Privacy 2013 : Why. When. How. - Werner Koch - RMLL 2013

De April MediaWiki
Aller à la navigationAller à la recherche


Vie Privée en 2013 : Pourquoi. Quand. Comment.

Privacy 2013 Werner Koch.png
  • Lien vidéo et diapositives :
  • Captation audio de la vidéo et de la traduction des interprètes: [1]
    • Noter que la traduction à la volée se révèle parfois erronée sur des points techniques, ou saute des passages, ce pourquoi je l'ai reprise.
    • Extraction de la plage audio qui nous concerne à 5h43':
avconv -i RMLL2013_journée_grand_public_en_20130708.mp3 -codec copy -ss 20578 -t 3672 privacy_en.mp3
avconv -i RMLL2013_journée_grand_public_fr_20130708.mp3 -codec copy -ss 20578 -t 3672 privacy_fr.mp3
  • Reste à faire:
    • Rerelire et fluidifier la version anglaise
  • À propos du conférencier: Werner Koch, auteur de GnuPG, co-fondateur de FSF Europe.

English - proofread by Luca & Thérèse

Good afternoon, welcome to my talk. I've been asked to give a talk about privacy things.

Actually I'm a great supporter of privacy, and my chosen work is to write cryptographic software, in particular GNU Privacy Guard, GPG/GnuPG, which I'm the principal author of, but sometimes I give a general talk about issues around cryptography, why we need it, and so on.

[That's a bit inconvenient here with the microphone...]

Why

Reasons to take care of privacy - 0′54″

The reason why I care about privacy is that I think it's very important. My first encounter with privacy problems was probably somewhere back in the 70s, when in Germany the former [head of] nuclear management Klaus Traube was bugged, and so I noticed how much power some organizations and secret services have, and what they can do to our lives.

Later [on] in the 1990's, 97, I decided to write a replacement for PGP. It's free software [and it's] called GnuPG, and that's what I'm mainly working on still.

The reason why I think it's very important to have privacy is that we are humans and we are not Borgs, we have not been assimilated in a collective. Everyone of us should be able to decide on his own whether he wants to tell others something about himself or herself.

I think that is very important. That's the difference between a Borg collective, or ants, or anything, [and humans]. Humans have the right to think by them[selves] and decide whether they want to talk, what not to talk [about] and how to interact with other humans.

Another reason why it's important to have privacy is that, if you can control your own data, and [do] not [let] the government or [an]other organization control the data, it's harder to turn your country into a police state.

As a German, we had quite some experience with this — our “Jones”[1] didn't encounter the Third Reich, and maybe hardly the Stasi in Eastern Germany. All these police states, they don't like to have privacy, because they want to control their citizens.

Another reason why, even now, we need privacy, is that trade secrets and negotiations benefit really from being able to talk and write confidentially. If you can't do that it's bad for your company.

On the non-corporate side of things, there are lots of human rights groups — unfortunately, we need them — and it's very, very important for them to be able to talk in confidence with other people.

[Attendant: The translator asks me that you move a little further away from the microphone, otherwise they don't understand what...

WK: Yeah, is that better? OK. Yeah, I'll try. Can you hear me ?]

So these human rights groups definitely need some encryption to make sure they can keep confidential information from people — and, well, police states — secret, and don't get them into danger.

Another reason is ([that's] what I wrote on this slide) memories should be able to fade out. What I mean by this is: things you did as a teenager shouldn't reflect badly on your later life. For example, you attend this free software conference here, now, at your age, and later you decide to go for director of the NSA, and the NSA probably doesn't like people who want only free software.

Now all things are like tattoos. You're pricking a tattoo at 16 ; at 30 you decide: I don't want it anymore. You have to decide early what to do and what not to do. So these memories should be allowed to fade out. We can't do anything about this technically, so the only thing we really can do is just take care not to publish too much.

Why we have this problem - 5′42″

Why do we have this problem with privacy threats? It's that our world is getting more complicated. In the old times, you were talking directly to someone, you noticed smoke signals, you sent letters, maybe even sealed letters, you noticed telegraph wires going along the railways, and you could really see that there was something which happened, and it was good. It was easy to understand that you could just hear what was going on in the telegraph wires — you could hear the signals actually — so to most people it was clear that others could hear what they were talking about on this wire — or by smoke signals of course; pretty public, yes.

Later [on], 60 or 70 years ago, this changed with the rise of electronics, because that is more magic to most people. Finally, 20 to 25 years ago the Internet was available here in Europe and in the US. The Internet is really something for wizards. Nobody, no average user can understand how the Internet works. They tell you something about packets. What are packets? Packets are coming from Amazon these days, but these packets are something magic which transports all our thoughts and our letters and it's not easy to understand that there are people who can intercept them, and fake them, and all the things. It's not anymore possible for most people to understand this. And this is in my opinion the reason why, for so long, many people have not been interested in using secure communication on the Internet. And it's hard of course to do this.

The Internet as the techies playground - 7′43″

The design of the Internet was a decentralized system, which withstands any attack, and doesn't have any central server, and that is a good design. It was designed by hackers; they had no security built-in because they said “Oh we don't need this, we won't do this”, and it was not expected that it would ever be turned into a mass phenomenon.

Anyway, they did this, and the culture of the early Net was pretty good, because it democratized communication. Even phone calling is now really affordable for everyone, [whereas] it was not the case in the 80s, or the 70s, when long-distance calls were really expensive. Today we can communicate with everyone in the world, with only a little bit of money.

So this Internet is a great tool, for everyone except for the telecommunication monopolists, of course, because they lose revenues, and they try not to do that, of course.

The Internet and the Y2K bubble - 9′00″

There was no problem with privacy because nobody used it right then. We could have added privacy to the Internet; everything was there, PGP for example. But then came the companies, and they decided: "Oh we can make money out of this Internet”. They looked around for business models. First they did simple advertising, and in the end... they [have] settled [by] now for collecting a lot of data about all the users and tracking user behavior [to do] targeted advertising, and they earn a lot of money with this. Maybe this is a bother, but anyway they are rich, and they have a lot of power.

Unfortunately, this also means that if you have a couple of large corporations only, they are not interested in a decentralized Internet anymore. They need a centralized Internet, one where they control most of the communications.

Brave new voluntary disclosure - 10′08″

Well, they did this and people didn't understand what the Internet was all about. They liked to communicate with others, chat with people in other countries and other continents, and used it.

The ISPs, who allowed them to connect to the Internet, did one trick: they lured them into using their portals. So, for many many people, their portal to the Internet is the Internet. They don't see anything beyond the T-Online or... I don't know what the Belgian provider here is. They say “this is my Internet”, and don't realize that there's more, that there is a decentralized system which they can use directly without using any centralized services.

They are not interested in this of course; people don't realize this. To many people, Google is the entry to the Internet. Even if they want to look up something in Wikipedia, they enter “Wikipedia” as the search term, and so this way Google knows what they are looking up in Wikipedia, even though Wikipedia itself does not track the user. They don't know that they could just enter “wikipedia.org” into the address window.

Further, there are online payment systems. I'm not sure about credit cards, but all these new mobile phone pay systems, the reason why they are there is that they can map physical transactions. You buy something in a store, but they can map that to your behavior on the web. [This way] they can better control what people actually are buying: if [people] look something up in a web shop, buy it, even somewhere else, but pay with their mobile payment system, they can map this all together and get a better profile of everyone.

What's happening is that too many people are using this without knowing what they really do.

So let me do a quick poll here: who in this audience has no Facebook or Google+ account? Well I think I should stop my talk now, because I'm talking to the wrong audience, you know. Yeah, OK.

Targeted marketing - 12′45″

One other thing which is important here is that all their things go into targeted marketing. These things where you get one price for a flight, then go somewhere else, some other website, and come back, and the price [has] changed, just because they realize that you are coming back and that you are more interested, and then raise the price, for example.

Then we have this “other customers bought this also”, which works pretty well for the shops, so that you buy something you didn't intend to buy, because “others did it so I have to do this also”.

Another thing is... I'm not sure whether everybody realizes that if you buy a railway ticket, you get [an] offer to rent a car, and then if you rent the car, you get an offer [to] book a hotel there. That is very good for the car rental service and the hotel booking service. It really is per-user advertising, and it's a cool thing for them. But the companies who do this have a lot of information about you then. And we don't know what [else] they are using this for, whether, [if] you want to buy a house later, they tell you : “Oh no, you can't buy this, you are spending too much money on different things”.

Governmental surveillance 30 years later - 14′06″

That was the corporate side of things, and now we come to the governments.

Surveillance is something they like to do, [as] I told you at the beginning. The reason is probably that the Unknown is always a danger.

In Germany, Chancellor Merkel said that this Internet and this wiretapping of the Internet is Neuland to them, which means unknown territory, despite that she should know this and has a video blog, and everything... She just claims that they have no idea what this is about.

So there must be some kind of unknown in this Internet and communication structure that is a danger to them, [and that] they try to avoid. So they're going to have laws to get better control of their citizens. Well, they [have been] doing this for 20-25 years now. It takes a lot of time to get these laws through because we withstand them. They have to try to get them approved once, and try again, and try again, and at some point in time they get them through, so they can better track people.

Then they realize : “OK, we had such a hard time to get all this information about our citizens. Why can Google, Amazon, Apple... why can they do it so easily?” So they now say : “Well, just ask them for the data, it's much easier.” And that is probably the current thing with PRISM and Tempora, [and the] stories about the NSA and GCHQ. And in general, all our constitutions are considered as mere suggestions and not something which is to be enforced, at least not by the secret services. That's a very big problem. In particular in Germany, after WW2 we have setup our system in a way that the secret services, the police and everybody, these were clearly separated; they couldn't access the data of the others. So there was privacy built in because of the experience Germany made in the Third Reich. This is all kind of going away.

When. Real world privacy threats

Your interactions - 16′37″

So if you do something, you need to be prepared for your own future. What you do now will reflect on your own future later. So if you tell someone you've gone to this hackers conference, and then you want a job at Oracle, they might think: "Oh not good, they might hack all our records".

Interaction: Mail - 17′04″

We have several interactions with the Internet. The most important has always been mail — people call it e-mail, to me it's mail. It has been claimed that mail is not important anymore, but for everyone it is important, because [for] all [the] accounts you create you need to have a mail address; you need to have the mail address for maintenance of these accounts, [to] send you a password reminder [for instance].

Doing real work using the Internet, e-mail is probably the best thing because it's store and forward, you're not required to do hasty decisions during online chats. So it's still useful. E-mail has the advantage that you read it at the time you decide, and not at the time the sender decides that you read it.

The problem is that most people are using [a] webmail, which means that your provider sees exactly when you read your mail, what you read and in which order. So it's not secure anymore. They know when you are going to work, and everything you do can be extracted from the data that you are providing by using the webmail.

[The] offline use of mail, like it [was] done ten years ago, is a more secure thing to do.

Interaction: Searching - 18′41″

Searching is the most useful thing on the Internet. Everybody uses it, and you might remember that the first well-known service was AltaVista — in the early 90s — which opened [up] the whole Internet. All the pages we had there, [available] to everyone... [This] was really a cool service. And the early Google was also very interesting because it just pinpointed the exact things you wanted to know — well, mostly technical questions — so you got the right answer at that point.

Today, searching is a real problem because they are using it to build records, profiles of all the users. And it's also [un]reliable because they render the results of a search according to your profile. So if you like to see horror movies, they are probably listed first. And others, who like to see science fiction, get science fiction listed first. And they do this with everything.

What you get out of Google, or Bing, is not reliable anymore. It's something which is customized to your behavior.

Interaction: Chatting - 20′10″

Chatting is an old thing on the Internet. Before, we used IRC, and frankly I don't know, most Internet users use these chat rooms, something with the web browser. I've never used this.

Chatting is useful because it allows you to work together with others closely on a certain problem. To me it means: tracking down a bug like this. Using Jabber is much easier than sending mails, which takes much longer.

It's also nice to have a chit-chat if you're working alone in your office.

Interaction: Social networks - 20′56″

Social networks are in my opinion a major problem for privacy because this is the very tool which is used to publish all and everything about yourself. And everybody uses this, everything does this, and a whole generation now thinks it is important to publish everything about [themselves] to the Internet, [and] in particular to Facebook. So the question is: who benefits from that? The people? Do they really need friends? All these friends they have in their Facebook account, are these only opportunities for Facebook to build a profile of them to sell targeted marketing?

Those who tell you what they aim at - 21′53″

Well, how can you know what's going on? The good thing is: all these big companies, they tell you what they want from you. They have all these terms of service, and privacy policies, and they're clearly showing you what they're going to do with your data. All this might be legal speak and touch pass for you, but they tell you that. So that's fair, if you want to read this. It's hard to read, [but] if you don't want to, you may go to tosdr.org, “Terms of Service; Didn't Read dot org”, which nicely lists all these terms of service, and compares them to others; you can see what they want from you, and what are [the] good services for privacy, and [the] very bad services for privacy.

The easiest question you could always ask [yourself is]: “what is their business model?”. Why are they offering this service? A corporation would never do anything pro bono. They do it do get revenue from this, and for their shareholder value, so the money must come from somewhere, and [the] good question to ask yourself [is] whether you really want to use this service.

Those who don't tell you... - 23′16″

Of course there are these other parties who don't tell you what they want. We have the NSA, formerly called “No Such Agency” because nobody knew that it was really there. And there is Bletchley Park or the GCHQ. I don't want to talk about this now because it has so much press attention now that everybody knows about Tempora, PRISM, and everybody should know about Echelon, which is twelve, thirteen years old — oh no, it's older even — but is known, should be known to everyone since 1999. There was even a report at the European Parliament about this and action resulted from this. But time went ahead and nobody thought anymore about Echelon and was surprised that there is PRISM and Tempora... and what else?

That is the US and Great Britain and Australia and Canada of course, but other countries are not any better. The German secret service is of course tapping all wires. They did this for the old wires to Eastern Germany, and there's a little anecdote [about] East Germany in the early 70s. They setup new telephone lines to Western Germany, so that people [of] East Germany and West Germany could better talk [to each other], because before that it was really hard; you had to wait several days for telephone calls to do this. But nothing changed, despite what they did this. And the reason, it turns out, [was] that the German secret service, der Verfassungsschutz, was not able to deploy enough wiretapping equipment timely, after this event! They all do this.

To secret services, everything is known — what is not encrypted — on the Internet, on the phone, and probably also credit card transactions.

Your software provider... Well it depends. Probably here it doesn't make sense to tell you about your software provider because it's probably already Debian, Fedora, or some other Linux — oh, sorry, GNU/Linux — distribution. But in general your software provider is called Apple, or Microsoft, or Adobe, and you don't know what they put into their software. You should always expect that this software has been bugged and tells them what you are doing, and grep's for certain keywords, and everything. So we can't decide. They do it, for sure. Why should they not do this?

Well, at least there are some sysadmins [who] don't respect the Netiquette and read your mail on the servers. OK, they shouldn't do this. I don't think there are many doing this. At least there is one system administrator who did this, who tapped something, read stuff he shouldn't read and shouldn't publish, but in this case I think Mr. Snowden did it right and we should applaud him for this.

How. Ways to reconquer privacy - 26′56″

Now, what can we do?

First of all - 27′05″

First [of all], most of us won't be able to withstand any targeted attack. This means that if some secret service wants to go after me and check what's on my private desktop machine, they will succeed. I can't do anything about it, even if I ran OpenBSD and stuff, whatever, they just... We'll figure out if that's a targeted attack. That's no problem for them, they are used to do this, and we can't do anything about it. If you want to do something about this, you need to have high security and that's not very convenient, and expensive to maintain, and use.

Traffic analysis: looking at who is talking to whom is hard to mitigate, also. It can be done but it's very hard to do, so I don't know what do to against it. Of course, we could all use Tor but... to do it right is very hard.

But what we can do is protect the contents of our communications, so that nobody can look into the envelope, [as] with letters.

Anonymity - 28′23″

If you don't want others to see whom you are talking to, you can use [the] Tor Project. Tor is the Onion Router. It's a pretty secure system, it's hard to attack, so use it if you don't want others to see whom you are talking to and what service you are looking [for]. And that may even [apply when] you're looking up some terms in Wikipedia.

Now the interesting thing for the future is the development of GNUnet. GNUnet is an overlay network which provides [a] new platform for all kinds of services, in a way that is censor-resistant [and] anonymous. It protects everything that we can protect or that is worth protecting. It's a peer-to-peer network, it's of course better than Tor, but it's still in development, and it will take [another] couple of years so that it can be really used.

!--- It's a peer-to-peer network. It is of course better than Tor, but is still in development and will need another couple of years to be really usable.---!

Fortunately the European Union is sometimes funding its development, which is kinda funny. Actually the US has also been funding crypto stuff, free software crypto stuff sometimes. Probably they think “It doesn't matter”.

Instant messaging - 29′23″

Oh yeah, I hope you don't use Skype anymore, because it's known that Skype grabs for URLs, and checks out what these URLs are, huh?

A good service is Jabber (or XMPP), if you use it along with OTR (Off The Record), which enables end-to-end encryption in Jabber — and others protocols, too. End-to-end encryption means that you encrypt it and only the recipient decrypts it, both on their machines, and not [on] any server in between, which is a standard model [outside] Jabber, and in most encryption online services. But if you use this, take care if you use a multi-user chat, because that is hard to secure.

Searching - 30′52″

A better system which would better match the Internet structure is a decentralized search engine. There is such an engine, it's called YaCy. You may want to try it out. The FSF Europe website uses YaCy for searching, for example, but you can just use it and try out what result you get. It's slower than others of course.

[For] private [searches], please resort to DuckDuckGo.com, which seems to be a good service right now. It's [similar to] the early Google. They have no business model right now, and they promise not to do anything evil and not track you and so on, so for now it's good to use DuckDuckGo. And if you're using Mozilla, you should also change the address which is used for keyword search, so [that] if you enter something wrong in the address field, [DuckDuckGo is used instead of Google]. There, [at the bottom of] the slide, there is the command to do this. [In Mozilla: enter about:config and set keyword.URL to https://duckduckgo.com/html/?q=]

Most users are accustomed to use search engines as the entry point to the Internet. It would be better for them to use Wikipedia because they promise not to track anything, and Wikipedia has a lot of information, and is probably a very good starting point to look for information.

Keeping data accessible - 32′32″

The talk was mostly about online services, direct-to-direct communication, but [when it comes] to protection of data which is stored, we need to ask some questions. Of course, one question is whether the encryption is secure enough: will it be secure in 20 years? or in 30 years?

Another important question is whether there is a way to backup your data, and whether you did everything to have a backup of your key, if you have encrypted this, which you should do.

Then what tools are you using? These tools must be open. You must be able to know how they work, so that in case there are no computers made [as they are today], you are still able to write software or systems which can decrypt the stuff.

Of course the media where you store the encrypted data is reliable.

And in the end you may also want to care about future archaeologists, who [will] want to look at things which happened 200 or 300 years [earlier], and don't need to hope that a Unix machine is still running. They should be able to use [the] software or have [the] specifications of the data and how to decrypt this — if they find the key.

Cloud - 34′07″

Cloud services seem to be important these days. Cloud services of course are very problematic because [they] put all your data into the Net, and not anymore under your control. There are things like ownCloud, where you are your own provider, your small provider, and this is something everybody should do: use a small provider. Small as, down to just you only, but you may just setup a group of friends and paying for the server housing, and setting up the required services to store things and do whatever you can do with a server, and probably you find someone who can do this technically. Server housing or hosting is cheap these days, compared to what you pay for other things, it's not really a matter.

!--- Cloud services seem to be important these days. Cloud services of course are very problematic because they put all your data into the Net where it is not under your control anymore. There are things like ownCloud, where you are your own provider, your small provider. This is something everybody should do: use a small provider. It could be as small as you alone, but you may just bring together a group of friends, to pay for server hosting and set up the required services to store things and do whatever one can do with a server. You will probably find someone who is able do this technically. Server hosting is cheap these days, compared to what you pay for other things, it's not really a problem.---!

In case you need a large cloud provider, you're better off checking the terms and conditions of course, and select one which allows you to delete your data there, and promise it's really deleted, and of course that you are able to export the data. That the data stored in the cloud should only be accessible by you is clear [for us], but not for most cloud providers. The best system I've found is Tahoe-LAFS (Tahoe Least-Authority Filesystem), which is a replicated, encrypted filesystem, [and] can be used for a cloud service. That is very cool stuff, and any cloud service should use this.

Mail - 36′00″

Encrypt your mail. Better encrypt it with the OpenPGP protocol, and one of [the] PGP implementations, maybe GnuPG. If you can't use OpenPGP it might be useful to use S/MIME. Then, please use a self-signed certificate or a CAcert certificate. It's more troublesome to do this, but you should not support any of these commercial CAs, who sell you root certificate and give you back nothing, not even privacy.

If you use X.509, which means encrypted websites / https, or S/MIME, don't really trust it, it's always possible for large corporations and for the secret services to mount a man-in-the-middle attack so that they can get in between and wiretap what you're doing then. So take care. OpenGPG at least offers the option to be more secure. It's harder work to do this, but you might want to do this.

Software in general - 37′17″

In general please — well, we are in a free software conference — please use free software, but I would say this also in any other conference because it's harder to plant a bug into free software, because many people need to be convinced that this is not a bug, but a feature. So use Debian, Fedora or Gentoo. Better not use Ubuntu [2], you're safer than using any proprietary operating system or any other software.

If you buy this... Hmm, no, definitely not. Well, maybe you buy CDs... If you download this software, you need to go to a trusted source. There are several websites which offer you free software, which is actually the free software we have, there are case with VideoLan for example, and they are not trustworthy, this is bugged software, there is malware in this software, and it is also proprietary software. So take care from where you download your software.

!--- If you buy this... Hmm, no, definitely not. Well, maybe you can buy CDs... If you download this software, you need to do it from a trusted source. There are several websites which offer you free software, the same actually as the free software we have, VLC for example. They are not trustworthy, this is bugged software, there is malware in this software, and it is also proprietary software. So watch out where you download your software from.---!

And please don't use [the] webmail if you can. If you really want to use [a] webmail, be your own provider, or have a small trustworthy provider.

Last but not least, you should disable JavaScript. Please. OK, most websites are not accessible anymore then, so you might want to resort to NoScript, which is a Mozilla extension where you can configure which sites require JavaScript and which [ones don't]. You'd better do this.

What needs to be changed - 38′54″

To wrap it all up, what we need to change is awareness for privacy, even on the Internet, in modern communications, and telephone systems, cell phones, and so on. We need to be aware that there are privacy concerns.

Then we should always realize that Internet corporations sacrifice your privacy for their profits. That's their business model.

And the military-industrial complex does exactly the same. They are spying, or let the government spy, because they can sell the goverment expensive software, hardware, everything. So we need to change this.

What you can do - 39′39″

Please. The few who have a Facebook account here should close it. Not only not use it, but close it to set a mark, and use alternate systems for chatting.

!--- Please. The few of you who have a Facebook account should close it. Not only stop using it it, but close it to set a precedent, and use alternate systems for chatting.---!

Encrypt your mails. But I'm telling that for 15 years now, and... well.

!--- Encrypt your mails. But I'been saying that for 15 years now, and... well.---!

[An] important [point] is to read and understand the terms of service, [to] know what they want from you. I think it's important to build your own communities, and [not] have a Mark Zuckerberg build a community for you.

Finally, if you have the resources, and the time, you may want to run a Tor node, which helps the Tor project keep anonymity for all users. This is a bit of work. I ran a Tor node for several years, and spent ???what... 8 / 18??? euros a month on this, but eventually I had no time anymore to properly maintain the system, and so I gave up on this. So you need to have some time to do this. This is what I mean [by] resources, it's not only the money for the server, but... it's required. We need to do this, we can't expect that Google is running our Tor nodes.

!--- Finally, if you have the resources, and the time, you may want to run a Tor node. This will help the Tor project keep anonymity for all users. This is a bit of work. I ran a Tor node for several years and spent 8 euros a month on this, but eventually I ran out of time to properly maintain the system, and gave up. So you need to have some free time to do this. This is what I mean by resources; It's not only the money for the server, but... it's required. We need to do this, we can't expect Google to run our Tor nodes.---!

And finally - 41′00″

In the end, we're living in a surveillance world. That's just a fact. Meanwhile everybody should have realized that. But fortunately we are all those who can revert this. We know about this and so we can change it. So you have to tell your friends and the public administration not to ask or send you any confidential or private information by normal mail. They should have a key, and send it by encrypted mail, everything. Tell your friends about this. It's hard to do, but they should at least have the mindset that it's dangerous to send plain, unencrypted mail with sensitive information. And sensitive information is a lot, health and everything, you know.

!--- In the end, we're living in a surveillance world. That's just a fact. Meanwhile everybody should have realized that. But fortunately we are those who can revert this, all of us. We know about this, so we can change it. You have to tell your friends and the public administration not to send you, or ask you to send them, any confidential or private information by normal email. They should have a key, and send it by encrypted mail. Tell your friends about this. It's hard to do, but they should at least have the mindset that it's dangerous to send plain, unencrypted mail with sensitive information. And there is a lot of sensitive information, health and everything, you know.---!

If that doesn't work, which for me is most of the time if you do something with the public administration, you have a printer and put your letter into an envelope and send it [out by snail mail]. That's just safer and you're safe. Maybe they send it from their scan service by insecure mail further on, but we can't do anything about this.

And in the end, if you want to go for a vacation and are looking for books [to read] at the beach, I suggest four books: Yevgeny Zamyatin's We, and Aldous Huxley's Brave New World, and George Orwell's Nineteen Eighty-Four, and Philip K. Dick's The Simulacra. These are very good books. They're quite old, a hundred years old, but they tell you what happens if there is no privacy, if there is too much data in one hand, and it's quite interesting to review this after [all this] time. Interesting feature is also Huxley's Brave New World revisited, who wrote an article 30 years later, I think in the late 50s, where he revisited what he wrote in Brave New World with the time then. And now read it sixty years later, it's frightening.

!--- Another interesting article is Brave New World revisited, that Huxley wrote in the late 50s I think. He revisits what he had written in Brave New World 30 years earlier with the actual events of the period in mind. And now read it sixty years later, it's frightening.---!

OK, thank you that was my talk about privacy... yeah, tell your friends that they need to take care about this.

Now any questions?

(applause)

Questions and answers

First question - webmail alternatives - 43′35″

Public: Do you hear me? Yes, I think so.

Organisatrice: Vous pouvez parler en français ou en anglais, comme vous voulez, parce qu'il y a un système de traduction.

Public: Oh, OK. Donc je vais continuer en... oh

WK: Oh I don't really speak French so well (laugh)

Public: Just for you. You speak about webmail, "don't use it", but have you some examples of non-webmails. I use Yahoo, Opera, Gmail, what else? Outlook is a non-webmail?

WK: No, hmm. What I mean by webmail is: there are two ways to access, for example, Google Mail... if you really want to use Google Mail.

  • The usual way is to use it in your web browser, and there's JavaScript. The whole mail reader is running on JavaScript, sent from Google to you. So basically it runs on Google. Everything that you do, every key stroke is sent to Google — in theory, it's optimized of course. That is what I mean [by] “webmail”.
  • The other thing is that Google, or other services, store mail, which is then accessed using IMAP (which means the mail is left on their servers) or POP3 (where the mail was on their servers and you fetch it from their servers). They can also monitor it of course, but that's the usual business of mail providers, and has nothing to do with webmail.

[A] webmail is really using your browser, locked into a web page, and works on their servers so that you get web pages back. They are [in full] control of what you are doing. You are interacting with their server; that is webmail.

And “non-webmail” [means] that you have your mail program running on your own machine, on your smartphone maybe, or on your laptop or desktop. There are several good mail clients, actually all mail clients [were] good before [the] webmail. There is Thunderbird, there's Claws Mail on Linux. Claws Mail is also available for Windows, and they all support encryption. If you look around just a bit, you'll find enough mail services. Of course it is convenient to use [a] webmail because you can walk to any computer and just log in and check your mail. But this computer may have been bugged, and there may be a key logger that looks for a password, and everything. And so [a webmail is] never secure. And if you're always doing it on the same box, it's much easier and safer to use dedicated mail reader software. And it's better and more convenient if you [have] a lot of mail.

Does that answer your question?

Second question - Tor's security grade - 46′55″

Public: There are some claims that... Is it OK, is it working?

WK: Yes, it's OK.

Public: Some claims that if you use Tor, in fact you go more quickly to the CIA on so on, because many relays of Tor are put by those people.

WK: Your question is whether [the use] of Tor is really secure, yeah? Well, there are theoretical and practical attacks on the Tor network, of course, but they are not that easy to mount, and that's also the reason why I told you to run a Tor node; because it helps: the more Tor nodes [there are], the harder it is for the agencies to subvert the system. Definitely you can't do mass surveillance on the Tor network, it's very hard to do this, and the guys, the folks working on Tor, are pretty up-to-date on security standards, and try to make it work [well]. There are some problems with Tor of course, but that's a trade-off, because it's a low-latency service, which means you can actually use SSH [to do] direct work on a different computer over the Tor network, which is very helpful in some cases. But there are some compromises that you need to [make]. [A] better system is of course a store-and-forward system, or GNUnet system. It's slower, but [before] we have deployed such a system, I think it's better to use Tor. I don't think that the NSA is able to subvert it unless you are [their] target, then you have no chance, because...

I've been to one of these AES conferences, and had dinner with people from [the] PGP Corporation and an NSA officer. We were talking about strange algorithms, and so on, and then he said “What are you talking about? That's not an issue, we are just cheating.” Which means they know how to work around the random number generator, or just bug your computer, which is the simplest thing they can do. You have so [much] software on your machine that it's easy to install software which has a bug. By bug I mean some malware which collects information and sends it back to the NSA.

So we have very secure algorithms, but the weakest points are the machines at our hand. [The problem is] the hardware itself. What we can secure is something that goes over a wire, and only a long wire because the radiation from the machines is easy to tap.

Third question - desktop security - 50′08″

Public: Is it a nonsense to use a well-protected operating system such as FreeBSD, with very open communications — RSS aggregates, or stream of news, such as Yahoo Pipes to aggregate and analyze the news, [that] have constant communications with my computer? Not against a government agency, but against a small group of direct competitors (not a very powerful agency but a classical competitor), or [a] group of hackers. Is it a nonsense to protect my computer and use the classical services?

WK: The standard answer is: it depends on your threat model. Well, of course you should encrypt it, because it's much easier to tap a wire than to bug any bundle computer to install a key-logger. We assume that this can be done en gros, so it's easy to just collect everything which goes through a wire, even through 10Gbit or 100Gbit fibers. They can just read it, [they have] no problem doing this.

There are other malware, malware from the malware industry, which is these guys who are sending spam around and want you to buy something. [Against] these spammers, the malware industry, it is good to use a [non-]end-user operating system because they are not interested in that. They calculate how to get the most out of all these users of Windows or Linux or Ubuntu or Fedora — no, probably not Fedora — by having their workers write a special mail virus just for this task. So in this case, it is OK to do this if that's your threat. If your fear is that someone else knows what you're talking about, then you should really encrypt it, using a VPN, or even a VPN service so that you just have a central service for this. It's better than to use plain text. In my opinion, yeah.

Public: [too low]

WK: If you just use Jabber, and you have control over the server, that's secure, you can do it in plain text, because over the wire it's encrypted using TLS. That's OK, of course, if you're using a VPN. For example [at] the German embassies, they don't use encrypted mails for organizational reasons, but they use a VPN [running] between all of them. So it's clear text, but it's hard to tap because there is a layer which is encrypted in between.

Well, it depends. That's the answer. (laugh)

Any other questions?

Fourth question - in a cybercafé - 54′26″

WK: Was the question how to use a Tor application? I think it's very useful if you are forced to use a proprietary operating system like Windows, or Mac. [The Tor Bundle is] really useful. It provides you with a browser which is configured to use Tor, and [also has] other important things pre-installed. I think it's important to use this, yeah, if you have...

Public: But in my case I've got no PC, I've got no computer, I'm used to go to cyber, and sometimes I am getting my mail, and simultaneously I go to websites and notice that [I] was more or less spied [on]. So, I mean, in my case, is it useful to use Tor? I've got no computer, but I go to cybercafés.

WK: If you don't have your own computer under control, well you should at least use some trusted computer. If you don't do this, we can't secure anything.

Public: What about the e-mail? Is it useful to have a professional instead of Hotmail or whatever?

WK: You mean an e-mail provider instead of these services like Google Mail or...

Public: Yeah, a professional one.

WK: I can't tell you because I'm running my own mail server, and that is something I said: get together a group, and setup your own server. [It] can even provide webmail for you, and of course a mail server. That is a bit of work, but not too much work, if you know someone who has the capabilities to take care of a server, and [to run] a mail server — it's the first thing you install on any server. Of course it's some work to maintain it. A small mail provider is definitely better than a large one.

Public: Yeah, OK OK.

Fifth question - phone communications - 57′18″

Public: May we have information on [too low] instead of [too low]?

WK: Ah, yes, well... (laugh) I wish the XMPP-, aka Jabber-based audio worked better. I expect that it will soon happen. I heard that Jitsi is a tool that does very well. I think this is much better than this complicated SIP system — that everyone else is using — because [SIP] tries to do the same [as] the classical telecommunication system. It is designed as a replacement for [it]. And what Jabber or XMPP does is much more similar to the Internet, so basically it's a kind of free[3] Skype.

I'm not using that, I'm using a classical telephone, because it's so cheap. But soon it's also [going to be] Internet, because most providers are changing their infrastructure to be IP-only. So in the end there is no difference whether [you] use Internet or plain telephony. In the end, there are IPv6 packets running around. I think there is no real good software which is easy to install. So all these commercial offers are much better from the user-interface [stand]point. Most of them.

Sixth question - STARTTLS - 59′29″

Hostess: One last question.

Public: Considering we know that the wires can be spied [on], can we consider something like STARTTLS safe or not? If someone can spy [on] the wires, then can they easily decrypt this STARTTLS session, or is it still hard...

WK: No. Using STARTTLS, which means the mail between the mail servers is encrypted, is a very good thing to do, because, it doesn't withstand any targeted attack but what you see, or what they wiretap or see on the line, is encrypted and they can't do anything about it — unless they are mounting an active man-in-the-middle attack. It depends a little bit on the algorithms used, but using STARTTLS is better than using end-to-end encryption because more mail is encrypted or hidden from the ears of the services then. Because they need to catch up and find ways to tap us anyway, which is much more complicated to do [since] they need to mount an active man-in-the-middle. Active man-in-the-middle means that they need to decrypt this and then encrypt it again for the next one. So they can't just tap it.

Public: OK, OK.

WK: That's it?

Hostess: I think it's really great.

WK: Thank you for attention.

Footnotes

Traduction pour publication - relue par Thérèse et Christian

Vie Privée en 2013 : Pourquoi. Quand. Comment. - par Werner Koch.

Bonjour à tous, bienvenue à ma présentation. On m'a demandé de venir parler de la vie privée.

En fait j'encourage moi-même énormément la protection de la vie privée. Mon travail de prédilection est d'écrire des logiciels de cryptographie, notamment GNU Privacy Guard [littéralement, le Gardien de Vie privée du projet GNU] ou GnuPG, dont je suis le principal auteur, mais de temps en temps je fais une présentation d'ordre plus général sur des questions liées à la cryptographie : pourquoi elle est nécessaire, et autres.

Pourquoi

Des raisons de faire attention à votre vie privée

La raison pour laquelle je me suis penché sur cette question est que je l'estime très importante. La première fois que j'ai vu des problèmes liés à la vie privée, c'était probablement dans les années 70, alors qu'en Allemagne l'ancien responsable des affaires nucléaires Klaus Traube était mis sur écoute, et j'ai pu remarquer quel pouvoir détiennent certaines organisations et certains services secrets, et ce qu'ils peuvent faire à nos vies.

Par la suite, en 1997, j'ai décidé d'écrire un remplacement pour PGP. C'est un logiciel libre appelé GnuPG, et c'est principalement ce sur quoi je travaille depuis lors.

La raison pour laquelle il me semble particulièrement important d'avoir une vie privée est que nous sommes des êtres humains et non pas des Borgs dans Star Strek. Nous n'avons pas été assimilés dans un ensemble collectif. Chacun d'entre nous devrait être capable de décider par lui-même s'il souhaite révéler aux autres des informations qui le concernent.

Et ça je pense que c'est un point très important, c'est ce qui fait la différence justement entre un collectif de Borgs, ou de fourmis ou autres, et des êtres humains qui ont le droit de décider par eux-mêmes s'ils veulent parler, de quoi ils ne veulent pas parler, et comment interagir avec d'autres êtres humains.

Une autre raison pour laquelle c'est important est que si c'est vous qui contrôlez vos propres données, et non pas le gouvernement ou d'autres organisations, ce sera plus difficile de transformer votre pays en État policier.

En tant qu'Allemands, nous avons pas mal d'expérience en ce domaine – nos Jones[1] n'ont pas connu le IIIe Reich et ont à peine connu, peut-être, la Stasi d'Allemagne de l'Est. Aucun de ces États policiers n'aime la vie privée puisqu'ils veulent contrôler leurs concitoyens.

Autre raison pour laquelle nous avons besoin de vie privée encore aujourd'hui, les secrets industriels et les négociations fonctionnent beaucoup mieux en mode confidentiel. Si ce n'est pas le cas c'est mauvais pour votre entreprise.

Hors entreprise, il y a beaucoup de groupes de protection des droits de l'homme, dont nous avons malheureusement besoin, et il est très important pour eux d'être en mesure de parler avec d'autres personnes en toute confiance.

Ces groupes des droits de l'homme ont clairement besoin d'un moyen de chiffrement pour s'assurer qu'ils peuvent garder des informations confidentielles à l'abri d'une divulgation – à la police d'État par exemple – et qu'ils ne vont pas mettre d'autres personnes en danger.

Autre point encore : la mémoire collective devrait pouvoir s'effacer petit à petit. Je veux dire par là que ce que vous avez fait en tant qu'adolescent ne doit pas retentir négativement sur votre vie ultérieure. Par exemple, vous assistez à cette conférence sur le logiciel libre, maintenant, à votre âge, et plus tard vous décidez de briguer le poste de directeur de la NSA ; la NSA n'appréciera probablement pas une personne qui veut exclusivement du logiciel libre.

Maintenant tout devient un peu comme des tatouages. Vous vous faites tatouer à 16 ans, et à 30 vous décidez que vous n'en voulez plus. Il faut décider très tôt de ce que l'on veut ou non. Ces traces, si elles ne peuvent pas disparaître, on ne peut rien y faire techniquement, donc la seule chose que l'on peut faire est de s'assurer que l'on ne publie pas trop d'informations nous concernant.

Pourquoi nous avons ce problème

Pourquoi avons-nous ce problème de menaces sur la vie privée ? C'est parce que notre monde devient de plus en plus compliqué. Autrefois, on parlait directement à quelqu'un, on remarquait des signaux de fumée, on envoyait des lettres, éventuellement cachetées, on remarquait les câbles du télégraphe le long des voies ferrées, on pouvait voir que quelque chose se produisait, et c'était une bonne chose. Il était facile de comprendre qu'on pouvait entendre ce qui se passait dans les câbles télégraphiques, on pouvait effectivement entendre les signaux. Et donc pour la plupart des gens, il était clair que d'autres étaient susceptibles d'entendre ce qui se disait à travers ce câble – ou à travers ces signaux de fumée bien évidemment ; oui, c'était plutôt public.

Soixante, soixante-dix ans plus tard, les choses ont changé avec l'arrivée de l'électronique, puisque c'est assez magique pour la plupart. Et enfin, il y a vingt, vingt-cinq ans, Internet est devenu disponible ici en Europe et aux États-Unis. Internet c'est vraiment un truc de sorciers. Personne, aucun utilisateur lambda ne peut comprendre comment fonctionne Internet. On vous parle de paquets, mais c'est quoi les paquets ? On a bien des paquets qui arrivent d'Amazon aujourd'hui, mais ceux dont je parle sont de la magie qui transporte nos pensées et nos lettres, et on a du mal à comprendre qu'il y a des personnes qui peuvent les intercepter, les trafiquer, etc. Ce n'est plus possible pour la plupart des gens de comprendre ça. Voilà à mon avis la raison pour laquelle pendant si longtemps tant de gens se sont désintéressés de la protection des communications sur Internet. Et c'est un travail difficile, bien évidemment.

Internet comme terrain de jeu pour les techos

Internet a été conçu comme un système décentralisé, résistant à toute attaque, sans serveur central, et c'est bien. Il a été conçu par des hackers, qui n'y ont pas intégré la sécurité puisqu'ils disaient : « Pas besoin de ça, on ne le fera pas ». On ne prévoyait pas que cela devienne jamais un phénomène de masse.

Quoi qu'il en soit, c'est ce qu'ils ont fait. La culture du Net des premiers temps a été plutôt bénéfique puisqu'elle a permis de démocratiser la communication. Même les appels téléphoniques sont maintenant abordables pour tout le monde, ce qui n'était pas le cas dans les années 60 ou 80, où les appels longue distance étaient très chers. Aujourd'hui on peut communiquer avec tout le monde, partout dans le monde, avec juste quelques centimes.

Internet est un outil merveilleux pour tout le monde, sauf évidemment pour les entreprises qui ont le monopole des télécommunications, puisque leur revenus chutent ; bien sûr elles essaient d'éviter ça.

Internet et la bulle de l'an 2000

Il n'y avait pas de problème de vie privée puisque personne n'utilisait Internet à ce moment-là. On aurait pu y ajouter la confidentialité ; tout était là, PGP par exemple. Mais sont arrivées par la suite les entreprises qui ont dit : « Ah, mais on peut faire des bénéfices, grâce à Internet, » et elles sont allées à la recherche de modèles économiques, ont commencé à faire de la simple publicité, et au bout du compte, se sont décidées pour la collecte à grande échelle de données sur les utilisateurs et leur comportement, pour ensuite proposer des publicités plus ciblées avec lesquelles elles gagnent beaucoup d'argent. Que l'on voie ça comme un problème ou non, il reste qu'elles sont riches et disposent d'énormément de pouvoir.

Malheureusement, s'il n'y a dans le secteur qu'un petit nombre de grandes entreprises, elles n'ont rien à faire d'un Internet décentralisé, elles ont besoin au contraire d'un Internet centralisé, un réseau dont elles contrôlent la plupart des communications.

La meilleure des divulgations consenties

C'est donc ce qui s'est passé. Les gens n'ont pas compris sur quoi repose Internet, mais ils aimaient communiquer avec les autres, chatter avec des personnes d'autres pays et continents, et se sont mis à l'utiliser.

Les fournisseurs d'accès et de services Internet, qui leur permettent de se connecter, ont utilisé un stratagème : ils les ont poussés à utiliser leurs portails. Pour beaucoup, beaucoup de gens, leur portail vers Internet, c'est Internet. Ils ne voient rien au-delà de celui de T-Online (je ne sais pas quel est l'opérateur principal en Belgique). Ils y voient leur Internet, et ne réalisent pas qu'il y a bien plus : un système décentralisé qu'ils pourraient utiliser sans avoir recours à aucun service centralisé.

Cela n'intéresse pas les utilisateurs, évidemment : ils ne s'en aperçoivent pas. Pour beaucoup, Google, c'est la porte d'entrée d'Internet. Même s'ils veulent regarder quelque chose sur Wikipédia, ils tapent Wikipédia comme mot-clé, et comme ça Google sait ce qu'ils recherchent sur Wikipedia, même si Wikipédia en soi ne piste pas l'utilisateur. Ils ne savent pas qu'ils pourraient taper directement « wikipedia.org » dans la barre d'adresse.

Et puis il y a les systèmes de paiement en ligne. Je ne sais pas ce qu'il en est des cartes de crédit, mais tous les systèmes de paiement par téléphone portable, la raison pour laquelle ils existent, c'est que ça permet d'établir une cartographie des transactions physiques. Les achats que vous faites en magasin, ils les croisent avec votre comportement sur Internet, ce qui là encore a pour but de mieux contrôler ce que les gens achètent. Donc après avoir consulté un article sur une site de vente en ligne, même si vous l'achetez ailleurs, avec ce système de paiement par téléphone portable ils sont capables de croiser tout ça pour mieux profiler chacun.

Et trop de personnes utilisent ce système sans savoir ce qu'elles font réellement.

Tiens, je vais faire un rapide sondage ici : qui dans cette salle n'a pas de compte Facebook ni Google+ ? [La plupart lèvent la main] Bien, je pense que je devrais arrêter ma présentation tout de suite puisqu'apparemment je ne m'adresse pas au bon auditoire. Bon, OK.

Marketing ciblé

Autre point important, c'est que tout cela se révèle utile pour le marketing ciblé. C'est par exemple le genre de situation où vous regardez le prix d'un billet d'avion, puis vous allez sur un autre site, et quand vous revenez le prix a changé. Ça c'est parce que l'entreprise a réalisé l'intérêt que vous aviez pour ces billets d'avion et que donc elle en a augmenté le prix.

Il y a aussi les encarts « Les autres clients ont aussi acheté ceci », qui fonctionnent plutôt bien pour les sites de vente en ligne. Ils vous poussent à acheter des choses que vous n'aviez pas forcément prévu d'acheter. « Les autres l'ont fait, donc je dois le faire moi aussi. »

Je ne suis pas sûr que tout le monde s'en rende compte, mais si vous achetez souvent un billet de train on vous fait une offre de location de voiture, et ensuite si vous acceptez la location de voiture, on vous propose de réserver un hôtel à votre destination. C'est bien évidemment très positif pour le service de location de voitures et pour l'hôtel. Avec une publicité adaptée à chaque utilisateur, c'est très avantageux pour tous ces services, mais les entreprises qui le font disposent d'énormément d'informations sur vous. Et l'on ne sait pas exactement à quoi elles vont les utiliser. Si vous êtes susceptible d'acheter un appartement à l'avenir, est-ce qu'ils vont vous dire « Non, vous ne pouvez pas l'acheter, parce que vous dépensez trop d'argent par ailleurs » ?

La surveillance d'État, 30 ans après

Voilà pour l'aspect entreprise, maintenant on passe à l'aspect État, à la surveillance que les gouvernements ont mise en place.

C'est vrai qu'ils aiment beaucoup surveiller, je l'ai dit au début, la raison étant probablement que l'Inconnu est toujours un danger.

En Allemagne, la chancelière Merkel a dit que cet Internet et cette surveillance d'Internet représentaient un territoire inexploré [Neuland] pour eux. Elle doit pourtant le connaître, elle a un blog vidéo et tout, mais elle prétend qu'ils n'ont aucune idée de ce dont il s'agit.

Donc il doit y avoir une sorte d'inconnu dans cet Internet et ces structures de communication, un inconnu qu'ils voient comme un danger à éviter. Donc ils vont essayer d'obtenir des lois pour mieux contrôler leurs concitoyens. Ils le font depuis 20-25 ans maintenant, plus ou moins. Cela prend du temps de faire passer ces lois parce que nous y résistons, donc ils doivent essayer, essayer à nouveau de les faire passer, et à un certain moment ils y arrivent, de manière à mieux suivre chacun à la trace.

Et puis ils font une découverte : « Bon, on a eu tellement de mal à obtenir ces informations sur nos concitoyens... Pourquoi est-ce que Google, Amazon, Apple, peuvent le faire si facilement ? » Ils se disent alors : « Bon, eh bien on n'a qu'à leur demander directement les données, ce sera beaucoup plus facile. » Et c'est probablement ce qui arrive actuellement avec PRISM, Tempora, et ces histoires sur la NSA et le GCHQ. Et en général, toutes nos constitutions ne sont vues que comme de simples suggestions et non comme quelque chose de contraignant, en tout cas pas pour les services secrets. Et ça, c'est vraiment un problème très sérieux. En particulier en Allemagne, où nous avons fait en sorte après la 2e guerre mondiale que les services secrets, la police, etc., soient clairement séparés et ne puissent pas avoir accès aux données des autres administrations. La vie privée a donc été intégrée au système, suite à l'expérience du IIIe Reich. Tout cela est en train de s'évaporer petit à petit.

Quand. Atteintes à la vie privée dans le monde réel

Vos interactions

Si vous faites quelque chose, vous devez être prêt à affronter votre avenir car ce que vous faites aujourd'hui l'affectera. Donc si par exemple vous dites à quelqu'un que vous êtes allé à telle conférence de hackers, et qu'ensuite vous cherchez un emploi chez Oracle, ils vont peut-être penser : « Ah non, c'est pas très bon, il pourrait pirater nos données. »

Interaction: courriel

Nous avons plusieurs types d'interaction sur Internet. La plus importante a toujours été le courriel. On a souvent dit que le courriel n'est plus important, mais je pense qu'il le reste, pour tout le monde, puisque nous avons besoin d'une adresse de courriel pour tous les comptes que nous créons et pour leur entretien, typiquement pour qu'on nous rappelle notre mot de passe.

C'est vrai que pour faire du vrai travail sur Internet, le courriel est probablement ce qu'il y a de mieux, puisque c'est en mode différé. On n'exige pas de nous de prendre des décisions à la va-vite, donc c'est vrai que ça reste très utile. Le courriel a cet avantage qu'on le lit quand on veut, et non pas quand l'expéditeur aimerait qu'on le lise.

Le problème, c'est que la plupart d'entre nous ont l'habitude d'utiliser le webmail, ce qui signifie que notre fournisseur d'accès peut voir exactement à quel moment nous lisons nos messages, lesquels, et dans quel ordre. Ce n'est plus sécurisé. Il sait quand nous allons au travail, et peut extraire toutes nos actions des données que nous fournissons en utilisant le webmail.

L'utilisation du courriel hors ligne, comme cela se pratiquait il y a dix ans, est plus sécurisée.

Interaction: faire des recherches

La recherche est ce qu'il y a de plus utile sur Internet. Tout le monde y a recours, et vous vous souvenez peut-être du premier service, AltaVista, au début années 90, qui nous a ouvert l'accès à tout Internet, de toutes ces pages qu'il mettait à la disposition de chacun d'entre nous, et c'est vrai qu'à l'époque c'était un service très cool. Et le Google des premiers temps était également très intéressant parce qu'il permettait vraiment de repérer exactement ce qu'on cherchait – bon, des questions techniques pour la plupart. Il sortait la bonne réponse en ce temps-là.

Mais aujourd'hui les recherches sont un véritable problème puisqu'ils s'en servent pour mettre tous leurs utilisateurs en fiches, pour établir leur profil. Ce n'est pas fiable non plus puisqu'ils adaptent les résultats de ces recherche à votre profil personnel. Par exemple, si vous aimez regarder des films d'horreur, ils apparaîtront en premier. Et pour d'autres qui aiment la science-fiction, la science-fiction sera en tête de liste. Et ça, ils le font pour tout.

Donc ce que vous obtenez de Google ou de Bing n'est plus fiable, c'est quelque chose qui est fait sur mesure d'après votre comportement.

Interaction: messagerie instantanée

Le chat est également une ancienne composante d'Internet. Auparavant, sur Internet, on utilisait IRC, mais honnêtement pour aujourd’hui je ne sais pas, je pense que la plupart des internautes passent par des salons de discussion intégrés au navigateur web, ce que personnellement je n'ai jamais fait. Le chat est utile puisque ça vous permet de travailler étroitement avec d'autres personnes de façon instantanée. En ce qui me concerne, je m'en sers pour traquer le bogue logiciel, et c'est vrai que l'utilisation de Jabber[2] est beaucoup plus rapide et interactive que le courriel, qui prend beaucoup plus longtemps.

Ça peut être sympa aussi de chatter à bâton rompu une fois de temps en temps lorsque vous travaillez seul à votre bureau.

Interaction: réseaux sociaux

Les réseaux sociaux sont pour moi un problème majeur pour la protection de la vie privée, puisque c'est vraiment l'outil par excellence qui est utilisé pour tout publier, toutes les données vous concernant. Tout le monde y a recours, tout le monde le fait, et il y a une génération entière aujourd'hui où chacun estime important de publier tout ce qui le concerne personnellement, sur Internet et notamment Facebook.

Ensuite, la question à se poser est : à qui cela profite-t-il ? Aux gens ? Ont-ils vraiment besoin d'amis ? Tous ces amis qu'ils ont sur leur compte Facebook, est-ce qu'il s'agit seulement d'une opportunité pour Facebook de constituer un profil sur eux pour vendre du marketing ciblé ?

Ceux qui vous disent où ils veulent en venir

Comment savoir ce qui se passe ? La bonne nouvelle est que toutes ces entreprises vous annoncent ce qu'elles veulent de vous. Elles ont leurs conditions d'utilisation et leur politique de confidentialité, elles vous informent clairement sur ce qu'elles vont faire de vos données. Elles le font peut-être en langage juridique que vous avez tendance à sauter, mais elles vous l'annoncent. Donc en réalité c'est assez équitable si vous le lisez. Si vous n'avez pas envie de le faire, vous pouvez aller sur tosdr.org, Terms of Service: Didn't Read dot org (Conditions d'utilisation : pas lues point org), qui liste de manière fort sympathique toutes ces conditions. Vous pouvez ainsi comparer les services, voir ce qu'ils attendent de vous, quels sont les meilleurs services pour la vie privée et quels sont les pires.

La question la plus facile, que vous pouvez toujours poser, est celle de leur modèle économique : pourquoi offrent-ils ce service ? Une entreprise ne va jamais rien faire bénévolement. Elle le fait pour avoir des revenus et valoriser ses actions, et l'argent doit venir de quelque part. Donc la bonne question à vous poser, c'est si vous voulez vraiment utiliser ce service.

Ceux qui ne vous le disent pas...

Bien sûr il y a d'autres entités qui ne vous disent pas ce qu'elles veulent. Il y a la NSA, qu'on appelait No Such Agency (aucune agence de ce nom) parce que personne ne savait si elle existait vraiment. Et Bletchley Park, et le GCHQ. Je ne veux pas aborder ce sujet maintenant parce cela a fait tant de bruit dans la presse ces temps-ci que tout le monde a entendu parler de PRISM et Tempora, et tout le monde devrait avoir entendu parler d'Echelon, qui a 12, 13 ans – oh non, c'est encore plus vieux – mais qui est connu, du moins devrait être connu de tous, depuis 1999. Il y a même eu un rapport au Parlement européen concernant Echelon, et des dispositions ont été prises à la suite de ça. Mais du temps s'est écoulé depuis, personne n'entend plus parler d'Echelon, et là on est tout surpris qu'il y ait PRISM, Tempora... et quoi d'autre ?

Ça c'est les États-Unis, la Grande-Bretagne, l'Australie, le Canada, mais les autres pays font tous la même chose. Les services de renseignement allemands, bien sûr, écoutent toutes les lignes téléphoniques. Ils le faisaient pour toutes les lignes vers l'Allemagne de l'Est. Voici à ce sujet une petite anecdote : au début des années 70, l'Allemagne de l'Est avait installé de nouvelles lignes téléphoniques vers l'Allemagne de l'Ouest, afin que les gens des deux Allemagnes puissent plus facilement se parler – auparavant c'était vraiment difficile, il fallait attendre des jours pour passer un coup de téléphone. Mais rien ne changea malgré ces travaux. La raison, c'est que les services secrets allemands, der Verfassungsschutz, n'avaient pas pu déployer suffisamment d'équipements d'écoute à temps !

Ils le font tous. Pour les services secrets, tout est connu. Tout ce qui n'est pas chiffré sur Internet, ce qui passe par le téléphone, et probablement même les transactions par carte bancaire.

Les éditeurs de vos logiciels ? Eh bien ça dépend. Ici ça n'a probablement pas de sens de vous parler des éditeurs de vos logiciels, puisqu'il s'agit déjà de Debian, Fedora, ou autre distribution Linux – pardon, GNU/Linux. Mais en général les éditeurs s'appellent Apple, Microsoft, Adobe, et vous n'avez aucune idée de ce qu'ils mettent dans leur logiciel, vous n'en savez rien. Vous devez toujours vous attendre à ce qu'il y ait des logiciels espions qui rapportent ce que vous faites, « greppent »[3] certains mots-clés, etc. Donc tous les doutes sont permis... Ils le font, c'est très probable. Pourquoi s'en priveraient-ils ?

Enfin, il y a des administrateurs système qui ne respectent pas la nétiquette, il y en a au moins quelques uns qui lisent vos mails sur les serveurs. Ils ne devraient pas, bien sûr. Je ne pense pas qu'il y en ait beaucoup. Il y a toutefois un administrateur système qui l'a fait, qui a lu des choses qu'il n'aurait pas dû lire ni publier, mais dans ce cas précis M. Snowden a bien fait, on ne peut que l'en féliciter.

Comment. Méthodes pour reconquérir notre vie privée

Et maintenant, qu'est-ce qu'on peut faire ?

Avant tout chose

Premier fait : la plupart d'entre nous ne sera pas en mesure de résister à une attaque ciblée. Cela signifie que si un service secret en a après moi et veut vérifier ce qu'il y a dans mon ordinateur de bureau personnel, il va y parvenir. Je ne peux rien faire contre ça, même si j'installe un OpenBSD et tout ce qui va bien. On s'apercevra que c'est une attaque ciblée, mais pour eux ça ne posera aucun problème, ils ont l'habitude et il n'y a rien à faire pour les en empêcher. Si vous tenez à le faire, il faut un haut niveau de sécurité ; ce n'est pas pratique et cela coûte cher à entretenir et à utiliser.

Analyse de trafic : savoir qui parle à qui, c'est difficile à contrer également. C'est possible, mais très difficile, donc je ne sais pas ce qu'on peut faire pour l'empêcher. Bien sûr on pourrait tous passer à Tor mais... c'est très difficile de le faire tout à fait correctement.

Ce qu'on peut faire en revanche, c'est protéger le contenu de nos communications, pour que personne ne puisse regarder dans l'enveloppe, comme pour le courrier postal.

Anonymat

Si vous ne voulez pas que d'autres voient à qui vous parlez, vous pouvez utiliser le projet Tor (The Onion Router, littéralement « le routage en oignon »), un système d'une grande sécurité qui rend difficile toute attaque. Essayez-le si vous ne voulez pas que les autres voient à qui vous parlez et quels services vous consultez, et même quand vous faites une recherche sur Wikipédia.

Pour l'avenir, GNUnet sera très intéressant. C'est un réseau qui s'appuie sur le réseau existant, avec de nouvelles plateformes pour tout type de service, résistant à la censure, anonyme. Il protège tout ce qui peut être protégé ou qui vaut la peine d'être protégé. C'est un réseau pair à pair, meilleur que Tor, mais il est encore en phase de développement et il faudra quelques années avant qu'on puisse l'utiliser.

Nous avons la chance que l'Union européenne, de manière très curieuse, finance son développement par moment. Les États-Unis ont également financé de la crypto, parfois même des logiciels libres de cryptographie. Ils pensent probablement que ça n'a pas d'importance.

Messagerie instantanée

J'espère que vous n'utilisez plus Skype, on sait maintenant que Skype récupère les URLs que vous passez dans vos messages, et les consulte, histoire de savoir ce qu'il y a derrière, n'est-ce pas ?

Un bon service est Jabber (ou XMPP), à condition de l'utiliser avec OTR[4] (littéralement : hors procès-verbal), qui active le chiffrement de bout en bout dans Jabber – et aussi dans d'autres protocoles. Chiffrer de bout en bout signifie que vous chiffrez et que seul votre destinataire peut déchiffrer, chacun sur sa propre machine et non sur un serveur intermédiaire, contrairement au modèle standard en dehors de Jabber et dans la plupart des services de chiffrement en ligne. Mais attention si vous utilisez ce système avec du chat multi-utilisateurs, c'est difficile à sécuriser.

Faire des recherches

Un système qui s'adapte bien à la structure d'Internet, ce sont les moteurs de recherche décentralisés. il en existe un qui s'appelle YaCy. Pourquoi ne pas l'utiliser pour vos recherches ? Le site de la FSF Europe, par exemple, l'utilise pour la recherche, mais essayez-le donc pour voir quels résultats vous obtenez. Bien sûr, il est un peu plus lent que les autres.

Pour les sujets privés, ayez recours s'il vous plaît à DuckDuckGo.com, qui semble être un bon service actuellement. C'est un peu comme l'ancien Google. Ils n'ont pas de modèle économique pour l'instant et ils vous promettent de ne rien faire de mal, de ne pas vous pister, etc. Donc actuellement c'est intéressant d'utiliser DuckDuckGo. Et si vous utilisez Mozilla, il serait bon de changer l'adresse utilisée pour la recherche par mot-clef, de sorte que si vous tapez quelque chose d'erroné dans la barre d'adresse, DuckDuckGo soit utilisé et pas Google. Sur le transparent vous voyez des instructions pour le faire. [Dans Mozilla: tapez about:config et donnez à keyword.URL la valeur https://duckduckgo.com/html/?q=]

Beaucoup d'utilisateurs ont l'habitude d'utiliser les moteurs de recherche comme point d'entrée d'Internet ; ce serait mieux pour eux d'utiliser Wikipédia. Wikipédia promet de ne pas suivre quoi que ce soit à la trace et dispose de beaucoup d'information. C'est un bon point de départ pour rechercher de l'information.

Garantir l'accès aux données

Jusqu'ici j'ai surtout parlé de services en ligne et de communication directe, mais pour ce qui est de la protection de données stockées, il y a des questions supplémentaires à se poser.

La première : est-ce que le chiffrement est assez sûr ? Et est-ce qu'il sera sûr dans 20 ans ? Dans 30 ans ?

Autre question importante, est-ce qu'il y a un moyen de sauvegarder ces données, et avez-vous géré la sauvegarde des clefs de chiffrement si les données sont chiffrées – ce qui est recommandé ?

Ensuite, quels outils va-t-on utiliser ? Il doit s'agir d'outils ouverts, documentés, parce qu'il faut savoir comment ils fonctionnent, et il faut pouvoir concevoir des logiciels ou des systèmes qui puissent déchiffrer le contenu même quand les ordinateurs ne seront plus construits comme maintenant.

Naturellement, le support où sont stockées ces données doit être fiable.

On peut penser enfin aux futurs archéologues qui feront des recherches sur ce qui s'est passé 200 ou 300 ans plus tôt, et trouveront des données chiffrées. Il ne faut pas qu'ils soient dépendants de l'éventualité que les machines Unix soient toujours opérationnelles. Pour déchiffrer les données, ils doivent pouvoir utiliser les logiciels ou les recréer à partir des spécifications – s'il trouvent la clef.

Informatique en nuage

Les services dits de « cloud » ont l'air bien importants ces temps-ci. Ils posent problème parce que vous mettez toutes vos données sur le Net, et vous ne les contrôlez plus. Il y a des outils comme ownCloud, où vous êtes votre propre (petit) hébergeur. C'est ce que tout le monde devrait faire, utiliser un petit hébergeur. Peut-être pas à vous tout seul, mais peut-être avec un groupe d'amis. Vous divisez entre vous le coût d'hébergement sur un serveur, vous mettez en place les services dont vous avez besoin pour stocker vos données et faire ce que qu'on peut faire avec un serveur. Vous pouvez probablement trouver quelqu'un pour effectuer le travail technique. L'hébergement est bon marché ces temps-ci, comparé au reste ; ce n'est vraiment pas un problème.

Si vous avez besoin d'un grand fournisseur de cloud, de « nuage », vous feriez mieux, naturellement, de vérifier ses conditions générales de vente, et d'en choisir un qui vous donne la possibilité de supprimer vos données, qui garantit qu'elles seront vraiment supprimées et, bien sûr, que vous pouvez les exporter. Les données stockées dans ce nuage devraient être uniquement accessibles par vous ; c'est clair pour nous mais pas pour la plupart des fournisseurs. Le meilleur système que j'aie trouvé est Tahoe-LAFS (Tahoe Least-Authority Filesystem, littéralement le système de fichiers Tahoe à séparation de privilèges), qui est un système de fichiers répliqué, chiffré, adapté à un service de cloud. C'est vraiment très bien, tout les services de cloud, de nuage, devraient utiliser ça.

Courriel

Chiffrez vos courriels, de préférence avec le protocole PGP et une de ses implémentations, GnuPG peut-être. Si vous ne pouvez pas utiliser OpenPGP, regardez éventuellement S/MIME, mais je vous recommande d'utiliser un certificat autosigné, ou bien un certificat du projet CAcert. C'est moins pratique, mais il ne faut pas soutenir ces autorités de certification commerciales, qui vous vendent un certificat racine et ne vous donnent rien en retour, pas même la protection de vos données privées.

Si vous utilisez X.509, c'est à dire les sites web chiffrés avec HTTPS, ou bien S/MIME, n'y accordez pas une grande confiance. Il est toujours possible pour de grandes entreprises et pour les services secrets d'organiser une attaque de l'homme du milieu, pour s'insérer dans la communication et espionner tout ce que vous faites. Donc faites attention. OpenPGP vous donne au moins la possibilité de passer en mode plus sécurisé. C'est plus difficile, mais vous pouvez en avoir besoin.

Logiciels en général

En général, je vous en prie, utilisez du logiciel libre. Bien sûr, nous sommes à une rencontre sur le logiciel libre, mais je le dirais ailleurs aussi, parce qu'il est plus difficile de mettre un mouchard dans un logiciel libre, vu qu'il faut convaincre nettement plus de gens qu'il ne s'agit pas d'un bogue mais d'une fonctionnalité. Alors utilisez Debian, Fedora ou Gentoo (mieux vaut éviter Ubuntu[5]), c'est beaucoup plus sûr que tout système d'exploitation privateur ou tout autre logiciel.

Si vous achetez ces... Heu non, pas vraiment. Bon, vous pouvez acheter des CD... Si vous téléchargez ces logiciels, il est important de choisir une source de confiance. Il y a plusieurs sites web qui vous proposent des logiciels libres, les mêmes que les nôtres, VLC par exemple, mais les versions qu'ils vous proposent ne sont pas sûres. Ils y ont mis des malwares, et de plus c'est du logiciel privateur. Faites attention à la source de vos logiciels.

Et je vous en prie, n'utilisez pas de webmail si possible. Si vous voulez vraiment un webmail, soyez votre propre fournisseur, ou ayez un petit fournisseur de confiance.

Et enfin, c'est important, il faut désactiver JavaScript. S'il vous plaît, faites-le. Bien sûr, la plupart des sites ne seront plus accessibles, donc vous pouvez avoir recours à NoScript, qui est une extension Mozilla où vous pouvez configurer les sites qui nécessitent JavaScript et ceux qui peuvent s'en passer. Il vaut mieux le faire.

Ce qu'il faut changer

En résumé, ce qu'il nous faut changer, c'est notre sensibilisation à la protection des données privées dans les moyens modernes de communication, systèmes de téléphonie, téléphones portables et autres, et même sur Internet. Il nous faut être conscients des atteintes à la vie privée.

Et puis il nous faut toujours prendre en compte que les entreprises d'Internet sacrifient notre vie privée pour leur argent. C'est ça leur modèle économique.

Et le complexe militaro-industriel fait la même chose. Ils espionnent ou laissent le gouvernement espionner, parce qu'ils peuvent vendre au gouvernement des logiciels et du matériel coûteux, plus le reste. Il faut absolument changer ça.

Ce que vous pouvez faire

Les quelques personnes ici qui ont encore un compte Facebook devraient le clôturer. Pas simplement arrêter de l'utiliser mais carrément le fermer, pour marquer le coup, et utiliser d'autres moyens pour chatter.

Chiffrez vos courriels – bon on ne va pas s'attarder, ça fait quinze ans que je le dis et que je le répète.

Il est important également de comprendre les conditions de service, pour savoir ce qu'on veut obtenir de vous. Et je pense qu'il est important de créer vos propres communautés, plutôt que de laisser un Mark Zuckerberg le faire pour vous.

Et enfin, si vous en avez les moyens, et le temps, vous pouvez peut-être faire fonctionner un nœud Tor. Cela aidera le projet Tor et protégera l'anonymat de tous les utilisateurs. Ça suppose du travail. J'ai fait tourner un nœud Tor pendant plusieurs années, et payé 18€ par mois pour ça, mais finalement je n'ai pas eu le temps de maintenir convenablement ce système et j'ai laissé tomber. On a besoin de temps pour faire ça, c'est ce que je veux dire par « moyens ». Ce n'est pas simplement une question d'argent pour le serveur. Mais... c'est indispensable. C'est à nous de le faire, on ne peut pas s'attendre à ce que Google fasse tourner des nœuds Tor pour nous.

Et pour finir

Au final, nous vivons dans un monde sous surveillance. C'est un fait. Depuis le temps, tout le monde devrait s'en être aperçu. Mais heureusement nous avons le pouvoir de contrer ça, nous tous. Nous savons ce qui se passe, et donc nous pouvons faire en sorte que ça change. Vous devez dire à vos amis et à l'administration publique de ne pas échanger d'information confidentielle ou privée avec vous par courriel classique. Ils devraient avoir une clef et l'envoyer par courriel chiffré, tout ça. Dites-le à vos amis. C'est difficile à faire, mais ils devraient au moins avoir à l'esprit qu'il est dangereux d'envoyer des informations sensibles par courriel non chiffré. Ce qui couvre beaucoup de choses, l'état de santé par exemple.

Si ça ne fonctionne pas, ce qui la plupart du temps est le cas pour moi avec l'administration publique, utilisez votre imprimante, mettez le tout sous enveloppe et envoyez-le par la poste, par « courrier-escargot ». C'est bien plus sûr pour vous. Peut-être qu'ensuite ils vont scanner le document et le faire suivre par courriel non sécurisé, mais là c'est hors de notre portée.

Et enfin, si vous partez en vacances et que vous cherchez de la lecture pour la plage, je vous recommande quatre livres : Nous autres d'Ievgueni Zamiatine, Le Meilleur des mondes d'Aldous Huxley, 1984 de George Orwell, et Simulacres de Philip K. Dick. Ce sont de très bons livres, assez anciens, bientôt cent ans, mais qui vous expliquent ce qui peut se passer s'il y a trop de données entre les mains de quelques-uns et pas assez de protection de la vie privée. C'est très intéressant d'y revenir après tout ce temps. Autre lecture à signaler, Retour au meilleur des mondes, un article d'Aldous Huxley écrit 30 ans plus tard, à la fin des années 50 je crois, pour comparer ce qu'il avait écrit dans Le Meilleur des mondes avec ce qui s'était passé. Lisez-le maintenant, 60 ans après, c'est effrayant.

Et c'était tout sur la protection de la vie privée, alors un dernier message : passez le mot à vos amis, qu'ils fassent attention.

Des questions ?

(applaudissements)

Questions/réponses

Première question - alternatives au webmail

Public : Vous avez mentionné le webmail, qu'il ne faut pas utiliser le webmail. Est-ce que vous avez des exemples qui ne soient pas du webmail ? Moi j'utilise Yahoo, Opéra, Gmail, qu'est-ce qu'il y a d'autre ? Outlook, ce n'est pas du webmail ?

WK : Non... Ce que je veux dire par webmail, c'est qu'il y a deux manières d'accéder, par exemple à Google Mail... si vous voulez vraiment utiliser Google Mail.

  • La manière classique, qui passe par votre navigateur web, où l'ensemble du programme de courriel tourne sur du code JavaScript envoyé par Google, donc essentiellement fonctionne côté Google. Le site saura tout ce que vous faites, chaque caractère que vous tapez sera envoyé chez Google (en théorie c'est optimisé, naturellement). C'est ça que j'entends par « webmail ».
  • Par ailleurs, Google et les autres services de courriel font également du stockage brut de ces messages. Ils sont alors accessibles par IMAP (ce qui signifie qu'ils sont conservés sur leurs serveurs) ou par POP3 (le message passe par leurs serveurs où vous allez le chercher pour le transférer chez vous). Ils peuvent espionner ça aussi, mais c'est le fonctionnement standard d'un fournisseur de courriel brut, ça n'a rien à voir avec le webmail.

NOTE : "en théorie c'est optimisé, naturellement". Ça a un sens, techniquement ? Ils choisissent ce qu'ils envoient ? Christian : pour moi, il veut préciser que son exemple est simplifié, et qu'en réalité tout le code n'est pas exécuté sur le serveur, mais une partie sur le poste de travail, pour optimiser la communication réseau. Thérèse: merci des précisions.

En fait le webmail utilise votre navigateur, qui est verrouillé sur une page web, et tourne sur leurs serveurs pour vous renvoyer des pages web. Ils contrôlent tout ce que vous faites et vous interagissez avec leur serveur. C'est ça le webmail.

Quand ce n'est pas du webmail, c'est que vous avez votre propre logiciel de courriel sur votre machine, peut-être sur votre smartphone, votre ordinateur portable ou votre ordinateur de bureau. Il y a plusieurs bons clients (en fait, tous les clients étaient bons avant les webmails) : Thunderbird, Claws mail pour Linux, également pour Windows... et ils gèrent tous le chiffrement. Si vous fouillez un peu, vous trouverez pas mal de services de courriel. Bien sûr, c'est pratique d'utiliser un webmail, parce que vous pouvez aller sur n'importe quel ordinateur, entrer vos identifiants et relever vos messages. Mais cet ordinateur peut avoir été mis sous écoute, ou il peut avoir un enregistreur de frappe qui recherche les mots de passe, etc. Ce n'est jamais sûr le webmail. Et si vous faites toujours votre courriel depuis le même poste, c'est bien plus pratique et sécurisé de le faire avec un logiciel dédié, en particulier si vous gérez une masse importante de messages. Je ne sais pas si je vous ai répondu ?

Deuxième question - niveau de sécurité de Tor

Public : On entend dire que si vous utilisez Tor, vous allez plus rapidement chez la CIA parce que la CIA opère de nombreux nœuds Tor.

WK : Si j'ai bien compris, votre question est : « L'usage de Tor est-il vraiment sûr ? » Eh bien, sur le réseau Tor, il y a des attaques théoriques et des attaques réelles bien sûr, mais elles ne sont pas si faciles à organiser. C'est la raison pour laquelle je vous ai dit de mettre en place un nœud Tor : plus il y a de nœuds Tor, et plus ce sera difficile pour les agences de renseignement de détourner le système. On ne peut absolument pas faire de surveillance de masse sur le réseau Tor, c'est très difficile. Les personnes qui travaillent dessus sont très au courant des questions de sécurité, et essaient que ça marche bien. Bien sûr, Tor a encore des problèmes, mais c'est un bon compromis parce que c'est un service à latence faible, ce qui signifie que vous pouvez même utiliser SSH à travers le réseau Tor, pour travailler à distance sur un autre ordinateur ; c'est très utile dans certains cas, mais il y a des compromis à faire. Ce serait mieux d'avoir un système en mode différé, comme GNUnet. ??Mais en attendant qu'il soit déployé, je crois qu'il est mieux d'utiliser Tor, même si c'est plus lent.?? Je ne pense pas que la NSA soit capable de détourner Tor à moins que vous ne soyez leur cible directe, et là vous n'avez plus aucune chance.

NOTE : Qu'est-ce qui est le plus lent ? GNUnet ou Tor ? J'aurais pensé qu'un système en mode différé serait plus lent. Christian : pour moi, il fait allusion au fait que l'utilisation d'Internet avec Tor est plus lente que sans Tor, mais en gros c'est le prix de la sécurité. Une vieille critique faite au réseau Tor c'est que la navigation Internet est beaucoup plus lente.

J'ai été à l'un de ces colloques de l'AES où j'ai dîné avec des gens de la PGP Corporation et un fonctionnaire de la NSA. On a parlé d'algorithmes compliqués, etc., et [le type de la NSA] m'a dit : « Ce dont vous parlez n'est pas un problème pour nous : nous on triche. » Ce qui veut dire qu'ils savent très bien comment contourner le générateur de nombres aléatoires de votre système.... ou entrer dans votre ordinateur, ce qui reste le plus simple. Il y a tellement de logiciels dans votre machine que c'est très facile d'en installer un avec un mouchard, pour capter des informations et les transmettre à la NSA.

Donc nous avons des algorithmes très sûrs, mais le maillon faible ce sont les machines que nous avons à disposition. Le problème, c'est le matériel lui-même. Ce qu'on peut sécuriser, c'est ce qui passe dans un câble, et encore, un long câble parce que les radiations des machines sont faciles à mettre sur écoute.

Troisième question - sécurité du poste utilisateur

Public : Est-ce que ça a un sens d'utiliser des systèmes d'exploitation bien protégés, comme FreeBSD par exemple, avec des communications très ouvertes – flux RSS et flux d'actualités comme Yahoo Pipes (agrégateur et analyseur d'actualités) qui communiquent avec mon ordinateur en permanence – pour se protéger, non pas d'agences gouvernementales, mais de petits groupes ou de mes concurrents directs ? Pas forcément de puissantes agences, mais de concurrents classiques, ou d'un groupe de hackers. Est-ce que ce n'est pas un peu ridicule de protéger mon ordinateur, mais d'utiliser les services classiques ?

WK : La réponse standard serait : ça dépend du genre de menace. Mais bien évidemment vous devriez chiffrer vos données, puisque c'est beaucoup plus facile de mettre une ligne sur écoute que d'installer un enregistreur de frappe sur un d'ordinateur standard. On suppose que cela peut être fait « en gros ». C'est facile de collecter tout ce qui passe par câble, même dans des fibres à 10 ou 100Mbit/s. Ils peuvent très facilement les lire, ce n'est pas un problème pour eux.

Il y a d'autres malwares, des malwares « industriels » qui sont ceux des types qui vous spamment pour que vous achetiez quelque chose. Contre ces spammeurs, contre cette industrie du malware, il est est bon d'utiliser un système d'exploitation qui ne soit pas destiné au grand public, parce que ça ne les intéresse pas. Ils calculent comment exploiter un maximum d'utilisateurs, que ce soit de Windows, Linux, Ubuntu ou Fedora – enfin, peut-être pas Fedora – en faisant fabriquer par leurs ouvriers un virus de courriel spécifique. Si c'est ça votre menace, c'est bien de sécuriser. Si votre crainte est que quelqu'un d'autre sache de quoi vous parlez, il faudrait vraiment chiffrer, utiliser un VPN, ou même un service de VPN pour avoir un service centralisé. C'est mieux que de laisser vos données en clair. À mon avis.

Public : [inaudible]

WK : Si vous utilisez seulement Jabber et que vous contrôlez le serveur, c'est sécurisé. Vous pouvez le faire en clair, parce qu'au niveau de la ligne c'est chiffré avec TLS. Naturellement, c'est bien d'utiliser un VPN. Dans les ambassades allemandes par exemple, ils n'utilisent pas le courriel chiffré pour des questions d'organisation mais ils sont reliés entre eux par VPN. Donc c'est du texte en clair, mais c'est difficile de les mettre sur écoute parce qu'il y a une couche intermédiaire qui, elle, est chiffrée.

Donc ça dépend, voilà la réponse. (rires)

Y a-t-il d'autres questions ?

Quatrième question - dans un cybercafé

Public : [inaudible]

WK : Est-ce que la question portait sur l'utilisation de l'application Tor ? Si vous êtes obligé d'utiliser un système d'exploitation privateur comme Windows, ou Mac, il est vraiment utile d'installer le Tor Bundle (la suite Tor), qui contient un navigateur préconfiguré pour utiliser Tor, avec d'autres éléments importants préinstallés. Oui, je pense que c'est important de l'utiliser, si...

Public : Oui mais dans mon cas, je n'ai pas de PC. Je n'ai pas d'ordinateur ; en général je vais dans les cybercafés. Et quelquefois, lorsque je relève mes messages et que simultanément je vais sur des sites web, je me suis rendu compte que j'étais plus ou moins espionné. Donc dans mon cas, est-ce que Tor serait utile, puisque je n'ai pas d'ordinateur, mais que je vais dans un cybercafé ?

WK : Si vous n'avez pas d'ordinateur sous votre contrôle, vous devriez au moins utiliser un ordinateur en lequel vous avez confiance. Si ce n'est pas le cas, on ne peut rien sécuriser.

Public : Et qu'en est-il du courriel, est-ce que c'est utile d'avoir une adresse de courriel professionnelle, au lieu de Hotmail ou autre?

WK : Vous voulez dire un fournisseur professionnel, au lieu de ces services comme Google Mail ou...

Public : Oui c'est ça, un professionnel.

WK : Je ne peux pas vous dire parce que je gère mon propre serveur de courriel. Rappelez-vous ce que j'ai dit : vous pouvez rassembler un groupe de personnes et créer votre propre serveur. Il peut même vous fournir un webmail en plus du serveur de courriel. C'est un petit peu de travail, mais pas tant que ça, si vous connaissez une personne qui serait capable d'administrer un serveur et de faire fonctionner un serveur de courriel – c'est ce qu'il faut installer en premier sur tout serveur... Bien évidemment ça demande de la maintenance, mais un petit fournisseur de courriel est clairement préférable à un gros fournisseur.

Public : D'accord, merci.

Cinquième question - communications téléphoniques

Public : inaudible

WK : J'aimerais que l'audio basé sur XMPP (Jabber) fonctionne mieux. Je pense que ça va arriver d'ici peu. J'ai entendu dire que Jitsi est un très bon outil. Je pense qu'il fonctionne beaucoup mieux que ces systèmes SIP compliqués que tout le monde utilise, parce que ces systèmes essaient de reproduire l'architecture téléphonique classique. Ils sont d'ailleurs conçus pour la remplacer. Ce que Jabber ou XMPP fait ressemble beaucoup plus à ce qu'on trouve sur Internet. Dans le fond, c'est une sorte de Skype libre.

Personnellement, je ne les utilise pas, j'utilise un téléphone classique, puisque c'est vraiment bon marché, mais au bout du compte c'est aussi Internet car la plupart des fournisseurs sont en train de modifier leur infrastructure pour fonctionner sur IP uniquement. Donc il n'y a pas de vraie différence entre Internet et le téléphone classique. Au final, il y aura toujours des paquets IPv6 qui vont circuler un peu partout.

Je pense qu'il n'y a pas vraiment de bon logiciel qui soit facile à installer. La plupart des offres commerciales sont finalement plus pratiques d'un point de vue ergonomique.

Organisatrice : Une dernière question.

Sixième question - STARTTLS

Public : Étant donné qu'on sait que les câbles peuvent être espionnés, peut-on consider que STARTTLS est sûr ? Si quelqu'un peut mettre tous les câbles sur écoute, est-ce qu'il peut facilement déchiffrer une session STARTTLS, ou est-ce trop difficile...

WK : Non. C'est une très bonne chose d'utiliser STARTTLS ; cela signifie qu'entre les serveurs de courriel les messages sont chiffrés. En fait, cela ne résistera pas à une attaque ciblée, mais ce que vous pouvez voir, ou ce qui peut être vu sur le réseau, est chiffré, et ils ne peuvent rien en faire, sauf s'ils montent une attaque de l'homme du milieu. Ça dépend un petit peu des algorithmes utilisés, mais le fait d'utiliser STARTTLS est préférable à un chiffrement de bout en bout, puisque qu'alors davantage de messages sont chiffrés, donc inintelligibles pour les oreilles des services. Autrement dit ils doivent essayer de combler leur retard en trouvant des moyens de nous mettre tout de même sur écoute. C'est beaucoup plus compliqué car ils doivent monter une attaque de l'homme du milieu active. Cela signifie que le trafic doit être déchiffré et chiffré à nouveau pour l'intermédiaire suivant et que par conséquent ils ne peuvent pas simplement l'écouter.

Public : D'accord, merci.

WK : C'est bon ?

Organisatrice : Je pense que c'était vraiment excellent.

WK : Merci de votre attention.

(Applaudissements)

Notes

  1. Peut-être une référence à la « génération Jones », c'est-à-dire la génération des baby-boomers d'après-guerre. Voir l'article de Wikipedia (en).
  2. Cf. https://fr.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol#Le_d.C3.A9but_:_Jabber et http://jabber.org (en)
  3. Grepper, v.t. : néologisme formé à partir de grep.
  4. Cf. https://fr.wikipedia.org/wiki/OTR et http://www.cypherpunks.ca/otr/ (en)
  5. Cf. https://www.gnu.org/philosophy/ubuntu-spyware.html et https://www.eff.org/deeplinks/2012/10/privacy-ubuntu-1210-amazon-ads-and-data-leaks (en)

Pour référence : traduction par l'interprète

Bien, bonjour à tous, bienvenue à ma présentation. On m'a demandé de parler des aspects de la vie privée.

En fait j'encourage moi-même énormément cette protection de la vie privée et surtout différents domaines dont je suis le principal auteur, notamment la GNU Privacy Guard. Mais aujourd'hui je vais plutôt faire une présentation d'ordre plus général sur des questions qui sont liées à la cryptographie et là où elle est nécessaire, et autres.

[C'est vrai que ce n'est pas très pratique d'avoir le micro ici...]

Pourquoi

Des raisons de faire attention à votre vie privée - 0′54″

La raison pour laquelle je me suis penché sur ce point est parce que j'estime que c'est très important. La première fois que j'ai eu des problèmes liés à la vie privée, c'était probablement dans les années 70, lors qu'en Allemagne, l'ancien chancelier était revenu, je ne sais pas... beaucoup d'organisations qui se posaient des questions pour voir ce qu'elles pouvaient faire pour améliorer les choses.

Par la suite, en 1997, j'ai décidé de... donc mon processus sur lequel je travail depuis lors.

La raison pour laquelle ça me semble particulièrement important, pour la protection de la vie privée, est que nous sommes des êtres humains effectivement, nous sommes tous individus, nous n'avons pas été assimilés, et chacun d'entre nous devrait être capable de décider de sa propre personne, et si il souhaite dire des choses aux autres sur lui-même, s'il souhaite révéler des informations qui le concernent. Et ça je pense que c'est un point très important, c'est ce qui fait la différence justement entre l'aspect collectif, ou avec les fourmis ou autres, non les êtres humains ont le droit de décider d'eux-mêmes à qui ils veulent parler et à qui ils ne veulent pas parler, et comment interagir avec d'autres êtres humains.

Autre raison pour laquelle c'est important: si vous pouvez contrôler vos propres données, et que ce ne sont pas le gouvernement et d'autres organisations qui vont contrôler vos données pour vous, ce sera par conséquent plus difficile de faire de votre État un État policier.

C'est vrai qu'en tant qu'Allemands, nous a eu différentes expériences, et on se rend compte que, cela on a pu le voir avec le IIIe Reich, avec la Stasi, en Allemagne de l'Est, etc.

Donc tous ces aspects de l'État policier, ces États n'aiment pas la vie privée puisqu'ils veulent connaître tous les détails sur tous leurs citoyens.

Et autre raison pour laquelle nous avons besoin de vie privée, et que la commercialisation des secrets peut créer des bénéfices et peuvent justement avoir un impact. Si ce n'est pas le cas cela peut être mauvais pour votre entreprise.

Et il y a beaucoup de groupes de protection de droits de l'Homme, dont nous avons besoin, et il est très important pour eux, d'être en mesure de parler et de pouvoir parler avec d'autres personnes en confiance.

[Oui, l'interprète demande si vous pouviez un peu vous reculer du micro, puisqu'effectivement, il n'y a pas besoin de parler aussi près. Oui c'est mieux. Oui, on peut entendre monsieur, c'est bien.]

Donc ces groupes des droits de l'Homme ont clairement besoin de cela, de ce genre de cryptage, pour s'assurer qu'ils peuvent garder des informations confidentielles et qu'elles ne vont pas être révélées aux États, à la police, et qu'ils ne vont pas mettre d'autres personnes en danger.

Autre point que j'ai écrit ici: les mémoires devraient pouvoir s'effacer petit à petit. Ce que vous avez fait en tant qu'adolescent ne doit pas forcément avoir de conséquence sur votre vie ultérieure.

Ici, si vous avez différents agissements, on voit aujourd'hui ce qui peut se passer dans la vie adulte, donc bien évidemment, cela devient un petit peu comme des tatouages, qui restent fixés, vous restez gravés, marqués, et ce sont des choses que dans certains cas on ne veut plus, donc il faut décider un peu tôt ce que l'on veut ou ce que l'on ne veut pas. Ces mémoires, si elles ne peuvent pas disparaître on ne peut rien y faire techniquement, donc la seule chose que l'on peut faire c'est s'assurer que l'on ne publie pas trop d'information nous concernant

Pourquoi nous avons ce problème - 5′42″

Pourquoi avons-nous ces problèmes liés aux menaces concernant la vie privée? Hé bien c'est parce que notre monde devient de plus en plus compliqué. À l'époque, on parlait directement à quelqu'un - oh il y avait des, je ne sais pas, par signaux de fumée, ou on envoyait une lettre, une lettre scellée, ou on envoyait des télégrammes, petit à petit, on a pu voir que quelque chose se produisait, et c'était une sorte de bien, il était facile de comprendre ce qui se passait par les différents câbles du télégramme, on pouvait comprendre, mieux et physiquement, ce qui se passait. Et donc pour la plupart des personnes, il était clair que d'autres pouvaient forcément voir, étaient susceptibles de voir ce qui se disait à travers des signaux de fumée ou autre, bien évidemment.

60, 70 ans plus tard, les choses ont changé avec l'arrivée de l'électronique, puisque ça devient un petit peu magique pour beaucoup de personnes. Et enfin, 20, 30 ans plus tard, l'Internet est devenu disponible ici, en Europe et aux États-Unis. Et Internet est vraiment un processus que la plupart des utilisateurs ne comprennent pas, on vous parle de paquets, on ne sais pas, il y a des paquets qui arrivent d'Amazon aujourd'hui, mais tous ces paquets sont un petit peu magiques, c'est quelque chose qui transporte nos pensées, nos lettres, et ce n'est pas facile à comprendre effectivement, on a du mal à comprendre qu'il y a des personnes qui peuvent les intercepter, qui peuvent les utiliser, c'est beaucoup moins contrôlé et c'est très dur de comprendre, et c'est là justement pour moi la raison pour laquelle pendant très longtemps beaucoup de personnes n'ont pas été intéressées par l'aspect sécuritaire et pour la protection de la communication sur Internet, et bien évidemment c'est dur de le faire, c'est évident.

Internet comme le terrain de jeu pour les techos - 7′43″

La façon dont Internet a été conçu, c'est un système décentralisé.

Un système avec différentes parties, il n'y avait pas de serveur central, et c'était donc la conception qui a été établie. Il n'y avait à l'époque pas de sécurité, puisqu'ils pensaient qu'il n'en avait pas besoin, on ne s'attendait pas effectivement à ce que cela devienne un phénomène de masse un jour. Et quoi qu'il en soit, la culture du Net a été plutôt bonne, ça a permis effectivement de démocratiser la communication. Même les appels par téléphone, on se rend compte aujourd'hui que ça peut être gratuit, pour tout le monde, ce n'était pas le cas dans les années 60 ou 80, où c'était très cher d'appeler dans une région éloignée. Aujourd'hui on peut communiquer avec tout le monde, partout dans le monde, avec juste quelques centimes.

Internet est un outil merveilleux pour tout le monde, sauf pour les entreprises qui avaient le monopole des communications, évidemment, puisque leur revenus chutent et ils essaient de ne pas favoriser ce phénomène.

Internet et la bulle de l'an 2000 - 9′00″

Il n'y avait pas de problèmes liés à la vie privée puisque personne ne l'utilisait. On aurait pu justement ajouter ce point, tout était présent, le PGP par exemple, mais sont arrivées par la suite les grandes entreprises qui ont dit "Ah, mais on peut faire des bénéfices, grâce à Internet", et ils ont étudié différents modèles d'entreprise, ont commencé à créer de la publicité, et au bout du compte, ils ont décidé de collecter beaucoup de données sur les utilisateurs, sur le comportement des utilisateurs, ensuite en proposant des publicités plus ciblées avec lesquelles ils gagnent beaucoup d'argent, qui sont peut-être une petite bulle, mais quoi qu'il en soite, ce sont de grosses entreprises qui disposent d'énormément de pouvoir.

Malheureusement, aujourd'hui s'il n'y a que quelques grandes entreprises, elles ne sont pas intéressées par un Internet décentralisé, ils ont besoin d'un réseau centralisé, un réseau qu'ils pourront contrôler.

La meilleure des divulgations consenties - 10′08″

Bien, au fur et à mesure, c'est vrai que les personnes ne comprenaient toujours de quoi est-ce qu'il s'agissait, ils aimaient parler communiquer, chatter, avec des personnes qui étaient sur d'autres continents, et utilisaient Internet.

Ils utilisaient les ISP qui leur permettent de se connecter à Internet, et ils ont commencé à utiliser différents portails. Pour beaucoup de personnes, leur portail vers Internet, c'est Internet. Ils ne voient rien au delà de cela de T-Online - je ne sais pas qui est le fournisseur principal ici - et c'est vrai que cela ne nous permet pas forcément de voir qu'il existe un système décentralisé que je pourrais utiliser sans avoir recours au système centralisé.

Les utilisateurs n'étaient pas intéressés, et c'est vrai que les personnes ne réalisent pas forcément. Pour beaucoup de personnes, Google c'est l'entrée à Internet. Mais même s'ils veulent regarder quelque chose sur Wikipédia, ils tapent Wikipédia en terme de recherche, et ça leur permet de trouver directement ce qu'ils cherchent sur Wikipédia, même si Wikipédia elle-même ne suit pas l'utilisateur. Ils ne savent pas qu'ils pourraient taper directement wikipedia.org dans l'adresse de recherche windows.

Au delà de ça, il y a des systèmes de paiement en ligne, également. Pas forcément les cartes de crédit, mais tous les systèmes de paiement par téléphone portable également. La raison pour laquelle ils existent, c'est que ça permet d'établir une cartographie physique, et ils peuvent suivre les transactions physiques. Lorsque vous achetez quelque chose en magasin, ils peuvent suivre cette attitude sur Internet, ce qui là encore a pour but de mieux contrôler les achats des personnes. Ils voient ce qu'ils achètent, même sur un site Internet, mais avec ce système de paiement par téléphone portable, ce permet vraiment d'avoir un meilleur profil de chacun. Et au bout du compte, on se rend compte que trop de personnes l'utilisent sans savoir ce qu'elles font réellement.

Je vais faire une petite étude ici, brièvement: qui dans cette salle n'a pas de compte Facebook ou Google+ ? Bien, je pense que je devrais arrêter ma présentation tout de suite puisqu'apparemment je m'adresse à la mauvaise audience. Bon, très bien.

Marketing ciblé - 12′45″

Autre point important, c'est vrai qu'il y a du marketing ciblé, toutes les choses pour lesquelles vous pouvez obtenir un prix. Par exemple, vous regardez le prix d'un billet un avion, une personne se connecte d'un autre ordinateur, elle obtient un prix différent. Ça c'est parce que l'entreprise a réalisé l'intérêt que vous aviez d'acheter ces billet d'avion et donc elle augmente le prix du billet d'avion.

Il y a tout ce genre de mécanismes qui fonctionnent plutôt bien pour les entreprises qui achètent quelque chose qu'elles n'avaient pas forcément prévu d'acheter, au bout du compte c'est plus rentable.

Je ne suis pas sûr que tout le monde l'ait réalisé, mais si vous achetez un billet de train souvent on vous fait un offre sur la location d'une voiture, et ensuite si vous acceptez la location de la voiture, vous pouvez réserver un hôtel. Ça bien évidemment c'est très positif pour le service de location de voiture, pour l'hôtel, et donc on paye vraiment pour qu'il y ait cette publicité, c'est très important pour tous ces services, mais les entreprises qui le font disposent d'énormément d'information sur vous. Et on ne sait pas exactement pourquoi elles vont l'utiliser. Est-ce que si vous êtes susceptible d'utiliser un appartement à l'avenir, et bien ils vont vous dire "Non, vous ne pouvez pas l'acheter" parce que vous dépensez trop d'argent par ailleurs pour d'autres choses. C'est une possibilité.

La surveillance gouvernementale, 30 ans après - 14′06″

Voilà, ça c'est pour l'aspect entreprise, maintenant on passe à l'aspect gouvernement, et leur surveillance qui est en place. C'est vrai qu'ils aiment beaucoup surveiller, je l'avais déjà dit au début, la raison est probablement que ce qui est inconnu est toujours un danger. En Allemagne, avec la chancelière Merkel, et justement l'écoute d'Internet, est totalement inconnu, ce qui créée vraiment une préoccupation, même si elle a un blog, etc., elle connaît certaines choses, mais eux disent qu'ils n'ont aucune idée de quoi il s'agit.

Donc il y a vraiment une partie inconnue dans ces structures Internet, ce qui représente un danger pour eux, un danger qu'ils essaient d'éviter. Donc ils vont essayer d'obtenir un contrôle plus important sur les citoyens et ils le font depuis 20-25 maintenant, plus ou moins, cela prend du temps, bien évidemment, de le faire, d'obtenir ces connaissances, et aujourd'hui ils doivent, au fur et à mesure essayer, essayer à nouveau, et à un certain moment, ils arrivent à pénétrer le système afin de mieux suivre et contrôler les personnes.

Et ensuite ils réalisent : "Bon, on a eu tellement de mal à obtenir ces informations sur nos citoyens, que, pourquoi est-ce que Google, Amazon, Apple, pourquoi eux peuvent-ils le faire aussi facilement?". Ils se sont dit : "Bon, hé bien, mais on n'a qu'à leur demander directement les données, et ça ira beaucoup plus vite". Et c'est un petit peu, justement, toutes les histoires qu'on entend dernièrement avec la NSA, etc. Toutes les constitutions sont vues finalement comme un suggestion, mais pas comme quelque chose qui est appliqué, en tout cas qui n'est pas suivi par les services secrets c'est certain, et ça, c'est vraiment un problème très sérieux.

En particulier, en Allemagne, nous avons établi notre système, de telle sorte que les services secrets, la police, etc., étaient clairement séparés, en principe, ils ne peuvent pas avoir accès aux données des autres corps, puisque justement il y avait eu l'expérience du IIIe Reich en Allemagne. Mais bon, tout cela est en train de s'évaporer, petit à petit.

Quand. Atteintes à la vie privée dans le monde réel

Vos interactions - 16′37″

Si vous faites quelque chose, vous devez être prêt à savoir que ce que ce que vous faites aujourd'hui aura un impact sur votre avenir. Donc si vous dites à quelqu'un par exemple que vous êtes venu à cette conférence de hackers, et qu'ensuite vous voulez chercher un emploi chez Oracle, ils vont peut-être penser "Ah non, c'est pas très bon, ce n'est peut-être pas la personne appropriée".

Interaction: Courriel - 17′04″

On a différentes interactions, tous, avec Internet.

L'interaction la plus importante ça a toujours été les e-mails, bon pour moi c'est du courrier, vraiment, et on a souvent dit que le mail n'est plus aussi important, mais je pense que ça reste important pour tout le monde, puisque tous les comptes que vous créez, hé bien pour les créer vous avez besoin d'une adresse mail, vous allez aussi en avoir besoin pour l'entretien de ce compte, qui vous envoie le mot de passe, etc. C'est vrai que sur Internet, l'e-mail est probablement l'aspect le plus intéressant, puisque là on n'exige pas de nous de prendre des décisions rapido, donc c'est vrai que ça reste très utile. Le problème pour eux c'est que vous le lisez lorsque vous voulez et non pas lorsque l'envoyeur aimerait que vous le lisiez, le problème c'est que beaucoup utilisent le webmail, ce qui signifie que l'on peut voir exactement à quel moment est-ce que vous allez lire votre mail.

Ils savent un petit peu lorsque vous allez travailler, on peut vraiment obtenir énormément d'information en utilisant ce webmail.

L'utilisation de l'e-mail en off-line est la façon un petit peu plus sécurisée de le faire.

Interaction: rechercher - 18′41″

La recherche est la chose la plus utile sur Internet, sans aucun doute. Tout le monde y a recours, et vous vous souvenez peut-être qu'on a eu le premier service qui était Altavista au début années 90, qui nous offrait différentes pages, et c'est vrai qu'à l'époque c'était un service très cool, très agréable, et ça permettait vraiment de souligner exactement ce que vous cherchiez. Bon après, il y a eu des questions plus techniques qui ont été améliorées.

Mais aujourd'hui la recherche est un véritable problème puisqu'ils utilisent ces recherches pour établir des profils de vous, pour établir des profils de tous les utilisateurs. Ce n'est pas non plus fiable puisqu'ils rendent les résultats de ces études d'après votre profil. Par exemple, si vous voulez voir, je ne sais pas, un film d'horreur par exemple sur Internet, hé bien ce sera noté. D'autres voudront voir des films de science-fiction, et ça, ils le font pour tout, pour toutes les informations, toutes vos recherches, dont ce n'est plus fiable du tout, tout ce que vous obtenez de Google ou de Bing n'est plus fiable, c'est quelque chose qui est fait sur-mesure, qui est adapté à votre comportement.

Interaction: messagerie instantanée - 20′10″

Le chat est également une caractéristique importante d'Internet. Honnêtement je pense que beaucoup d'utilisateurs d'Internet utilisent ces petites fenêtres de chat. Bon moi personnellement je ne l'ai jamais fait, le chat par contre c'est vrai que c'est utile puisque ça vous permet aussi de travailler étroitement avec d'autres personnes de façon instantanée, donc c'est vrai que là encore, il peut y avoir un suivi qui peut être fait, un contrôle, et c'est vrai que l'utilisation du chat est beaucoup plus rapide et interactive que le mail qui peut prendre beaucoup plus longtemps.

Ça peut être agréable lorsque vous travaillez seul dans votre bureau.

Interaction: réseaux sociaux - 20′56″

Les réseaux sociaux sont pour moi le plus grand problème qui est lié à la protection de la vie privée, puisque c'est vraiment l'outil par excellence qui est utilisé pour tout publier, toutes les données vous concernant. Et tout le monde y a recours, tout le monde l'a fait, et il y a une génération entière aujourd'hui qui pense qu'il est important de tout publier sur moi, sur ce qui me concerne, sur justement ces réseaux sociaux, et notamment Facebook.

Ensuite, la question à se poser c'est : est-ce que ce sont des amis, sur votre compte Facebook, ou est-ce que c'est une opportunité pour Facebook pour continuer de vendre son marché cible?

Ceux qui vous disent ce qu'ils veulent - 21′53″

Comment savoir ce qui se passe. La bonne nouvelle c'est que toutes ces entreprises vous annoncent ce qu'elles veulent de vous. Elles ont leur politiques de service, elles vous informent, elles vous disent clairement ce qu'elles vont faire de vos données. Ça peut être présenté dans un langage juridique, un peu difficile à comprendre pour vous, mais elles vous le disent, elles vous l'annoncent. Donc en réalité c'est assez juste. C'est difficile à lire, mais les informations sont disponibles, leur procédé est juste. Peut-être que vous n'avez pas envie de le faire, vous pouvez aller sur tosdr.org, vous pouvez comparer, voir ce qu'ils attendent de vous, quels sont les meilleurs et pire services pour la vie privée.

Vous pouvez demander quel est leur modèle commercial: pourquoi est-ce qu'ils offrent ce service? Parce qu'une entreprise ne va jamais rien faire de manière volontaire et gratuite, elle le fait pour avoir des rentrées, des revenus, et payer les dividendes des actionnaires, et l'argent doit se trouver quelque part, donc la question c'est: est-ce que vous voulez vraiment utiliser ce service?

Ceux qui ne vous disent pas... - 23′16″

Ensuite il y a les autres parties qui ne vous disent pas ce qu'elles veulent. Il y a la NSA et on l'appelait No Such Agency parce que personne ne savait qu'elle était existait, qu'elle était là. Bon, il y a des choses que je ne vais pas aborder maintenant parce qu'il y a tellement d'attention de la presse, tout le monde a entendu parler des emprisonnements provisoires et tout le monde entend parler de tout ça, des actions, depuis 1999 au Parlement Européen autour d'Échelon. Le temps s'est écoulé depuis, personne n'entend plus parler d'Échelon, Tempora et autres.

Ça c'est les États-Unis, la Grande-Bretagne, l'Australie, le Canada, mais il y a d'autres pays, également, qui ne font pas mieux. Les services de renseignement allemands, bien sûr, espionnent également, déjà à l'époque des deux Allemagnes. Il y a une anecdote, début des années 70, l'Allemagne de l'Est avait installé de nouvelles lignes téléphoniques pour... ils avaient dit que voilà, c'était fait à des fins de meilleure communication entre l'Allemagne de l'Ouest et de l'Est, parce qu'il y avait beaucoup de communications téléphoniques, et personne n'avait changé, mais finalement quelle était la raison, la seule chose c'est que les services secrets allemands n'avait pas pu déployer suffisamment d'équipement de câble à temps pour pouvoir continuer avec ces écoutes.

Il s'agit de savoir ce qui n'est pas encrypté sur Internet, sur... même les transactions de crédit, tout ça c'est disponible.

Ça dépend également des fournisseurs, bon je ne vais pas parler spécifiquement de votre fournisseur, c'est peut-être déjà Debian, Fedora Linux - GNU/Linux - et en général on les appelle Apple, Microsoft, Adobe, et vous n'avez aucune idée de ce qu'ils mettent dans leur logiciel, vous n'en savez rien. Vous devez toujours vous attendre à ce qu'il y ait ???, qu'il y ait des mots-clefs, que tout soit programmé à l'avance, et qu'en fait ils fassent tout pour vous, vous n'avez aucun pouvoir de décision.

Bon, il y a des administrateurs qui ne respectent pas les Étiquettes, il y en a au moins quelques uns qui lisent vos mails sur les services. Je ne pense pas qu'il y en ait beaucoup, ils devraient pas le faire, mais il y en a, certainement. Il y a au moins un administrateur de service qui a lu du matériel qu'il aurait pas dû écouter, du matériel qu'il n'aurait pas dû voir, et dans ce cas M. Snowden a bien fait les choses, on ne peut que l'applaudir et le féliciter pour ça. On n'a pas à le lui reprocher.

Comment. Méthodes pour reconquérir notre vie privée - 26′56″

Qu'est-ce qu'on peut faire ?

Avant tout chose - 27′05″

Il ne faut pas faire omission de toute attaque ciblée. Si certains services secrets par exemple veulent voir mes données, hé bien ils vont le faire, je ne peux rien faire. S'ils décident de m'attaquer, de s'attaquer à mes données privées, je ne peux rien faire. Pour eux ça ne pose aucun problème, ils ont l'habitude de le faire. Il n'y a rien à faire pour l'empêcher. Si vous voulez le faire, il faut un haut niveau de sécurité, ce n'est pas pratique et ça a un coût élevé, peu pratique.

Pour voir qui parle à qui, c'est vraiment difficile à pondérer aussi. Ça peut, ça sert, mais c'est difficile. Je ne sais pas ce qu'on peut faire pour l'empêcher. C'est très difficile de bien faire les choses en tout cas.

Ce qu'on peut faire, c'est protéger le contenu des communications, pour que personne ne puisse regarder dans l'enveloppe.

Anonymat - 28′23″

L'anonymat: vous ne voulez pas que d'autres voient à qui vous parlez. Vous pouvez utiliser Tor. Le projet Tor est un système d'une grande sécurité qui rend difficile toute attaque. Essayez-le, si vous ne voulez pas que les autres voient à qui vous parlez et quels services vous consultez. Ils peuvent même voir que vous utilisez certains termes dans Wikipédia.

Pour l'avenir, GNUnet sera très intéressant, avec de nouvelles plate-formes pour ce type de service, résistant aux capteurs, anonymes. Il protège tout ce qu'il peut. C'est un réseau pair à pair, c'est encore en cours de développement, et ça prendra encore quelques années avant de pouvoir l'utiliser. Et l'Union Européenne, de manière très curieuse, finance le développement. Les États-Unis financent également le matériel crypto, parfois des logiciels gratuits de cryptographie. Ils pensent probablement que ça n'a pas d'importance.

Messagerie instantanée - 29′23″

J'espère que vous n'utilisez plus Skype, on sait maintenant que Skype utilise tout ça...

Un bon service est Jabber, vous l'utilisez avec OTR, ça vous aide avec les protocoles Java, le contenu encrypté sur Java, et eux le décryptent sur leurs machines, leurs appareils, pour la plupart des services encryptés. Attention si vous utilisez le chat c'est difficile à sécuriser, c'est quelque chose qui est plus du domaine public.

Faire des recherches - 30′52″

Un système qui s'adapte bien à la structure Internet, ce sont les moteurs de recherche décentralisé, qui s'appellent YaCy. Vous pourrez l'utiliser si vous le souhaitez pour les recherches, vous pouvez l'utiliser et voir quels résultats vous avez. Bien sûr que c'est un peu plus lent que les autres, mais c'est intéressant.

Pour tout le reste, hé bien allez voir DuckDuckGo.com, qui est un bon service. C'est comme l'ancien Google sans modèle commercial, ils vous promettent de ne rien faire de méchant. C'est intéressant d'utiliser DuckDuckGo, et si vous utilisez Mozilla, il serait bon de changer l'adresse dans le champ pour les adresses pour choisir DuckDuckGo et pas Google. Sur le transparent vous voyez des instructions pour le faire.

Beaucoup d'utilisateurs ont l'habitude d'utiliser les moteurs de recherche en point d'entrée d'Internet, ce serait mieux pour eux d'utiliser Wikipédia. Wikipédia promet de ne pas retracer, Wikipédia dispose de beaucoup d'information, et c'est un bon point de départ pour rechercher des informations.

Maintenir l'accès aux données - 32′32″

Je parle surtout de la communication directe, services en ligne, mais pour ce qui de la protection de données, de données stockées, il y a encore des questions à poser.

La première par exemple: est-ce que les cryptographes sont sûr, est-ce qu'ils seront sûr ans 20 ans ou pas ? Ensuite, est-ce qu'il y a une manière d'assurer ces données, est-ce que ce cryptage est sûr et est-ce qu'il y a un backup des clefs de ce cryptage ? Et quels outils est-ce qu'on utilise ? Ils doit s'agir d'outils ouverts, parce qu'il faut savoir comment ça fonctionne, il faut encore être en mesure de concevoir des systèmes qui puissent décrypter le contenu, et les media bien sûr, où sont storées ces données. Et penser aux futurs archéologues qui feront des recherches sur ce qui s'est passé il y a 200-300 ans. Ils devraient pouvoir utiliser des logiciels pour avoir plus de spécifications sur les données et savoir comment décrypter cela.

Cloud - 34′07″

Les services de Cloud sont très important bien sûr. C'est un problème parce que vous mettez toutes vos données sur le Net, et vous ne les contrôlez plus. Être votre propre hébergeur, c'est quelque chose que vous devriez faire, utilisez un petit fournisseur, peut-être pas que pour vous tout seul, mais peut-être avec un groupe d'amis. Payez peut-être entre vous un hébergement chez un serveur pour stocker, faire ce que vous voulez faire avec un serveur, vous pouvez trouver quelqu'un pour le faire techniquement, mais l'hébergement ne coûte plus tellement ces jours-ci, par rapport à d'autres services que vous payez. Ce n'est pas un problème.

Si vous avez besoin d'un grand fournisseur de Cloud, de Nuage, il faudra vérifier quelles sont les terms de vente, et les possibilités de supprimer les données, et la garantie qu'elles peuvent être vraiment supprimées, et la possibilité d'exporter les données bien sûr.

Les données stockées dans ce nuage devraient être uniquement accessibles par vous, c'est clair, mais pas pour la plupart des fournisseurs. Le meilleur système que j'ai trouvé est Tahoe, qui utilise des systèmes authority files répliqués, cryptés, et c'est vraiment très bien. Tout service de Cloud, de nuage, devrait utiliser ça.

Courriel - 36′00″

Il vaudrait mieux crypter les mails avec PGP, meilleur protocole, GnuPG, meilleur service, et si vous ne pouvez pas utiliser OpenPGP, utilisez d'autres certificats style ??? et autres, parce qu'il ne faut pas soutenir ces certificats commerciaux qui ne donnent rien, qui ne vous garantissent même pas la protection de vos données privées.

Il y a HTTPS, il est toujours possible pour de grandes entreprises, et pour les services secrets, d'organiser une attaque, moyenne ou grande, à travers ça, donc attention. Au moins, avec OpenPGP, il vous offre plus de garantie de sécurité.

Logiciels en général - 37′17″

Bon nous sommes dans une conférence sur le logiciel libre, donc je ne lasserai pas de le répéter, utilisez du logiciel libre. Je le dit ailleurs aussi, parce que seul ce type de logiciel libre vous offre un meilleur niveau de sécurité, il est plus difficile de vous attaquer à travers le logiciel gratuit. Fedora, Ubuntu est beaucoup plus sûr que tout autre logiciel.

Peut-être que vous achetez des CDs, mais si vous téléchargez un logiciel il est important d'aller vers une source de confiance, il y a beaucoup de sites Internet qui vous proposent du logiciel gratuit. Il y a malware, il y a du logiciel de propriété. Faites attention lorsque vous téléchargez du logiciel comme ???, et n'utilisez pas le webmail. Si vous voulez utiliser du webmail, soyez votre propre fournisseur ou ayez un petit fournisseur pour ça.

Et enfin, il faut désactiver JavaScript. S'il vous plaît, faites-le. Bien sûr, la plupart des sites ne seront plus accessibles. Peut-être que vous pouvez avoir recours à NoScript: vous pouvez configurer les sites qui requierent JavaScript et ceux qui ne le font pas, mais il vaut mieux le faire.

Ce qu'il faut changer - 38′54″

Et en résumé, je dirais que ce qu'il nous faut changer ici, c'est la prise en conscience par rapport à la protection des données privées, sur les téléphones portables, téléphones Internet, et se rendre compte que les entreprises Internet sacrifient votre vie privée pour leur argent. C'est ça le modèle. Et d'autres structures plus complexes font la même chose, elles espionnent ou laissent les gouvernements espionner, parce qu'elles peuvent vendre au gouvernement des logiciels qui vont leur apporter beaucoup d'argent et qui révèlent toutes vos données, donc il faut absolument changer ça.

Ce que vous pouvez faire - 39′39″

Ceux qui ont encore un compte Facebook ici devraient le fermer. Pas simplement ne pas l'utiliser mais carrément le fermer, pour marquer le point. Utiliser des systèmes de chatting, crypter les mails - bon ça fait quinze ans qu'on fait ça et que je le répète. Important de comprendre également les termes et conditions pour savoir ce qu'on attend de vous, et construisez, créez vos propres communautés. En enfin, si vous avez les ressources et le temps, vous pouvez peut-être faire fonctionner Tor node. Ça suppose du travail. J'ai dirigé un Tor node pendant plusieurs années, mais enfin finalement je n'ai pas eu le temps de gérer ce système, il vous faut du temps pour ça. Ce n'est pas simplement une question d'argent, c'est une question de temps souvent. Et c'est important à faire parce que vous ne pouvez pas vous attendre à ce que Google nous offre cette protection.

Et pour finir - 41′00″

Et le fait est qu'on vit quand un monde violent, c'est un fait et je crois que tout le monde s'en est aperçu depuis, malheureusement. Nous sommes les seuls à pouvoir changer ça. On le sait, vous devez dire à vos amis, à l'administration publique qu'ils ne vous envoient pas d'information confidentielle par mail privé. Ils devraient avoir une clef et l'envoyer par mail crypté. Dites tout cela à vos amis. C'est difficile à faire, mais ils devraient au moins avoir cette mentalité, cette tournure d'esprit, et comprendre qu'il est dangereux d'envoyer les informations sensibles au travers des mails non cryptés. Si ça ne fonctionne pas, surtout dans le cadre de l'administration publique, prenez le temps de mettre le tout dans une enveloppe et de l'envoyer par la poste, par courrier normal. Et en fin de compte, si vous voulez partir en vacances sur la plage, pour des lectures de vacances je vous recommande de Zamyatin We, et ???, et Simulacra. Ce sont de très bons ouvrages, de très bons livres, d'une centaine d'années, mais qui vous expliquent ce qui peut se passer s'il y a trop de données entre les mains de quelques uns et s'il n'y a pas assez de protection de la vie privée, et il sera intéressant de revenir là-dessus après un certain temps.

Dans les années 50, il y a eu un journaliste qui a revisité ce qui a écrit ici dans Brave new world, et voir avec le temps ce qui c'était passé, et il serait intéressant de voir, 60 ans après, ce qui s'est passé, c'est effrayant.

Et c'était tout sur la protection de la vie privée, alors un dernier message: passez le mot, passez le message à vos amis, qu'ils fassent attention.

Des questions?

(applaudissements)

Questions/réponses

Première question - 43′35″

Public: Vous m'entendez?

Traductrice: Oui Monsieur on vous entend.

Public: Vous avez mentionné le webmail, qu'il faut pas utiliser le webmail. Est-ce que vous avez des exemples de non-webmail. Moi j'utilise Yahoo, Opéra, GMail, qu'est-ce qu'il y a d'autre ? Outlook, ce n'est pas du webmail.

WK: Ce que je veux dire par webmail - il y a deux choses, deux manières d'accéder à Google Mail - par exemple, si vous voulez utiliser Google Mail - soit sur votre navigateur Internet, il y a des JavaScript envoyés par Google, et voilà ça saura tout ce que vous faites, chaque caractère que vous tapez sera envoyé chez Google, et c'est ça que je veux dire quand je dit "webmail". Google a des services également où il stocke des mails, sur IMAP par exemple où ils les gardent sur leur surface ou POP3. On peut le trouver sur le serveur. Et je veux dire, bon, je pense qu'ils peuvent superviser ça. Mais le fournisseur de mail n'a rien à voir avec le webmail. Webmail ça veut dire ouvrir votre navigateur Internet et travailler sur leur surface, ils contrôlent tout ce que vous faites. Vous interagissez avec le serveur, c'est ça le webmail. Quand ce n'est pas du webmail, c'est votre propre programme sur votre machine, sur votre smartphone, sur votre portable. Il y a plusieurs clients qui étaient là avant les webmail, il y a Thunderbird, Claws mail sur Linux, pour Windows aussi, et ils travaillent tous avec le cryptage. Bien sûr, c'est pratique d'utiliser du webmail, parce que vous pouvez entrer sur n'importe quel ordinateur et vérifier vos mails, mais il y a beaucoup plus de danger là dedans, ce n'est jamais sûr le webmail. Et si vous le faites toujours dans la même case de le faire avec un propre mail. Je ne sais pas si je vous ai répondu ?

Deuxième question - 46′55″

Traductrice: Oui on vous entend madame.

Public: On entend dire que vous allez plus rapidement chez la CIA.

WK: Vous parlez de Tor, vous demandez si l'usage de Tor est très sur. Hé bien, sur le réseau Tor, il y a des attaques bien sûr, mais elles ne sont pas très difficiles à organiser, c'est la raison pour laquelle je vous ai dit de passer à Tor, à Tor node. Plus il y a de Tor nodes, et plus ce sera difficile pour les agences spécialisées. C'est plus difficile à attaquer, le réseau Tor. Les personnes qui travaillent sur Tor sont assez expérimentées et bonnes sur ces questions de sécurité. Écoutez, il y a encore des problèmes sur Tor, mais c'est vraiment ce qui est plus intéressant encore. Très utile dans certains cas, mais il y a des compromis à faire. GNUnet est un bon système qui est plus lent, mais pour l'instant ce sont les systèmes qu'on a, et je crois qu'il est mieux d'utiliser Tor pour l'instant. Et je ne pense pas que le NSA américain sera capable d'attaque le système, à moins que vous soyez leur cible, alors là vous avez peut-être plus de chance d'être tracé et attaqué. J'ai été à une de ces conférences où j'ai dîné avec des gens de la coopération PGP et on a parlé d'algorithmes compliqués, etc., et il m'a dit : "Vous savez ça c'est pas un problème pour nous, nous on triche", ce qui veut dire qu'ils savent très bien comment contourner cela, ou entrer dans votre ordinateur. Il y a tellement de logiciels dans votre machine que c'est très facile d'installer des logiciels avec du backop pour capter des informations et les renvoyer à la NSA. Donc nous avons des algorithmes très sûrs, mais le point le plus important ce sont bien évidemment les machines qui les entourent, le hardware, vraiment c'est là le problème. Ce qu'on ne peut pas sécuriser, c'est effectivement tout ça. Et pour l'instant, on voit qu'avec les radiations des machines ici c'est facile effectivement de le mettre sur écoute.

Troisième question - 50′08″

Public: Est-ce que ça a du sens d'utiliser des systèmes d'exploitation comme Trois BSD par exemple, avec des communications très ouvertes, comme RSS-aggregat, ou sites de news, ou à travers ces canaux, Yahoo, afin d'analyser les news et d'avoir une communication permanente avec mon ordinateur, pour aller à l'encontre, par forcément des agences gouvernementales, mais de petits groupes ou mes concurrents directs? Pas forcément des agences très puissantes, mais à l'encontre de concurrents classiques, ou un groupe de hackers. Est-ce que ce serait un petit peu un hérésie de protéger mon ordinateur de cette façon, et d'utiliser les services classiques, en fait?

WK: La réponse standard serait : ça dépend du modèle de menace. Ça dépend. Mais bien évidemment vous devriez le crypter, puisque c'est beaucoup plus difficile de mettre sur écoute, d'installer un keylog sur ce genre d'ordinateur. Donc on s'est rendu compte que ça peut être fait assez facilement, et c'est donc facile de collecter tout ce qui passe par câble, on se rend compte que même pour des virus ou autres, ils peuvent très facilement les lire, ce n'est pas un problème pour eux. Maintenant si vous voulez, il y a aussi malware par exemple de l'industrie, malware du secteur qui veulent que vous achetiez telle ou telle chose, et ces spammeurs, en fait, toutes ces industries de mailing, voilà encore utilisent différents systèmes d'exploitation, enfin si vous en utilisez plusieurs, c'est vrai que eux calculent comment atteindre un maximum d'utilisateurs, que ce soit Windows, Linux ou autre, en s'assurant qu'il ait ??? justement qu'ils ont fait pour cette tâche. À ce moment-là ce serait bon, si c'est possible de la faire, si la menace, si quelqu'un sait de quoi vous parlez, à ce moment-là il faudrait le crypter, et utiliser VPN, ou un autre serveur, effectivement, ce serait préférable, plutôt que d'utiliser d'autres... oui, d'après moi oui, effectivement.

Public: But if you...

WK: Si vous avez Java et que vous savez que vous contrôlez le serveur... mais à ce moment-là effectivement vous pouvez le faire en texte plain, puisque si vous utilisez OTR ça va être crypté, mais bien évidemment dans ce cas-là oui ça irait. Mais si vous utilisez VPN... Les ambassades allemandes par exemple n'utilisent pas de mail crypté pour l'organisation mais elles utilisent VPN. Donc c'est du texte clair, mais il est dur de le mettre sur écoute, c'est très difficile parce qu'il y a une couche qui est cryptée, justement, au milieu, une couche intermédiaire. Donc ça dépend, ça dépend vraiment, c'est un petit peu ça la réponse.

Y a-t-il d'autres questions ?

Quatrième question - 54′26″

Public: inaudible

WK: La question portait sur l'utilisation d'une application Tor. Hé bien je pense que oui, c'est très utile, et si vous, vous avez un système d'exploitation comme Windows ou ???, c'est très utile d'utiliser le bundle Tor, qui vraiment est configuré pour utiliser Tor, et dispose d'autres éléments pré-installés, je pense que oui, c'est important de l'utiliser si vous l'avez.

Public: Oui mais dans mon cas, par exemple, je n'ai pas de PC. Je n'ai pas d'ordinateur, moi en général je vais dans les cybercafés. Et souvent, lorsque j'accède à mon e-mail, ou sur des sites Internet, je me suis rendu compte que c'était aussi plus ou moins espionné. Donc dans mon cas, est-ce qu'il serait utile d'utiliser Tor, puisque je n'ai pas d'ordinateur, mais je me rends à chaque fois dans un cyber-café pour me connecter.

WK: Bien, si vous n'avez pas votre propre ordinateur, que vous ne le contrôlez pas, vous devriez peut-être utiliser un ordinateur auquel vous faites confiance, si ce n'est pas le cas on ne peut rien sécuriser, si ce n'est pas sûr.

Public: Et qu'en est-il des e-mails, est-ce que c'est utile d'avoir une adresse mail professionnelle, ou lieu de Hotmail ou autre?

WK: Oh, hé bien... vous voulez dire un fournisseur professionnel, au lieu du mail Google ou autre?

Public: Oui c'est ça, une adresse professionnelle.

WK: Bien, là je ne peux pas vous dire, moi je gère mon propre serveur de mail. L'idée, c'est que vous pouvez rassembler un groupe, et créer votre propre serveur, et là vous pouvez créer votre propre service de mail, et votre propre serveur. Effectivement c'est un petit peu de travail, mais ce n'est pas tant que ça, si vous connaissez une personne qui a les capacités de s'en charger, qui serait capable de gérer un serveur, et qui serait capable de gérer un serveur de mail, là évidemment ça peut être une bonne chose. Bien évidemment ça demande de la maintenance, mais un petit fournisseur de mail, c'est clairement préférable par rapport à un gros fournisseur.

Public: D'accord, merci.

Cinquième question - 57′18″

Public: inaudible [May we have information on ... instead of ...]

WK: Oui, hé bien, j'aimerais que l'ancien MPP, Java, basé sur de l'audio, fonctionne mieux. Je pense que ça va arriver d'ici peu, j'ai entendu dire que Jitsi, qui est un outil qui fonctionne très bien, je pense que ça fonctionne beaucoup mieux que ces systèmes SAP compliqués, puisque ce système essaie de faire la même chose que ce que ferait les différents systèmes de télécommunications, et d'ailleurs ça a été défini comme un remplacement. Ce que Jabber ou SAP font, c'est que c'est beaucoup plus semblable à ce qu'on trouve sur Internet. En fait, c'est un petit peu une sorte de Skype gratuit. Donc moi j'utilise un téléphone classique, puisque c'est vrai que c'est vraiment on marché, mais au bout de compte, bientôt ce sera Internet, aussi, puisque la plupart des fournisseurs sont en train de modifier leur infrastructure pour être IP uniquement. Donc il n'y a pas de différence entre Internet, ou si vous utilisez un téléphone, ou IP, c'est vrai que, pas vraiment de différence.

Public: inaudible

WK: Je pense qu'il n'y a pas vraiment de bon logiciel qui soit en mesure de le faire. Toutes ces offres commerciales sont préférables d'un point de vue interface utilisateur, oui, la plupart d'entre elles. Bien.

Organisatrice: Une dernière question.

Sixième question - 59′29″

Public: Étant donné qu'on sait que les câbles peuvent être espionnés, est-ce qu'on pourrait peut-être envisager un système TLS sûr. Si quelqu'un peut mettre tous les câble sur écoute, est-ce qu'on peut mettre sur pied une session TLS, ou est-ce trop difficile ?

WK: Non, le fait d'utiliser STARTTLS signifie que le courrier entre les principaux serveurs est crypté, est une très bonne chose. En fait, ce que vous pouvez voir, ou ce qui peut être vu en ligne, c'est crypté, ils ne peuvent rien faire, sauf s'il y a des attaques importantes. Ça dépend un petit peu de l'environnement, mais effectivement, le fait d'utiliser STARTTLS, c'est probablement préférable, plutôt que d'utiliser un cryptage de bout-à-bout, puisque la plupart est caché de toute façon, ne peut pas arriver aux oreilles des services, puisqu'eux doivent trouver des façons de nous mettre sur écoute, quoi qu'il en soit, ce qui est beaucoup plus compliqué à faire. C'est vrai que ça doit être décrypté et crypté à nouveau pour l'élément suivant, donc en fait ils en peuvent pas nous mettre sur écoute.

Public: D'accord, merci.

(Applaudissements)