« Rage against the machine - Jérémie Zimmermann » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
(Contenu remplacé par « Catégorie:Transcriptions Publié [https://www.april.org/rage-against-machine-de-quoi-devons-nous-nous-liberer-aujourd-hui-jeremie-zimmermann ici] - Janvier 2018 »)
 
(28 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
[[Catégorie:Transcriptions]]
[[Catégorie:Transcriptions]]


'''Titre :''' Rage against the machine : de quoi devons-nous nous libérer aujourd'hui ?
Publié [https://www.april.org/rage-against-machine-de-quoi-devons-nous-nous-liberer-aujourd-hui-jeremie-zimmermann ici] - Janvier 2018
 
'''Intervenant :''' Jérémie Zimmermann
 
'''Lieu :''' Toulouse - Bazar du Libre
 
'''Date :''' Novembre 2015
 
'''Durée :''' 1 h 24 min
 
'''[https://www.youtube.com/watch?v=R4Jz56XTm4Y&list=PLl5L_Q3U-E4Xqaq4ZxHNHxbGNlc2u-N9F&index=13 Lien]''' vers la '''vidéo'''
 
==Transcription==
 
==00' ''MO''==
 
'''Présentateur :''' Eh bien merci d’être venus, merci de rendre cet événement possible par votre présence. Merci beaucoup à Mix'Art Myrys de nous accueillir. Merci à tous les autres lieux aussi. J'ai été concentré sur le lieu ici, mais il y a beaucoup d'efforts qui ont été déployés partout. Je ne vais pas refaire toute l'histoire, mais mardi soir, je suis venu à Mix'Art Myrys pour leur demander si on pouvait faire quelque chose ici. Tout à l'heure j'ai dit qu'on m'a donné un oui inconditionnel. Ce n'est pas tout à fait vrai. En fait, on m'a posé deux questions. On m'a posé une première question qui est assez critique ici à Mix'Art Myrys. On m'a demandé : « Vous attendez combien de gens, exactement, parce qu'il faut qu'on prévoie assez de bières ? » ''Rires''. Authentique. C'est vrai. Et puis, après, il y a une deuxième question qui est arrivée. Je dois dire que c'est une jolie voix féminine qui l'a posée, c’était : « Est-ce que Jérémie Zimmermann va être présent ? ». Donc voilà. Le lendemain, sur IRC, dès que j'ai remis mon PC, j'ai tapé « sudo apt get install conférence Jérémie Zimmermann - Mix'Art Myrys ». Et voilà. Il est là. Il est venu nous interpréter des chansons de ''Rage against the machine'', si j'ai bien compris. C'est ça ? Voilà. Bon, eh bien je te laisse parler.
 
''Applaudissements''
 
'''Jérémie Zimmermann :''' Merci. ''Fuck you. I wont do what you tell me''. J'espère que tu as vérifié l'origine du certificat quand tu as installé ce paquet parce que, voilà ! Je suis ravi que ça se passe ici, et pas exactement comme prévu, parce qu'ici on est un peu plus les uns sur les autres, on est un peu plus à se voir, à se rencontrer, à se parler, et que j'ai l'impression que c'est de ça dont on a besoin en ce moment. Aussi parce que c'est un petit peu ça la force de nos mouvements, de nos communautés, d’être capables, en quatre jours, de faire clac pouf, et d'une annulation faire quelque chose de nouveau, de potentiellement encore plus intéressant, en tout cas quelque chose de différent. Cette capacité d'adaptation est impressionnante, et doit être saluée autant que tout le reste. Merci Myrys. Merci papa, maman, tout le monde. C'est très chouette.
 
Oui, le titre un peu en forme de troll ''Rage against the machine''. Je ne vais pas vous raconter trop ma vie non plus, mais ça partait d'une espèce de constat, assez amer, que j'ai fait il y a quelque temps, en me rendant compte que moi, jeune nerd que j'ai pu être dans les années 90, fasciné par la technologie comme beaucoup d'entre nous ont pu l’être, découvrant les internets des petits éclairs dans les yeux, tombant littéralement amoureux des internets et de tous ceux qu'il y avait de l’autre côté, ne jurant que par ça, voyant la solution à tous les problèmes de l'humanité dans les internets et les ordinateurs, eh bien je suis tombé de la commode, je suis tombé de mon arbre. Et je pense qu'on a tous eu, un petit peu, un sentiment comme ça autour de 2012, autour des révélations. Je déteste appeler ça des révélations, ça donne un caractère religieux, voire carrément messianique à ce pauvre Edward Snowden qui n'a rien demandé, mais depuis que ces documents ont été révélés, vous avez peut-être, comme moi, porté un petit peu attention, outre les annonces et les trucs un petit peu tonitruants, au contenu même des programmes de la NSA, et notamment un programme qui s'appelle ''Bullrun''.
 
On a beaucoup parlé de PRISM. PRISM, vous vous rappelez, c'est l'accès ''open bar'' à toutes les données de Google, Facebook, Apple, Microsoft, toutes les données de tout le monde, tout le temps, par les services de renseignement et leurs myriades de partenaires publics et privés. Ça veut dire la fin de la vie privée sur nos comportements sur Internet, la fin de la vie privée sur les données qu'on échange, sur nos communications, sur ce que l'on lit, ce que l'on fait. Mais ''Bullrun'' est tout aussi important et intéressant que PRISM. ''Bullrun'', c'est 250 millions de dollars par an, utilisés par la NSA, pour aller, activement, prendre le contrôle des technologies permettant de sécuriser les données, de sécuriser les communications. Ça veut dire la NSA qui se débrouille pour avoir un pied dans toutes les portes et dans toutes les fenêtres. Pour s'assurer que si une technologie existe, qu'elle est commercialisée, qu'elle est distribuée, qu'elle est mise sur le marché, et qui annonce qu'elle va protéger les données, ou qu'elle va protéger les communications, ça veut dire s'assurer qu'en fait non, s'assurer que la NSA et donc le bon million de personnes qu'il peut y avoir autour de cette espèce de complexe cyber – militaro – industriel, plus ou moins flou, que ces gens-là continuent d'avoir accès à ce que l'on est censé protéger.
 
Et quand on a regardé le contenu du programme ''Bullrun'', on s'est aperçu qu'il y avait là une palette, gigantesque, de modes d'action pour la NSA. Vous imaginez un budget de 250 millions par an, ça laisse un petit peu de marge de manœuvre. Le truc le plus flagrant, le plus abject, c'est la corruption, pure et simple. C'est donner 10 millions de dollars à l'entreprise RSA, qui fait des produits de chiffrement, des produits de sécurité, pour leur dire : « Vous laissez un trou de sécurité ouvert, parce que nous on l'aime bien cette sécurité ». Au passage, si la NSA l'aime bien, ça veut peut-être dire aussi que les Russes, Chinois l'aiment bien, donc une bande de malveillants, à la petite semaine, vont aussi bien l'aimer. Donc on voit là la démarche de la NSA qui, au nom d'un hyper sécurité, se retrouve à affaiblir la sécurité de tout le monde. Ça c'est un exemple. C'est donc la corruption active d'entreprises qui sécurisent les communications.
 
Mais on a vu aussi des choses beaucoup plus insidieuses que ça. On a vu la NSA qui a donc, au travers de ''Bullrun'', infiltré des standards, des comités de standardisation, donc des réunions officielles dans lesquelles des représentants industriels, étatiques, se réunissent et discutent de comment arriver à des standards pour sécuriser les données, pour sécuriser les communications. Et là aussi, la NSA arrivait, avec un pied dedans, en disant : « Non, non, mais ça on va le rendre un petit peu plus facile, un petit peu ceci, un petit peu cela ». Ça voulait dire on va faire en sorte qu'on puise le casser, plutôt qu'essayer de le rendre inviolable.
 
On a vu ça, donc un nombre assez conséquent de modes d'actions. On sait qu'ils ont aussi infiltré des équipes de développement. Là, tout simplement, il doit s'agir de faire recruter quelqu'un, générer le CV idéal, et envoyer la bonne personne au bon endroit se faire recruter. Ensuite s'assurer que toutes les trois lignes de code il y en ait une dans laquelle il y a une petite farce, un petit œuf Kinder, qui permet à la NSA de rentrer dedans quand elle le souhaite.
 
Et donc quand on déroule ça, on s’aperçoit qu'il s'agit d'une entreprise de sabotage, de sabotage actif de la technologie, de toute la technologie, de tous les outils que l'on utilise. Et si PRISM, la liste des participants est bien connue, Microsoft, Apple, Facebook, Google et compagnie, dans ''Bullrun'' c'est beaucoup plus flou, mais on a vu des entreprises comme Motorola, Qualcomm, Intel, Cisco, des gens qui fabriquent le hardware, des gens qui font le matériel, des gens qui font les puces dans les téléphones, les puces dans les ordinateurs, les puces dans les réseaux, et on s'est aperçu que c'est donc tous les ordinateurs, quelle que soit leur forme, qu'ils soient posés sur un bureau, sur les genoux, dans la poche, ou dans un data center, tous les ordinateurs, quels qu'ils soient, qui ont été activement sabotés.
 
Et c'est ça l'ère Snowden. C'est ça le monde dans lequel on vit aujourd'hui, depuis que l'on a pris connaissance de ces documents-là. C'est un monde dans lequel, eh bien la technologie dans laquelle on avait tant confiance, dans laquelle on avait tant de foi, qui était notre amie, ces ordinateurs que l'on pouvait comprendre, ces ordinateurs que l'on pouvait apprendre, ces ordinateurs qui nous apprenaient à apprendre, sont en réalité, aujourd'hui, des instruments de contrôle, des instruments d'oppression, qui sont, en pratique, devenus nos ennemis, qui sont tournés contre nous.
 
Voici cette ''Rage against the machine'' dont on parlait tout à l'heure. Je me suis aperçu que moi technophile, nerd, enthousiaste, je commençais à haïr les machines. Je commençais à haïr les ordinateurs. Si ce n'est pas un comble ça ! Et la première forme que ça prend ça, c’est que, de plus en plus souvent, je vais activement faire en sorte d’être ''off line''. Complètement ''off line''. C'est-à-dire avec la batterie du téléphone sortie, pour avoir une vraie conversation, dire des choses importantes, et m'assurer qu'il n'y ait pas, par inadvertance, un truc qui puisse enregistrer ou quoi, parce qu'on n'a pas vraiment moyen de le savoir aujourd'hui. Mais j'ai de la chance, j'ai un de ces ordinateurs de poche dont on peut encore retirer la batterie. Et ce n'est plus le cas de bien des machines qui sont vendues aujourd'hui.
 
Donc, pourquoi j'ai voulu ouvrir cette discussion ici, et j'ai vu qu'on m'avait mis un créneau d'une heure trente, alors qu'il n'y a pas forcément, enfin je n'ai de toute façon pas pensé occuper tout ce temps-là. J'ai surtout envie de lâcher le micro, et d'ouvrir ça dans une conversation la plus ouverte possible avec vous tous, parce que, ici, il y a beaucoup de gens qui sont, comme moi j'ai pu l’être, vraiment le nez dans la technique, les bras sous le capot, à fond de ça, et j'aimerais avant tout vous entendre là-dessus.
 
Mon idée c'était, comme la NSA a mis une bonne quinzaine d'années à obtenir ces budgets quasi illimités, et obtenir ces accès quasi illimités, avec toutes ces entreprises-là, pour arriver à subvertir, à saboter, tous les appareils, tous les ordinateurs, toutes les technologies qu'on utilise aujourd'hui. Ça, ça partait d'une stratégie très précise, qui devait être écrite bien avant le 11 septembre 2001, jour où la justification de toutes ces choses-là est devenue politiquement évidente. Tout parallèle avec une situation politique en France serait, hélas, pas tout à fait fortuite. Cette stratégie de la NSA était quelque chose de pensé très en avant, pour que, au 11 septembre 2001, ou six semaines après quand le ''Patriot Act'' a été adopté, pour que le ''Patriot Act'' ait déjà été écrit le 11 septembre 2001, il a fallu se pencher dessus bien avant. Et donc il a fallu se projeter, à un moment où il aurait été inacceptable aux États-Unis d'Amérique de mettre en œuvre la surveillance de tous les citoyens, et de tous les citoyens du monde, et d'aller tout casser, et d'aller s'infiltrer partout. Eh bien, au moment où c’était inacceptable, des gens ont réfléchi, se sont réunis et ont créé cette réalité. Ont créé cette réalité, ils l'ont projetée, ils l'ont projetée tellement forte qu'ils en ont fait la réalité, et que cette réalité, aujourd'hui, s'exporte.
 
==12' 00==
 
Mais j'ai l'impression que ce fait d'établir une vision, et d'établir une stratégie, est, quelque part, quelque chose qui manque dans nos communautés. On se nourrit de cette merveilleuse diversité que fournit le logiciel libre. On est dans cette coopétition dans laquelle on agit chacun avec les autres, mais en même temps chacun dans la direction de notre choix et, quelque part, l’histoire tranche. C'est peut-être Casa(?), c'est peut-être Red Bull, c'est peut-être Bittorrent, ça devient Bittorrent, c’est peut-être Debian, c'est peut-être Ubuntu, c'est peut-être Devuan, et un truc émerge, au fil du temps. Mais, pour autant, je pense que cette approche, cette nature qui est la nôtre, n'est pas incompatible avec le fait, de temps en temps, de sortir le nez du guidon, de réfléchir en termes stratégiques, de se demander quel pourrait être notre monde idéal, comment on aimerait y arriver, même si, aujourd'hui, on a l'impression qu'on ne peut pas, et de là, de former une vision et surtout de partager une vision.
 
Alors vaste programme. Je n'ai absolument pas prétention à faire ça, ni en une heure, ni en une heure et demie, ni en toute une vie, mais je pense que ce sont des objectifs essentiels aujourd'hui, si l'on arrive à reconnaître qu'on est en train de perdre pied, que l'on a énormément perdu de terrain face à nos adversaires, et qu'il est aujourd'hui '''indispensable''' de réagir et de reprendre du terrain, de reconquérir nos libertés, de reprendre, ou juste de prendre, tout simplement, le contrôle de ces machines, que nous avons perdu.
 
Donc l'idée, ici, c'est d'avoir une discussion qui, pour une fois, pour ceux qui me connaissent, ne sera pas une discussion qui portera sur les sujets politiques, ou législatifs, immédiats. Je ne vais pas parler de lois, je ne vais pas parler du gouvernement, je ne vais pas parler du 12, du 13, du 14 novembre, ni du projet de loi qui a été adopté hier. Merde, je suis en train d'en parler ! L'idée, c'est de parler en termes plus génériques, en termes politiques, certes, mais en termes politiques plus génériques. De parler en termes techno-politiques, de parler, ensemble, de cette interaction entre la technologie et la politique. C'est quelque chose que nous, les nerds, on a particulièrement tendance à oublier. On a une grande capacité à oublier. Vous savez, sans caricaturer, que faire du code, ou s'impliquer dans la conception, la mise en œuvre de systèmes d'information, ce sont des choses qui nécessitent parfois une grande concentration, donc parfois des esprits un petit peu introvertis, qui ont une grande capacité à se projeter sur une tâche. Mais, parfois, le revers de cette médaille-là, c'est quand on est complètement projeté, quand on est un ''one man army'', quand on est un homme orchestre, une femme orchestre, d'un projet particulier, d'un tâche en particulier, eh bien on a parfois tendance à oublier de relever le nez, et de regarder ce qu'il y a autour. Eh bien, le pari que je fais ici, c'est qu'on a, peut-être aujourd'hui, tous besoin de lever le nez, de regarder autour, et d’interconnecter, un petit peu, ce que l'on voit autour.
 
Donc trois points principalement.
 
Qu'est-ce que c'est que cette machine que l'on déteste aujourd'hui ? Comment s'en libérer ? Qu'est-ce que ça veut dire se libérer aujourd'hui ? Et, troisième point, une liste indéfinie, incertaine, de pistes de réflexion, basée sur des cas d'utilisateurs, sur des ''news cases'', comme on dit en bon français, et des modèles qui peuvent nous permettre, peut-être, de penser comment articuler tout ça ensemble.
 
Comment la machine est devenue ce qu'elle est devenue ? Comment la machine est devenue un outil de contrôle ? Comment les ordinateurs, tous les ordinateurs que l'on a aujourd'hui, sont des instruments de pression, en tout cas des outils dans lesquels on ne peut pas avoir confiance. Et cette notion de confiance, je crois, doit être au cœur de nos réflexions.
 
Vous le savez parce que vous êtes ici, il y a un truc qui est évident, c'est le logiciel propriétaire. Vous ne m'avez pas attendu pour en entendre parler. Vous avez tous vu Richard Stallman, peut-être, parler déjà, avec son charmant accent qui est que ''[Jérémie imite la voix de Richard Stallman]''« le logiciel propriétaire c'est le logiciel privateur, c'est le logiciel qui prive de vos libertés ». Je sais, je fais très mal Richard Stallman, qu'il me pardonne s'il voit ça un jour, si on lui dit. Par définition, ce logiciel propriétaire, ce logiciel privateur, c'est celui qui ne permet pas à l'utilisateur de savoir ce qu'il fait. Si toi, utilisateur, dis « eh bien moi j'aimerais bien savoir ce que Windows fait quand je détecte un paquet qui sort de mon réseau, juste après avoir mis mon numéro de carte de crédit, et je ne comprends pas bien ». On te répond « Te, te, secret professionnel, secret des affaires. Ce n'est pas le code source, ce n'est pas comme si c'était la ressource d'un plat que tu étais en train de manger, ce n'est pas comme si on était obligé de mettre la liste, au moins la liste des ingrédients sur la boite. Non, non, non. C'est juste notre secret. On ne le révèle pas ». Mais de là, en ne le révélant pas, on ne révèle pas le fonctionnement. Donc on maintient l'utilisateur dans une espèce d'ignorance artificielle, à but commercial, mais aussi, on le voit, à but politique. Donc cette propriétarisation des logiciels, elle est évidente pour tout le monde.
 
Le fait est qu'on a vu, dans cette même période, une quinzaine d'années environ, une propriétarisation croissante du matériel. Et là, c'est quelque chose qu'on n'a pas bien vu passer, parce que ce sont d'autres compétences que celles qu'il y a d'habitude chez nous. Quand on parle de matériel, en plus, on va parler de matériel qui est de plus en plus petit, de plus en plus fin. C'est de la gravure, je ne sais pas, 20 nanomètres aujourd'hui, des trucs comme ça, qui sont vraiment minuscules, dont la capacité industrielle à les fabriquer n'existe, je crois, même plus, ou presque plus, en Europe. Il me semble que STMicroelectronics vient de racheter une usine qui fait du 22 nanomètres, ou un truc comme ça. Bref, on ne sait, en Europe, presque plus faire du hardware. Et ce qui s'est passé, c’est que le hardware, aujourd'hui, est déjà, de base, caché par ce secret industriel où on vous dit « non, non, vous ne pouvez pas savoir comment fonctionne le hardware, parce que c'est notre secret, parce que ce sont nos brevets, parce que ce sont nos machins ». Mais, en même temps que ça, ce qui s'est passé est que le hardware est devenu de plus en plus dépendant de ce qu'on appelle le firmware, c'est-à-dire du logiciel contenu dans le matériel. Parce que c'est devenu pas cher du tout, on a pu réserver, dans chaque puce, dans chaque élément de hardware, des zones qui étaient, qui sont reprogrammables. Qui sont programmables et reprogrammables. Là où ça coûtait très cher, il y a dix ans, de faire du hardware qui contenait une partie programmable ou reprogrammable, aujourd'hui, c'est devenu standard.
 
Ce que ça veut dire c'est que quand l'ordinateur s'allume, chaque puce dedans, chaque morceau de matériel, va lire, à l'intérieur d’elle-même, un morceau de logiciel qui va s’exécuter, qui va d'une certaine façon, contribuer à l'ensemble des logiciels que peuvent être le système d'exploitation. Ce que ça veut dire c'est que, cette limite entre le matériel et le logiciel, n'existe quasiment plus en pratique, et que ces parties reprogrammables du matériel le sont depuis le système d’exploitation, donc depuis le logiciel. Donc un logiciel malveillant, par exemple, peut venir réécrire ce logiciel embarqué, ce firmware dans le hardware, pour le transformer en un logiciel malveillant, ce qui fait que la prochaine fois qu'on va allumer l'ordinateur, ce logiciel dans le hardware va se charger, et lui-même aller réécrire un bout du système d'exploitation.
 
Ont été documentées, il y a quelques années, des attaques informatiques comme ça, qui étaient basées non seulement sur un piratage du BIOS de l'ordinateur, mais aussi du contenu, du firmware d'autres puces, et le diagnostic de ces chercheurs en sécurité c'est « il n'y a rien à faire ». Il faut détruire le matériel, si on a le moindre soupçon, et, à moins développer des outils matériels qui permettraient de lire les contenus des firmwares de toutes ces puces, qui impliquerait, déjà, d'enlever peut-être une cinquantaine de vis, et de passer une heure avant d’être capable de le faire, à moins de faire ça, on ne peut même pas savoir que ce genre d'attaque existe.
 
Donc du matériel qui se propriétarise, mais qui, aussi, devient lui-même mouvant, flexible, et qui repose sur du logiciel propriétaire, là encore, qui vient se mélanger avec notre joli logiciel libre.
 
Ce que ça veut dire, en pratique, c'est qu'on a beau utiliser tous les logiciels libres que l'on veut utiliser dans notre système d'exploitation, dans la partie utilisateur, dans la partie que l'on contrôle, si on a l'ombre d'un de ces logiciels qui existe, et qui est du logiciel propriétaire, alors on perd potentiellement le bénéfice d'utiliser du logiciel libre.
 
==21' 06==
 
Ce que l'on a vu aussi, qui est tout aussi terrifiant,
 
==12' 00==
 
Mais j'ai l'impression que ce fait d'établir une vision

Dernière version du 10 janvier 2018 à 14:07


Publié ici - Janvier 2018