Luc : Décryptualité. Semaine 5, année 2022. Salut Manu.

Manu : Salut Luc.

Luc : Au sommaire, tu nous as trouvé quelques articles, ça repart un petit peu.

Luc : Le Monde Informatique, « Alpha-Omega, un énième projet pour sécuriser l’open source », un article de Cynthia Brumfield.

Manu : C’est dans la continuité des problèmes de financement qui ont été soulevés ces derniers mois. Là ce n’est pas l’Union européenne, comme il y a peu, qui se lance pour financer des projets, mais ce sont des branches de la Fondation Linux et pas que, l’OpenSSF [Open Source Security Foundation]. Il y a des millions qui sont en train de tomber pour essayer de financer tout ça. Derrière c’est notamment soutenu par Microsoft et Google. Eh bien oui, les millions viennent de quelque part ! N’empêche, ça reste intéressant parce que ça sera plus que les 200 000 euros de la Commission européenne, de l’Europe. Ça toucherait 10 000 programmes open source. Il serait question d’essayer de les améliorer sous la forme notamment, de ce que je comprends en tout cas, de bounties, c’est-à-dire de primes pour que, quand on trouve une faille, on la révèle au fabricant ou à cette association et qu’on soit rémunéré en conséquence. C’est un mécanisme qui est intéressant même si…, mais on en parlera un petit peu plus tard, il y a un autre article qui aborde le sujet.

Luc : On va l’aborder tout de suite.
01net, « Hacking : comment l’esprit des origines a été perverti et ubérisé par les géants de la tech », un article de Gilbert Kallenborn.

Manu : L’article est plutôt sympa. En plus il met en avant les hackers, je me sens très hacker dans l’article, je suis vraiment un rebelle, je suis là pour sauver le monde. Effectivement, d’un autre côté, ça met en avant ce côté ubérisé où ce n’est pas l’esprit des développeurs, des informaticiens de travailler par exemple à la prime. Non ! Ce n’est pas mieux et, en fait, avoir des projets informatiques qui seraient des projets un petit peu fragiles, eh bien c’est déjà compliqué, mais, en plus, mettre les développeurs, les hackers, dans des situations elles-mêmes fragiles ce n’est pas non plus une bonne idée. On ne peut pas corriger la vulnérabilité des uns avec un système vulnérable des autres, ce n’est pas compatible.

Luc : Et puis il s’agit bien de payer des gens à la tâche pour boucher des trous et pas de financer des beaux projets, les choses qu’on a évoquées la semaine dernière.
20minutes.fr, « De CovidTracker à Elyze, à quoi sert la publication d’un code informatique en open source ? », un article de Laure Gamaury.

Manu : C’est de la sensibilisation, ce n’est pas mal parce qu’on voit un petit peu qu’il y a des intérêts à publier son code source et, en plus, ça met en avant effectivement CovidTracker mais surtout Elyze qui est dans les sujets d’actualité, qui est plutôt sympa, je l’ai installé sur mon téléphone, c’est rigolo.

Luc : Ça sert à quoi ?

Manu : Tin der Swipe ! C’est un peu comme quand tu dragues avec les outils de drague sur téléphone portable, mais là c’est plutôt avec les programmes politiques.

Luc : ZDNet France, « Non, Linus Torvalds n’est pas Satoshi Nakamoto », un article de Steven Vaughan-Nichols.

Manu : C‘est un sujet qui est vraiment très rigolo. Satoshi Nakamoto c’est le créateur mythique du bitcoin.

Luc : Sauf que personne ne sait qui c’est.

Manu : Exactement, c’est très mystérieux. Si, il y en a qui ont dit qu’ils savaient, c’est la NSA. Ils ont dit qu’ils ont réussi à remonter qui il est grâce à sa façon d’écrire du texte ; ce sont eux qui l’ont dit, mais ils ne l’ont pas révélé. Ça n’empêche, pour l’instant plein de gens cherchent qui c’est. Plein de gens aussi ont dit qu’ils étaient Satoshi Nakamoto. Parmi les intérêts c’est qu’il a gardé les premiers bitcoins qui ont été créés pour faire de la monnaie, pour faire le test du système monétaire. En fait, je crois que des milliers de bitcoins sont vraisemblablement quelque part ou, peut-être, ont été effacés, en tout cas ont été créés par Satoshi au tout départ de la blockchain et ces milliers de bitcoins en feraient quelqu’un de très riche aujourd’hui s’il voulait, s’il les avait encore, ce qui n’est pas sûr. Une petite théorie a été lancée à cause d’un commentaire caché dans le code source du noyau Linux, la petite théorie c’est que c‘est Linus Torvalds qui est le créateur du bitcoin. Donc Linus Torvalds est un uber hacker, un grand homme du code, mais, faire aussi une monnaie chiffrée comme le bitcoin, c’est quand même beaucoup lui demander, en tout cas il a annoncé que non il n’est pas Satoshi Nakamoto, ce n’est pas vers lui qu’il faut se tourner pour trouer la légende.

Luc : Exactement ce que dirait Satoshi Nakamoto !

Manu : N’est-ce pas ! Tu as raison.

Luc : ZDNet France, « Brevets logiciels : comment Michel Rocard découvrit le logiciel libre », un article de Thierry Noisette.

Manu : C’est plutôt pas mal, intéressant. Michel Rocard, grand homme politique français, qui a fait pas mal de choses même au niveau européen et qui a fait pas mal de choses même pour le logiciel libre alors que pourtant, clairement, il ne connaissait pas grand-chose à l’informatique, en tout cas il ne l’utilisait pas beaucoup. Il semblerait qu’il se soit battu pour les préceptes du logiciel libre et pour vraiment mettre en avant que la connaissance, les inventions, les découvertes devaient être partagées. Il a compris que les brevets logiciels étaient un gros problème, une grosse entrave à l’inventivité humaine. C‘était un grand homme qui a su défendre un grand projet. Ce n’est vraiment pas mal, allez jeter un œil à l’article parce que ça remet un petit peu tout ça au goût du jour. Ce n’est pas mal de se rappeler qu’il y a des hommes politiques qui peuvent comprendre les enjeux de l’époque. On aimerait qu’il y en ait d’autres en ce moment.

Luc : Clubic.com, « RGPD : InterHop saisit la CNIL pour que les acteurs e-santé (Alan, Keldoc, Maiia…) arrêtent d’utiliser Google Analytics », un article de Alexandre Boero.

Manu : Je propose qu’on en fasse le sujet de la semaine. Allez Luc qu’est-ce que tu en dis ?

Luc : C’est ça et qu’on élargisse un petit peu parce qu’il y a pas de choses qui se passent autour de la surveillance, du RGPD [1] et notamment de Google Analytics. Cette mise en cause en France a eu des répliques ailleurs, notamment en Autriche où un jugement est tombé il y a peu à l’initiative d’une association qui s’appelle My Privacy is None of Your Business , « Ma vie privée ne vous concerne pas, ce ne sont pas vos oignons », qui a considéré que Google Analytics ne respecte pas le RGPD. Aujourd’hui, sur cet article, c’est le même genre de mise en cause sur les données de santé en demandant de ne pas utiliser Google Analytics. C’est quoi ce produit Manu ?

Manu : C’est quelque chose qui n’est pas mal, honnêtement, je l’ai utilisé dans le passé. C’est un outil qui permet d’analyser le trafic d’un site web. On veut peut-être savoir si ce site web est beaucoup vu, on veut peut-être savoir d’où viennent les gens qui le visitent, par quelles pages ils passent, combien de temps ils restent dessus et autres usages, est-ce qu’il y ont accédé depuis un ordinateur, depuis un téléphone portable, depuis quel pays ils ont accédé, il y a vraiment plein de métriques qui peuvent être pertinentes pour analyser l’usage d’un site web. Google Analytics c’est tout en un. C’est extrêmement puissant.

Luc : C’est un outil de suivi tout intégré, comme Google sait les faire et, évidemment, ça leur donne un avantage énorme parce que ça leur permet de récupérer eux-mêmes les données. Plus de gens utilisent ce service-là plus ils ont un nombre de points de mesure qui est important.

Manu : C’est un outil qui est extrêmement utile, parce que, eh bien oui, on a besoin de mesurer son site web d’une manière ou d’une autre. Il y a plein d’autres manières de le faire, il n’est pas nécessaire pour le faire, n’empêche qu’il est utile. Le gros problème qui a été remonté là ce n’est pas juste qu’ils analysent et qu’ils tracent les utilisateurs, c’est que, à l’origine, ils utilisent le Privacy Shield, le bouclier de protection des données UE-États-Unis [2] qui permettait aux entreprises américaines de stocker des informations qui venaient d’utilisateurs européens, mais ce Privacy Shield est tombé il n’y a pas très longtemps.

Luc : Oui. On a considéré que les États-Unis n’étaient pas assez sérieux et qu’on ne pouvait pas leur faire confiance dans la protection des données. Dans le même registre, c’est anecdotique mais rigolo, il y a un autre service qui s’appelle Google Fonts qui consiste, en quelque sorte, à automatiser et centraliser le téléchargement des polices de caractères pour un site internet. Pour que le site s’affiche dans le navigateur de l’utilisateur il faut qu’il ait la bonne police installée sur sa machine, que ce soit son ordinateur ou son téléphone, et Google Fonts se charge de lui envoyer la bonne police de caractères.

Manu : Ils ne font pas grand-chose, ils les hébergent, donc ce n’est franchement pas un service incroyable. Et si on les avait déjà téléchargées auparavant normalement notre navigateur ne va pas les télécharger à nouveau donc ce n’est pas quelque chose d’incroyable, du point de vue de la vie privée, comme Google Analytics, mais ça n’empêche ! En Allemagne un site médical utilisait Google Fonts et, au tribunal, il s’est fait taper sur les doigts, il a dû payer une amende de 100 euros parce que les utilisateurs, les visiteurs du site web se retrouvaient à télécharger, sans le savoir, cette fonte depuis Google Fonts. Ils n’étaient pas au courant et, au nom des infractions de Google et du pouvoir qu’ils ont, il a fallu payer une petite amende.

Luc : Surtout que leurs adresses IP étaient remontées à Google Fonts.

Manu : Nécessairement !

Luc : Google récupérait à nouveau une information privée, parce que l’adresse IP fait partie des données privées et il récupérait cette information-là.

Manu : Ça m’embête parce que, effectivement, on utilise des ressources qui sont hébergées un peu partout sur d’autres sites web, c’est assez normal comme fonctionnement. Effectivement ça pose ce problème, le navigateur de nos visiteurs, de nos utilisateurs, va se connecter à d’autres sites. En soi ils ne s’y attendent pas forcément donc ça peut poser des problèmes de vie privée. Ce n’est pas quelque chose d’énorme comme Google Analytics, n’empêche, ça montre qu’il y a une direction dans laquelle on va et on va notamment essayer de bloquer un peu Google.

Luc : Ça montre aussi ce à quoi sert le RGPD. Cette question de la surveillance sur Internet a été prise à bras-le-corps par le RGPD, notamment la question des cookies. Tout le monde connaît ces fenêtres de validation ou de refus des cookies qui sont effectivement très pénibles. Moi je prends le temps de refuser à chaque fois. Un article [3] de la CNIL qui s’appelle « Nouvelles méthodes de traçage en ligne : quelles solutions pour se protéger ? » rappelle que les cookies aujourd’hui ne sont plus les seuls moyens, surtout que maintenant on peut commencer à les refuser. Il peut y avoir des petits plugins pour refuser automatiquement les cookies, il faut chercher ça. La CNIL rappelle qu’il y a des traçages par empreinte numérique unique qui permet d’identifier les gens parce que si on prend en compte, avec les informations qui remontent, le matériel physique, plus le navigateur, plus les définitions, plus l’adresse IP bien sûr, la taille de l’écran, toute une série d’éléments, on va avoir une signature, des empreintes digitales en quelque sorte, des empreintes numériques qui font qu’en fait on est unique à avoir cette empreinte-là même si on pense qu’on a le même téléphone que tout le monde. Un site qui s’appelle AmIUnique [4], maintenu par l’Inria, permet de tester. On peut aller sur ce site et le site nous dit s’il y a d’autres personnes qui sont venues et qui avaient exactement la même configuration mais, en général, on s’aperçoit qu’on est tout seul.

Manu : Ce n’est pas la seule manière qu’il y a d’être tracé. On peut aussi te tracer avec des identifiants, comme les cookies, mais qui peuvent être installés autrement sur nos postes. Il y a pas mal de manières de nous suivre grâce à ça. Et puis oui, effectivement, l’adresse IP en soi est un moyen de traçage assez puissant même si, par exemple quand on est une famille, on utilise une seule adresse IP pour toute la famille.

Luc : Il y a aussi le pixel espion [5] comme méthode de traçage que je trouve assez fabuleuse. C’est quand on envoie notamment des mails, mais ça marche également sur les pages web. À chaque affichage ou à chaque envoi de mail, on envoie une petite image qui fait un seul pixel et qui est unique, c’est-à-dire qu’elle est générée pour chaque envoi. Du coup, quand elle est chargée, on sait qui l’a appelée ce qui fait que quand on ouvre un mail ou quand on ouvre une page web, il y a ce petit pixel, cette petite image d’un pixel de côté qui est appelée et, du coup, on dit « tiens !, tel pixel, telle image unique qu’on a rajoutée dans la page à la volée ou dans le mail a été ouverte par tel adresse IP », donc on peut, comme ça, aller tracer les gens par ce biais-là.
Il y a des moyens plus ou moins techniques, plus ou moins complexes pour se protéger.

Manu : Oui, plus ou moins techniques, plus ou moins complexes pour se protéger, malheureusement des choses qui ne sont pas forcément à la mesure de tout le monde. Le plus simple c’est généralement d’utiliser un VPN [Réseau privé virtuel], c’est ce que vous recommanderont plein de youtubeurs qui sont payés par des entreprises de VPN. Toi et moi nous n’en utilisons pas, bizarrement.

Luc : Non, effectivement, parce que ce sont des sous en plus, en général c’est payant, ce n’est pas simple. Il y a des trucs comme Tor [6] mais qui ralentissent beaucoup Internet et ne permettent pas d’accéder à tous les sites.

Manu : Au final, Tor c’est l’équivalent d’un gros VPN. Techniquement c’est encore mieux, bien sûr, et puis c’est souvent communautaire, mais c’est un peu l’équivalent.

Luc : Et ça rend l’Internet vraiment extrêmement peu pratique ; si on l’utilise c’est vraiment qu’on ne veut pas se faire se tracer et qu’on a de bonnes raisons pour ça parce que c’est quand même très pénalisant. En tout cas l’article est vachement intéressant là-dessus. Ça permet de rappeler que ça bouge beaucoup. Il a des boîtes dont c’est le métier d’essayer de trouver de nouvelles façons de tracer les gens. En tout cas je note que la question des données privées, de la vie privée, prend un peu d’ampleur. On avait parlé, il y a quelque temps, de la prétention d’Apple de se poser en défenseur de la vie privée de ses clients, on avait démontré que sur plein d’aspects c’était complètement faux, évidemment ça reste un GAFAM ! Même si la surveillance à tout crin n’est pas son business modèle, ils surveillent quand même énormément et récoltent beaucoup de données, qualitativement ils en récoltent un panel plus large que d’autres acteurs comme Google. Il y a aussi une nouvelle assez intéressante : Facebook s’est plaint parce qu’il a eu un très mauvais trimestre en termes de revenus financiers disant que les mesures que Apple avait prises à leur encontre, en tout cas à l’encontre des acteurs en bloquant la possibilité, sur les systèmes Apple, de pouvoir choper des infos privées, lui avait coûte dix milliards de revenus sur le trimestre. On ne sait pas si c’est vraiment Apple qui leur a généré ce trou.

Manu : Effectivement, Apple défenseur des libertés ! La publicité d’Apple est amusante, on a l’impression d’un retour à 1984, mais on y croit peu.

Luc : Ça peut aussi être un enjeu de savoir qui contrôle et qu’à un moment ils se disent que Facebook est un concurrent, que quiconque est un concurrent et qu’ils préfèrent se garder ces infos pour eux et essayer de casser les pattes de la concurrence. En tout cas ça montre que ça reste le nerf de la guerre et qu’on a bien raison de se battre là-dessus.

Manu : Oui. Rappelons, c’est toi qui m’en parlais, qu’il y a des sites où on peut refuser des cookies. Mais maintenant, quand on refuse les cookies, on nous demande de plus en plus de payer pour accéder au site web, certains médias, certains journaux. Ça montre un petit peu d’où vient l’argent et comment il y a des financements qui se font derrière.

Luc : En tout cas ça a une vertu. Dans le monde libriste et des défenseurs des libertés informatiques on s’est beaucoup battus pour dire que ça n’était pas gratuit et là, effectivement, on commence à voir que ça n’est pas gratuit du tout, que Facebook fait moins de bénéfices, que les sites auxquels on refuse les cookies nous demandent de l’argent. Non, ça n’était pas gratuit, on en a la bonne démonstration.

Manu : Notons que le RGPD commence à avoir des dents. Ce n’est pas inintéressant. On n’était pas sûr que ça allait être utile, mais, pour l’instant, le RGPD c’est peut-être pas mal !

Luc : Très bien. On se retrouve la semaine prochaine.

Manu : À la semaine prochaine Luc. Salut.

Luc : Salut.