De quoi devons-nous nous libérer aujourd’hui ? – Jérémie Zimmermann | April

Pensez-vous protéger vos données personnelles suffisamment ? Bien que vous preniez peu être des précautions, les appareils que vous utilisez ne garantissent rien, au contraire.

L’article suivant – publié par l’April ( Qui milite pour les logiciels libres ) , est une retranscription complète d’une conférence de Jérémie Zimmermann. Bien que long, il est très intéressant.

Vous ne regarderez plus jamais votre smartphone , tablette , ordinateur , objet connecté de la même manière après l’avoir lu.

Voici l’article publié par l’April :

Titre : Rage against the machine : de quoi devons-nous nous libérer aujourd’hui ?
Intervenant : Jérémie Zimmermann
Lieu : Toulouse – Bazar du Libre
Date : novembre 2015
Durée : 1 h 24 min
Visualiser la vidéo
Licence de la transcription :Verbatim
NB :transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l’April.

Transcription

Fabien Levac : Merci d’être venus, merci de rendre cet événement possible par votre présence. Merci beaucoup à Mix’Art Myrys de nous accueillir. Merci à tous les autres lieux aussi. J’ai été concentré sur le lieu ici, mais il y a beaucoup d’efforts qui ont été déployés partout. Je ne vais pas refaire toute l’histoire mais mardi soir je suis venu à Mix’Art Myrys pour leur demander si on pouvait faire quelque chose ici. Tout à l’heure j’ai dit qu’on m’a donné un oui inconditionnel. Ce n’est pas tout à fait vrai. En fait, on m’a posé deux questions. On m’a posé une première question qui est assez critique ici à Mix’Art Myrys. On m’a demandé : « Vous attendez combien de gens, exactement, parce qu’il faut qu’on prévoie assez de bières ? » [Rires]. Authentique ! C’est vrai ! Et puis il y a une deuxième question qui est arrivée. Je dois dire que c’est une jolie voix féminine qui l’a posée, c’était : « Est-ce que Jérémie Zimmermann va être présent ? » Donc voilà. Le lendemain, sur IRC, dès que j’ai allumé mon PC, j’ai tapé « sudo apt get install conférence Jérémie Zimmermann -Mix’Art Myrys ». Voilà. Il est là. Il est venu nous interpréter des chansons de Rage against the machine, si j’ai bien compris. C’est ça ? Voilà. Bon, eh bien je te laisse parler.

[Applaudissements]

Jérémie Zimmermann : Merci. Fuck you. I wont do what you tell me. J’espère que tu as vérifié l’origine du certificat quand tu as installé ce paquet parce que, voilà ! Je suis ravi que ça se fasse ici et pas exactement comme prévu, parce qu’ici on est un peu plus les uns sur les autres, on est un peu plus à se voir, à se rencontrer, à se parler, et que j’ai l’impression que c’est de ça dont on a besoin en ce moment. Aussi parce que c’est un petit peu ça la force de nos mouvements, de nos communautés, d’être capables, en quatre jours, de faire clac ! Pouf ! Et d’une annulation faire quelque chose de nouveau, de potentiellement encore plus intéressant, en tout cas quelque chose de différent. Cette capacité d’adaptation est impressionnante et doit être saluée autant que tout le reste. Merci Myrys. Merci papa, maman, tout le monde. C’est très chouette !

Oui, le titre un peu en forme de troll Rage against the machine. Je ne vais pas vous raconter trop ma vie non plus, mais ça partait d’une espèce de constat, assez amer, que j’ai fait il y a quelque temps, en me rendant compte que moi, jeune nerd que j’ai pu être dans les années 90, fasciné par la technologie comme beaucoup d’entre nous ont pu l’être, découvrant les internets des petits éclairs dans les yeux, tombant littéralement amoureux des internets et de tous ceux qu’il y avait de l’autre côté, ne jurant que par ça, voyant la solution à tous les problèmes de l’humanité dans les internets et les ordinateurs, eh bien je suis tombé de la commode ; je suis tombé de mon arbre. Et je pense qu’on a tous eu, un petit peu, un sentiment comme ça autour de 2012, autour des révélations — je déteste appeler ça des révélations, ça donne un caractère religieux, voire carrément messianique à ce pauvre Edward Snowden qui n’a rien demandé —, mais depuis que ces documents ont été révélés, vous avez peut-être, comme moi, porté un petit peu attention, outre les annonces et les trucs un petit peu tonitruants, au contenu même des programmes de la NSA, et notamment un programme qui s’appelle Bullrun1. On a beaucoup parlé de PRISM2. PRISM, vous vous rappelez, c’est l’accès open bar à toutes les données de Google, Facebook, Apple, Microsoft, toutes les données de tout le monde, tout le temps, par les services de renseignement et leurs myriades de partenaires publics et privés. Ça veut dire la fin de la vie privée sur nos comportements sur Internet, la fin de la vie privée sur les données qu’on échange, sur nos communications, sur ce que l’on lit, ce que l’on fait. Mais Bullrun est tout aussi important et intéressant que PRISM. Bullrun, c’est 250 millions de dollars par an utilisés par la NSA pour aller, activement, prendre le contrôle des technologies permettant de sécuriser les données, de sécuriser les communications. Ça veut dire la NSA qui se débrouille pour avoir un pied dans toutes les portes et dans toutes les fenêtres. Pour s’assurer que si une technologie existe, qu’elle est commercialisée, qu’elle est distribuée, qu’elle est mise sur le marché, et qui annonce qu’elle va protéger les données ou qu’elle va protéger les communications, ça veut dire s’assurer qu’en fait non, s’assurer que la NSA et donc le bon million de personnes qu’il peut y avoir autour de cette espèce de complexe cyber-militaro-industriel, plus ou moins flou, que ces gens-là continuent d’avoir accès à ce que l’on est censé protéger.

Et quand on a regardé le contenu du programme Bullrun, on s’est aperçu qu’il y avait là une palette, gigantesque, de modes d’action pour la NSA. Vous imaginez un budget de 250 millions par an, ça laisse un petit peu de marge de manœuvre ! Le truc le plus flagrant, le plus abject, c’est la corruption, pure et simple. C’est donner 10 millions de dollars à l’entreprise RSA3, qui fait des produits de chiffrement, des produits de sécurité, pour lui dire : « Vous laissez un trou de sécurité ouvert, parce que nous on l’aime bien ce trou de sécurité ! » Au passage, si la NSA l’aime bien, ça veut peut-être dire aussi que les Russes, les Chinois, l’aiment bien, ou qu’une bande de malveillants, à la petite semaine, vont aussi bien l’aimer. Donc on voit là la démarche de la NSA qui, au nom d’un hyper-sécurité, se retrouve à affaiblir la sécurité de tout le monde. Ça c’est un exemple. C’est donc la corruption active d’entreprises qui sécurisent les communications.

Mais on a vu aussi des choses beaucoup plus insidieuses que ça. On a vu la NSA qui a donc, au travers de Bullrun, infiltré des standards, des comités de standardisation, donc des réunions officielles dans lesquelles des représentants industriels, étatiques, se réunissent et discutent de comment arriver à des standards pour sécuriser les données, pour sécuriser les communications. Et là aussi, la NSA arrivait avec un pied dedans en disant : « Non, mais ça on va le rendre un petit peu plus facile, un petit peu ceci, un petit peu cela. » Ça voulait dire on va faire en sorte qu’on puise le casser, plutôt qu’essayer de le rendre inviolable.

On a vu ça, donc un nombre assez conséquent de modes d’actions. On sait qu’ils ont aussi infiltré des équipes de développement où là, tout simplement, il doit s’agir de faire recruter quelqu’un, générer le CV idéal et envoyer la bonne personne au bon endroit se faire recruter. Ensuite s’assurer que toutes les trois lignes de code il y en ait une dans laquelle il y a une petite farce, un petit œuf Kinder, qui permet à la NSA de rentrer dedans quand elle le souhaite.

Et donc, quand on déroule ça, on s’aperçoit qu’il s’agit d’une entreprise de sabotage, de sabotage actif de la technologie, de toute la technologie, de tous les outils que l’on utilise. Et si PRISM, la liste des participants est bien connue, Microsoft, Apple, Facebook, Google et compagnie, dans Bullrun c’est beaucoup plus flou, mais on a vu des entreprises comme Motorola, Qualcomm, Intel, Cisco, des gens qui fabriquent le hardware, des gens qui font le matériel, des gens qui font les puces dans les téléphones, les puces dans les ordinateurs, les puces dans les réseaux ; et on s’est aperçu que ce sont donc tous les ordinateurs, quelle que soit leur forme, qu’ils soient posés sur un bureau, sur les genoux, dans la poche ou dans un data center, tous les ordinateurs, quels qu’ils soient, qui ont été activement sabotés.

Et c’est ça l’ère Snowden. C’est ça le monde dans lequel on vit aujourd’hui, depuis que l’on a pris connaissance de ces documents-là. C’est un monde dans lequel, eh bien la technologie dans laquelle on avait tant confiance, dans laquelle on avait tant foi, qui était notre amie, ces ordinateurs que l’on pouvait comprendre, ces ordinateurs que l’on pouvait apprendre, ces ordinateurs qui nous apprenaient à apprendre, sont en réalité, aujourd’hui, des instruments de contrôle, des instruments d’oppression, qui sont, en pratique, devenus nos ennemis, qui sont tournés contre nous.

Voici cette Rage against the machine dont on parlait tout à l’heure. Je me suis aperçu que moi, technophile, nerd, enthousiaste, je commençais à haïr les machines. Je commençais à haïr les ordinateurs. Si ce n’est pas un comble ça ! Et la première forme que ça prend ça, c’est que, de plus en plus souvent, je vais activement faire en sorte d’être off line. Complètement off line. C’est-à-dire avec la batterie du téléphone sortie, pour avoir une vraie conversation, dire des choses importantes, et m’assurer qu’il n’y ait pas, par inadvertance, un truc qui puisse enregistrer ou quoi, parce qu’on n’a pas vraiment moyen de le savoir aujourd’hui. Mais j’ai de la chance, j’ai un de ces ordinateurs de poche dont on peut encore retirer la batterie ! Et ce n’est plus le cas de bien des machines qui sont vendues aujourd’hui.

Pourquoi j’ai voulu ouvrir cette discussion ici, et j’ai vu qu’on m’avait mis un créneau d’une heure trente alors que je n’ai, de toutes façons, pas pensé occuper tout ce temps-là. J’ai surtout envie de lâcher le micro et d’ouvrir ça dans une conversation la plus ouverte possible avec vous tous, parce que, ici, il y a beaucoup de gens qui sont, comme moi j’ai pu l’être, vraiment le nez dans la technique, les bras sous le capot, à fond, et j’aimerais avant tout vous entendre là-dessus.

La NSA a mis une bonne quinzaine d’années à obtenir ces budgets quasi illimités et obtenir ces accès quasi illimités, avec toutes ces entreprises-là, pour arriver à subvertir, à saboter, tous les appareils, tous les ordinateurs, toutes les technologies qu’on utilise aujourd’hui. Ça, ça partait d’une stratégie très précise, qui devait être écrite bien avant le 11 septembre 2001, jour où la justification de toutes ces choses-là est devenue politiquement évidente. Tout parallèle avec une situation politique en France ne serait, hélas, pas tout à fait fortuite. Cette stratégie de la NSA était quelque chose de pensé très en avant, pour que, au 11 septembre 2001, ou six semaines après le Patriot Act soit adopté. Pour que le Patriot Act ait déjà été écrit le 11 septembre 2001, il a fallu se pencher dessus bien avant. Et donc il a fallu se projeter, à un moment où il aurait été inacceptable aux États-Unis d’Amérique de mettre en œuvre la surveillance de tous les citoyens, et de tous les citoyens du monde, et d’aller tout casser, et d’aller s’infiltrer partout. Eh bien, au moment où c’était inacceptable, des gens ont réfléchi, se sont réunis et ont créé cette réalité. Ils ont créé cette réalité, ils l’ont projetée, ils l’ont projetée tellement forte qu’ils en ont fait la réalité et que cette réalité, aujourd’hui, s’exporte.

Eh bien j’ai l’impression que ce fait d’établir une vision et d’établir une stratégie est, quelque part, quelque chose qui manque dans nos communautés. On se nourrit de cette merveilleuse diversité que fournit le logiciel libre. On est dans cette coopétition dans laquelle on agit chacun avec les autres, mais en même temps chacun dans la direction de son choix et, quelque part, l’histoire tranche. C’est peut-être Kazaa, c’est peut-être eMule, c’est peut-être BitTorrent, ça devient BitTorrent, c’est peut-être Debian, c’est peut-être Ubuntu, c’est peut-être Devuan et un truc émerge au fil du temps. Mais pour autant, je pense que cette approche, cette nature qui est la nôtre, n’est pas incompatible avec le fait, de temps en temps, de sortir le nez du guidon, de réfléchir en termes stratégiques, de se demander quel pourrait être notre monde idéal, comment on aimerait y arriver, même si, aujourd’hui, on a l’impression qu’on ne peut pas, et, de là, former une vision et surtout partager une vision.

Vaste programme ! Je n’ai absolument pas la prétention à faire ça, ni en une heure, ni en une heure et demie, ni en toute une vie, mais je pense que ce sont des objectifs essentiels aujourd’hui, si l’on arrive à reconnaître qu’on est en train de perdre pied, que l’on a énormément perdu de terrain face à nos adversaires, et qu’il est aujourd’hui indispensable de réagir et de reprendre du terrain, de reconquérir nos libertés, de reprendre ou juste de prendre, tout simplement, le contrôle de ces machines, que nous avons perdu.

Donc l’idée, ici, c’est d’avoir une discussion qui pour une fois, pour ceux qui me connaissent, ne sera pas une discussion qui portera sur les sujets politiques ou législatifs immédiats. Je ne vais pas parler de lois, je ne vais pas parler du gouvernement, je ne vais pas parler du 12, du 13, du 14 novembre, ni du projet de loi qui a été adopté hier. Merde ! Je suis en train d’en parler ! L’idée, c’est de parler en termes plus génériques, en termes politiques, certes, mais en termes politiques plus génériques. De parler en termes techno-politiques ; de parler, ensemble, de cette interaction entre la technologie et la politique. C’est quelque chose que nous, les nerds, on a particulièrement tendance à oublier. On a une grande capacité à oublier. Vous savez, sans caricaturer, que faire du code ou s’impliquer dans la conception, la mise en œuvre de systèmes d’information, ce sont des choses qui nécessitent parfois une grande concentration, donc parfois des esprits un petit peu introvertis qui ont une grande capacité à se projeter sur une tâche. Mais, parfois, le revers de cette médaille-là, c’est quand on est complètement projeté, quand on est un one man army, quand on est un homme-orchestre ou une femme-orchestre d’un projet particulier, d’une tâche en particulier, eh bien on a parfois tendance à oublier de lever le nez et de regarder ce qu’il y a autour. Eh bien le pari que je fais ici, c’est qu’on a peut-être aujourd’hui tous besoin de lever le nez, de regarder autour et d’interconnecter, un petit peu, ce que l’on voit autour.

Donc trois points principalement.

Qu’est-ce que c’est que cette machine que l’on déteste aujourd’hui ? Comment s’en libérer ? Qu’est-ce que ça veut dire se libérer aujourd’hui ? Et, troisième point, une liste indéfinie, incertaine, de pistes de réflexion, basée sur des cas d’utilisateurs, sur des use cases, comme on dit en bon français, et des modèles qui peuvent nous permettre, peut-être, de penser comment articuler tout ça ensemble.

Comment la machine est devenue ce qu’elle est devenue ? Comment la machine est devenue un outil de contrôle ? Comment les ordinateurs, tous les ordinateurs que l’on a aujourd’hui, sont des instruments d’oppression, en tout cas des outils dans lesquels on ne peut pas avoir confiance. Et cette notion de confiance, je crois, doit être au cœur de nos réflexions.

Vous le savez parce que vous êtes ici, il y a un truc qui est évident, c’est le logiciel propriétaire. Vous ne m’avez pas attendu pour en entendre parler. Vous avez tous vu Richard Stallman, peut-être, parler déjà, avec son charmant accent qui est que [Jérémie imite la voix de Richard Stallman] « le logiciel propriétaire c’est le logiciel privateur, c’est le logiciel qui prive de vos libertés » ; je sais, je fais très mal Richard Stallman, qu’il me pardonne s’il voit ça un jour, si on lui dit. Par définition, ce logiciel propriétaire, ce logiciel privateur, c’est celui qui ne permet pas à l’utilisateur de savoir ce qu’il fait. Si toi, utilisateur, tu dis : « Eh bien moi j’aimerais bien savoir ce que Windows fait quand je détecte un paquet qui sort de mon réseau, juste après avoir mis mon numéro de carte de crédit, et je ne comprends pas bien. » On te répond : « Te, te, secret professionnel, secret des affaires. Ce n’est pas le code source, ce n’est pas comme si c’était la ressource d’un plat que tu étais en train de manger, ce n’est pas comme si on était obligé de mettre la liste, au moins la liste des ingrédients sur la boîte. Non, non, non. C’est juste notre secret. On ne le révèle pas ». Mais là, en ne le révélant pas, on ne révèle pas le fonctionnement. Donc on maintient l’utilisateur dans une espèce d’ignorance artificielle, à but commercial, mais aussi, on le voit, à but politique. Donc cette propriétarisation des logiciels, elle est évidente pour tout le monde.

Le fait est qu’on a vu, dans cette même période, une quinzaine d’années environ, une propriétarisation croissante du matériel. Et là, c’est quelque chose qu’on n’a pas bien vu passer, parce que ce sont d’autres compétences que celles qu’il y a d’habitude chez nous. Quand on parle de matériel, en plus, on va parler de matériel qui est de plus en plus petit, de plus en plus fin. C’est de la gravure, je ne sais pas, 20 nanomètres aujourd’hui, des trucs comme ça qui sont vraiment minuscules, dont la capacité industrielle à les fabriquer n’existe, je crois, même plus ou presque plus, en Europe. Il me semble que STMicroelectronics vient de racheter une usine qui fait du 22 nanomètres ou un truc comme ça. Bref ! On ne sait, en Europe, presque plus faire du hardware. Et ce qui s’est passé, c’est que le hardware, aujourd’hui, est déjà, de base, caché par ce secret industriel où on vous dit : « Non, non ! Vous ne pouvez pas savoir comment fonctionne le hardware, parce que c’est notre secret, parce que ce sont nos brevets, parce que ce sont nos machins ». Mais, en même temps que ça, ce qui s’est passé c’est que le hardware est devenu de plus en plus dépendant de ce qu’on appelle le firmware, c’est-à-dire du logiciel contenu dans le matériel. Parce que c’est devenu pas cher du tout, on a pu réserver, dans chaque puce, dans chaque élément de hardware, des zones qui sont reprogrammables ; qui sont programmables et reprogrammables. Là où ça coûtait très cher, il y a dix ans, de faire du hardware qui contenait une partie programmable ou reprogrammable, aujourd’hui c’est devenu le standard.

Ce que ça veut dire c’est que quand l’ordinateur s’allume, chaque puce dedans, chaque morceau de matériel, va lire à l’intérieur d’elle-même un morceau de logiciel qui va s’exécuter, qui va, d’une certaine façon, contribuer à l’ensemble des logiciels que peuvent être le système d’exploitation. Ce que ça veut dire c’est que cette limite entre le matériel et le logiciel n’existe quasiment plus en pratique et que ces parties reprogrammables du matériel le sont depuis le système d’exploitation, donc depuis le logiciel. Donc un logiciel malveillant, par exemple, peut venir réécrire ce logiciel embarqué, ce firmware, dans le hardware, pour le transformer en un logiciel malveillant, ce qui fait que la prochaine fois qu’on va allumer l’ordinateur, ce logiciel dans le hardware va se charger, et lui-même aller réécrire un bout du système d’exploitation.

Ont été documentées, il y a quelques années, des attaques informatiques comme ça, qui étaient basées non seulement sur un piratage du BIOS de l’ordinateur, mais aussi du contenu, du firmware d’autres puces, et le diagnostic de ces chercheurs en sécurité c’est « il n’y a rien à faire ». Il faut détruire le matériel si on a le moindre soupçon et, à moins de développer des outils matériels qui permettraient de lire le contenu des firmwares de toutes ces puces — ce qui impliquerait déjà d’enlever peut-être une cinquantaine de vis et de passer une heure avant d’être capable de le faire —, à moins de faire ça, on ne peut même pas savoir que ce genre d’attaque existe.

Donc du matériel qui se propriétarise, mais qui, aussi, devient lui-même mouvant, flexible, et qui repose sur du logiciel propriétaire, là encore, qui vient se mélanger avec notre joli logiciel libre.

Ce que ça veut dire, en pratique, c’est qu’on a beau utiliser tous les logiciels libres que l’on veut utiliser dans notre système d’exploitation, dans la partie utilisateur, dans la partie que l’on contrôle, si on a l’ombre d’un de ces logiciels qui existe et qui est du logiciel propriétaire, alors on perd potentiellement le bénéfice d’utiliser du logiciel libre.

Ce que l’on a vu aussi, qui est tout aussi terrifiant, c’est la miniaturisation et les systèmes on a chip. Les systèmes on a chip, c’est ce que vous avez dans tous vos ordiphones, comme on dit au Québec, c’est-à-dire une puce qui est vendue par un fabricant et qui fait à la fois le microprocesseur, la mémoire, potentiellement le Wi-fi, potentiellement l’accélérateur vidéo, etc. Donc c’est une puce qui a toutes ces fonctions-là, ce qui rend encore plus difficile le fait de comprendre son fonctionnement, et qui rend quasiment impossible ce qu’on pouvait faire très fréquemment il y a quinze ans avec nos ordinateurs, à savoir sortir la carte Wi-fi, mettre une autre carte Wi-fi, sortir la carte réseau, mettre une autre carte réseau. Vous vous souvenez de ces gros LEGO qui coupaient les doigts, mais dans lesquels on avait encore une capacité à changer la nature du matériel. Là, de plus en plus, ce matériel est intégré. Et, pour couronner le tout, on a maintenant, je crois qu’il y a déjà plus de gens qui accèdent à l’Internet avec ces bidules-là qu’avec des ordinateurs tels qu’on les connaissait ou tels qu’on les connaît encore, plus traditionnels, c’est que ces architectures informatiques-là, ces ordinateurs-là, apportent une, je ne sais pas s’il faut appeler ça innovation ou régression, qui est que, par principe, par design, une puce existe, à l’intérieur, pour être hors de contrôle de l’utilisateur.

[Jérémie tient à la main son ordiphone]

Il y a deux microprocesseurs, il y a deux cerveaux là-dedans. Il y a le cerveau utilisateur, sur lequel vous avez vos applis et vos machins, et les photos, et tout ça, et la puce dite baseband, la puce modem, celle qui communique avec l’extérieur, celle qui est accessible depuis l’extérieur pour qui contrôle le réseau, et cette puce-là a été faite pour ne pas obéir à l’utilisateur. Dans le jargon de certains des fabricants, la puce utilisateur s’appelle la puce esclave, là où la puce modem s’appelle la puce maître. Et vous avez un bon exemple de ça, c’est quand votre ordinateur est objectivement éteint, l’écran éteint, enfin ça parait éteint, eh bien vous recevez un coup de fil. Boum ! Le truc va s’allumer, l’écran s’allume, la sonnerie se met à sonner. Il reçoit donc une commande depuis le réseau qui lui dit : « Allume le cerveau, allume la machine ». Donc ces trucs-là sont maintenant faits pour recevoir des commandes à distance, au travers d’une puce encore plus fermée que les autres, qui est la puce maîtresse, qui accède à toute la mémoire et à tous les composants. C’est donc une architecture de contrôle qui est aujourd’hui dans toutes les poches, et ça c’est une des caractéristiques les plus effrayantes de ces machines. Je suis en train de me retenir pour ne pas la lancer contre la dalle de béton qui est ici !

Une autre des caractéristiques, évidemment, ce sont les services centralisés. Toute votre vie, tous vos faits et gestes, every breath you take, every move you make, envoyés chez Google. C’est, comme le disait Edward Snowden, vos pensées au moment où elles se forment, quand vous les tapez sur le clavier. Donc les lettres d’un brouillon que vous effacez, une faute d’orthographe que vous tapez dans un champ Google ou dans un nouveau mail Gmail, ou dans n’importe quel champ texte d’une de ces pages-là, la moindre frappe de votre clavier, à la milliseconde où vous l’avez tapée, est enregistrée, est transmise à Google. Si vous écrivez « cher connard » puis effacez pour dire « cher monsieur », parce que ça défoule, ça laissera une trace écrite quelque part dans Google. Si vous tapez en étant un peu bourré, avec les doigts qui gigotent un peu, et que vous faites un peu plus de fautes d’orthographe que la moyenne, statistiquement Google a moyen de savoir qu’à ce moment-là vous êtes bourré.

Il n’y a aucune raison, rien ne justifie, que l’on envoie les brouillons, les fautes d’orthographe, dans une entreprise US, dans des datacenters, qu’ils soient en Californie ou ailleurs. Donc là c’est une tendance de ces applications et des gens qui les font tourner. Est-ce un hasard si Google ou Facebook, tout comme Palantir, ont eu parmi leurs premiers financeurs In-Q-Tel qui est un fonds d’investissement de la CIA ? C’est encore une autre histoire. Mais que ces entreprises en viennent à aller chercher nos fautes d’orthographe, parmi tous nos comportements, pour tout enregistrer, tout le temps, là aussi c’est quelque chose qui n’existait pas il y a une quinzaine d’années.

Et ces cavernes d’Ali Baba de données que l’on est en train de bâtir à notre insu, tout ce travail gratuit que les uns et les autres sont en train de faire pour ces entreprises, est quelque chose qui est déjà en train de se retourner contre nous. Vous avez peut-être vu cette statistique, tout à fait amusante, qu’une personne de 19 à 29 ans sur 10 s’est déjà vu refuser un boulot, en France, pour quelque chose qu’il ou elle, avait posté sur les sites dits de réseaux sociaux. Donc on commence déjà à voir des applications pratiques chez les gens qui ont, peut-être, le moins fait attention, qui sont le plus habitués et qui se sont le moins posé de questions sur le fait de donner toute leur vie à ces entreprises-là. Mais imaginez le potentiel, tout simplement le potentiel politique d’accumuler sur les uns et les autres des données sur tout ce qu’ils ont fait de ces deux, cinq, dix, vingt dernières années de leur vie ; toutes les pages web qui ont été lues, tous les profils qui ont été juste regardés, ceux qui ont été regardés et cliqués, ceux avec qui ont a parlé, ceux avec qui on a arrêté de parler, à quelle fréquence on a parlé, etc. Imaginez ! Accumuler dix ans de la vie de quelqu’un sous cette forme-là et que ce quelqu’un se présente contre vous à une élection ; ou que ce quelqu’un cherche à s’organiser, dans un mouvement démocratique, pour aller changer telle ou telle situation ; ou que ce quelqu’un aille, projette d’aller marcher dans une marche qui a été interdite, pour revendiquer plus d’écologie ou je ne sais quoi. Donc imaginez le potentiel de ces choses-là ! On est au balbutiement de l’utilisation de ces profils et l’utilisation de ces profils se fait avec des algorithmes prédictifs ; et là encore, c’est une technologie naissante.

J’évoquais rapidement Palantir et les entreprises comme ça qui sont, aujourd’hui, évaluées à plusieurs milliards de dollars. C’est un des business les plus lucratifs qui existe aujourd’hui dans ces métiers dits du data, du big data, du big brother, je ne sais même pas comment il faut les appeler. Ce sont ces algorithmes prédictifs qui vont, donc, se nourrir de toutes ces masses de données, de tous ces profils, pour dire « ah ben tiens, lui, là-bas, il a une chance d’avoir un cancer des poumons. » Comment on sait ? Eh bien on sait qu’il a parlé du cancer des poumons de son frère, on sait qu’il fume des cigarettes, on sait qu’il est allé dans tel bar qui est un bar fumeur, on sait que, etc. Et par rapport à dix mille autres personnes dont on sait qu’elles ont eu des cancers des poumons, on voit qu’il a fréquenté des gens pareils, qu’il a mangé des trucs pareils, qu’il a vu des pages web pareilles, donc on prédit que cette personne va faire ceci, être cela. Donc pas besoin d’évoquer des films de science-fiction comme Minority Report pour imaginer ce que des dirigeants politiques pourraient faire avec ces algorithmes prédictifs. Là encore, on n’en est qu’au début !

Ça, ce sont les caractéristiques de ces machines. Donc du logiciel propriétaire, ça, vous le saviez déjà. Du matériel propriétaire contenant du software fabriqué pour être tourné contre l’utilisateur. Des services hyper-centralisés. Tout ce que cela veut dire, mis bout à bout, c’est déjà une énorme complexité.

Par rapport à un Amstrad CPC 6128, un Atari 1024 STE, un Amiga 500 et, pour ceux qui ne voient pas du tout de quoi je parle ici, c’est très bien, vous êtes du bon côté de l’histoire, vous n’êtes pas des vieux cons ! Les autres, on en parlera autour d’une bière tout à l’heure. Ces machines-là, de nos jeunesses, d’il y a à peine une vingtaine d’années, aujourd’hui la Super Nintendo a 25 ans, des machines comme ça étaient accessibles dans le sens que quelqu’un, avec beaucoup de temps devant lui, pas mal de caféine et, peut-être, quelques prédispositions, était capable de l’ouvrir et, avec des outils grand public, d’aller regarder patte par patte, puce par puce, ce qui passait ; d’aller comprendre le circuit et d’aller en comprendre l’intégralité du fonctionnement. On a perdu cette capacité-là. On a perdu cette capacité-là, déjà parce que le matériel est propriétaire et qu’on ne sait même plus l’ouvrir ou regarder ce qui passe entre ses pattes, mais aussi parce qu’une bonne partie du traitement ne se fait plus sur notre ordinateur et se fait sur les ordinateurs de ces services centralisés auxquels on n’aura jamais accès.

Donc une grande complexité sur laquelle on n’a plus la main. Ça c’est une des caractéristiques essentielles de l’informatique transformée en un outil de contrôle social, de l’informatique transformée en un outil d’oppression, en un auxiliaire des autoritarismes.

Cette complexité va de pair avec une ignorance artificielle. Le fait qu’on ne nous laisse pas accès aux spécifications, que l’on ne nous laisse pas comprendre les puces, qu’on ne nous laisse pas comprendre les logiciels, génère de l’ignorance. Le fait que l’on se retrouve comme deux ronds de flan devant cette complexité infinie, c’est aussi le fait que personne, aujourd’hui, n’est capable de percer cette complexité-là. Peut-être même pas l’ANSSI, l’Agence nationale de la sécurité des services d’information, qui est censée protéger l’information des ministères et des opérateurs d’importance vitale. Même Bruce Schneier, même Chuck Norris, même une armée clonée de Chuck Norris et de Bruce Schneier serait incapable de comprendre ce qui se passe entre Google et vous, quand Google vous propose une pub ou que vous envoyez un e-mail ou que n’importe quoi d’autre, tellement cette complexité repose sur cette ignorance artificielle.

De là, et ça c’est pour la première partie du tableau, donc celle qui est vraiment la plus noire, c’est qu’est-ce que c’est que cette machine que l’on a presque aujourd’hui un devoir humain, un devoir moral, un devoir politique de détester ?

Deuxième partie. Deuxième partie, ça veut dire quoi se libérer ? Ça veut dire quoi se libérer aujourd’hui ?

Je vous rappelle que le logiciel libre, que l’on célèbre ici, que l’on célèbre chaque année à Toulouse, à Paris, au Brésil, aux quatre coins du monde, ce logiciel libre a été contextualisé, a été conceptualisé il y a plus de trente ans maintenant. Certes, Richard est particulièrement en avance sur son époque ; il a ce cerveau différent qui lui a permis de voir ces choses-là, de se projeter et de projeter une vision politique de tout ça, avant tout le monde. Quand, en 1982, Richard Stallman expliquait que le logiciel pouvait servir à asservir ou à libérer, les gens devaient le regarder avec d’encore plus gros yeux et encore plus comme s’il était venu de la lune qu’ils ne le regardent aujourd’hui. Imaginez !

Le fait est que cette vision du logiciel libre date d’une époque où les logiciels étaient moins complexes, où le hardware était du hardware qui restait à sa place, qui n’était pas mélangé au software, et où, surtout, les efforts de ce complexe cyber-politico-militaro-industriel n’étaient pas, tout entiers, tournés pour saboter la technologie et la tourner contre nous. Un fait essentiel, immense et, je pense, qui est un petit peu passé sous le radar de beaucoup d’entre nous : quelques semaines, je crois, après qu’Edward Snowden soit devenu, j’allais dire en anglais soit devenu public, bref, après que ces documents aient été publiés, quelques semaines après, c’était les trente ans du projet GNU, d’ailleurs du Projet GNU ou de la Free Software Foundation, je ne sais plus, je crois les trente ans de la Free Software Foundation. Et bref, coïncidaient de façon assez cosmique les trente ans du GNU, l’apparition dans le public d’Edward Snowden et le trentième anniversaire d’Edward Snowden. Edward Snowden est né la même année que le logiciel libre et il est venu trente ans après, l’année de ses trente ans, nous expliquer en réalité, nous expliquer que cette vision du logiciel libre était la bonne, était la seule qui permettait de libérer les individus et de libérer les collectifs à l’ère du numérique.

Une grande nouvelle, donc, qui est passée sous le radar lors de cet anniversaire, c’est la Free Software Foundation qui annonce que, désormais, un des objectifs de la Free Software Foundation sera de garantir la protection de la vie privée contre la surveillance. Ça ne datait pas d’Edward Snowden ; c’était une réflexion qui était en cours depuis longtemps à la Free Software Foundation. Elle a juste été cristallisée, elle s’est juste matérialisée pour cette annonce, pour ses trente ans. Et là où, pendant des années, on pouvait se dire « non, non, mais bon, la surveillance, oh là, là, c’est autre chose, c’est politique, nous on ne fait que des logiciels, nous on n’est que des informaticiens, nous on ne s’occupe pas de ces choses-là », eh bien, boum, c’est version 2.0, 3.0, de la vision du logiciel libre qui tombe sur la table et qui nous dit : « Le logiciel libre ça sert à ça. Ça sert à se libérer contre la surveillance ; ça sert à se libérer pour protéger sa vie privée. Et c’est ça que l’on doit faire, ensemble ».

Je n’ai absolument pas la prétention à venir compléter cette vision du logiciel libre, elle est déjà très complète comme elle est, et référez-vous au site de la Free Software Foundation, il y a énormément de choses à lire là-dessus. Ce que je veux dire et ce pourquoi je prenais cet exemple-là, ce n’est pas seulement qu’on peut se le permettre, mais qu’on a, sans doute, le devoir de mettre à jour nos visions, en fonction des réalités techno-politiques que l’on constate. Et que de la même façon qu’il est devenu essentiel d’utiliser le logiciel, et donc le logiciel libre pour se protéger contre la surveillance et pour protéger sa vie privée, il y a quelques autres éléments qu’il faut, je pense aujourd’hui, avoir en tête et à mettre en œuvre.

Déjà les services décentralisés. Si ça ne fait pas officiellement partie de la mission de la Free Software Foundation, on a vu tout de même, au cours de ces dernières années, qu’elle a fait accéder au rang de projets prioritaires des projets qui allaient dans ce domaine-là. Donc les services décentralisés, ça ne sert à rien que je rajoute quoi que soit après la conférence de Framasoft sur « Dégoogliser les internets », parce que, du coup, vous voyez très bien ce que ça veut dire et donc très bien à quoi ça sert. Mais les services décentralisés ce n’est pas juste le logiciel. C’est du logiciel, mais ce sont aussi des serveurs. Ce sont des serveurs, c’est donc du hardware. Des serveurs, c’est donc de l’administration, c’est donc du temps bénévole, c’est donc des compétences. C’est tout ça, mais c’est aussi, et certains vous diront peut-être encore plus que le reste, c’est aussi de la promotion, c’est aussi en parler. C’est aussi en parler et trouver des moyens que les gens avec qui on a envie de parler utilisent les services que l’on utilise nous, sinon on sera le petit village d’Astérix. Même si l’image est charmante, le petit village d’Astérix, jusqu’à preuve du contraire, il est quand même bien entouré de l’Empire romain. L’idée est que ce village d’Astérix puisse grandir, puisse s’interconnecter avec d’autres villages, puisse donner à d’autres villages qui sont, eux, au cœur de l’Empire romain, l’idée de se libérer et de se concocter leur potion magique. Bon je vais arrêter l’analogie ici.

Tout ça pour dire que les services décentralisés ce n’est pas que du code, ce n’est pas que du hardware, ce n’est pas que du bénévolat, ce n’est pas que de l’argent, qu’il faut contribuer à Framasoft pour les aider à continuer ; c’est aussi de l’huile de coude, ce sont aussi des efforts intellectuels qui iraient dans toutes les directions pour inviter, pour inciter, pour, je n’aime pas le terme, il est vraiment sale, communiquer et pour rendre visible ce qui, aujourd’hui, est invisible. Les économistes, dans leur science molle et leur grand cynisme, parlent d’effet réseau ; l’effet réseau qui serait un des critères principaux pour évaluer la valeur d’un produit ou d’un service. Ce n’est pas la même chose avec un baril de lessive, mais avec un logiciel de dessin vectoriel ou un service en ligne, que vous ayez dix utilisateurs ou un milliard d’utilisateurs, ce n’est pas du tout la même chose. La valeur de votre produit, même si c’est exactement le même logiciel, que vous le vendiez à dix personnes ou à un milliard de personnes, eh bien, il vaudra beaucoup plus, parce que ça veut dire que les gens vous pouvez leur pousser des trucs, vous pouvez leur tirer des trucs, etc. Donc cet effet réseau, c’est quelque chose que l’on ne sait pas émuler, que l’on ne sait pas créer de toute pièce. Même des gens comme Facebook, etc., ont, quelque part, eu de la chance, peut-être, d’être là avec les bons financements, avec les bons investissements, au bon moment pour être en capacité de faire ça. Mais je crois que personne n’est capable de prédire ce qui fait qu’un service a du succès ou non. Tout ce que l’on sait faire c’est essayer.

Et tout ça pour dire que se libérer aujourd’hui, ça n’est certainement pas, et encore moins qu’hier, se contenter d’écrire du code. Et j’ai envie d’insister là-dessus, parce que beaucoup de gens se sentent frustrés, voire se sentent handicapés de ne pas être, cochez la mention appropriée, un codeur, un génie de l’informatique, un ingénieur, un ceci ou un cela. Et beaucoup de gens, quand on va parler logiciel libre, vont dire : « Ouh là là, logiciel ! Ouh là là, mais attends, moi je ne suis pas programmeur ; moi ça ne m’intéresse pas, parce que je peux pas. Je ne suis pas dedans, je ne suis pas X ou Y, donc je ne peux pas participer ». Et ça me renvoie à mes années de militance au sein de l’April où, justement, on n’avait de cesse d’expliquer aux gens que le logiciel libre ça n’est pas que du code, ça n’est pas que du logiciel. Pour que votre logiciel libre existe, vous avez besoin d’un site web, de gens qui vont se faire chier à faire du web design, à faire de l’intégration, à maintenir, du coup, un truc sur un coin de serveur. Il faut des gens pour faire des logos. Il faut, parfois, des gens pour faire des campagnes et lancer les campagnes ; il faut faire des campagnes de financement. J’ai dû en faire une dizaine avec La Quadrature du Net4. Il n’y a rien de plus pénible au monde que de courir à poil avec une plume dans le cul, en tendant un chapeau, en disant « donnez-nous des sous pour qu’on continue à faire ce qu’on fait avec passion ». Je vous jure, c’est ingrat, c’est infect, ça empêche de dormir la nuit. Et on a énormément besoin de ça. Mais on a aussi énormément besoin de gens comme on vient de le dire pour parler de tout ça, pour faire sens de tout ça, et pas seulement dire « on est charmants, le nez dans nos claviers ; on est charmants avec nos habitudes d’informaticiens ; on est charmants avec nos histoires de querelles, de clochers, de Vim versus Emacs, etc.” Mais, très souvent, on tourne en boucle. « Mais installez la version 3.14 du module BZX28 de l’apt-get install ». Mais on a perdu 50 000 personnes en chemin ! Comment vous voulez aller expliquer ça à un paysan sur le plateau de Millevaches qui, pourtant, ne peut pas saquer les Américains, qui ne peut pas saquer l’autorité, qui ne peut pas saquer le fait de centraliser les choses. Il est, plus que n’importe qui, capable de comprendre que le logiciel libre c’est le logiciel des humains, c’est le logiciel du partage, c’est le logiciel du travail que l’on fait ensemble. C’est le logiciel de la liberté. Il est, plus que n’importe qui, capable de comprendre ça. Mais si on lui explique avec des versions 3.14 du module BZX28 de l’apt-get install, on n’ira pas.

Et donc, pour ça, il faut faire du sens. Et pour faire du sens, il faut discuter, il faut réfléchir. Il faut prendre une bonne bouteille, des copains ; des copains qui ne sont pas forcément tous informaticiens ; il faut réfléchir, il faut déconner. Je ne dis pas ça parce que je les connais, mais je pense que quand Framasoft5 a sorti un « Dégooglisons Internet »6 avec un village d’Astérix, eh bien je pense qu’il y a eu quelques litres de bière ou de rouge associés, pour avoir l’idée, pour déconner, pour essayer et se dire « on va faire ça comme ça », et ça marche extrêmement bien.

Maintenant, ça c’est pour la partie rigolote. La partie à laquelle tout le monde peut contribuer. Qui que vous soyez, quoi que vous fassiez, d’où que vous veniez, et pas seulement parce que vous êtes là assis dans cette salle, vous pouvez contribuer au logiciel libre. Ça c’est déjà une certitude avec laquelle, si vous ne l’aviez pas déjà, il faut que vous repartiez chez vous ce soir.

Maintenant, il y a un certain nombre de besoins qu’on n’a pas vraiment évalués et qui sont, peut-être, tout aussi cruciaux que ceux-là et qui sont là, pour le coup, pas rigolos du tout.

On a besoin d’audits. Et quand je parle d’audit, les gens dont c’est le métier ici de faire de l’informatique doivent immédiatement avoir les épaules qui font « ah » [Jérémie baisse les épaules] et se dire « oh putain de merde ! » Parce que ça fait chier tout le monde les audits. Les audits ça veut dire prendre quelqu’un qui n’a pas le nez dans le clavier, qui n’a pas le nez dans le code, et qui va être payé à lire votre code. C’est un petit peu comme faire venir quelqu’un chez vous pour ranger votre maison à votre place. Ce n’est pas agréable pour vous et ce n’est pas agréable pour la personne qui va le faire, et il y a très peu de gens qui veulent le faire. Et contrairement au fait de ranger la maison de quelqu’un d’autre, pour le coup, là, ce sont des compétences qui sont rares et qui coûtent très cher.

Vous vous souvenez peut-être de la faille Heartbleed dans OpenSSL7. Est-ce que c’était un de ces trous de sécurité mis en œuvre par la NSA ? Ou est-ce que la NSA s’est débrouillée pour que ce trou de sécurité reste, après l’avoir détecté ? Ça déjà on le sait : pendant au moins un an, la NSA aurait été en capacité de nous aider à fermer ce trou et l’a laissé ouvert. Heartbleed c’est un trou de sécurité qui affectait, je crois, 500 des entreprises du Fortune 500. 500 des 500. C’est un truc qui devait affecter 40 des entreprises du CAC 40, 70 du CAC 70, s’il y avait un CAC 70. Bref tout le monde qui faisait du business ou pas, utilisait OpenSSL pour sécuriser ses communications. Et il y avait dedans un trou béant, depuis deux ans, dans un logiciel libre. C’est un truc qui a fait le plus de mal, en termes d’image, au logiciel libre, depuis bien longtemps.

Mais le problème ici ce n’est pas le logiciel libre, ce n’est même pas tant la qualité des gens qui ont fait ce code d’OpenSSL ! En fait, il y a un vrai problème avec ça parce que ça a démarré comme un projet étudiant, qui s’est très vite structuré dans une espèce de fondation, mais qui était un machin de bric et de broc, qui reposait sur trois bouts de chandelle. La vérité, mon interprétation de la vérité, c’est que le mois où Heartbleed a été détectée, où ce logiciel utilisé par 500 des entreprises du Fortune 500 était troué, le budget de OpenSSL c’était 4000 dollars ! Donc même pas le salaire de deux développeurs à temps plein, avec les charges ! Comment vous voulez, dans ces conditions-là, produire du logiciel à l’épreuve des balles, à l’épreuve des milliers de personnes qu’emploie la NSA pour aller, activement, le couler, le trouer, le détruire ?

Une partie de la solution c’est de faire des audits, c’est d’embaucher des gens pour faire ce travail-là à la place des gens d’OpenSSL s’ils sont, de toutes façons, trop le nez dans leur code pour le faire. Mais c’est quelque chose qui coûte une fortune. Et là c’est quelque chose que l’on peut, que l’on devrait être capables de mutualiser.

Alors voilà, il y a l’ANSSI, l’Agence de sécurité des systèmes d’information, tuuut tuuut, avec des clairons, avec des drapeaux, avec des vrais morceaux de militaires dedans, qui, depuis la loi de programmation militaire de 2014, ont désormais des missions de défense. Qu’est-ce que ça veut dire la défense quand on parle de cyberattaque ? Et est-ce que la meilleure des défenses, là aussi, ce n’est pas justement l’attaque ? Et que va faire l’ANSSI ? Et quelle confiance accorder à l’ANSSI ? Ce sont encore d’autres questions, mais le fait est qu’ils ont, au moins, 300 hackers brillants employés à plein temps, pour sécuriser les infrastructures vitales de la France et des Français. Comment se fait-il qu’une entité comme l’ANSSI ne dédie pas beaucoup plus de ressources qu’elle n’en dédie aujourd’hui pour faire des audits publics de ces logiciels libres, dont on dépend tous pour la sécurité de nos données et de nos communications ? Qu’est-ce qui fait que ces entreprises du Fortune 500, qui dépendent de ces logiciels libres, ne mettent pas 0,01 % de leurs bénéfices dans un fonds qui ferait avancer la technologie, qui permettrait de renforcer la sécurité des logiciels dont on dépend, et donc de les auditer, et de contribuer comme ça ? Qu’est-ce qui fait que nous, à la fin de l’année, quand on va donner dix euros à Wikipédia, dix euros à Framasoft et dix euros à La Quadrature du Net, on n’ait pas un endroit où on puisse mettre dix euros pour, justement, aller contribuer à faire des audits de sécurité. Là c’est une grosse, grosse faille dans notre dispositif qui est celui du logiciel libre. Ce n’est pas chaque projet libre, dans son coin, qui est en capacité de faire ça. Il faut mutualiser des ressources ; il faut mutualiser beaucoup de ressources. Il faudrait entre dix et cent fois plus de ressources qu’il y en a aujourd’hui allouées, pour faire des audits de sécurité ; notamment faire des black box audits où vous prenez le système, vous le mettez dans une boîte, vous regardez ce qui entre, vous regardez ce qui sort, vous secouez la boîte, et vous faites ça jusqu’à trouver des trucs plus ou moins louches.

Je pense qu’il faut se poser ces questions-là, qu’il faut se poser les questions en ces termes. Quelles sont les compétences que l’on voit aujourd’hui manquer et que l’on se doit de mutualiser ?

Le développement des logiciels libres c’est quelque chose qui est important, mais on a, peut-être, négligé le développement du développement des logiciels libres. Et là encore, trouver des ressources à mutualiser, et pas seulement des ressources financières, pour rajouter de la force d’intelligence, de la force de calcul, de la force de cerveau disponible, sur les projets de logiciels libres existants, et sur les projets de logiciels libres que l’on pourrait estimer, ensemble, comme étant prioritaires pour protéger nos libertés, pour protéger nos communications et nos données.

Qu’est-ce qui fait que l’État français, lorsqu’il fait un grand emprunt et va balancer des milliards sur des technologies à la mort-moi-le-Schtroumf, qui, au bout du compte, vont, de toutes façons, retomber dans l’escarcelle de Orange, de Bull, de Capgemini et de Thales, et toujours les mêmes, et qu’on nous parle du clown souverain ou de machins comme ça, d’autres concepts fumeux ; madame Axelle Lemaire qui coupe des rubans en mangeant des petits fours, en faisant la star de l’innovation des startups et machin. Qu’est-ce qui fait qu’on n’a pas des dizaines, des centaines de millions d’euros tout chauds pour arroser les projets de logiciels libres, leur permettre de se structurer, d’embaucher des développeurs, d’embaucher des designers, de contribuer à faire des audits de sécurité ?

Et là aussi c’est quelque chose que l’on doit mutualiser, je pense, que l’on peut mutualiser, qui implique, peut-être, d’aller faire pression sur les pouvoirs publics et de le faire pas nécessairement à l’échelle nationale. Si ça se trouve ce sont ces choses-là que l’on peut commencer très modestement à l’échelle d’une municipalité, d’une communauté de communes, d’une région ou — insérez le nom de votre couche de mille-feuilles administratif ici —, et c’est développer le développement des logiciels libres. C’est mutualiser les ressources, mais aussi mutualiser les dynamiques, mobiliser les énergies, pour comprendre que ce logiciel libre et, du coup, ce hardware libre et, du coup, ces services décentralisés, ce chiffrement de bout en bout, sont la seule façon d’investir correctement les ressources de l’État.

Là aussi je salue, évidemment, le travail de l’April, depuis des années, qui s’investit dans ce domaine-là, mais on a très souvent l’impression que l’April est un petit peu toute seule ; que ce travail se fait dans les antichambres, sous la moquette ; que ça reste, un petit peu, un travail d’experts ; que c’est très centralisé sur Paris, alors que, là encore, c’est quelque chose auquel on peut tous contribuer.

Je regarde l’heure parce que j’avais dit que je ne parlerai pas trop. Merde !

Donc, pour ouvrir, et ce sera mon troisième point que je vais essayer de faire un petit peu plus court, j’ai envie de discuter avec vous de use cases, comme on dit en bon français, donc des cas, comment on dirait, des cas d’école, des cas d’utilisateurs, des cas d’usage, de cas d’usage qui nous permettent, peut-être, de penser un petit peu différemment la façon dont on crée, dont on développe, dont on améliore, dont on contribue au logiciel libre, au système libre en général. Le premier qui me vient à l’esprit, c’est le cas la FreedomBox. Vous avez peut-être vu cette conférence brillantissime, d’Eben Moglen brillatissime, en 2010 qui s’appelait Freedom in the cloud8, dans laquelle Moglen explique une vision pour la liberté des services et des communications sur Internet. Et quasiment mot à mot, ce que Moglen dit en 2010 dans cette conférence, ce qu’il a développé, un petit peu différemment, dans une autre conférence9 brillante que je ne peux pas m’empêcher de citer ici en 2012, à re:publica, qu’il faut regarder aussi. Je vous invite vraiment à rattraper du Moglen si vous avez manqué ça. Ce que Moglen explique en 2010 est, mot à mot, encore valide aujourd’hui. Il a écrit ça, il a dit ça avant Edward Snowden ; ça reste valide aujourd’hui. Ce que fait Moglen, à ce moment-là, c’est précisément créer et projeter une vision, et cette vision est encore valide, est encore la nôtre aujourd’hui.

Alors il y a une différence entre la vision FreedomBox et le projet technique FreedomBox. FreedomBox10 est devenu un projet technique, que je suis depuis quelques mois sur la mailing-list, qui a l’air un petit peu mourant. Il y a plein de gens de bonne volonté qui tirent tous dans une direction. L’idée de la FreedomBox c’est de faire un petit serveur personnel, une petite boîte, un petit appareil, que l’on arriverait à rendre à peu près aussi cool qu’un iPhone, qu’on brancherait sur la prise murale, qu’on brancherait sur la machin box de l’autre côté, et qui ferait tout, y compris le café. Sur lequel il y aurait notre serveur mail, notre serveur d’images, notre serveur de chats ; qui nous ferait notre serveur de VPN pour chiffrer les communications, qui ceci, qui cela.

Vous l’avez vu, peut-être, avec la conférence précédente, YunoHost. YunoHost11, mais aussi la Brique Internet12. Je crois que Taziden, s’il retrouve sa voiture à la fourrière, en parlera, et nous en montrera. Il sera dans le coin. La Brique internet, pour le coup, c’est un autre projet qui est né il y a peu de temps, je crois il y a un an ou deux — s’il y a parmi vous des « briqueux », j’aimerais qu’on parle de tout ça autour d’une bière tout à l’heure —, pour moi la Brique internet c’est un projet qui est né de cette vision de la FreedomBox, même si ce n’est pas écrit comme ça, même s’ils ne s’en revendiquent pas comme ça. Ce qui montre bien que cette glorieuse diversité, qui est celle du logiciel libre, n’est pas incompatible, au contraire, avec le fait de créer de la vision et de projeter de la vision. Et que, une fois que la vision est là, on peut avoir un, deux, trois dix, vingt projets qui vont essayer de la mettre en œuvre, chacun à sa façon, et que, au bout d’un moment, on arrivera, peut-être, à quelque chose.

Donc ça c’est une articulation. C’est parti d’un use case, c’est parti d’un cas d’usage, qui disait : « Je veux avoir mes services et mes données chez moi, pour que, si les flics y accèdent, ils soient obligés — c’était aux États-Unis — d’avoir un mandat de perquisition ». En France ça n’existe pas, même si, dans les mauvaises séries, tous les policiers en parlent, ce serait une commission rogatoire. Aujourd’hui, avec l’état d’urgence. Bon ! OK ! La vision initiale c’était celle-là, de dire si des flics veulent accéder à mes données, alors je veux pouvoir le savoir, je veux lire le papier, voir le coup de tampon et leur dire « eh bien entrez ! »

Donc là on est parti d’un cas très pratique, très concret. Ce n’est pas accident : Moglen a été programmeur dans les années 70, aujourd’hui il est avocat. Donc c’est un type qui s’est basé sur un point de droit, sur un point politique et de droit pour se dire « maintenant je veux un système informatique qui me permette de mettre en œuvre ce point de droit ». Eh bien ça, je pense que c’est une façon particulièrement juste de penser les systèmes et surtout, de penser des systèmes qui viendront pour nous libérer.

Un autre cas très concret, c’est Tails. Qui ne connaît pas Tails ici ? N’ayez pas peur, n’ayez pas honte. Il y a une petite moitié de la salle, ici, qui ne connaît pas Tails, là où on aurait posé la question il y a trois ans, ça aurait été 99 % de la salle qui aurait levé la main. Tails13 c’est The Amnesic Incognito Live System. C’est une clef USB que vous bootez dans n’importe quel ordi. Vous avez déjà peut-être déjà booté un live CD, Ubuntu, une clef USB Ubuntu, un jour, dans votre vie. C’est donc comme un live CD, sauf que c’est une live clef USB, sauf qu’elle a ça de particulier, que lorsque vous l’arrachez de la machine si, par exemple, on vous vole votre laptop, pour essayer de récupérer les données, il y a une technique qui s’appelle la cold boot attack et qui permet, si on prend votre ordinateur allumé, qu’on le plonge dans l’azote liquide, qu’on sort sa barrette de RAM et qu’on lit sa barrette de RAM avec un lecteur de barrettes de RAM, on arrive à obtenir tout le contenu de la mémoire quand vous utilisiez votre ordinateur, y compris vos mots de passe. Game over ! Même si votre disque dur est chiffré, même si tout est chiffré, la RAM, elle, ne l’est pas. Boum ! Donc Tails était pensé pour réagir à ça. Quand vous enlevez la clef Tails de votre ordi, au lieu de s’éteindre, Tails va charger un autre noyau, qui va d’abord écrire toute la mémoire avec des données aléatoires, avant d’éteindre la machine. En espérant, comme ça, que le temps qu’on prenne avec votre barrette de mémoire pour la tremper dans l’azote liquide ou inversement, le contenu de la mémoire a été remplacé.

Quand vous êtes sous Tails toutes vos données passent au travers du réseau Tor14. Vous avez accès à un navigateur qui laisse le moins possible de surface d’attaque pour des attaques à distance. Il y a Pidgin15 pré-configuré pour utiliser OTR16, le chiffrement, etc. C’est donc un système d’exploitation qui a été conçu pour avoir l’état de l’art des technologies libres, pour sécuriser les communications, et qui a été pensé, pour ce cas précis, pour être utilisé sur un ordinateur acheté à 100 dollars en cash, et pouvoir faire, une fois, une communication, pour des journalistes qui veulent parler à leurs sources, pour des activistes dont la vie est menacée, pour des dissidents qui veulent faire sortir une information ; ou, aujourd’hui, pour tout un chacun qui veut juste qu’on lui foute la paix ! On a un système d’exploitation. Alors ce n’est pas non plus la panacée. Il ne faut surtout pas se faire d’illusions sur Tails. Quand, en 2012, la NSA, dans les slides de Snowden, était très emmerdée par Tor et par Tails, si, depuis, dix fois plus de gens utilisent Tor et utilisent Tails, vous pouvez être sûrs que la NSA a investi de sacrés moyens pour être en capacité de les casser.

Mon but n’est pas de dire que Tails c’est la sécurité et on est tranquilles. Au contraire, je pense qu’on va au-devant de gros problèmes à trop faire confiance à Tails. Mais vous voyez l’idée, que c’est un ensemble de logiciels libres qui ont été rassemblés, comme on le fait dans une distribution, non pas pour des considérations purement techniques, non pas pour des considérations purement affectives comme ça se fait d’habitude dans les projets de logiciels libres, mais pour des considérations purement politiques et pratiques. Un cas d’usage qui est aider des dissidents, aider des journalistes, aider des gens dont la vie est menacée, et que le produit de cette réflexion soit un ensemble de logiciels libres packagés.

J’aimerais donner quelques exemples encore. YunoHost et la Brique Internet. Pond, P, O, N, D, est un logiciel de cryptographie écrit en Go par Adam Langley, qui est le chef cryptographe de chez Google, donc ça fait deux raisons d’être suspicieux. Mais Pond implémente des concepts cryptographiques absolument géniaux. C’est le truc le plus excitant, je crois, depuis OTR. Pond c’est comme un logiciel de mail, sauf que vous êtes anonyme au serveur. Le serveur ne sait pas qui vous êtes. Il est anonyme par rapport au serveur, mais aussi, on n’a pas moyen de savoir que vous communiquez avec Pond, il est censé être résistant contre des attaques en analyse de trafic. Je ne vais pas entrer dans les détails ici. Bref ! Pond, là aussi, répond à un use case qui est « je veux communiquer avec des gens, et que seulement ces gens-là et moi puissent savoir qui nous sommes et que nous communiquons ». Eh bien, en vrai, ça c’est un problème mathématique, donc c’est un outil cryptographique ; c’est donc une mise en œuvre de mathématiques, qui vient, là encore, répondre à un problème humain, politique, précis.

Le Neo900, projet super intéressant qui vise à faire revivre des vieux téléphones Nokia N900, avec une nouvelle carte mère qui serait du hardware libre et on pourrait avoir, un petit peu, le contrôle sur la fameuse puce baseband qui, du coup, serait reléguée au statut de puce esclave plutôt que de puce maître, qui, là encore, parle d’un point très précis qui est « on veut un téléphone où on pourrait, éventuellement, avoir confiance ». Et, de l’autre côté, sur l’aspect téléphonie — Bayart doit en parler, peut-être même qu’il en parle en ce moment même, je ne sais pas, zut ! — il y a le projet Replicant17 et d’ailleurs, s’il y a des gens du projet Replicant parmi vous, là aussi, je veux vous payer une bière tout à l’heure et qu’on parle, mais vous êtes peut-être dans l’autre salle avec Benjamin, donc vous n’êtes pas là, j’arrête de vous parler du coup ! Replicant, qui a pour but de prendre tout ce qu’il y a à prendre dans Android, moins ce qu’il y a de propriétaire ; essayer de refaire ce qu’il y a de propriétaire en libre, pour faire un Android vraiment libre. Ça aussi c’est potentiellement une brique très intéressante, d’un de nos futurs dans lequel on arriverait à se libérer de ces machines-là.

Fernvale, aussi, pour les gens qui aiment bien le hardware et le reverse engineering. C’est un projet dingue. C’est Bunny Huang qui a présenté ça au 31C3 [Chaos Communication Congress]. C’est un téléphone chinois qui, commandé par 100, vaut huit dollars ; commandé à l’unité vaut douze dollars. C’est une espèce de Kinder surprise, qui existe en rose, avec Hello Kitty dessus, qui affiche trois lignes de texte, mais qui contient, à l’intérieur, un ordinateur, à 300 mégahertz, avec 64 Méga de RAM, avec une puce baseband, avec un lecteur de SD card, avec de l’audio, avec un clavier, avec tout ça, beaucoup moins cher qu’un Raspberry Pi. Et il se trouve que le code source de tout ça est disponible pour qui sait faire faire la bonne requête sur Bydo et, comme Bunny l’explique ce n’est pas free as free speech, libre comme libre, ce n’est pas free as free beer, gratuit comme gratuit, c’est free as chinese free, c’est libre comme dans « chinoisement » libre, à savoir « on n’en a rien à foutre ! » C’est-à-dire il y a un zip de 7 ou 8 gigas, avec tout le code source de tout, et pas la moindre mention de copyright, parce qu’on s’en fout, parce qu’on est chinois, et parce que c’est un machin à 12 dollars, donc who cares. Donc, Bunny et ses potes sont en train de faire la rétro-ingénierie, sont en train de lire ce code source pour en produire des spécifications sous licence Creative Commons, pour permettre à d’autres d’écrire un logiciel libre compatible avec le droit occidental et toutes ces conneries-là. Donc peut-être que ce joujou à dix dollars sera une de nos prochaines plate-formes libres. Peut-être que ça va être la première fois au monde où on aura un baseband libre et donc une puce que l’on pourra vraiment contrôler pour savoir ce qui passe sur le réseau téléphonique quand on communique ; pour pouvoir décider de communiquer ou non, décider de ce qu’on envoie sur le réseau. Ce serait un changement majeur, qui nous permettrait de reprendre une partie de ces communications-là en main.

Je vais arrêter cette énumération sans fin. Dans les concepts qu’il faut aussi que nous soyons capables de prendre à bras le corps, il y a ceux de la défense active. Désolé si le terme est un peu effrayant. Mais le fait est qu’on a donc maintenant l’assurance que par 100 façons différentes la NSA sait entrer dans nos ordinateurs, qu’ils soient Windows, Mac, GNU/Linux, Open, FreeBSD, machin ; 100 façons différentes d’entrer dans nos ordinateurs ! Ça peut être en les interceptant quand ils transitent par la poste, pour y ajouter des implants plus petits qu’une pièce de un centime, qui seront réactifs à des ondes envoyées à distance. On dirait de la science-fiction complètement paranoïaque ; ces machins-là existent. Ça peut être s’introduire à distance avec des proxys transparents mis au niveau du réseau. On pourrait lister ça pendant des heures. Donc on sait qu’ils savent nous pénétrer et on n’a pas l’ombre d’un moyen de savoir quand ils le font et comment ils le font.

Donc investir dans ce qui s’appelle chez les professionnels de la sécurité ou chez les gens, un peu moins rigolo encore, ce qui s’appelle la défense active, c’est-à-dire des mécanismes qui nous permettent non pas de penser qu’on est blindés pour, au bout du compte, ne jamais savoir quand on s’est fait trouer, mais juste de savoir quand il se passe des trucs un peu étranges. Quand on se connecte à la page à laquelle on se connecte d’habitude, le certificat est valide, mais il est différent. Quand, d’habitude on a tant de paquets qui entrent et qui sortent et que, cette fois-ci on en a un de plus. Quand il y a tel fichier qui n’a jamais changé sur le disque et qui, cette fois-ci, vient de changer. Donc penser des mécanismes qui prendraient tout ça en compte. Là aussi, je n’ai même pas de projets de logiciels libres à évoquer qui fassent ça aujourd’hui ; peut-être que vous en avez à contribuer à la discussion.

Mais pour boucler, parce que ça fait déjà trop longtemps, vous voyez un petit peu l’idée. On a eu raison, avant tout le monde, avec le logiciel libre. Et c’est toujours difficile d’être dans une position comme ça. C’est difficile d’être dans une position comme ça, parce que les gens se foutent de vous, ne vous croient pas, et que c’est un très bon moyen de manquer des occasions, et qu’on a manqué plein d’occasions, déjà, avec le logiciel libre. Mais c’est aussi très difficile d’avoir raison avant tout le monde, parce qu’on peut très vite se conforter dans le fait d’avoir raison, jusqu’au moment où on se retrouve à avoir tort. Et qu’il est essentiel que l’on soit en capacité de mettre à jour notre vision, de mettre à jour notre stratégie à mesure que se met à jour notre vision du monde et à mesure que notre vision du monde présente des réalités techno-politiques qui sont celles de l’oppression, qui sont celles de ces ordinateurs ennemis qui ont été transformés en machines de guerre tournées contre nous. Nous ne pouvons plus ignorer ces modèles techno-politiques, pour les intégrer dans nos modèles de développement. Mais quand je dis modèles de développement, il s’agit du développement des logiciels, mais aussi du développement du développement des logiciels ; aussi de nos développements personnels, de nos développements collectifs et, au bout du compte, du développement du monde que l’on souhaite voir arriver. Je vous remercie. J’aimerais vraiment beaucoup vous entendre là-dessus.

[Applaudissements]

Économisez votre énergie pour vous réchauffer, boire de la bière et contribuer. J’aimerais vous entendre sur quels sont vos cas d’usage. Quels sont vos use case ? Ou quels sont vos projets de logiciels libres que vous estimez stratégiques ? Quels sont vos modes d’action, vos modes de contribution que vous estimez être nécessaires ou négligés ? Allez-y.

Fabien : Je vais faire de mon mieux. On a un micro à faire passer.

Jérémie : Tu n’as pas une lumière à braquer sur les gens que je voie leurs têtes ?

Fabien : Première question.

Public : Bonjour. Juste, peut-être, une question. Tous nos ordinateurs, actuellement utilisés, tournent sous Linux, sous Windows, sous Macintosh. Existera-t-il un jour un système d’exploitation entièrement libre et non vérolé par la NSA et autres organismes ?

Jérémie : Entièrement libres, oui. Ça existe déjà aujourd’hui. Entièrement libre, il y a, alors comment il s’appelle celui qui est recommandé par la Free Software Foundation ? Mince. Comment il s’appelle ?

Public : GNewSense.

Jérémie : GNewSense. Voilà, GNewSense18. Certains pourront dire que Debian sans les paquets non free est entièrement libre aussi. Et ça dépend, en fait, de comment vous l’installez, de ce que vous installez avec. Si vous faites le choix de ne pas installer ces firmwares propriétaires, ou de ne pas installer de logiciel propriétaire du tout, avec votre distribution de logiciels libres, alors vous avez un système entièrement libre. Le problème c’est que si vous continuez d’avoir du matériel qui, lui, contient du firmware propriétaire, alors l’ensemble, matériel et logiciel, lui, n’est pas libre. Donc le problème c’est que cette limite entre le hardware et le software s’étant encore plus fragmentée récemment, ça devient hyper-difficile.

Mais, en prenant une de ces machines Olimex, qui sont utilisées dans la Brique Internet, avec que des logiciels libres dessus, avec éventuellement un dongle wi-fi, qui serait une puce que l’on peut contrôler sans firmware propriétaire, vous y êtes. Le but est justement d’arriver à se construire ces systèmes qui seraient matériel et logiciel libres et ça, vraiment, ce n’est pas évident aujourd’hui. Par exemple le Raspberry Pi qui est érigé en exemple du « DIY, maker matériel libre », ce n’est pas du matériel libre. Les designs de Raspberry Pi sont libres, mais contiennent une puce Broadcom, qui est celle du wi-fi, donc un machin qui, là encore, laisse une capacité, à distance, de se connecter à la machine, qui n’est pas libre. Elle contient un processeur ARM, qui contient du microcode, qui n’est pas libre.

Donc, votre question est une bonne question et je me permets d’y répondre en l’étendant au matériel. Aura-t-on un jour un système libre ? Ça veut dire, aujourd’hui, matériel et logiciel. Avec ces trucs Olimex, on commence à avoir un début de piste. Il y a aussi quelque chose de très intéressant, mais maintenant ça commence à être une relique, c’est le IBM ThinkPad X60. C’est un ThinkPad qui a douze ans aujourd’hui et qui a une génération de processeurs assez ancienne pour qu’il n’y ait pas certaines des saloperies propriétaires qu’il y a dans les processeurs depuis, et sur laquelle on est, depuis quelques années, en capacité de reprogrammer jusqu’au BIOS, c’est-à-dire le logiciel originel qui se charge avant même le système d’exploitation, et qui est, lui, écrit donc, dans une puce. Reprogrammer ce BIOS avec un BIOS en logiciel libre qui s’appelle coreboot19 et donc, quelque part, désosser la machine X60 pour enlever les composants dont on n’a pas besoin, pour réduire la surface d’attaque ; mettre coreboot ; ensuite ne mettre que du logiciel libre. Là on touche à quelque chose où on a quelque chose qui est à 100 % libre, matériel et hardware, et qui, en plus, permet des bénéfices ajoutés en termes de sécurité. Il y a des gens, que je ne nommerai pas, qui les achètent par dizaines pour les convertir ainsi et pour les donner à des activistes, à des journalistes d’investigation, parce qu’il n’y a qu’à ce prix, il n’y a qu’au prix d’avoir une machine entièrement libre, matériel et logiciel, que l’on pourra, un jour, à nouveau avoir confiance. Merci pour votre question.

Public : Tout comme pour essayer de déceler des attaques de l’Internet vers les serveurs on a créé des honeypots, est-ce qu’on ne pourrait pas penser aussi dans l’autre sens, c’est-à-dire créer des identités virtuelles, des choses comme ça, pour, justement, générer des trafics et générer du bruit, pour vérifier, effectivement, si des communications sont interceptées ?

Jérémie : Tu as quelque chose à faire dans ces trois prochaines années ? Ça me paraît, effectivement, être une très bonne idée de projet.

Public : Par exemple, les cartographes depuis très longtemps font ça en fait, créent des honeypots dans leurs cartes pour vérifier si des gens ne copient pas l’intégralité des données. C’est-à-dire qu’ils inventent des rues à des endroits qui n’existent pas. Si cette rue existe sur une autre base de données, effectivement ; les propriétaires d’annuaires, des choses comme ça ; ce sont des choses qui sont relativement courantes. Donc voilà.

Jérémie : Écoute, ça me semble être une très bonne idée d’un projet de logiciel libre. Une espèce de compagnon de défense active, un avatar de défense active, une espèce de compagnon virtuel. Maintenant, accroche-toi coco ! Si je puis me permettre de t’appeler coco, accroche-toi parce que tu vas devoir feinter ce qui, en face, sont les algorithmes de Google, de Palantir et de la NSA. À savoir, tu vas faire tourner ton machin sur une machine et tu vas peut-être feinter Google ; sur dix machines, tu vas peut-être feinter Google ; mais si ça devient aussi utile et important que ça en a l’air et que tu commences à avoir un million de ces profils générés, eh bien ton algo il a intérêt à être super balaise, pour qu’en une milliseconde Google, Facebook et consorts ne les identifient pas immédiatement et n’apprennent pas la petite règle de rien de tout qui leur permettra de contrer ton contre. Et ça devient, évidemment, une course à l’échalote. On a, en face, des algorithmes très balaises à contrer. Mais allez-lui parler, allez lui payer des bières à lui, si le projet vous intéresse. Potentiellement, a star is born. Bonne idée !

Public : C’est juste pour vous demander le nom du truc chinois à huit euros.

[Rires]

Jérémie : Le truc chinois. Oui. Je ne sais pas si c’est son nom officiel ou si c’est la façon dont Bunny l’a surnommé. Il s’appelle Fernvale, F, E, R, N, V, A, L, E. Mais si tu tapes Fernvale et 31C3, tu trouveras la présentation qu’en a faite Bunny au 31C3.

Public : Merci. Bonjour. Je voudrais te faire réagir, en fait, sur les liens qu’il y a, à l’heure actuelle, entre l’auto-hébergement, la vie privée, la surveillance. Je voulais reprendre, un peu, l’idée de Jean-Marc Manach, qui explique que lui, en tant que journaliste, finalement, il préfère utiliser le service mail de Google, Gmail, combiné avec GPG, avec Tor, avec VPN, parce que, en fait, il juge que, finalement, l’utilisation massive de Gmail renforce son anonymat, puisqu’il se fond dans la masse, et qu’après avec des outils de chiffrement comme GPG, comme Tor ! Je sais que, peut-être, tu ne partages pas son avis. Je trouve quand même son exposé relativement intéressant. Je crois qu’il y en a d’autres qui reprennent un peu de son idée, notamment Jean-Baptiste Favre aussi, sur son blog, qui explique que l’auto-hébergement, finalement, d’une part t’identifie plus que l’utilisation de certains services comme ça dans le cloud. Après, lui, Jean-Baptiste Favre, évoque la mutualisation par des associations, justement pour éviter ce genre de problème de l’auto-hébergement individuel. Mais pour terminer sur cette idée-là, il dit que, d’une part, le fait de se noyer dans la masse c’est quelque chose d’intéressant et, d’autre part, il dit notamment pour le chiffrement avec le protocole SMTP qui est particulièrement compliqué, eh bien, il fait plus confiance à Google et à son armée d’ingénieurs qui proposent justement et qui respectent l’état de l’art, plutôt que l’auto-hébergement avec des gens qui ne sont pas forcément aussi compétents, qui n’ont pas les mêmes moyens que Google. Voilà, je voulais te faire réagir là-dessus.

Jérémie : Il y a plein de questions en une. C’est passionnant. Alors, je n’aime pas jeter de piques à des gens qui ne sont pas dans la salle, mais Manach nous a quand même dit qu’il n’y avait pas de surveillance de masse en France, alors que depuis est arrivée une loi renseignement qui est venue légaliser des pratiques qui sont celles de la surveillance de masse et qu’on commence à voir fleurir des choses qui montrent que ça fait au moins depuis 2009. J’aime beaucoup Manach, il fait un très bon boulot sur plein de sujets. Il n’a pas toujours raison. Et, en l’occurrence, dire qu’on va être noyé dans la masse en étant chez Google, connaissant l’existence de XKeyscore et de PRISM, c’est une connerie ! Google c’est la botte de foin et c’est la connaissance de chaque brindille de la botte de foin. On ne peut pas se cacher dans Google.

En revanche, là, il y a une réflexion qui est tout à fait valide sur la nature de cette décentralisation qu’on appelle de nos vœux et le rôle que l’on veut y jouer. Et je suis d’accord, l’auto-hébergement, c’est le Graal, c’est l’objectif ultime. Aller dire à ton tonton, ta tata, ta maman : « Tiens, voilà une box, maintenant tu as tes mails chez toi. Bye-bye ! », c’est suicidaire. C’est comme y aller il y a quinze ans en disant :« Tiens, je t’installe Debian, ça marche tout seul. Aller salut ! » C’est l’assurance d’avoir un coup de fil dans les trois heures, dans les trois jours, dans les trois semaines. Et donc, non ! En attendant d’avoir la vision FreedomBox d’un machin qui marche vraiment tout seul, qui apporte des services ajoutés et un effet réseau qui fait que, quand avec ta FreedomBox de chez Tétaneutral, que tu vas envoyer un mail à tes amis de chez Tétaneutral, tu ne vas ne voyager que par Tétaneutral et là tu auras vraiment un bénéfice manifeste à ne pas faire sortir ta communication. D’ici là, il faut peut-être, effectivement, regarder à des points intermédiaires de décentralisation. La décentralisation, comme beaucoup de choses en ce bas monde, ce n’est pas 0 ou 1. Ce n’est pas ou tout Google ou tout chacun chez soi. Ça peut être à l’échelle d’une bande de potes, ça peut être à l’échelle du Tetalab, ça peut être à l’échelle de Mix’Art Myrys, ça peut à l’échelle de telle école d’ingés, de telle promo d’une école d’ingés, d’une bande de potes, qu’on va se louer un serveur et se faire un truc. Mais avant tout, c’est une démarche militante et c’est une démarche politique.

Quand Manach a l’impression de se cacher de Google, va chiffrer ses mails et les envoyer chez Google, il sait qu’il laisse quand même plein de méta-data chez Google et que, donc, il va travailler gratuitement, quand même, par Google. Il va enrichir la Google, il va contribuer à la Google, et quand des gens vont se dire « mais regardez, un type qui s’intéresse à ce point à la surveillance que Jean-Marc Manach utilise Google, eh bien c’est bon, je peux l’utiliser aussi ! » C’est une forme de renoncement et surtout, c’est ne pas reconnaître l’objectif politique de Fuck off Google. Et moi je pourrais répondre à cette question en trois mots qui sont Fuck off Google. On ne veut pas de ces gens-là qui participent à l’espionnage de masse ; on ne les veut pas dans nos poches, dans nos vies, dans nos maisons. On ne veut pas de ces gens-là. Ils sont en train de développer des robots tueurs en absorbant les données génétiques de la planète entière, en faisant des voitures qui se conduisent toute seules et en achetant de l’énergie. On ne veut pas de ces gens-là. On n’en veut pas dans notre monde. Donc dire « on va mettre nos mails ici quand même ! » En vrai, je pense qu’il a la flemme. Et voilà. Mais je lui dirai en face. Ça m’ennuie. Jean-Marc, si tu regardes, une bière !

Public : Si on parle de l’auto-hébergement, il y a plusieurs personnes, plutôt pas mal, qui nous disent que, finalement, on va être beaucoup plus facilement ciblé en s’auto-herbergeant qu’en utilisant des services.

Jérémie : J’ai essayé d’éviter, et je crois que j’ai échoué, de rentrer trop profond dans les considérations qui ont trait à la sécurité informatique, parce que si tu veux faire ça bien, tu le sais sans doute, il faut que tu partes d’une analyse de risques rigoureuse et de la définition de modèles de menaces. Tu ne peux pas dire la sécurité avec un S majuscule. Il y a la sécurité pour toi, la sécurité pour toi [Jérémie indique une autre personne], la sécurité pour toi [Jérémie indique une autre personne], la sécurité pour moi, et il y en a des différentes. Donc j’ai évoqué, sans distinction, pour justement faire un peu ce raccourci-là, la surveillance de masse qui fait partie du modèle de menace de tout le monde. On veut tous échapper à la surveillance de masse. On a tous un intérêt humain, économique, politique, à échapper à la surveillance de masse. Après, il y a les modèles de menaces un peu plus spécifiques. Moi, par exemple, je suis un ami de Jacob Appelbaum, de Julien Assange, et je suis allé me balader à Tarnac la semaine dernière. Donc je m’attends à être beaucoup plus ciblé que quelqu’un qui n’a jamais fait de bruit, qui ne s’est jamais engagé en politique et qui travaille dans une boulangerie.

Donc dire « ça marche ou ça ne marche pas, ça protège ou ça ne protège pas », ça dépend de qui, ça dépend de quoi et ça dépend de comment. En revanche, l’auto-hébergement, pour une bonne partie de la surveillance de masse et quand assez de personnes l’utilisent, là, ça peut fonctionner. Si des gens, comme on disait tout à l’heure, sont tous chez Tétaneutral, chacun avec sa boîte, et s’envoient des mails de Tétaneutral à Tétaneutral, alors il est beaucoup plus dur, pour la NSA, d’avoir même ces méta-data, même ces traces d’activité, ces données de connexion-là.

Donc l’objectif politique c’est celui-là. La vision c’est celle-là. On va avoir assez de gens qui seront sur des hôtes assez distincts de Google, pour que les trajets soient assez courts, pour que la surveillance de masse y soit compliquée et, juste pour ça, ça vaut le coup de le faire. Après, on sera sans doute d’accord que le mail c’est mort. On est foutus, on n’aura jamais moyen de sécuriser le mail.

Donc est-ce que ça va être du Pond ? Est-ce qu’on va tout faire via OTR et XMPP, est-ce que truc, est-ce que machin ? Et on aurait dû se poser ces questions-là il y a quinze ans déjà. Est-ce que ça va être CaliOpen20, dont, je crois, il y a une présentation qui arrive, mais qui n’a pas pour but de remplacer initialement les protocoles mails existants, juste de les enrober pour, éventuellement un jour les dépasser. On a un vrai problème avec le mail et le fait est que quand tu as des choses vraiment confidentielles à discuter ou à échanger, tu as intérêt à ne pas le faire par mail. Et ça, c’est très triste. Voilà, pas d’autre réponse sur cette partie-là.

Fabien L. : Eh bien merci beaucoup Jérémie. C’est tout le temps qu’on avait, malheureusement.

Jérémie : Quoi ! C’est tout quoi, non, attends, il est 23. Arrêtez, ne déconnez pas !

Fabien L. : Je vous invite tous à aller prendre une…

Jérémie : Encore une question, encore une question, encore deux questions, encore deux questions,.

Public : Juste. Oui. Tu as parlé du fait que c’était il y a trente la notion de logiciel libre et tout ça.

Jérémie : Trente-deux maintenant.

Public : Trente-deux, oui. Je vous invite tous à lire Ivan Illich qui a conceptualisé ça un peu avant, avec des amis, dont la notion de convivialité, d’outils conviviaux. Et en fait, le logiciel libre serait juste une application au logiciel du concept d’outil convivial. C’est tout. Bonne soirée.

Jérémie : Merci. Encore une dernière question.

Fabien L. : Non. Il faut…

Jérémie : Allez une toute petite, une minuscule question. D’accord, bon les questions se feront autour d’une bière alors.

Fabien L. : Autour d’une bière, au bar de la Bulle, ou encore mieux, avec des pâtes carbonara, parce qu’il y a des pâtes carbonara au bar de la Bulle pour le public. Et puis ce soir, à 21 heures, il y aura un concert, là-bas, au bar de la Bulle. Voilà.

Jérémie : Merci Myrys.

Fabien L. : Merci beaucoup.

Jérémie : Merci à tous.

[Applaudissements]

Comme indiqué sur leur site :

Sauf mention contraire indiquée sur une page ou un document, vous êtes encouragés à utiliser, copier, diffuser et modifier les documents publiés par l’April selon les termes d’au moins une des licences suivantes : licence Art libre1 version 1.3 ou ultérieure, licence Creative Commons By Sa2 version 2.0 ou ultérieure et licence GNU FDL3 version 1.3 ou ultérieure.

 

 

Source : Rage against the machine : de quoi devons-nous nous libérer aujourd’hui ? – Jérémie Zimmermann | April

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.