Rétrospective 2009 Informatique déloyale
Vote électronique[modifier]
Concernant les ordinateurs de vote, l'année a été riche en événements :
- la France estime qu'il faudrait revoir « certaines dispositions législatives et réglementaires, ainsi que le règlement technique qui leur est applicable » (en résumé un peu tout), mais les utilise pour les élections européennes, tandis que certains se plaignent des votes par Internet internes à l'UMP ou font un recours devant le Conseil d'État suite à l'élection de l'assemblée des Français de l'étranger (vote par correspondance et par Internet)
- la Finlande se satisfait des erreurs et d'une menace sur l'anonymat du vote, puis invalide en appel des élections electroniques en test pour mauvaise information des électeurs, perte de votes et enregistrement de votes invalides
- l'Irlande l'éponge et repasse au vote papier après avoir dépensé 51 millions d'euros, trop cher et perte de confiance des électeurs
- la Cour constitutionnelle allemande interdit les ordinateurs Diebold pour défaut de transparence
- le Dakota du Sud se découvre près de 5000 électeurs fantomes suite à un bug logiciel, tandis qu'une faille sécurité est annoncée sur les ordinateurs Sequoia utilisés dans divers états et un rapport d'ambassade français sur les États-Unis évoque « des contrats propriétaires pour protéger leurs secrets de fabrication », de l'« opacité », « un taux d'erreurs de 5% » (et ça ne serait pas le plus grave) et conclut que ces machines passent à côté du vrai défi, les registres électoraux. Et pendant ce temps le vendeur ES&S achète le vendeur Diebold/Premier Election : « les deux frères Bob Urosevich (président de Diebold Election Systems) et Todd Urosevich (vice-président de ES&S) ont traité en 2005 80% des votes américains, avec les risques qu'une telle position dominante implique. »
- ...
L'année passée ne change rien, le logiciel libre n'est toujours pas une condition suffisante au vote électronique, quoi que dise l'Estonie qui vote par Internet et qui a oublié un peu vite sa vulnérabilité aux cyberattaques.
Profilage, données personnelles et fuite d'informations[modifier]
L'année 2009 a commencé par une prise de conscience des traces multiples qu'un internaute laisse sur internet, avec la traque d'un lecteur du journal Le Tigre, déclenchant des débats sur le rapport à la privée des jeunes cons par rapport aux vieux cons. Les pratiques de collecte et de profilage des réseaux sociaux et des publicitaires ont encore fait couler beaucoup de bits sur la réduction ou la disparition de la sphère privée. Au Royaume-Uni, la fondation Wikimedia a par exemple refusé Phorm, la technologie de publicité comportementale de BT ciblant les internautes. En France, Médiamétrie a annoncé l'élaboration d'un dispositif « permettant de suivre en temps réel les comportements des foyers abonnés au service "triple play" haut débit des fournisseurs d'accès internet ». La chaîne de magasins américaine Sears a admis avoir installé des logiciels espions de ComScore sur les ordinateurs de ses clients afin de suivre leurs habitudes de navigation sur Internet.
Et la question de la géolocalisation (par adresse IP, antenne GSM, GPS, puce RFID, etc.) se pose de plus en plus. Le Contrôleur européen de la protection des données (CEPD) Peter Hustinx recommande une « clarification des responsabilités », des « garanties pour l'utilisation des technologies de localisation » (ne pas être intrusif en termes de vie privée), de la « privacy by design » (« la protection de la vie privée et les exigences de sécurité doivent être incorporées dans les normes, les meilleures pratiques, les spécifications techniques et les systèmes. »). Pendant ce temps des passeports RFID peuvent être lus à votre insu et clonés.
Le respect de la vie privée dans le numérique passe par l'utilisation de logiciels libres, transparents, sans mouchard, mais aussi cela nécessite aussi de faire attention aux données personnelles que l'on diffuse et à qui on les transmet.
Filtrage gouvernemental et surveillance étatique[modifier]
Quand la police adopte des méthodes de délinquants : la police nationale britannique veut utiliser des courriels piégés, des chevaux de Troie et des enregistreurs de la frappe clavier, tandis la direction nationale antimafia italienne voudrait contrôler/interception au niveau européen les communications en voix sur IP. Pendant ce temps, la Finlande débat d'une loi de surveillance à grande échelle pour éviter « la fuite de secrets commerciaux, la copie de documents copyrightés, l'atteinte aux réseaux d'entreprise par des pièces jointes et des malware », et la France vote des mouchards filtrants HADOPI dans un bel acharnement gouvernemental contre le Libre, en attendant le filtrage LOPPSI. Au niveau européen, l'Eurojust cherche des moyens légaux pour autoriser les écoutes de conversations téléphoniques sur IP.
Et divers pays cherchent à surveiller (légalement, pas comme l'écoute illégale via NSA/AT&T aux États-Unis ou le réseau d'écoute Echelon en France) l'intégralité du trafic internet : le Royaume-Uni veut « collecter l'ensemble des données sur tout le monde, juste au cas où » et la France veut son « Système Hérisson - Habile Extraction du Renseignement d'Intérêt Stratégique à partir de Sources Ouvertes Numérisées » sur tous les contenus, tous les types de contenu, multilingue, etc. On apprend d'ailleurs que le chiffrement GSM de la téléphonie mobile est cassé.
Parfois certaines entreprises comme Microsoft se prennent pour des États et interdisent leurs logiciels à certains pays, tout en invoquant la liberté d'expression lorsque Beijing veut installer un logiciel de contrôle dans chaque ordinateur individuel vendu en Chine.
L'importance de l'existence de logiciels libres de sécurisation, de chiffrement et d'anonymisation est de nouveau démontrée.
DRM, menottes numériques et contrôle de l'usage privé[modifier]
Adobe annonce la publication des spécifications de Real-Time Messaging Protocol (RTMP), mais veut garder la main sur son verrou DRM : le projet libre rtmpdump énerve la société, qui invoque le DMCA (loi américaine qui a donné l'EUCD en Europe et la DADVSI en France) sous prétexte de défense des auteurs ou ayants-droit. Pour sa part, Microsoft poursuit dans les DRM et le client captif.
Du côté Apple, les iPhone sont bridés/verrouillés pour n'utiliser que les applications en provenance du site Apple iTunes App Store et Apple juge illégale toute tentative de contournement, la considérant aussi comme une violation de copyright et une violation du DMCA. Les raisons (peu crédibles) évoquées sont la sûreté, la sécurité, la fiabilité et le fait que cela ouvrirait grand les portes aux méchants contrefacteurs. La DGCCRF y verrait probablement une clause abusive empêchant de disposer librement de son matériel, un matériel de type « produit jetable complexe à recycler » à batterie intégrée par choix stratégique de l'entreprise, associé à « l'une des plateformes informatiques les plus verrouillées en termes de mesures anticopie », à une plateforme de téléchargement centralisée et contrôlée/censurée, un appareil aux pratiques parmi « les plus intrusives » pour la vie privée.
La FTC (agence indépendante du gouvernement des États-Unis agissant dans le domaine du droit de la consommation) a annoncé qu'elle allait s'intéresser à l'utilisation des menottes numériques dans les jeux vidéos, encouragée par l'EFF et Defective By Design. La FTC a demandé l'arrêt des DRM dissimulés type cheval de Troie de Sony, du manque d'informations aux consommateurs, des promesses des publicités non tenues dans les EULA, des disparitions de serveurs d'authentification pour DRM, et évoqué le premier ministre britannique Gordon Brown ayant du mal à lire un DVD cadeau du président américain Barack Obama en raison du zonage géographique du support.
Comme en écho,
- quelques possesseurs de Kindle, en délicatesse avec Amazon, ont vu leur accès aux livres électroniques qu'ils avaient légalement achetés, bloqué. Heureusement Amazon s'est réservé le droit de modifier, supprimer ou arrêter sons ervice à tout moment, et n'est responsable de rien. Par la suite Amazon a détruit à distance des livres comme « 1984 » ou « la Ferme des animaux » de George Orwell (et les notes des lecteurs) en raison d'un problème de droits. Un hacker/bidouilleur israélien a cassé le DRM du Kindle, rédigeant son script "en l'honneur de Richard M. Stallman et son texte, « le droit de lire »".
- Lulu.com, éditeur en ligne spécialisé dans l'autopublication, fondé par l'ancien PDG de RedHat, a ajouté une option payante de verrouillage et de restriction pour ses livres numériques
- l'étude Landmark évoque une malvoyante qui doit télécharger une version contrefaite de la bible sur le net parce que sa version légalement achetée est verrouillée et empêche la lecture par synthèse vocale, des archivistes qui doivent contourner DeCSS qui joue l'embrouille sur les DVD, etc. et des producteurs qui ne veulent pas s'embêter avec ces détails, sinon cela ne serait pas rentable...
- un système DRM a empêché certaines séances en avant-première du film Avatar en Allemagne : la société gérant le DRM n'a pu fournir à temps les clés nécessaires par film par projecteur par serveur de diffusion par cinéma.
- Office 2003 a bloqué l'accès aux documents produits avec cette suite propriétaire en raison d'un certificat Information Rights Management (IRM) expiré dans le système Rights Management Service (RMS). "Erreur inattendue s'est produite. Veuillez réessayer ultérieurement ou contactez votre administrateur système"
- le bac musique en France cherche à imposer système d'exploitation, lecteur multimédia, navigateur web, baladeur numérique, avec en bonus des verrous sur l'usage via DRM et sur le web via une politique anti-hyperlien
- dans la même veine que StopDRM.info en France : « Au Danemark, il est légal de faire des copies de vidéos commerciales pour sauvegarde ou pour des besoins privés. Il est aussi illégal de contourner un DRM qui restreint la copie de DVD. Pour savoir quelle est la loi qui prévaut, Henrik Anderson s'est dénoncé lui-même pour 100 violations de contournement de DRM (il a copié sa collection de DVD sur son ordinateur) et a demandé au groupe anti-pirate danois Antipiratgruppen de réagir. Ils lui ont promis une réponse mais ils n'ont pas répondu. Alors il s'est auto-dénoncé à la police. Il veut un procès, pour que la légalité de la loi anti-contournement de DRM soit évaluée en justice. »
- un auteur a fait l'expérience de vendre un de ses livres électroniques sans DRM et constate des augmentations du nombre de contrefaçons en ligne et des ventes de livres papiers. Son idée serait de donner aux lecteurs une « raison d'acheter », par exemple le concept de « livre vivant » d'O'Reilly qui met à disposition les mises à jour des versions électroniques. Et d'autres s'y mettent aussi.
- ...
L'Electronic Frontier Foundation a publié un récapitulatif concernant les lecteurs numériques : « Les livres numériques commencent à transformer notre manière d'acheter et lire les livres de la même façon que les mp3 ont modifiée la façon dont nous achetons et écoutons de la musique constate l'EFF. Malheureusement, estime-t-elle, la technologie présente de nouvelles et significatives menaces pour la vie privée." » Plus particulièrement « la faculté pour la plate-forme de surveiller ce que le lecteur est en train de lire, la faculté de conserver les données de recherches ou des livres achetés, avec qui les plates-formes partagent ces informations collectées et l'emprise des clients sur cet amas de données récoltées » Veut-on vraiment confier sa vie numérique à des lecteurs propriétaires opaques et agissant en douce ?
Matériel et informatique déloyale[modifier]
Les américains Bob Barr (Libertarian Party) et Ralph Nader (Green Party) soutiennent le « Right-To-Repair Act » (H.R. 2057), proposition de loi visant à permettre de réparer les voitures en autorisant le contournement des verrous numériques (DRM, logiciels propriétaires, non-interopérabilité, spécifications gardées secrètes, codes d'activation, etc.) sur les équipements électroniques omniprésents dans les véhicules récents. L'objectif est notamment d'éviter que seul un concessionnaire d'une marque donnée puisse réparer les voitures de telle ou telle marque (ou que seul le constructeur puisse réparer...).
Hewlett Packard continue de verrouiller ses cartouches d'encre par zonage géographique. Dans le passé, Lexmark a déjà engagé des poursuites via le DMCA américain sur des histoires de cartouches et HP des poursuites pour violation de brevets (et critiqué Lexmark pour avoir utiliser le DMCA).
Un cassage de cartouches Nintendo, contournant un DRM pour ajouter des fonctionnalités sur du matériel que l'on possède, n'est pas illégal en Espagne. Une action de groupe pourrait avoir lieu contre Microsoft pour le bannissement de possesseurs de XBox modifiées et l'EFF dénonce les conditions d'utilisation des Xbox.
Nintendo France a perdu en première instance contre le vendeur de cartouches Flash Divineo permettant de faire tourner des jeux contrefaits sur DS, des copies de sauvegarde et des programmes maison.
Le film « Trusted Computing » a été doublé en français pour montrer que l'informatique dite « de confiance » est justement à l'opposé de la problématique réelle. Et rappeler qu'un système 100% logiciels libres fonctionnant sur du matériel déloyal est sapé dans ses fondations.