Bonjour,
Sur conseil d'Hugo je me permets d'envoyer un email sur la mailinglist, car j'ai une proposition de discussion / rencontre.
J'ai entrepris de quitter Google et de me réapproprier mes données privées depuis fin 2013. Le tout en favorisant les logiciels libres. En pratique c'est fastidieux ! Basculer complètement prend du temps. Et surtout cela nécessite de faire pas mal de bricolages et de tests, d'arrêter le massacre lorsque ça ne convient pas, choisir d'autres logiciels, etc.
Je suis à la recherche de retours d'expérience et serais ravi de pouvoir partager la mienne autour de sujets divers liés à la vie privée et globalement à l' « hygiène numérique ».
J'ai trouvé que l'idée du Privacy Workshop / Café de la précédente newsletter était très intéressante. Je serais donc bien partant pour organiser une rencontre autour de cette thématique sur Paris. Et j'aurais aimé savoir si des gens seraient partants pour un ce genre d'événement.
Idéalement ce genre de rencontre gagnerait à ne pas être trop technique. Donc pas de discussions sur les façons de configurer son serveur mail. Je souhaiterais plutôt aborder la problématique avec un peu plus de recul, dans une optique plus grand public.
J'ai trouvé très utile le site mis en place par la Quadrature du Net sur ce sujet http://www.controle-tes-donnees.net/ Même chose pour la campagne FreeYourAndroid de la FSFE
J'aimerais pousser le concept plus loin et fournir (à terme) une sorte de documentation à l'attention du grand public. Quitter Google c'est bien, mais si ma famille et mes amis restent là bas, mes efforts sont un peu vains. J'aimerais pouvoir leur donner une doc claire et accessible pour qu'ils me suivent. J'aimerais aussi avoir les bons arguments percutants pour les convaincre.
Voici le genre de sujets que j'aimerais bien aborder :
- Faire un état de ce que l'on peut savoir de nous et comment. - Quitter Google (avantages/inconvénients) et ce que ça implique - Réseaux sociaux - Les utiliser / les quitter / les utiliser de façon intelligente ? - Emails - Choix du provider (avantages / inconvénients) - Chiffrement (avantages / inconvénients) (Mais la volonté n'est pas de tomber dans la cryptoparty) - Les OS de nos mobiles : Android / FreeYourAndroid / Cyanogenmod / FirefosOS - La problématique de la vie privée sur les mobiles - Convaincre ses proches et la problématique du « Je n'ai rien à cacher » - Convaincre ses proches de ne plus nous tagger sur Facebook et de ne plus partager de photos sur les réseaux sociaux et autres outils de Cloud centralisés. - Lister des faits divers et exemples concrets d'atteinte à la vie privée pour étayer nos propos - De la difficulté d'être en marge de la société en quittant le modèle que tout le monde suit. - Le NAS et l'auto-hébergement (avantages / inconvénients) - Les outils comme TOSDR - Utilisation d'autres moteurs comme Duckduckgo (avantages / inconvénients) - Les alternatives aux logiciels (Google Map, Talk, Android, Contacts, Twitter, Dropbox, Skype,...) (avantages / inconvénients) - etc.
Je ne sais pas exactement tout ce qui existe en terme d'autres meetups et rencontres à Paris. Je pense que La Quadrature doit sans doute organiser des choses, tout comme l'April. Tristant Nitot organise demain Paris Meetup pour la décentralisation d'Internet (http://www.meetup.com/Paris-Meetup-pour-la-decentralisation-dInternet/events...) Et on peut aussi trouver des cryptoparties.
Donc peut-être que quelque chose existe déjà. Je fais donc appel à vous. Si vous avez connaissance d'événements déjà existants je suis preneur ! Sinon, si ça vous intéresse, je serais ravi d'organiser ça et/ou en discuter avec vous par email ou à l'occasion simplement autour d'une bière :)
Merci à vous
Yoann
Salut Yoann,
une super idée qui me donne grande envie de participer, si la date est possible pour moi.
J'ajoute deux petits points à la liste qui sont depuis bon temps dans ma tête :
* Spécial webmasters et animateurs de communautés - votre décision d'utiliser Google, vous ne la faites pas que pour vous-même mais pour tous les membres de la communauté qui se retrouvent forcés à accéder à Google : listes de diffusions, forums, documents, Analytics, voir récupérer les polices et les bibliothèques de JavaScript des serveurs Google... et pourtant, dans les derniers exemples ce n'est même pas la fonctionnalité mais juste la facilité qui pousse vers Google. A quand un label "site 100% hébergé sur ses propres serveurs" ?
* On confronte souvent le stockage chez Google avec l'auto-hébergement où on fait tout soi-même, mais il y en a plus de modèles ! Je pense au "friend computing", où je suis hébergé chez le geek de ma confiance. Aussi avec un fort potentiel entre geeks, afin de repartir la charge (mail, nginx, webapps etc). Car si j'administre un seul ou, disons, une dizaine d'utilisateurs, ça revient souvent à la même chose. Toutefois, ce n'est pas pour tout le monde, il y a des gens qui préfèrent être tracés par la NSA mais pas être accessibles pour une personne qu'ils connaissent.
A bientôt, Viktor.
On Tue, 2014-07-29 at 21:47 +0200, Yoann Sculo wrote:
Bonjour,
Sur conseil d'Hugo je me permets d'envoyer un email sur la mailinglist, car j'ai une proposition de discussion / rencontre.
J'ai entrepris de quitter Google et de me réapproprier mes données privées depuis fin 2013. Le tout en favorisant les logiciels libres. En pratique c'est fastidieux ! Basculer complètement prend du temps. Et surtout cela nécessite de faire pas mal de bricolages et de tests, d'arrêter le massacre lorsque ça ne convient pas, choisir d'autres logiciels, etc.
Je suis à la recherche de retours d'expérience et serais ravi de pouvoir partager la mienne autour de sujets divers liés à la vie privée et globalement à l' « hygiène numérique ».
J'ai trouvé que l'idée du Privacy Workshop / Café de la précédente newsletter était très intéressante. Je serais donc bien partant pour organiser une rencontre autour de cette thématique sur Paris. Et j'aurais aimé savoir si des gens seraient partants pour un ce genre d'événement.
Idéalement ce genre de rencontre gagnerait à ne pas être trop technique. Donc pas de discussions sur les façons de configurer son serveur mail. Je souhaiterais plutôt aborder la problématique avec un peu plus de recul, dans une optique plus grand public.
J'ai trouvé très utile le site mis en place par la Quadrature du Net sur ce sujet http://www.controle-tes-donnees.net/ Même chose pour la campagne FreeYourAndroid de la FSFE
J'aimerais pousser le concept plus loin et fournir (à terme) une sorte de documentation à l'attention du grand public. Quitter Google c'est bien, mais si ma famille et mes amis restent là bas, mes efforts sont un peu vains. J'aimerais pouvoir leur donner une doc claire et accessible pour qu'ils me suivent. J'aimerais aussi avoir les bons arguments percutants pour les convaincre.
Voici le genre de sujets que j'aimerais bien aborder :
- Faire un état de ce que l'on peut savoir de nous et comment.
- Quitter Google (avantages/inconvénients) et ce que ça implique
- Réseaux sociaux - Les utiliser / les quitter / les utiliser de façon
intelligente ?
- Emails - Choix du provider (avantages / inconvénients)
- Chiffrement (avantages / inconvénients) (Mais la volonté n'est pas de
tomber dans la cryptoparty)
- Les OS de nos mobiles : Android / FreeYourAndroid / Cyanogenmod /
FirefosOS
- La problématique de la vie privée sur les mobiles
- Convaincre ses proches et la problématique du « Je n'ai rien à cacher »
- Convaincre ses proches de ne plus nous tagger sur Facebook et de ne
plus partager de photos sur les réseaux sociaux et autres outils de Cloud centralisés.
- Lister des faits divers et exemples concrets d'atteinte à la vie
privée pour étayer nos propos
- De la difficulté d'être en marge de la société en quittant le modèle
que tout le monde suit.
- Le NAS et l'auto-hébergement (avantages / inconvénients)
- Les outils comme TOSDR
- Utilisation d'autres moteurs comme Duckduckgo (avantages / inconvénients)
- Les alternatives aux logiciels (Google Map, Talk, Android, Contacts,
Twitter, Dropbox, Skype,...) (avantages / inconvénients)
- etc.
Je ne sais pas exactement tout ce qui existe en terme d'autres meetups et rencontres à Paris. Je pense que La Quadrature doit sans doute organiser des choses, tout comme l'April. Tristant Nitot organise demain Paris Meetup pour la décentralisation d'Internet (http://www.meetup.com/Paris-Meetup-pour-la-decentralisation-dInternet/events...) Et on peut aussi trouver des cryptoparties.
Donc peut-être que quelque chose existe déjà. Je fais donc appel à vous. Si vous avez connaissance d'événements déjà existants je suis preneur ! Sinon, si ça vous intéresse, je serais ravi d'organiser ça et/ou en discuter avec vous par email ou à l'occasion simplement autour d'une bière :)
Merci à vous
Yoann _______________________________________________ Paris mailing list Paris@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/paris
Le 29/07/2014 à 23h14, Viktor Horvath a écrit :
- Spécial webmasters et animateurs de communautés - votre décision
d'utiliser Google, vous ne la faites pas que pour vous-même mais pour tous les membres de la communauté qui se retrouvent forcés à accéder à Google : listes de diffusions, forums, documents, Analytics, voir récupérer les polices et les bibliothèques de JavaScript des serveurs Google... et pourtant, dans les derniers exemples ce n'est même pas la fonctionnalité mais juste la facilité qui pousse vers Google. A quand un label "site 100% hébergé sur ses propres serveurs" ?
Ben ça existe déjà, voir à la fin de la page : http://auto-hebergement.fr/.
Pour ce qui est de la facilité, YUNo Host rend ça extrêmement facile : https://yunohost.org/.
- On confronte souvent le stockage chez Google avec l'auto-hébergement
où on fait tout soi-même, mais il y en a plus de modèles !
Le meilleur reste l’auto-hébergement.
Je pense au "friend computing", où je suis hébergé chez le geek de ma confiance. […] Toutefois, ce n'est pas pour tout le monde, il y a des gens qui préfèrent être tracés par la NSA mais pas être accessibles pour une personne qu'ils connaissent.
À la base l’Internet se décentralise par la fédération (machines partagée sur lesquelles on a plusieurs utilisateurs), or le soucis vient du fait qu’alors on a plus le contrôle complet de la machine qui gère nos données…
Historiquement c’était parce que les ordinateurs étaient chers, peu puissant et que la cryptographie n’était pas largement répandue. Ainsi les choses étaient peu sécurisables et de toute façon surveiller l’Internet complet était chose impossible… Aujourd’hui les ordinateurs sont lowcost, très puissants (la NSA et associés peut très bien surveiller la totalité de l’Internet) et des mesures cryptographiques *fortes* existent et sont largement connues.
L’autre problème est qu’en conséquence de ces faits les ordinateurs sont devenus extrêmement commun et presque toute la population des pays « aisés » leur confie donc une partie extrêmement intime de leur vie privée. Or à ce niveau confier son intimité à quelqu’un de proche est encore plus risqué… donner la possibilité à son copain/sa copine/ses parents/profs de lire tous ses messages ? jamais ! Tout simplement parce qu’à court terme c’est un risque insupportable. Le risque induit par le fait de tout centraliser chez des multinationales impersonnelles à court terme évite ce problème, et bien qu’il en pose de nouveaux, plus gros, ceux-ci sont à plus long terme et suffisamment globaux et indirects pour être plus aisément ignorés (ce qui explique la tendance à aller vers des gros).
De plus on se retrouve avec les « potes geek » ayant une certaines expérience qui se mettent à constituer une sorte d’élite qui a le contrôle sur la vie privée de tout le monde… ça implique une certaine hiérarchisation, des inégalités et des potentiels jeux de pouvoir qu’on ne peut pas accepter…
Le problème est détaillé ici : http://secushare.org/federation
La fédération n’est donc pas la solution. On a deux solutions de remplacement : les logiciels qui font des réseaux en P2P (ce qui oblige à garantir que chacun et jamais personne d’autre puisse avoir le contrôle de ses données, par la cryptographie forte et autres principes mathématiques), et des logiciels simple pour permettre une décentralisation à l’extrême de la fédération, de sorte à ce que chacun se fédère soi-même et qu’on se retrouve avec quelque chose de compatible et fonctionnel maintenant tout de suite mais plus compliqué.
La première est préférable à long terme car plus simple, efficiente, puissante, etc. Néanmoins ça requiert beaucoup de travail et il faut pratiquement tout refaire, on ne peut donc en profiter tout de suite. La solution à court terme reste donc d’automatiser et donc de faciliter et démocratiser l’autohébergement pour que chacun se fédère soi-même, et qu’à terme ça fasse quelque chose de grossièrement égal à du P2P. On pourrait par la suite, à mesure que ça se diffuse, solidifier cette structure temporaires par quelques détails comme une vérification par pairs des certificats d’autorités, une identification par clé publiques, foutues dans un DHT avec des infos liées (car signées), style enregistrements de noms de domaines, whois, etc.
Bref, se fédérer entre copains ça peut avoir l’air sympa au premier abord, mais comme c’est loin de convenir à tout le monde, autant aller plus loin.
Saut Viktor,
une super idée qui me donne grande envie de participer, si la date est possible pour moi.
Ravi que ça t'intéresse ! Pour l'instant j'en suis surtout à l'étape sondage. Mais si des événements similaires existent déjà, ce n'est sans doute pas la peine de se lancer dans quelque chose de nouveau. Je rejoins les propos d'Hugo là dessus. Et merci à Alexandre pour sa liste ! Je vais maintenant mener ma petite enquête. Je reviendrai partager ce que j'ai pu trouver, par rapport à la liste de thématiques annoncées dans mon premier email.
- Spécial webmasters et animateurs de communautés - votre décision
d'utiliser Google, vous ne la faites pas que pour vous-même mais pour tous les membres de la communauté qui se retrouvent forcés à accéder à Google : listes de diffusions, forums, documents, Analytics, voir récupérer les polices et les bibliothèques de JavaScript des serveurs Google... et pourtant, dans les derniers exemples ce n'est même pas la fonctionnalité mais juste la facilité qui pousse vers Google. A quand un label "site 100% hébergé sur ses propres serveurs" ?
Oui ça serait très intéressant ça. On ne compte plus les sites ayant 15 à 20 dépendances extérieures.
- On confronte souvent le stockage chez Google avec l'auto-hébergement
où on fait tout soi-même, mais il y en a plus de modèles ! Je pense au "friend computing", où je suis hébergé chez le geek de ma confiance. Aussi avec un fort potentiel entre geeks, afin de repartir la charge (mail, nginx, webapps etc). Car si j'administre un seul ou, disons, une dizaine d'utilisateurs, ça revient souvent à la même chose. Toutefois, ce n'est pas pour tout le monde, il y a des gens qui préfèrent être tracés par la NSA mais pas être accessibles pour une personne qu'ils connaissent.
Également oui. Même si je pense que globalement on a plus à craindre d'un proche que de la NSA.
Bonjour,
Vues les longues réponses que tu as suscité, je ne vais pas tenter de rivaliser ;-)
Je suis également intéressé. Je pourrais y apporter mon expérience technique (mais ce n'est pas l'objectif annoncé) et y prendre de quoi aider les non-techniciens de mon entourage.
Nouveau groupe ou groupe existant, je n'ai pas d'avis sur la question. Je vais donc attendre le fruit de ta réflexion.
Seb
On 2014-07-29 at 21:47, Yoann Sculo wrote:
Tristant Nitot organise demain Paris Meetup pour la décentralisation d'Internet (http://www.meetup.com/Paris-Meetup-pour-la-decentralisation-dInternet/events...) Et on peut aussi trouver des cryptoparties.
Zuuuut :( je suis à l’étranger là, moi qui normalement part jamais de Paris, au mauvais moment… (de toute façon c’est toujours le mauvais moment, ç’aurait été un autre moment que j’aurais raté des trucs bien quand même, il y a tout le temps des trucs bien…)
Je ne sais pas exactement tout ce qui existe en terme d'autres meetups et rencontres à Paris. Je pense que La Quadrature doit sans doute organiser des choses, tout comme l'April.
Donc peut-être que quelque chose existe déjà. Je fais donc appel à vous. Si vous avez connaissance d'événements déjà existants je suis preneur ! Sinon, si ça vous intéresse, je serais ravi d'organiser ça et/ou en discuter avec vous par email ou à l'occasion simplement autour d'une bière :)
Oui il y en a des tonnes et je vais sûrement en oublier pleins mais en voilà quelques uns qui me viennent à l’esprit là :
— Quadr’apéro : https://wiki.laquadrature.net/Quadr%27ap%C3%A9ro, — Café vie privée : https://café-vie-privée.fr/, — Premier Samedi du Libre (plus du support) : http://premier-samedi.org/, — La rockette libre : http://rockette-libre.org/, — Picnics de l’April, — Picnics de Parinux, — calendrier d’okhin : https://calendar.okhin.fr/public.php/chiffrofetes/calendar/, — d’autres trucs sur l’Agenda du Libre : http://agendadulibre.org/?region=12.
Tu peux aussi aller à certains endroits intéressants comme le Loop http://leloop.org, Numa http://events.numaparis.com/Evenements, ou t’abonner à certaines mailing-list utiles (par exemple celle sur celle de Parinux (evenements@lists.parinux.org) Stéphane, son secrétaire général, la rempli régulièrement d’évènements intéressants auxquels assister. Il y a aussi quelques listes d’lqdn où on t’avertis d’évènements, comme les ateliers NSA-Observer.
J'ai entrepris de quitter Google et de me réapproprier mes données privées depuis fin 2013. Le tout en favorisant les logiciels libres. En pratique c'est fastidieux ! Basculer complètement prend du temps. Et surtout cela nécessite de faire pas mal de bricolages et de tests, d'arrêter le massacre lorsque ça ne convient pas, choisir d'autres logiciels, etc.
C’est comme la cigarette, c’est tellement plus facile de ne jamais commencer :p
Idéalement ce genre de rencontre gagnerait à ne pas être trop technique. Donc pas de discussions sur les façons de configurer son serveur mail. Je souhaiterais plutôt aborder la problématique avec un peu plus de recul, dans une optique plus grand public.
C’est l’optique des cafés vie privée.
Voici le genre de sujets que j'aimerais bien aborder :
- Faire un état de ce que l'on peut savoir de nous et comment.
Qui ça « on » ? La NSA/DGSE si elles veulent, tout. Sinon, beaucoup de choses (qu’elles ne consultent pas, mais elles peuvent, et ça c’est dérangeant). En clair considère qu’elles peuvent consulter tout ce qui est sur un serveur dans un datacenter, qu’ils peuvent savoir tous des grands du minitel 2.0, qu’ils peuvent intercepter le trafic Internet avec du DPI et qu’ils peuvent donc tout savoir de ce qui n’est pas chiffré. Quant à ce qui est chiffré, ils peuvent aisément faire du MITM (si on ne vérifie pas autrement que par une autorité l’identité du correspondant, ça inclut donc TLS), mais il y a un risque que ça se voit si on vérifie (la fingerprint du certificat TLS serait pas pareil), donc c’est pas fait automatiquement.
Après par exemple, ce que tu chiffres avec PGP et qui est manipulé que par du logiciel libre, ils peuvent pas savoir ce qu’il y a dedans, mais ils peuvent savoir autre chose de dérangeant : http://secushare.org/PGP.
- Quitter Google (avantages/inconvénients) et ce que ça implique
Avantages (si c’est pas pour aller chercher un autre service minitellien équivalent) : liberté, autonomie, indépendance, droits, résilience, flexibilité… nécessaire à tout ça, qui en soit est nécessaire pour une société libre et donc pérenne.
Inconvénient : pas aussi facile/intuitif au début.
Et on sait de source sûre que donner les pleins pouvoirs à une entité hiérarchisée, même si elle se dit bonne, pour les libertés individuelles, l’éthique, pour la justice sociale, l’égalité, l’épanouissement individuel et l’aisance, ça finit en général très très mal. D’ailleurs ils ont essayé un jour, on a appelé ça « Union soviétique » ou « URSS », ça a inspiré de grandes dystopies (qui sont beaucoup plus réalistes aujourd’hui de façon effrayante), et ça a finit par s’effondrer sur soi-même en faisant plusieurs dizaines de millions de morts au passage.
Néanmoins les enjeux étaient différents à l’époque. Une erreur marxiste était « avec l’industrialisation les moyens de productions changent radicalement, or la société étant constituée par sa production cela signifie que la société doit changer radicalement » prévoyant l’inévitable et précoce effondrement du capitalisme devant la radicale diminution du temps de travail nécessaire pour répondre aux besoins de tous…
Sauf qu’une société n’est pas définie par sa production (approche productiviste) mais par « la somme des interactions entre les individus » (approche sociétale, de réseau). Devinez qu’est-ce qui change fondamentalement « les interactions entre les individus » de nos jours (cf les conférences de Benjamin Bayart) ? Devinez comment on complète la liste des vraies révolutions fondamentales dans l’humanité : écriture, imprimerie, […] ? Devinez qui essaye de s’en approprier le contrôle ? Dans le mille…
- Réseaux sociaux - Les utiliser / les quitter / les utiliser de façon
intelligente ?
Ben c’est tout une histoire de courage et d’altruisme : soit tu restes au front pour avertir les autres et les faire partir sains et saufs (ils le sont déjà probablement plus beaucoup), soit tu prends tes jambes à ton cou pour sauver ta peau. Pour résumer.
Moi par exemple je crois pas que je supporterais d’approcher Facebook de trop près sans qu’on me torture (et non la privation de nourriture pendant de longues périodes ça compte pas comme torture suffisante dans ce cas là).
Twitter c’est différent parce qu’on *sait* que absolument tout est public, parce que c’est complètement asynchrone, parce que c’est encore *ouvert* et parce que c’est pas aussi vicieux pour l’instant. Le truc principal étant que tu peux faire des gateway (des ponts/portails) avec des réseaux libres et décentralisés comme XMPP, pump.io/identi.ca ou status.net/GNU Social, ce qui fait que tes messages t’appartiennent et que les gens sont libres de les consulter et de discuter avec toi de façon indépendante de Twitter. Sans te priver de l’influence que peut donner Twitter. Après si Twitter décide qu’un tweet ne passera pas sur Twitter, ce tweet ne passera pas sur Twitter, et faudra regarder les autres réseaux pour le voir.
- Emails - Choix du provider (avantages / inconvénients)
Le mieux c’est de s’auto-héberger soi-même. Des distros spécialisées rendent ça aussi sinon plus facile que d’installer Windows par exemple : Y U No Host est excellent.
Dans ce cas de figure tu contrôle tout sur la machine et elle t’obéira au doigt et à l’œil. Elle ne surveillera, ni ne modifiera, ni ne censurera rien.
Par contre ton FAI après peut toujours surveiller/modifier/censurer le trafic. Dans ce cas tu peux toujours chiffrer, mais non seulement il peut toujours faire du MITM sur TLS si tu te bases sur les autorités pour vérifier les certificats (le concept d’autorité de certification a été inventé par des entités commerciales et ne protège donc *que* le commerce, c’est-à-dire qu’il protège le numérique des pirates, pas des autorités économiques/gouvernementales), mais il peut censurer (soit ralentir, c’est encore plus vicieux) le trafic qu’il ne comprend pas (parce qu’il est chiffré) et qu’il ne peut donc pas exploiter, et alors là faut user de stéganographie et on perd encore plein de débit, mais au moins le FAI peut plus rien faire à moins de couper le réseau à tout le monde (impensable).
La bonne nouvelle c’est que peu de FAI font autre chose que ralentir/accélérer certaines cibles rares pour des raisons commerciales (et encore si la loi sur la neutralité du net passe ils pourront plus) et pas encore politiques. Au pire ils peuvent ralentir certains protocoles comme bittorrent (sauf que parfois ils se basent sur le contenu des communications donc chiffrer suffit à contourner ça… et puis d’autres ils sont plus malins et savent qu’il y a une courbe du débit montant très particulière à bittorrent qu’il suffit de savoir détecter pour censurer). Mais ils ne censurent pas encore les protocoles les plus utilisés (sauf bittorrent, c’est-à-dire SMTP, HTTP, XMPP, IRC, etc.).
De plus les agences de renseignement, comme dit plus tôt, sont relativement réticentes au MITM automatisé (ça se verrait trop facilement) et préfèrent l’utiliser donc que pour certaines occasions… Par exemple en regardant les en-têtes MIME de n’importe quel mail, si le trafic entre serveurs mails est resté chiffré tout du long (fréquent) on peut voir et vérifier les fingerprints des certificats, et voir si on a usurpé une identité. Du coup pour ce genre de raisons le MITM est un risque ponctuel et pas systématique (c’est-à-dire que tu dois savoir qu’ils *peuvent* intercepter ton trafic, mais que la plupart du temps tu peux vérifier après coup et donc savoir qu’il ne l’ont pas fait, et du coup ils prennent pas de risque pour rien non plus).
De plus si le correspondant de l’autre coté a donné sa clé privée à certaines instances/autorités, alors de toute façon t’es foutu. Et tu peux pas le savoir ça.
Bon du coup pour éviter les méandres de la priorisation et de la censure s’abonner FAI associatif comme franciliens.net (Île de France) est une bonne idée.
Mais ça ne te préservera jamais des interceptions, pour ça faut du WoT ou de la vérification à la main, qui, multipliée par le nombre de protocoles, devient vite ingérable. Du coup on en revient à devoir utiliser des darknet qui mettent le chiffrement et l’autentification à une couche inférieure à la couche applicative, comme Freenet, Tor, Retroshare ou GNUnet (ce dernier est le plus ambitieux mais donc aussi le moins abouti pour l’instant).
Sinon le truc juste après l’auto-hébergement, si t’as pas de vraie connexion internet (avec une IPv4 publique voir même une IPv6, SFR, méchant FAI commercial, fournit pourtant ça pour 30€ par mois… le débit n’est pas un problème, le mail, XMPP, IRC, DNS consomment très peu pour fonctionner comme il faut, après le web et bittorrent ça dépend de ce qu’on y met… une page web toute simple et sémantique avec la complexité poussée sur le CSS ça pèse rien, surtout quand on y ajoute la compression et le cache… mais si on veut partager beaucoup de contenu (vidéos…) privilégier bittorrent, parce que 1000 petits débits ensemble concurrencent agréablement un gros tuyau de géant de l’Internet) ou d’argent pour t’acheter un ordi comme serveur (23€ la Raspberry Pi) ou pour l’électricité (la RaspBerry Pi consomme un truc comme 5W en général, et le réseau de centrales à fission nucléaire rendant l’électricité si peu chère en France…), alors si tu peux pas avoir tout ça (et dans ce cas c’est vraiment pas cool :/ je compatis, on en croise pas souvent des gens comme ça :s) se trouver un serveur dédié chez un hébergeur associatif alternatif à but non lucratif peut être une bonne idée. Il y a moins de chances que la NSA puisse y accéder, moins de chances de XKeyScore, moins de chance qu’on les laisse rentrer comme ça sans mandat, etc.
Je pense à L’Autre.net par exemple.
Par contre t’y es pas quoi, ton serveur est pas sous tes yeux, tes mails sont pas *physiquement* à portée de main… c’est un niveau de confiance en moins :/
Sinon si un dédié t’en trouve pas, ou que c’est encore trop cher, tu peux demander un dédié virtualisé, là coté sécurité c’est juste horrible, parce qu’il y a souvent des backdoors chez ceux qui fournissent ça… Je pense à OVH…
Ou alors un FTP partagé + divers services (mail, web, XMPP, etc.) chez un fournisseur de services associatif à but non lucratif c’est plus sûr en fait, même en ayant moins de contrôle… Là du coup je pense à La Toile Libre.
Sinon il y a pareil en gratuit (vraiment gratuit, pas prix libre), genre le mail chez riseup. Mais bon là t’as juste la parole de gens que tu connais pas forcément sur un autre continent donc bon…
- Chiffrement (avantages / inconvénients) (Mais la volonté n'est pas
de tomber dans la cryptoparty)
Avantages : le chiffrement en soi si bien implémenté peut juste *tout* protéger et rendre les services de renseignement comme les grosses multinationales complètement impuissantes. Inconvénients : tout est dans le « si bien implémenté », outre le fait que les erreurs sont très fréquentes à un certain niveau de complexité (Tor, OpenSSL, GnuPG ont tous un code illisible et inauditable sans effort sérieux… mais bon, par exemple Tor a bien des conneries dans son code et pourtant la NSA est impuissante face à ça), le fait de rechercher la compatibilité avec des systèmes historiquement sans aucune sécurité ajoute une couche de complexité qui quand on recherche un certain niveau de sécurité devient juste insoutenable. Ce genre de problèmes serait réglés par des projets cassant toute compatibilité comme GNUnet, mais tout est à refaire, et rien ne garantit contre les erreurs de programmation comme de conception…
- Les OS de nos mobiles : Android / FreeYourAndroid / Cyanogenmod /
FirefosOS
Android comprend des bibliothèques privatrices, des pilotes privateurs, et le Google Play — privateur, et sans lequel Android fait presque rien — qui a accès à tout ton téléphone pour absolument tout faire. En gros ton téléphone est à Google.
CyanogenMod met le plus d’alternatives libres possible en remplaçant petit à petit chaque composant. Mais il laisse des bouts pas libres, autrement certains trucs marcherait pas (selon les modèles ça peut être : GPS, WiFi, micro, caméra, accélération 3D, 3G, etc.). Par exemple on y remplace le Google Play Tout Puissant par F-Droid, libre et plus respectueux. À ce niveau là Google contrôle plus tout à fait tout ton téléphone. Il y a toujours certaines bibliothèques privatrices qui font qu’il devrait toujours contrôler seulement certains aspects. Et les pilotes privateurs font qu’en gros les constructeurs comme les services secrets contrôlent tout ton téléphone.
Replicant retire *tout* ce qui est privateur. À ce niveau là certains trucs ont des chances de pas marcher (comme énumérés précédemment). Mais en te renseignant tu peux trouver certains téléphones relativement récents où les trucs essentiels et les plus importants seront gérés le tout en 100% libre. À ce niveau Google n’a plus aucun pouvoir. Néanmoins en fonction des modèles les constructeurs (et donc les services secrets) peuvent toujours certains trucs : souvent le modem a son propre CPU distinct de celui où tourne l’OS, et c’est à celui-ci et non au CPU applicatif (celui de l’OS) qu’est relié le micro, la wifi, la caméra, et même parfois la mémoire vive qui est intégralement partagée ! Dans ce cas de figure la NSA, le constructeur ou n’importe quel service secret peut accéder au baseband (le machin dans le CPU du modem), accéder à la RAM et patcher le kernel (modifier le binaire chargé en mémoire à la volée) et donc prendre contrôle de tout le téléphone. Si tu prend les bons modèles la RAM n’est pas partagée, et donc ils ne peuvent accéder qu’aux entrée/sortie (et au contrôle en général) de certains périphériques comme le micro, la wifi, etc. (et parfois aucun ! sur certains modèles seulement, mais c’est pas des modèles inutilisables ou exagérément vieux). Dans le cas de figure ou presque rien n’est connecté au Modem, où la RAM n’est pas partagée, où t’as même pu flasher le bootloader pour utiliser les versions de Linux que tu veux, ben là tu peux tout faire, tu as le contrôle de ton téléphone. Le seul dernier problème : le modem qui te fais accéder au réseau GSM/EDGE/3G/4G est toujours sous leur contrôle, et on peut te géolocaliser.
Néanmoins, à propos du problème de la géolocalisation, il faut remarquer que ce n’est pas seulement un problème politique où on a pas de spécification/implémentation libre suffisante des puces GSM/EDGE/3G/4G/etc. mais aussi un problème technique : il est techniquement très difficile d’établir des communications *vocales* *à distance* de façon anonyme et non-géolocalisables. Pour donner un exemple, si j’utilise SIP, en tunnelisant ça dans un VPN qui arrive jusqu’à mon serveur chez moi lui-même connecté à un téléphone relié au réseau téléphonique (pour pouvoir appeler et recevoir des appels de téléphones normaux), et en tunnellisant le VPN dans Tor… ben ça marchera, mais il y aura un délai introduit par Tor + le VPN, substantiellement long qui rendra la communication vocale frustrante, si ce n’est impossible. En effet l’audio de nos jours ne requiert pas beaucoup de débit (on sait agréablement compresser à des quotas effroyablement efficaces, surtout la voix), mais requiert toujours un bon délai… or on a pas encore de moyens d’avoir un délai correct en anonyme :/
- La problématique de la vie privée sur les mobiles
Utiliser à 100% du logiciel libre, avec un matos pas trop foireux (éviter le baseband qui a accès à la RAM et au 3/4 des périphériques) et des services basés sur des réseaux libres, décentralisés et chiffrés. Là est la clé en trois points (logiciel libre, matériel libre (ça existe pas encore mais il y a des trucs moins pire que d’autres), réseau libre).
- Convaincre ses proches et la problématique du « Je n'ai rien à
cacher »
« Et pourquoi donc ? » « Ben j’ai rien à me reprocher » « Oui mais c’est pas à toi de décider ça, c’est pas à toi de juger, c’est aux autres, et les autres peuvent être substantiellement moins tolérants et ouverts que toi, et s’ils ont le pouvoir de te surveiller, et le pouvoir absolu sur ta vie privée… “Le pouvoir corrompt, et le pouvoir absolument corrompt absolument” », en très bref. On pourra ajouter que tout le monde a un semblant de pudeur, que l’intolérance comme l’autorité sont des principes à la vie dure, que la vraie surveillance, quand elle est vécue, réside en une oppression psychologiquement difficilement soutenable, et qu’il s’agit plus de rechercher à vivre dans une société plus libre qui n’est pas composée d’une « populace aisément prévisible ».
Oh, et une excellente conférence sur le sujet : http://ldn-fai.net/video-de-liberer-internet-sexe-alcool-et-vie-privee-a-diffuser/
Et le meilleur moyen d’affûter son argumentation est d’argumenter ;)
- Convaincre ses proches de ne plus nous tagger sur Facebook et de ne
plus partager de photos sur les réseaux sociaux et autres outils de Cloud centralisés.
De plus partager les photos il y a trois grandes lignes : l’extrême, ne pas accepter les photos, ce qui peut se comprendre vu les jugements superficiels à quoi elles peuvent servir sur ce genre de médias… la légale, le droit à l’image te donne le droit de porter plainte pour quiconque publie une photo/vidéo/image de toi sans ton autorisation (c’est violent n’empêche) et l’éthique : expliquer que non on ne veut pas offrir sa vie à un acteur privé, opaque, centralisé, puissant et situé à l’étranger dont l’unique but est le profit.
Pour les tags… c’est *très* chiant. La façon radicale serait de se désinscrire si on ne peut tagger que des gens inscrits. Sinon on peut recommander de la bonne lecture de chez Cory Dotorow et compagnie :p
- Lister des faits divers et exemples concrets d'atteinte à la vie
privée pour étayer nos propos
On a la revue de presse de La Quadrature du Net pour ça. Dès qu’un internaute informé trouve un article sur ce sujet (ou un des nombreux sujets que traite la Quadrature, de toute façon on les tag pour les trier), après avoir nettoyé l’URL de ses fioritures (ID inutiles, etc.) il peut venir sur IRC (sur le canal de la Quadrature du net : #laquadrature, sur Freenode) et avec la commande !rp refiler l’article à wantzel qui le mettra dans l’outil de Revue de presse de la Quadrature (s’il n’y est pas déjà, et grâce au formidable travail de nos permanents ils y sont souvent déjà :p). Après quoi les vétérans noteront les articles par pertinence pour juger de s’ils peuvent être intégrés ou non, et les bénévoles (ce qui inclut les vétérans comme les nouveaux, les rpadawans) peuvent lire les articles et en extraire quelques paragraphes qui les résument bien, tout en soulignant les références à la Quadrature, pour finalement se faire publier dans la revue de presse par les vétérans (relayée par Twitter).
Cette revue de presse est très complète, mais la perfection n’existant pas, toute aide est la bien venue ! Rejoins-nous sur le canal IRC #lqdn-rp sur Freenode et renseigne-toi, n’importe-qui peut le faire et ça compte parmi les choses les plus utiles et importantes qu’on peut faire pour la Quadrature (avec les dons).
Bref, viendez les gens on est jamais trop nombreux !
- De la difficulté d'être en marge de la société en quittant le modèle
que tout le monde suit.
Ça fait partie du problème ça, et c’est en soi un argument pour que les choses changent.
Ensuite en utilisant un téléphone avec Replicant… ou une liaison anonymisée je ne sais comment sans trop de délai à un serveur SIP relié au réseau téléphonique… on peut téléphoner et c’est déjà bien (essaye donc de vivre sans téléphone comme moi, ça change un peu les choses… mais au final c’est pas si impossible que ça). Le mail (messagerie asynchrone) et la messagerie instantanée (messagerie synchrone) s’opèrent facilement avec des serveurs autohébergés (postfix et ejabberd à tout hasard, les plus utilisés). Après avec un simple site web à l’interface suffisamment flexible, voir un Shaarli, tu remplaces agréablement Facebook et Twitter. Si tu veux plus « réseauté » tu peux essayer les « Twitters libres » comme le *service* identi.ca (c’est un service hein, donc d’autres qui toi en ont le contrôle), ou le logiciel sur lequel il se base : pump.io (tout en node.js, relativement lourd et difficile de trouver moyen de le faire fonctionner, mais quand il fonctionne il est *bien*), sinon tu as aussi GNU Social, qui a repris status.net, pareil mais codé en PHP et donc fonctionnant partout facilement, mais moins performant. Les instances de pump.io se connectent entre elles pour former le réseau pump.io, idem pour GNU Social/Status.net (qui utilisent le même protocole et donc le même réseau). Tu peux aussi faire pareil avec Jabber/XMPP qui supporte des features de réseautage social et de microblogging : dans ce cas tente des implémentations comme Movim (web, coté serveur en PHP), Jappix (web, coté client en javascript) ou Salut à Toi (encore en développement mais avance bien, fonctionne déjà un peu et à terme pourrait tout faire, coté client comme serveur, avec interface en ligne de commande, graphique ou web).
Après tu peux relier tous ces réseaux entre eux via des gateway (ponts, portails). Donc concrètement tu te fais un compte jabber, un compte GNU Social, un compte pump.io, un compte twitter, voir peut-être même une instance Shaarli en plus de ça, puis tu relies les 3 (ou 4) pour que ce qui passe sur l’un arrive sur les autres. Et paf, impact maximal garanti.
Puis pour remplacer Facebook t’as des alternatives comme Diaspora qui se sont faites… mais… hum… Ça m’a l’air de reprendre les même défauts sociaux/politico-techniques sur certains points, en plus ça reste essentiellement du web (et du web imbuvable) et relativement mal foutu. Là aussi tu dois avoir moyen de relier ça au reste mais bon je trouve pas ça aussi bon…
Enfin t’as des projets tout à fait ambitieux et novateurs comme GNUnet qui veulent te refaire tout Internet de la couche 2 à la couche 7, en basant tout sur de la cryptographie, du DHT et du P2P (à la bittorrent sans trackers, le but est de refaire Internet, mais en P2P, sans serveurs), et en basant là-dessus un réseau social sur lequel se baserait les différents protocoles (GNUnet étant fait pour être extensible), du style : pubsub, messagerie synchrone, VoIP… je vois déjà plus quoi ajouter.
On a trois concepts über intéressant qui ne sont développables nulle part ailleurs.
Le premier concept le plus intéressant est de reprendre l’idée novatrice de mettre la couche d’identification et de gestion des identités (oui parce que c’est assez totalitaire si comme dans Facebook on a le droit qu’à une seule identité, identité IRL en plus) *en dessous*. Ce qui fait que plutôt que d’avoir une adresse mail pour la messagerie asynchrone, une tonne de comptes sur des forums pour la discussion asynchrone, un client qui idle sur IRC/un compte jabber pour la messagerie synchrone, un site web pour l’expression personnelle, un client bittorrent pour le partage de données, un Shaarli pour le partage de liens, un compte SIP pour la VoIP… etc. tu as une seule identité GNUnet avec laquelle tu peux discuter en synchrone ou asynchrone, regarder les publications, parler à voix haute, etc. Et ensuite tu crées une identité GNUnet par identité que tu te forges. Et c’est tout de suite nettement moins compliqué. Comme dans un réseau social, sauf que plutôt que de tout faire en JS over HTML over HTTP en utltra sale et compliqué et faisant tout passer par le port 80 (le 443 sert à rien tellement c’est pas assez sécurisé par rapport à GNUnet, qui a encore plus de sécurité que Tor, déjà avoué incrackable par la NSA), tu bases toute l’infrastructure là dessus dès le départ et avec des protocoles spécialisés et adaptés via une plateforme de développement extensible…
XMPP essaye de reprendre ce concept en parasitant l’email et faisant tout, mais bon ceydel’XML, et puis c’est fédéré, etpicermochépabô.
Le must de cette méthode : la gestion de ton identité de « réseau sociale » se base sur de la pure cryptographie forte et à l’épreuve de bien des choses. Ton identifiant n’est plus un nom dans une base de données mais une clé publique ECDHE. Or en ECDHE les clés sont nettement plus courtes. L’avantage d’avoir une identité unifiée dans ce cas c’est que tu te retrouves pas à devoir à chaque fois trouver un moyen sépar< pour chiffrer, authentifier et vérifier l’intégrité une fois pour l’email, une fois pour jabber, une fois pour les publications, une fois pour les appels, etc. mais que tout est fait d’un coup, et dès le départ. Tu te soucie *une seule fois* de donner ton identité, juste un nombre, une suite de lettre, mieux : un QRCode (GNUnet peut déjà le générer automatiquement pour toi), et hop, c’est fait, tout est sécurisé pour l’éternité (aussi longtemps qu’on cassera pas de l’ECDHE, mais bon RSA est déjà vieux et toujours pas cassé…)… C’est pas plus dur à donner qu’un numéro de téléphone, en fait c’est même plus facile, et ça garantit des tellement plus de choses incroyables pour le troisième concept intéressant…
Le second concept intéressant c’est que la communication asynchrone c’est de la communication asynchrone, point. Donc tous ces protocoles et réseaux que sont le web, le mail, les forums, le mailing-list, FTP, bittorrent, etc. se résument à la même chose. Bon imagine que t’aie une seule plateforme pour absolument tout, qu’une mailing-list et un forum c’est pareil, qu’un commentaire sur un blog ou un message sur un forum c’est la même chose, même protocole, même syntaxe, même interface, que publier une vidéo sur un blog/forum se fait de la même manière, et qu’il y a pas à choisir entre youtube/blog/twitter/facebook/mail/jabber/bittorrent. Bon imagine que t’as la *même* interface pour tout ça, et que ton identité est du même type donc pour une identité (un pseudo) t’as qu’un seul « compte » pour absolument tous les usages, bon bah maintenant réfléchis à la *seule manière logique, pertinente et censée de diffuser du contenu de façon asynchrone* : bittorrent. Voilà, un truc qui remplace le web, le mail, FTP, bittorrent, le microblogging et les réseaux sociaux avec du partage bittorrent-like, en anonymisé *si on le souhaite* (c’est plus compliqué que ça, tu peux décider de brouiller plus ou moins les pistes en choisissant un niveau de 0 à n’importe quoi, et même à 0 on sait pas à quel point tu brouilles les pistes donc même si tu brouilles rien et t’es à vitesse max on a pas de preuve).
C’est über-puissant, parce que tu peux crossposter un commentaire en réponse en même temps à un blog et un forum différents, que l’interface pour commenter une vidéo sur un forum est la même que pour commenter un texte sur un blog, et que donc tu peux commenter même avec des vidéos, et même plusieurs textes avec une vidéos, ou un texte avec plusieurs vidéos, etc. Et qu’à la fin la même vidéo postée à plusieurs endroit serait comme un seul torrent, partagé par tous ceux qui la voient (or un petit débit de particulier fois 1000 utilisateurs ça concurrence agréablement Youtube). Du coup tu peux même faire des recherches avancées : liste les textes publiés par untel et commentés/plussoyés par un autre, liste les photos publiées qui ont été commentées par untel, liste tous les articles d’untel, etc. avec une interface unifiée.
Et du coup toutes la culture de l’humanité, plutôt que d’être concentrée dans de gros datacenters inutiles qui tuent la faune et la flore des fleuves pour se refroider et démolissent le paysage, se retrouve répartie sur les ordis de toute façon déjà existants de façon non invasive chez tout le monde, avec leur accord, et en fonction des intérêts de chacun (le classique « plus un contenu est populaire, plus il est facilement et rapidement téléchargé » de bittorrent, l’inverse du web qui est en architecture client/serveur plutôt que P2P). Du coup ça change aussi la façon dont on voit le contenu, ça responsabilise les utilisateurs à la participation à sa conservation pérenne, et les motive à redistribuer localement le contenu. Ce qui fait que le classique « oh un câble a coupé à Paris donc dans mon hameau ben plus rien, je peux plus écouter telle chanson ultra populaire que tout le monde connaît, ni lire le blog de mon pote » n’existe plus : le pote étant proche localement et connu des proches géographiques ses articles seront déjà dupliqués plusieurs fois dans cette zone géographique, et cette musique étant très populaire les chances qu’elle soit déjà disponible et redistribuée dans cette zone sont assez fortes, et s’il s’agit de « réécouter » alors elle est probablement toujours présente sur son disque, justement dans le but d’être redistribuée (donc en cas d’isolement on a toujours plein de contenu).
Imagine : t’es dans l’avion (ou l’espace, osef), et donc pas de chances d’avoir de l’internet… Par contre chaque passager a un ordinateur, et dedans il y a des films, et le partage P2P est anonymisé en utilisant un effet gossip (propagation, effet rumeur) et de l’indirection anonyme (je relaye les données en fonction du contenu demandé et pas de la source ou de la destination), tu te retrouves à partager tes films — que t’as déjà vu de toute façon — avec les autres, et vice versa : t’as accès à tous les films des autres, qui eux de toute façon les ont déjà vu. Et on ressort de l’avion avec un bon brassage de culture, et pas une minute d’ennui au compteur (après ça peut être autre chose que des films, c’est juste ce qui vient le plus naturellement, parce que ça se regarde en toutes circonstances, pas comme les débats sur forums/mailing-lists ou les news).
Le troisième concept über-intéressant est la décentralisation absolue, le fait que le réseau est local. Je m’explique : rien n’est centralisé, aucun identifiant, pas même la gestion des noms de domaines, qui est toujours locale (t’as pas galex-713.gnu pour tous le monde, mais t’as mon identifiant qui est ma clé publique, et avec tu peux m’« ajouter » et à partir de là *pour toi* galex-713.gnu c’est moi, ce qui fait que madame milka peut avoir milka.gnu pour ses enfants, et que les “nombreux consommateurs fiers de consommeur Milka” pourront avoir milka.gnu comme la marque laitière, sans conflits), ni les identifiants des pairs (l’équivalent des adresses IP) ni rien du tout et les seuls trucs globaux (liste des pairs qui partagent un truc sans se soucier de l’anonymat, liste des enregistrement de sous-domaines associés à une clée publique, etc.) est automatiquement diffusés par des DHT.
Qu’on s’explique les implications d’une décentralisation aussi radicale : si t’es en zone blanche chez mamie où il y a pas d’Internet mais avec une douzaine de potes, leurs ordis ont tous des antennes wifi… et automatiquement les clients GNUnet forment un réseau mesh (oui à terme ça doit faire de l’Internet meshé en zéroconf (automatiquement, sans configuration) en s’inspirant d’un logiciel génial nommé cjdns, le tout de façon décentralisée, sans même avoir besoin d’autorité centrale pour attribuer des IP). À partir de là le « réseau social » de GNUnet fonctionne et vous pouvez tous échanger le contenu que vous avez ou que vous créez. Maintenant le village commence à s’y intéresser et on a une 50aine d’utilisateurs potentiels. Tu place 4 antennes wifi bien puissantes (c’est-à-dire une fourchette dans une casserole trouée reliée à un long câble adapté, c’est tout à fait über puissant si bien foutu) qui font relais (et peuvent rien intercepter comme tout est authentifié quand nécessaire et chiffré), et tu fournis du réseau simple et puissant (en terme d’utilisation) à tout le village. Maintenant ce village veut communiquer avec celui d’à coté, qui a fait pareil mais parallèlement. Tu relies les deux avec une fibre et paf les deux réseaux se connectent automatiquement sans conflit (puisque toute donnée est locale et que rien n’est global, si t’avais Jean-Dupont.gnu sur l’un et Jean-Dupont.gnu sur l’autre pas de conflit puisque c’est spécifique à chaque utilisateur, et de toute façon tu peux différencier les deux qui ont une clé publique différente, puisque c’est par ça qu’on identifie les gens), et automatiquement les pairs partagent, diffusent et répartissent le contenu. Et puis un jour un FAI associatif débarque avec des ponts wifi longue portée et tu connectes le réseau GNUnet à Internet, et là ces réseaux non seulement continuent d’exister, mais se mergent au réseau mondial. En attendant avec des potes du village vous avez foutu des fibres dans le village. Bon la connexion à internet reste lente, mais le partage de contenus au sein du village va à une vitesse hallucinante, et comme en général tu te préoccupe plus des affaires de tes potes que de parfaits inconnus (sauf cas de fanboyisme, en sois-tu préservé), ben c’est tant mieux.
Et ainsi non seulement à l’instar d’Internet, par sa décentralisation, si on coupe le réseau en deux à n’importe quel endroit il survit. Mais si tu prend deux réseaux et que tu les rejoins, par sa localisation, ils fusionnent sans soucis. Internet dans l’état des choses peut pas faire ça, GNUnet à terme si.
C’est long mais même si GNUnet ne réussissait pas, ça démontre qu’en décentralisant et promouvant les usages locaux avec du logiciel libre et de la cryptographie on peut faire des trucs formidables qu’aucun service centralisé et privateur ne pourra jamais faire, et de façon largement *plus simple*.
- Le NAS et l'auto-hébergement (avantages / inconvénients)
Comme dit plus tôt :
Avantages : tu contrôles tout, tu es libre. Inconvénients : faut trois trucs que tout le monde n’a pas et qui coûtent cher : un accès internet (30€ par mois), un ordinateur (23€) et de l’électricité (ça coûte combien 5Wh en France ?)
- Les outils comme TOSDR
Il y en a des tas, tu connais déjà celui-là ;) Les autres se trouvent dans n’importe quel bon tuto. https://prism-break.org/ est toujours up.
- Utilisation d'autres moteurs comme Duckduckgo (avantages /
inconvénients)
Avantages : ben ils disent qu’ils sont gentils™ alors il y a plus de chance qu’ils le soient, alors que Google le dit qu’ils nous surveillent, et eux le contraire…
Inconvénients : des fois ça marche moins bien… mais on s’y fait… Et puis j’aime pas les moteurs de recherches : la recherche est globale et centralisée, coûteuse (je sais qu’une recherche Google consomme suffisamment d’énergie pour faire bouillir une tasse de café, alors pour DDG ça doit pas être rien non plus…) et pas forcément replacée dans son contexte. Passer de proche en proches par des lieux connus fonctionne infiniment mieux, par bouche à oreille (ou « propagation », également connu sous le nom d’« effet gossip » (effet rumeur)) on reçoit des trucs qui nous correspondent grâce au filtrage de proche en proche quand les liens sont fait par centres d’intérêts communs.
Un autre inconvénient est que rien te dis que DDG ne te surveille pas. Il faut donc soit utiliser Tor avec, soit se faire une instance de moteur de recherche décentralisé qui diffuse les résultats de requêtes en P2P pour mieux anonymiser et pas avoir à refaire les requêtes, comme le fait Seeks ou devrait le faire Searx.
Et t’as aussi Ixquick qui prend les résultats de plusieurs moteurs (alors que DDG n’en prend que de Bing) et Startpage qui en prend de Google.
- Les alternatives aux logiciels (Google Map, Talk, Android, Contacts,
Twitter, Dropbox, Skype,...) (avantages / inconvénients)
La plupart de ce que tu cites ne sont malheureusement pas des logiciels, mais pire : des services. Tu n’as donc aucune espèce de contrôle ou d’indépendance, c’est du minitel 2.0 comme disait Benjamin Bayart.
Dans l’ordre : – Openstreetmap, – XMPP (Jappix/Jitsi/Pidgin/Gajim/Movim/Salut à toi), – Replicant, – machin-équivalent-dans-F-Droid, – web(GNU Social/pump.io/Shaarli)/XMPP(Jappix/Movim/Salut à toi), – web(Owncloud)/FTP(vsftpd/proftpd), – XMPP(Jitsi/Salut à toi)/SIP(Ekiga/Jitsi)/GNU antiSIPate (SIP P2P)/GNUnet(oui ça fait de la VoIP maintenant).
My 2 cents…
Bonjour,
Merci pour ton retour. Je ne m'attendais pas à une réponse aussi longue.
Oui il y en a des tonnes et je vais sûrement en oublier pleins mais en voilà quelques uns qui me viennent à l’esprit là :
— Quadr’apéro : https://wiki.laquadrature.net/Quadr%27ap%C3%A9ro, — Café vie privée : https://café-vie-privée.fr/, — Premier Samedi du Libre (plus du support) : http://premier-samedi.org/, — La rockette libre : http://rockette-libre.org/, — Picnics de l’April, — Picnics de Parinux, — calendrier d’okhin : https://calendar.okhin.fr/public.php/chiffrofetes/calendar/, — d’autres trucs sur l’Agenda du Libre : http://agendadulibre.org/?region=12.
Tu peux aussi aller à certains endroits intéressants comme le Loop http://leloop.org, Numa http://events.numaparis.com/Evenements, ou t’abonner à certaines mailing-list utiles (par exemple celle sur celle de Parinux (evenements@lists.parinux.org) Stéphane, son secrétaire général, la rempli régulièrement d’évènements intéressants auxquels assister. Il y a aussi quelques listes d’lqdn où on t’avertis d’évènements, comme les ateliers NSA-Observer.
Super c'est exactement ce que je voulais savoir !
Oh, et une excellente conférence sur le sujet : http://ldn-fai.net/video-de-liberer-internet-sexe-alcool-et-vie-privee-a-diffuser/
Merci, super cette présentation !
On a la revue de presse de La Quadrature du Net pour ça. Dès qu’un internaute informé trouve un article sur ce sujet (ou un des nombreux sujets que traite la Quadrature, de toute façon on les tag pour les trier), après avoir nettoyé l’URL de ses fioritures (ID inutiles, etc.) il peut venir sur IRC (sur le canal de la Quadrature du net : #laquadrature, sur Freenode) et avec la commande !rp refiler l’article à wantzel qui le mettra dans l’outil de Revue de presse de la Quadrature (s’il n’y est pas déjà, et grâce au formidable travail de nos permanents ils y sont souvent déjà :p). Après quoi les vétérans noteront les articles par pertinence pour juger de s’ils peuvent être intégrés ou non, et les bénévoles (ce qui inclut les vétérans comme les nouveaux, les rpadawans) peuvent lire les articles et en extraire quelques paragraphes qui les résument bien, tout en soulignant les références à la Quadrature, pour finalement se faire publier dans la revue de presse par les vétérans (relayée par Twitter).
Effectivement, la newsletter de la quadrature liste toujours plein de liens intéressants !
Bref, viendez les gens on est jamais trop nombreux !
J'y traîne de temps en temps (en tant que spectateur), mais je pense que je viendrai discuter de tout ça à l'occasion.
Avantages : tu contrôles tout, tu es libre. Inconvénients : faut trois trucs que tout le monde n’a pas et qui coûtent cher : un accès internet (30€ par mois), un ordinateur (23€) et de l’électricité (ça coûte combien 5Wh en France ?)
En France (j'ai fait le calcul avec ma facture EDF), c'est 1W=1€/an Donc un NAS de 30W allumé en permanence ça fait 30€ d'électricité par an.
Il y en a des tas, tu connais déjà celui-là ;) Les autres se trouvent dans n’importe quel bon tuto. https://prism-break.org/ est toujours up.
Ah merci, je ne connaissais pas.
Pour finir, personnellement je vois deux problèmes de vie privée : 1) celle des entreprises privées 2) celle des états
A mon échelle je ne peux rien faire contre le second point. C'est surtout le point 1) qui m'intéresse dans un premier temps. Pour le point 2) je considère que le problème doit être résolu par les lois et le lobbying. Raison pour laquelle je donne à La Quadrature.
Je tiens à ma santé mentale. Les problématiques liées à la NSA/FAI/le-tout-chiffrement est un cran au dessus. Je veux chiffrer certaines choses, mais ne veux pas tomber dans l'excès et la paranoïa. Et puis, avant de pouvoir envoyer des mails entièrement chiffrés à mes proches, mon but est déjà de les faire quitter gmail. Donc ce n'est malheureusement pas mon combat pour le moment. Ça le sera lorsque j'aurai réussi à tous les convaincre de l'importance du point 1)
On 2014-07-31 at 12:05, Yoann Sculo wrote:
Pour finir, personnellement je vois deux problèmes de vie privée :
- celle des entreprises privées
- celle des états
Ça résume très bien la situation, et la largeur politique du débat et donc le fait que ça touche tout le monde de la gauche à la droite : — à gauche à cause des entreprises privées et du sale capitalisme profiteur destructeur de l’humanité ; — à droite à cause des États et du sale autoritarisme régulateur égocentrique brideur de l’humanité.
C'est surtout le point 1) qui m'intéresse dans un premier temps.
À juste titre, c’est le pire, parce que les entreprises style Faceboogle se spécialisent à très haut niveau là-dedans, alors que la NSA c’est une bande de paranos qui cherchent à trouver des aiguilles dans des bottes de foin…
A mon échelle je ne peux rien faire contre le second point.
Si les outils étaient bien foutus tu pourrais même éviter le second point. Le fait est qu’il est vrai que quand un gouvernement te vise, c’est *extrêmement* difficile d’échapper à sa surveillance. Mais le fait reste que parfois (souvent) c’est nécessaire. Vois-donc la situation en Ouganda, en Palestine, en Syrie, etc. Fournir un outil *performant*, qui *fonctionne* et *surtout* qui est *simple* d’utilisation est juste essentiel si on veut réussir à utiliser Internet pour obtenir de l’aide de loin.
Pour le point 2) je considère que le problème doit être résolu par les lois et le lobbying. Raison pour laquelle je donne à La Quadrature.
J’en doute. Ils vont pas arrêter pour nos beaux yeux…
Ce qu’on peut faire par contre, c’est leur rendre la tâche invivable, voire impossible, de leur démontrer et prouver publiquement que ce sera devenu le cas, et de les motiver à arrêter de tenter de foutre tant de merde.
Et ceci en Europe, parce que je suis loin d’avoir autant confiance dans les États d’Afrique, de Russie, de Chine, de Corée, des États-Unis ou d’autres joyeuses démocraties totalitaires.
Enfin, on remarque dans l’activisme pour l’internet libre deux grandes tendances politiques (c’est pas tout noir et blanc hein, mais on peut grossièrement résumer comme ça) : — la tendance « démocratique » ou « réformiste » qui tend à vouloir changer les choses par le lobbying, par la protestation, la manifestation, la loi, etc. promue par exemple par FDN et Benjamin Bayart, parce qu’ainsi on peut toujours retrouver les criminels et les punir après coup (démocratiquement), — la tendance « anarchiste » ou « directe » qui tend à vouloir changer directement les choses pour rendre le déni des libertés physiquement impossible par la cryptoanarchie et la décentralisation DIY du réseau, promue par exemple par La Quadrature du Net et ses plus vifs activistes et militants (vinci, okhin, etc.), parce que l’État risque pas de devenir gentil™ de si tôt (le pouvoir corrompt…) et que la plupart des crimes sont eux-même motivés par des crimes antérieurs commis par les États, directement ou indirectement.
Après on peut difficilement *complètement* se situer d’un coté en ignorant complètement l’autre, puisqu’il garde toujours ne serait-ce qu’un fond d’utilité.
Je tiens à ma santé mentale. Les problématiques liées à la NSA/FAI/le-tout-chiffrement est un cran au dessus. Je veux chiffrer certaines choses, mais ne veux pas tomber dans l'excès et la paranoïa.
La paranoïa c’est quand t’es persuadé que tout le monde est contre toi, que chaque personne à laquelle tu parle est un agent secret. C’est pas marrant c’est une maladie mentale. Je connais une personne que je soupçonne fortement d’être atteinte parce qu’elle m’a plusieurs fois accusé d’être des services secrets, moi et d’autres.
Dans le cas présent, c’est plus la NSA qui est paranoïaque à vouloir surveiller *tout le monde* *tout le temps* *partout*.
Dans le chiffrement il y a pas un prétendu « excès », il y a juste la cryptoanarchie, où tout est chiffré et vérifié. C’est pas un excès parce que c’est souhaitable sur le point que ça nous rendra libre des dérives autoritaires des États. Après évidemment c’est un problème *complexe* et *nous ne pouvons pas tous tout savoir*. C’est donc aux *développeurs* et aux *cryptographes* *compétents* qu’il faut déléguer ce travail. C’est un travail de fourmi sur les logiciels que nous utilisons comme sur les distributions cohérentes de ces ensembles de logiciels qui requièrent un fort niveau de compétence en sécurité informatique. Après ce qu’on peut faire c’est rejoindre (étudier la crypto, l’info, en nettoyant le code, etc.) ou soutenir (moralement, financièrement, avec de la doc, etc.).
Et puis, avant de pouvoir envoyer des mails entièrement chiffrés à mes proches, mon but est déjà de les faire quitter gmail.
Pourtant en envoyant des mails chiffrés, c’est sous gmail que ça a le plus de sens ;) Et ça coûte pas de changer d’adresse, du coup au fond c’est plus facile de faire utiliser un logiciel que de faire installer son propre serveur… Une fois GPG maîtrisé, l’installation d’un serveur avec YUNo Host est assez réaliste.
Donc ce n'est malheureusement pas mon combat pour le moment. Ça le sera lorsque j'aurai réussi à tous les convaincre de l'importance du point 1)
Ça se tient.
PS : désolé du retard, occupé cette semaine ^^
↪ 2014-07-29 Tue 21:47, Yoann Sculo yoann@sculo.fr:
Je ne sais pas exactement tout ce qui existe en terme d'autres meetups et rencontres à Paris. Je pense que La Quadrature doit sans doute organiser des choses, tout comme l'April. Tristant Nitot organise demain Paris Meetup pour la décentralisation d'Internet (http://www.meetup.com/Paris-Meetup-pour-la-decentralisation-dInternet/events...) Et on peut aussi trouver des cryptoparties.
À ce propos, mon bon ami Michiel De Jong d'Unhosted sera à ce meetup.
Si vous ne connaissez pas, unhosted.org vaut le détour, notamment le protocole http://remotestorage.io/
Cordialement,
Un petit (trop long) email pour vous donner mon avis sur ce qui pourrait constituer un nouvel évènement intéressant autour de ces questions.
Pour info, le Café vie privée cité par Yoann : http://fsfe.org/news/nl/nl-201407.fr.html
Café Vie Privée : le chiffrement des courriels en plat principal !
Imaginez que vous alliez au café avec des amis mais, à la place d'une boisson chaude ou fraîche, le menu propose des informations sur comment assurer sa vie privée numérique. Comme « https everywhere » en entrée, « chiffrement e-mail GnuPG » en plat principal et « tosdr.org » (information sur les conditions d'utilisation) en dessert. De tels cafés existent déjà aux Pays-Bas. À la réunion FSFE, en Allemand, d'Essen, Felix Stegerman, notre coordinateur délégué des Pays Bas a présenté ses plans pour mettre en place plus de cafés vie privée et expliqué pourquoi il pense que c'est le bon moment et une bonne opportunité pour le Logiciel Libre de faire de même ailleurs.
La plupart des personnes qui vont dans des cafés vie privée sont déjà au courant des problèmes de liberté et de vie privée. Mais ça permet aux volontaires locaux d'avoir la possibilité de parler de Logiciel Libre et de l'importance de les utiliser pour défendre sa vie privée. Par exemple, en demandant aux participants « Qui contrôle le logiciel ? » Lisez le blog de Felix pour plus de détails sur ces cafés et ses plans pour le futur.
(Traduction de Cryptie !! merci)
Il me semble que c’est ce que font aussi les cafés vie privée en France, notamment à Paris. Je n’y suis jamais allé mais avec des gens comme Amaëlle Guiton et Okhin pour organiser, je suis persuadé que ça doit être pas mal ☺
Comme on l’a remarqué, il y a déjà pas mal d’évènements qui se sont montés dans les derniers mois (!!!) autour de ces questions, à Paris. Je pense qu’il est important de joindre les forces vives plutôt que disséminer, mais on peut très bien faire avec eux des éditions un peu plus spécifiques sur un aspect plus particulier.
Donc tout dépend de notre objectif, et de notre public.
Par exemple, je ne suis jamais allé aux cafés vie privée pour la simple raison que j’utilise déjà GnuPG, que je sais utiliser Tor, que je suis déjà bien informé de ces problématiques, etc.
Finalement, on a beaucoup d’ateliers qui se veulent à destination du « grand public » ou qui ont pour objectif d’aider à commencer, qui sont des introductions.
Alors qu’en est-il du petit public et des marches suivantes ?
J’imagine bien un petit évènement « l’autohébergement, un an après ». Ou bien « GnuPG, un an après ». L’idéal serait de pouvoir mélanger aussi des participants des premiers cafés vie privée (j’espère, j’espère vraiment que certains ont gardé contact !)
Il me semble qu’un évènement de ce type serait utile autant à Yoann qu’à moi, et qu’on pourrait aussi faire venir des gens qui bossent sur des solutions liées, par exemple Yunohost ou Cozy. On pourrait aussi avoir des partages de conseils pratiques pour aborder des problèmes qu’on rencontre (par exemple pour mon mail, finalement je passe par le VPN de FDN parce que c’était vraiment trop la merde au niveau Google / IPv6 / RDNS, etc. bref ça peut être un sujet à aborder)
Mais c’est peut être plus technique que ce que tu avais en tête ? Cela dit si tu avais en tête quelque chose de peu technique et de « grand public », je pense que le type d’évènement existe déjà à Paris -- il me semble.
Le 30/07/2014 à 11h16, Hugo Roy a écrit :
Comme on l’a remarqué, il y a déjà pas mal d’évènements qui se sont montés dans les derniers mois (!!!) autour de ces questions, à Paris. Je pense qu’il est important de joindre les forces vives plutôt que disséminer, mais on peut très bien faire avec eux des éditions un peu plus spécifiques sur un aspect plus particulier.
Mais elles *sont* jointes, juste elles ne se disséminent pas mais s’*étendent* et se *diffusent*.
Par exemple, je ne suis jamais allé aux cafés vie privée pour la simple raison que j’utilise déjà GnuPG, que je sais utiliser Tor, que je suis déjà bien informé de ces problématiques, etc.
Raison de plus pour y aller, pour participer à former les gens qui viennent.
De plus maintenant les cafés vie privée s’orientent beaucoup plus coté argumentation et discours politique/philosophique que technique/tutoriel, on a donc tout intérêt à rejoindre les autres pour leur enseigner des choses comme pour apprendre à mieux argumenter (en argumentant, mais aussi en découvrant de nouveaux arguments, et la façon dont ils sont perçus) ;)
Alors qu’en est-il du petit public et des marches suivantes ?
IRC ? la doc ? :p
J’imagine bien un petit évènement « l’autohébergement, un an après ». Ou bien « GnuPG, un an après ». L’idéal serait de pouvoir mélanger aussi des participants des premiers cafés vie privée (j’espère, j’espère vraiment que certains ont gardé contact !)
Pas idiot…
(par exemple pour mon mail, finalement je passe par le VPN de FDN parce que c’était vraiment trop la merde au niveau Google / IPv6 / RDNS, etc. bref ça peut être un sujet à aborder)
J’ai pas encore d’IPv6 ni de RDNS correct, pourtant je le vis très bien…
↪ 2014-07-30 mer. 13:17, Garreau, Alexandre galex-713@galex-713.eu:
Le 30/07/2014 à 11h16, Hugo Roy a écrit :
Comme on l’a remarqué, il y a déjà pas mal d’évènements qui se sont montés dans les derniers mois (!!!) autour de ces questions, à Paris. Je pense qu’il est important de joindre les forces vives plutôt que disséminer, mais on peut très bien faire avec eux des éditions un peu plus spécifiques sur un aspect plus particulier.
Mais elles *sont* jointes, juste elles ne se disséminent pas mais s’*étendent* et se *diffusent*.
Non, tu n’as pas compris. Je suggère de ne pas organiser un évènement parallèle mais plutôt de *nous* joindre à ce qui existe déjà, plutôt que de faire un truc dans notre coin.
Par exemple, je ne suis jamais allé aux cafés vie privée pour la simple raison que j’utilise déjà GnuPG, que je sais utiliser Tor, que je suis déjà bien informé de ces problématiques, etc.
Raison de plus pour y aller, pour participer à former les gens qui viennent.
Chacun son truc…
De plus maintenant les cafés vie privée s’orientent beaucoup plus coté argumentation et discours politique/philosophique que technique/tutoriel, on a donc tout intérêt à rejoindre les autres pour leur enseigner des choses comme pour apprendre à mieux argumenter (en argumentant, mais aussi en découvrant de nouveaux arguments, et la façon dont ils sont perçus) ;)
Alors qu’en est-il du petit public et des marches suivantes ?
IRC ? la doc ? :p
Certes, mais parfois se voir en face à face, c’est beaucoup plus performant et intéressant.
Pas idiot…
Heu…
merci ?
(par exemple pour mon mail, finalement je passe par le VPN de FDN parce que c’était vraiment trop la merde au niveau Google / IPv6 / RDNS, etc. bref ça peut être un sujet à aborder)
J’ai pas encore d’IPv6 ni de RDNS correct, pourtant je le vis très bien…
Si tu n’as pas IPv6, le problème ne se pose pas. Heureusement, de plus en plus de gens sont en IPv6, donc pour eux le problème se posera.
Voir par example l’article de Tanguy : http://tanguy.ortolo.eu/blog/article109/google-ipv6-smtp-restrictions
On 2014-07-30 at 13:29, Hugo Roy wrote:
↪ 2014-07-30 mer. 13:17, Garreau, Alexandre galex-713@galex-713.eu:
Le 30/07/2014 à 11h16, Hugo Roy a écrit :
Comme on l’a remarqué, il y a déjà pas mal d’évènements qui se sont montés dans les derniers mois (!!!) autour de ces questions, à Paris. Je pense qu’il est important de joindre les forces vives plutôt que disséminer, mais on peut très bien faire avec eux des éditions un peu plus spécifiques sur un aspect plus particulier.
Mais elles *sont* jointes, juste elles ne se disséminent pas mais s’*étendent* et se *diffusent*.
Non, tu n’as pas compris. Je suggère de ne pas organiser un évènement parallèle mais plutôt de *nous* joindre à ce qui existe déjà, plutôt que de faire un truc dans notre coin.
Ahhhhh ok.
Par exemple, je ne suis jamais allé aux cafés vie privée pour la simple raison que j’utilise déjà GnuPG, que je sais utiliser Tor, que je suis déjà bien informé de ces problématiques, etc.
Raison de plus pour y aller, pour participer à former les gens qui viennent.
Chacun son truc…
Ok… :)
Alors qu’en est-il du petit public et des marches suivantes ?
IRC ? la doc ? :p
Certes, mais parfois se voir en face à face, c’est beaucoup plus performant et intéressant.
Voui.
Pas idiot…
Heu…
merci ?
Oui, c’était une litote quoi, comme « pas mal » ou « pas con » ;)
(par exemple pour mon mail, finalement je passe par le VPN de FDN parce que c’était vraiment trop la merde au niveau Google / IPv6 / RDNS, etc. bref ça peut être un sujet à aborder)
J’ai pas encore d’IPv6 ni de RDNS correct, pourtant je le vis très bien…
Si tu n’as pas IPv6, le problème ne se pose pas. Heureusement, de plus en plus de gens sont en IPv6, donc pour eux le problème se posera.
Nan ’fin je l’ai mais il est pas encore activé…
Voir par example l’article de Tanguy : http://tanguy.ortolo.eu/blog/article109/google-ipv6-smtp-restrictions
Ahhhhh d’accord ! Merci de l’info ! ^^
Bonjour,
Je suis également intéressé, quelque soit la forme que cela prendra.