passe sur le téléphone, donc même si c’est l’application de la loi, la protection de ses données personnelles n’est vraiment pas garantie ». Maintenant, cette affaire montre qu’en termes de surveillance, ils ne font pas mieux que les autres.

Manu : J’argumenterais et je dirais qu’ils ont intérêt et il vaudrait mieux qu’ils le fassent bien et souvent ! Ils ont bien intérêt à détecter les crimes et les crimes horribles comme les crimes sur enfants. S’ils peuvent les détecter et s’ils peuvent les empêcher, notamment, ça fait partie des choses qu’ils ont fortement intérêt à faire sinon c’est non-assistance à personne en danger et c’est moralement très répréhensible. À partir du moment où ils ont ce pouvoir-là ils se doivent de l’utiliser.

Luc : Oui, on peut dire ça. La question c’est un, est-ce qu’ils en sont capables ? On a vu, la semaine dernière avec Facebook, à quel point ils sont incapables de prévenir un certain nombre de choses et de comprendre ce qui se passe sur les téléphones. Ensuite, tu pourrais élargir cette question à énormément de crimes parce qu’il y a des assassinats, il y a des tas de choses qui se font. Ils se sont bien réfugiés derrière les principes pour ne pas donner les secrets dans une enquête de meurtre, c’était le cas que tu citais tout à l’heure quand il a fallu pirater les iPhones. Soit, effectivement, il y a une exploitation parce que tu dois prévenir tous les crimes et tu collabores avec la justice, etc., mais c’est un peu délicat.

Manu : Ça me fait beaucoup penser au secret de la confession, secret sacro-saint, et on s’est rendu compte qu’au nom du secret sacro-saint on avait protégé des crimes horribles pendant des années, peut-être même pendant des siècles et des millénaires, soyons honnêtes. Apple se retrouve un peu dans cette situation-là. Je parle des GAFAM en général qui ont des secrets, ils sont les gardiens de nos secrets, mais ils ont aussi une responsabilité de suivre la morale, l’éthique et d’appliquer des principes un peu humains.

Luc : Pour moi la différence, si tu as le secret de la confession, c’est que tu as une oreille d’un humain intelligent qui comprend ce qu’on lui dit et qui doit faire le choix moral d’en parler ou pas. Alors que là ce sont des données qui sont collectées en masse. La capacité de ces intelligences artificielles à détecter des cas réels n’est pas évidente. On sait notamment que pour calibrer tous leurs outils de reconnaissance vocale, ils écoutent des tas de conversations privées et là on n’est pas du tout dans la défense du droit, etc. Et après il y aura toujours quelqu’un pour te dire que le danger réel est là maintenant, tout de suite. Apple vient de juste céder face au gouvernement chinois en retirant une application sur le Coran dans le périmètre chinois, donc elle fait ce que le gouvernement chinois lui demande de faire, ce qui va à l’encontre de sa position extrêmement courageuse de défenseur de la liberté en refusant de donner accès au téléphone de ce type. Donc il y a ce côté complètement deux poids et deux mesures. Et puis Apple est une compagnie, ce n’est pas une personne. On peut demander à une personne de faire des choix moraux ; une compagnie ne peut pas faire de choix moraux, ce n’est pas une personne, ce n’est pas un individu, ce n’est pas une intelligence.

Manu : Non. Mais on peut essayer de mettre en place des contre-pouvoirs et de garantir un équilibre, donc éviter, justement, que des gens qui ont trop de pouvoir en abusent.

Luc : Oui. Ça s’appelle la politique, c’est pour ça qu’on a établi un machin qui s’appelle l’État de droit, tout aussi imparfait qu’il soit. Il y a énormément de progrès à faire et c’est un combat de tous les jours parce que ce n’est pas quelque chose qui va de soi, c’est quelque chose qu’il faut défendre et entretenir parce que, pour moi en tout cas, le mouvement naturel des sociétés et des relations de pouvoir ce sont des gens qui vont essayer d’en avoir de plus en plus, d’instaurer leur arbitraire et d’en profiter.
Aujourd’hui ces grosses entreprises, ces gros GAFAM dont Apple fait partie, ont un pouvoir exorbitant et il n’y a pas de contre-pouvoir parce que ce ne sont pas des États de droit, ce sont des compagnies privées.

Manu : Je sais que tu seras d’accord avec moi, tu l’as déjà dit, on est d’accord tous les deux, le pouvoir corrompt, donc pour le bien des GAFAM et le bien des acteurs qui ont ce genre de pouvoir-là, je leur recommanderais d’abandonner leur pouvoir et d’aller vers de la décentralisation, vers des services distribués, du logiciel libre, des petites communautés qui peuvent réagir et distribuer ce pouvoir entre elles pour que la corruption soit moins intense sur des individus. C’est Frodon en train de transporter l’anneau de pouvoir et je ne veux pas qu’ils souffrent. Il faut qu’ils se montent en chatons, il faut qu’ils deviennent des chatons !

Luc : Je ne suis pas sûr que ça marche, parce qu’il y aura toujours des candidats à la recherche du pouvoir absolu et des millions, etc.
Pour moi, en tout cas à notre niveau d’utilisateur, cet argument de dire qu’Apple est le moins mauvais choix venant de gens dont on apprend, en fait, qu’ils ont tout dans Apple, c’est-à-dire qu’ils ont le téléphone, ils ont le Mac, ils utilisent tous les services Apple, pour moi c’est quand même un choix un peu con. Face à cette considération générale disant que ça n’est pas dans l’intérêt d’Apple de faire ceci, cela, j’ai une autre considération générale qui est que toute entité étant en position hégémonique aura tendance à en abuser, donc le minimum qu’on puisse faire c’est de ne pas mettre tous ses œufs dans le même panier, donc même si on a un iPhone éviter d’avoir toute sa musique, tous ses messages et toutes ses données dans le même environnement.

Manu : Sur ces bonnes pensées on recommande à tout le monde d’aller s’inscrire sur des chatons ou de monter, de construire des chatons, des services décentralisés.

Luc : Et hébergés par des vrais humains.

Manu : On va espérer que de plus en plus de monde s’y mette. Allez voir sur Framasoft [4], ce sont eux qui avaient lancé l’initiative CHATONS [5], vous verrez que ce n’est pas juste un mot jeté en l’air.
Sur ces bons mots, je te propose qu’on se retrouve la semaine prochaine.

Luc : Oui. Bonne semaine à tous. Salut.