Des services en lignes peuvent-ils vraiment être éthiques
Titre : Des services en lignes peuvent-ils vraiment être éthiques ?
Intervenant : Adrien Bourmault alias neox
Lieu : Choisy-le-Roi - Pas Sage en Seine 2024
Date : 30 mai 2024
Durée : 44 min 09
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·es mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
À l'ère du capitalisme de surveillance, et grâce à l'émergence de structures et collectifs tels que CHATONS, les personnes qui font le pas peuvent échapper aux GAFAM pour leurs services en ligne. Mais est-ce pour autant la panacée ? Ces services hors GAFAM sont-ils pour autant éthiques ? Quelles seraient les conditions pour que les personnes qui font confiance à un serveur pour les servir ne soient pas asservies ?
Transcription
Bonjour à toutes et tous. Je vais commencer.
Qui suis-je ?
Je me présente. Je m’appelle Adrien, on m’appelle neox sur les réseaux. Je vais vous parler de beaucoup de choses aujourd’hui. Je me présente un peu rapidement.
Je suis responsable de l’infrastructure informatique de Libre en Communs, une association à but non lucratif, d’intérêt général, qui s’occupe d’action et de défense du logiciel libre par le développement, la communication et en partie aussi, disons, d’ateliers philosophiques. Je suis trésorier de cette association. Je suis également mainteneur GNU Boot, on va en parler un peu après. Je suis membre de la Free Software Foundation et de la XMP Standards Foundation. Ça fait beaucoup de choses, mais, en fait, tout est un peu lié. En général, je tourne autour du matériel et des protocoles de communication.
Plan
Aujourd’hui, je vais vous parler de services libres. Je vais commencer par introduire un peu les enjeux. Je vais vous parler aussi du logiciel libre, de ce qu’il a apporté au sujet et de la confiance. On va comprendre pourquoi je parle de confiance après.
Introduction aux enjeux
Capitalisme de surveillance
Le capitalisme de surveillance, c’est un peu l’enjeu qu’on a aujourd’hui en 2024.
La notion de surveillance apparaît en 1078 dans les écrits L’Art de la guerre de Sun Tzu. Au départ, c’est un système qui est réservé surtout aux États, à l’époque il n’y a pas encore de notion de modèle économique. En fait, a surveillance est un outil pour le prince afin d’asseoir son pouvoir.
La notion de profilage apparaît à la fin du 20e siècle ; c’est le capitalisme et le libéralisme qui apportent ça parce que, puisqu’on vend des choses, puisqu’on a besoin d’avoir une cible de marché, on a besoin de connaître la cible, donc, on se met à vouloir étudier les données des personnes qui vont potentiellement acheter des choses, c’est donc un outil qui nécessaire et demandé,
De 1990 à 2013 c’est Internet, l’apparition d’Internet et du Web.
Il y a une démocratisation des techniques et des méthodes de surveillance, une surveillance généralisée de plus en plus catégorisée : on va cibler des personnes spécifiques, des catégories de personnes spécifiques, et puis il y a un abaissement des coûts parce que la technologie devient accessible, donc des petits acteurs, des petites entreprises deviennent capables d’avoir accès à ce genre d’outil de profilage.
Il y a aussi une nécessité de spécialisation : en général les entreprises, etc., ont beaucoup besoin de ces outils, il devient alors nécessaire d’avoir un marché à part qui va proposer ces services. Il y a donc création d’un véritable secteur de la surveillance, bien diffusé, avec beaucoup de demandes, impliquant aussi des coûts faibles : comme il y a beaucoup de demandes et beaucoup de technologie, la rentabilité du secteur n’est plus à démontrer.
C’est donc un modèle économique qui est considéré, de façon un peu étrange, comme respectable. Évidemment, on n’aime pas le terme « capitalisme de surveillance » dans le secteur, on n’appelle pas ça comme ça. Il y a donc plusieurs catégories :
- d’abord les publicités en ligne, c’est le truc que la plupart des gens connaissent, Google, Yahoo, Allociné et d’autres font ça, ils mettent en avant des publicités et ça rapporte de l’argent ;
- il y a des infomédiaires. Les infomédiaires, c’est une autre catégorie. Ce sont des personnes qui vont, en gros, cibler pour les autres acteurs, notamment pour ceux qui proposent des publicités. La plus grosse qu’on connaît c’est Doubleclick qui va, en gros, utiliser les publicités pour mieux comprendre les comportements de consommateurs et consommatrices ;
- il y a les distributeurs comme Amazon, La Redoute, Leclerc aussi fait ça, Carrefour fait ça. Ils vont s’adresser aux infomédiaires qui analysent l’exploration de publicité afin de comprendre le marché ;
- et puis il y a les régies communautaires. C’est une catégorie un peu à part, elles font pas forcément appel aux infomédiaires. Facebook, X, Tinder et d’autres comme ça collectent leurs données elles-mêmes, dans leurs propres outils, et vont les utiliser soit pour les revendre à des infomédiaires soit pour les exploiter elles-mêmes ;
- ensuite, il y a les hard data, un truc un peu plus sous-marin parce que c’est un peu scandaleux. Par exemple, Axa va vous proposer un respirateur artificiel contre l’apnée du sommeil et va vous demander de signer un petit truc dans le contrat qui l’autorise à récolter vos données de sommeil et, si vous ne le faites pas, vous n’avez pas droit au respirateur artificiel gratuitement pendant je sais pas combien de mois. C’est moins avouable, mais ils le font, c’est tout à fait respectable ;
- ensuite, il y a les producteurs, on n’en parle pas souvent quand on parle de sécurité et de données, mais en fait, les gens qui fournissent des outils de protection de la vie privée en profitent. Vous avez des sociétés qui vont vendre des clés de chiffrement, qui vont vendre des VPN, des choses comme ça, et elles font partie du même marché, d’ailleurs, parfois, elles font double jeu. D’un côté, elles vont aider les infomédiaires en les finançant un peu et puis, de l’autre côté, elles font des solutions pour se protéger des infomédiaires.
Évidemment, tout cela pose la question de l’enclosure, de l’enfermement et de la captation des données personnelles.
On va parler de vieux souvenirs : 2013 l’affaire Snowden.
Si vous avez oublié, je rappelle qu’en 2013, on a appris que la surveillance généralisée existait vraiment, qu’elle était globale, qu’elle utilisait tous les moyens techniques possibles et imaginables, que les industries et les services de renseignement des États participaient toutes et tous activement à cette surveillance et que même certains producteurs de solutions sécurisées faisaient ça. On se souvient qu’à l’époque Lavabit faisait du mail chiffré et, en fait, transmettait en même temps les mails en clair à la NSA. C’est sympa !
2013, c’est aussi l’émergence des sociétés spécialisées dans la surveillance. On commence à voir des sociétés dont le seul but est de surveiller, ce n’est même pas du renseignement, ce ne sont pas des sociétés privées de renseignement, ce sont des sociétés de surveillance, ça s’appelle comme ça, c’est même écrit sur leur site « nous surveillons », basiquement ; c’est écrit en anglais, c’est donc forcément moins clair pour nous, mais vrai.
Et puis, en 2018, vous avez Cambridge Analytica. Après un petit moment où on n’entend plus parler de rien, on apprend qu’une société avait comme but très clair, dans ses statuts de société, de faire de la manipulation politique et qui utilise des données personnelles pour le faire. Là aussi, secteurs privé et public étaient impliqués, on se souvient notamment de l’implication d’une agence de renseignement intérieure américaine qui envoyait des données à Cambridge, histoire de voir ce que ça allait faire. Eux voyaient ça comme une expérience ! C’est intéressant !
Pour vous rappeler encore un souvenir un peu plus ancien, qui est qui est apparu à peu près en même temps que les révélations de Snowden pour le grand public, c’est PRISM. PRISM c’était un grand programme, d’ailleurs c’est probablement toujours un grand programme de la NSA. Vous avez, ici, les différents fournisseurs de données pour la NSA. Ce n’est pas que j’aime faire du name shaming, mais c’est quand même vachement intéressant de savoir que Microsoft, Yahoo, Google Facebook, PalTalk, YouTube, Skype, AOL et Apple ont participé et participent toujours probablement.
Je rappelle que c’est un programme qui permettait, et qui permet toujours à la NSA, de récupérer des données qui, en échange, donne à ces sociétés de l’argent, c’est du commerce, évidemment, donc c’est respectable.
Ce sont les pays qui sont touchés par la surveillance, la France se porte plutôt bien, on ne va pas se mentir, elle pourrait faire mieux, c’est sûr. Cette carte provient des données que Snowden avait donné au <em<Guardian. Normalement gris, ça veut dire qu’il y a pas de surveillance. Vous voyez du gris ? Non, il n’y en a pas ! Par contre, vous avez du vert clair, ça veut dire qu’il y a un peu de surveillance ; si c’est rouge, c’est qu’il y en a beaucoup et ça ne concerne que la NSA ; rouge, c’est très surveillé et vert c’est peu surveillé.
Problèmes de logiciel ?
On va donc regarder ce qu’on peut faire avec le logiciel libre.
Freedom ladder
Avant de commencer, je rappelle que la Freedom Ladder existe, l’échelle de la liberté. Pourquoi je dis ça ? Parce que je parle dans un contexte particulier, je vais vous parler de services, c’est-à-dire de choses qui sont proposées par des serveurs pour être utilisées par des personnes. Je ne parle pas de ce que vous allez installer sur votre machine, je ne parle pas de ce dont vous avez besoin sur votre machine, parce que ce serait un peu comme mettre en opposition la liberté individuelle et la responsabilité collective, ce n’est pas la même chose. Je parle de responsabilité d’associations ou de structures pour des personnes et pas de ce que vous, vous allez faire comme choix. Donc, si je vous parle de logiciel 100 % libre, ça ne veut pas dire que je vous dis qu’il faut installer de logiciel 100 % libre, c’est que je pense, et on est plusieurs dans Libre en Communs à le penser, qu’une structure qui propose des services devrait utiliser du 100 % libre parce qu’elle est responsable.
Le logiciel en tant que service
Je vais commencer par vous parler du logiciel en tant que service.
Vous connaissez peut-être Alexandre Oliva qui est le cofondateur de la FSFLA et de Linux-libre, qui, il y a quelque temps, dans un article qui sera dans les sources de ces slides, présentait le logiciel en tant que service. Il faisait ça avec une analogie intéressante : imaginez, par exemple, un magasin et vous voulez aller acheter des choses, mais, tout ce que vous allez acheter doit rester dans le magasin ; et puis, si le magasin ferme, vous ne pouvez pas y aller ; et puis, si le magasin disparaît, vous ne pouvez plus récupérer ; si jamais vous avez envie d’entrer dans le magasin et que le videur à l’entrée dit « non », vous ne pouvez pas. Eh bien, le logiciel en tant que service ressemble beaucoup à ça.
En fait, c’est une réalité bien réelle, qui, d’ailleurs, s’applique à beaucoup d’OS. Par exemple Android de Google, avec son magasin d’applications, fait exactement ça : Google a la capacité de supprimer une application de notre téléphone, à distance, donc l’utilisateurice ne contrôle pas le fonctionnement du logiciel, ne contrôle pas l’accès aux logiciels et ne contrôle pas non plus les données personnelles associées à ces logiciels.
C’est ce qu’on appelle le logiciel en tant que service ou, en anglais, le SaaSS. Ça a été beaucoup théorisé par la FSF, il y a maintenant beaucoup d’articles sur le sujet et je vous renverrai, dans les sources, à ces articles.
Il y a exemple magnifique : Amazon avait décidé de supprimer le livre 1984 sur toutes les Kindle ; c’est arrivé il y a pas très longtemps, il y a un an ou deux. Ils ont supprimé à distance 1984, d’Orwell, sur tout toutes les Kindle.
Public : Inaudible.
Adrien Bourmault : Plus que deux ans, ça paraît récent pour moi, c’était il y a cinq ans minimum, ça date, mais ils l’ont fait et ils le referont !
Le logiciel libre est-il pertinent ?
Parlons de logiciel libre.
Pour rappel, normalement on sait à peu près tous ce que c’est que le logiciel libre, mais bon, rappelons qu’il y a quatre libertés dans le logiciel libre que sont :
- utiliser,
- étudier et modifier,
- partager,
- partager les modifications et améliorations.
D’accord, c’est bien, il y a quatre libertés, mais ça ne protège pas contre le logiciel en tant que service. Les quatre libertés, c’est sympa quand on a un logiciel installé sur sa machine, mais si le logiciel est à distance, ça ne protège pas.
On peut améliorer, on peut utiliser une licence qui oblige à publier les sources de son serveur, la AGPL fait ça, par exemple : elle considère que le fait de mettre en ligne sur un serveur constitue une distribution, donc oblige à publier les sources, mais ça ne sauve pas non plus.
On peut aussi limiter les actions réalisées à distance, par exemple proposer un service et dire « on vous encourage à utiliser ça hors-ligne », on fait de la communication, mais ça n’empêche pas non plus que les gens qui continuent d’utiliser en ligne restent soumis au danger du Service as a Software Substitute.
Donc, le logiciel libre est complètement insuffisant, par contre il reste nécessaire parce que si le service n’est pas libre, c’est encore pire, notamment si c’est un service qui transmet des données personnelles à distance. Imaginez que j’installe un service pas libre sur un serveur et que je dise « allez-y, c’est accessible », qu’en plus ce serveur se permet de transférer des données à Google ou Amazon, eh bien là, j’ai enfermé l’utilisateur dans un service qu’il ne contrôle pas et, en même temps, en plus, je transmets ses données aux infomédiaires. C’est donc une double perte, une double défaite.
Rendre un SaaSS plus éthique ?
Peut-on rendre un service plus éthique ?
On peut, par exemple, permettre aux utilisateurices de contrôler le service ; ça peut se faire avec une approche locale. Par exemple, ce qu’avait permis au départ CHATONS, qui avait créé ce concept d’AMAP de l’informatique : on connaît effectivement son fournisseur de services, on peut aller le voir, on peut venir lui poser des questions directement.
En plus de ça, on peut mettre en place tout ce qui est lié à l’humain : des CGU qui respectent les personnes, ça donne des garanties ; par exemple, si les CGU sont lisibles par des humains, c’est déjà pas mal ! On peut se dire que les avocats, les juristes ne sont pas forcément des humains ! Parfois, on peut se poser la question : regardez les CGU de WhatsApp, parfois j’ai du mal à comprendre qui a écrit ça et qui a traduit, parce que la traduction est pire que la version originale ! Et plus, c’est très long.
Donc des CGU courtes, faciles à comprendre et faciles à lire et qui, en plus, vous donnent des droits ça aide, ça aide beaucoup.
Il faut aussi permettre de donner des garanties sur le traitement des données. Par exemple, vous avez un service qui vous dit « si on ferme, vos données sont perdues ». Ouais ! D’accord ! Donc là, vraiment on est complètement enfermé. Alors que si on a des CGU qui disent « si on ferme, on vous laisse un mois pour les récupérer, vous pouvez même venir nous voir en personne pour les récupérer », là, déjà c’est plus humain et les données sont moins enfermées. Par contre, si la personne meurt, se fait écraser par un bus et qu’elle était la seule personne disponible, on a toujours au même problème ! En tout cas, on peut limiter.
Ne pas oublier que le Libre ça veut dire, souvent, interopérabilité, pas toujours, il y a plein de contre-exemples, mais souvent ça aide, parce que si le logiciel du serveur du service qu’on utilise à distance est libre, je peux récupérer mes données et les mettre sur le service de quelqu’un d’autre et ça marche pareil, donc j’ai gagné un peu.
Et puis il faut favoriser des services clients/serveur ou des services clients seuls, par exemple du pair-à-pair, ce n’est pas mal, ça reste en réseau, mais on peut toujours l’utiliser seul et on ne dépend pas d’un serveur. C’est de moins en moins vrai parce que de plus en plus de services pair-à-pair dépendent de plus en plus de serveurs. Par exemple Jami qui, avant, était complètement pair-à-pair et qui maintenant dépend d’un serveur, une sorte de blockchain pour simplifier, donc on en a besoin. Ils ont dit qu’un jour on pourrait décentraliser ça, mais un jour, c’est loin. Il y en a de moins en moins, mais il faut les mettre en avant.
Le matériel est-il fiable ? 15’ 10
Donc PRISM,