Rechercher dans les flux d'actualités



Filtrer par auteur :
     |     
Rechercher un terme :


  AlienVault Monthly Product Roundup April 2018
We are continuously making improvements and rolling out new features to USM Anywhere to help your team to be more effective at detecting and responding to threats. You can keep up with USM Anywhere releases by reading our release notes in the AlienVault Product Forum. Here is a roundup of the highlights from our April 2018 releases: Go Threat Hunting with OTX Endpoint Threat Hunter™: Okay, so technically this one is not a USM Anywhere feature, but it is very cool (and free!) and worth the mention here. Earlier this month, we launched OTX Endpoint Threat Hunter™— a new free service in Open Threat Exchange® (OTX™) that allows anyone to hunt for malware and other threats on their endpoints using the indicators of compromise (IOCs) catalogued in OTX. It’s powerful, easy to use, and completely free. Introducing our not-so-secret Agent, man: OTX Endpoint Threat Hunter is powered by the AlienVault Agent—a lightweight and adaptable endpoint agent based on osquery. We plan to extend the use of the AlienVault Agent in USM Anywhere and have already begun to invite USM Anywhere users to request early access to the AlienVault Agent through the product, under the new Agents page. Participation in early access is limited. The AlienVault Agent provides deep visibility into your environment with File Integrity Monitoring and event forwarding on Windows and Linux endpoints. It is simple and fast to install and has a small footprint. With the AlienVault Agent, you can get to endpoint security insights quickly, without the cost and complexity of a standalone endpoint security solution. We’ll announce general availability later this year, so stay tuned! Leveling up our sensor security: In an effort to constantly improve our security hygiene (we already floss daily), this month, we added secure transport capabilities to USM Anywhere sensors. USM Anywhere now supports syslog over TCP (port 601) and secure transport through TLS (port 6514), so you can rest easier at night. Show me the data sources: When it comes to data collection for threat detection, the first and most important thing to know is whether your data sources are supported and how. To make it easier and faster to navigate data collection in USM Anywhere, we added a new Data

Le 2018-05-01


  Patching Frequency Best Practices
A client asked the other day for guidance on best practices regarding how often they ought to patch their systems. My immediate thought was “continuously.”  However, most small to mid-sized enterprises don’t have the resources for that. If you go to a source such as the Center for Internet Security they talk about patching as a critical security control and say you need a formalized program of patch management to “regularly update all apps, software, and operating systems.” But they don’t say much about how or how often this should be done. Patching Frequency Best Practices from DoD So, I hearkened back to the days when I was performing security audits for the Army. I probably did more than 500 of these on every type of system – from a small, rack-mounted tactical command & control server in the back of a Humvee to a 350,000-user wide area network in all 50 states. I started in the 1990s with the Department of Defense (DoD) Information Technology Security Certification & Accreditation Process (DITSCAP), and then moved to the DoD Information Assurance Certification and Accreditation Process (DIACAP), and finally the Risk Management Framework (RMF) that is in use today. Typically, whenever we assessed those Army systems, if they had any missing patches or antivirus updates for more than a week, we would fail them. But when I researched this recently, I couldn’t find an Army or DoD reference to support this timeframe. You would think the DoD would have a best practice in place for that! The Defense Information Systems Agency (DISA) publishes Security Technical Implementation Guides (STIGs), which are checklists for security hardening of information systems/software “that might otherwise be vulnerable to a malicious computer attacks.”  These outline security best practices for a variety of technologies – e.g., Windows OS, networking devices, database, Web, etc. The STIGs serve as the reference guides for all of DoD and represent what I would call “high assurance” best practices.  In fact, we used to joke that if you followed all of the STIG guidance, you would “brick” your system! There is, of course, always a tradeoff between system security and usability. There is also doctrine on security controls (including patching /updates) in various guides such as the NIST SP 800-53 Risk Management Framework the DoD Cybersecurity Discipline Implementation Plan. Upon examining all of these, I found that they actually provide varying advice on patching/update frequency – based on the criticality of the system, level of data being processed, or criticality/impact of the patches to be implemented. The current objective for all patching in the DoD, according the Cybersecurity Discipline Implementation Plan, dated February 2016 is: “All DoD information systems have current patches within 21 days of IAVA patch release.” In addition: “Systems with high risk security weaknesses that are over 120 days overdue will be removed from the network.” Note that an IAVA is an Information Management Vulnerability Alert, which generally starts at the US Computer Emergency Response Team (CERT) level, and then is promulgated down to US Cyber Command and the Cyber Commands of the military service branches.  These represent the most critical vulnerabilities for which all US government systems must be patched.  We can also use this as a best practice for anyone running a high-security commercial system. To summarize DoD guidance / best practices on security patching and patch frequency: You must apply security patches in a timely manner (the timeframe varies depending on system criticality, level of data being processed, vulnerability criticality, etc.) in accordance with the Information Assurance Vulnerability Management (IAVM) process.  IAVM process: All systems must install all IAVAs and IAVBs (bulletins) immediately, and report back to the command within 21 days. Windows security patches must be installed “immediately” using automated patching methods  Database patches must be applied quarterly in accordance with the patch release cycle  Antivirus updates and scans must be run at least weekly  Patching Frequency Best Practices In general, the following is my advice for patching frequency best practices: Run scheduled monthly vulnerability scans utilizing AlienVault Unified Security Management (USM) Anywhere built-in network vulnerability scanner to check for vulnerabilities and misconfigurations in your cloud, on-premises, and/or hybrid environment. Besides the scan reports, you should also research vulnerabilities for all Windows, desktop applications, and so forth on a monthly basis. The AlienVault Open Threat Exchange (OTX) Pulse feed is a good place for this. There is also the classic BugTraq mailing list and the National Vulnerability Database feed Download and regression test the patches on a staging system (to make sure they don’t break anything) before deploying to the enterprise. Critical vulnerabilities that have published exploit code should be given the highest severity weighting and be addressed immediately – not waiting for a patching cycle. Organizations with an automated patch distribution mechanism often establish a short timeframe (average is about 48 hours to one week) for the testing and distribution of critical patches. Finally, if this still sounds daunting (and it should), you may want to engage with a comprehensive Managed Security Services Provider (MSSP), such as Abacode to handle all this for you. We know IT folks don’t have the bandwidth to deal with all of this, given all their other duties just to keep the network up and running. Also, it does require continuous research to stay on top of all the latest threats and vulnerabilities. So, it makes sense to engage with someone who has the expertise and can manage this for you.       

Le 2018-04-30


  Things I Hearted this Week, 27th April 2018
Master Keys F-Secure researchers have found that global hotel chains and hotels worldwide are using an electronic lock system that could be exploited by an attacker to gain access to any room in the facility. The design flaws discovered in the lock system’s software, which is known as Vision by VingCard and used to secure millions of hotel rooms worldwide, have prompted the world’s largest lock manufacturer, Assa Abloy, to issue software updates with security fixes to mitigate the issue. Researchers Find Way to Create Master Keys to Hotels | F-Secure A ONE-MINUTE ATTACK LET HACKERS SPOOF HOTEL MASTER KEYS | Wired SEC Fines Yahoo $35 Million The company formerly known as Yahoo is paying a $35 million fine to resolve federal regulators’ charges that the online pioneer deceived investors by failing to disclose one of the biggest data breaches in internet history. The Securities and Exchange Commission announced the action Tuesday against the company, which is now called Altaba after its email and other digital services were sold to Verizon Communications for $4.48 billion last year. Yahoo, which is no longer publicly traded, neither admitted nor denied the allegations but did agree to refrain from further violations of securities laws. SEC Fines Yahoo $35 Million for Data Breach That Affected 500 Million Users | Bleeping Computer Company Formerly Known As Yahoo Pays $35M Fine Over 2014 Hack | CBS SF SOCs require automation to avoid analyst fatigue for emerging threats SecOps needs an immediate shift across industries. Some SecOps teams develop playbooks for an additional layer of training, but when security events occur, it is uncommon to follow every step a playbook describes. The data becomes overwhelming and the resulting alert fatigue leads to analysts overlooking threats entirely, leading to an increase in emerging threats. SOCs require automation to avoid analyst fatigue for emerging threats | HelpNetSecurity On the topic incident response, I enjoyed this piece by Steve Ragan, Two incident response phases most organizations get wrong | CSO Online Also related: How to Build a Cybersecurity Incident Response Plan | Dark Reading The Seven Circles of Security An insightful post from a CISO highlighting where most of their time is spent. Number six will shock you! Well, it probably won’t, but a little clickbait never hurt did it? The Seven Circles of Security: Where This CISO Spends Her Time | Helen Patton, Medium Hackers Steal Data on 14 Million Users From Ride-Hail App Careem The personal data of up to 14 million people in the Middle East, North Africa, Pakistan and Turkey has been stolen by online criminals in a cyber-attack on the systems of Dubai ride sharing platform Careem. On January 14, the company detected the breach in the computer systems which hold the account data of customers and captains – or drivers – in 78 cities in 13 countries. Names, email addresses, phone numbers, as well as trip data was stolen. Hackers Steal Data on 14 Million Users From Ride-Hail App Careem | Gizmondo Ride sharing platform Careem says hit by cyber attack with data of up to 14 million users stolen | The National Muhstik botnet exploits highly critical Drupal bug Researchers are warning a recently discovered and highly critical vulnerability found in Drupal’s CMS platform is now being actively exploited by hackers who are using it to install cryptocurrency miners and to launch DDoS attacks via compromised systems. At the time of the disclosure, last month, researchers said they were not aware of any public exploits. Muhstik botnet exploits highly critical Drupal bug | Threatpost Botnet Muhstik is Actively Exploiting Drupal CVE-2018-7600 in a Worm Style | OTX Actually, Myspace Sold Your Data Too In the wake of Facebook’s privacy debacle, Myspace Tom has emerged as an unlikely hero. But the platform he built and the data you put on Myspace continues to help advertisers target its old users. Actually, Myspace Sold Your Data Too | Motherboard Speaking of tracking users through data, what happens when the same, or similar techniques are used to track people for more nefarious purposes? CIA agents in 'about 30 countries' being tracked by technology, top official says | CNN Turning an Echo into a spy device only took some clever coding | Wired Cops used dead man’s finger in attempt to access his phone In a case of, yes, it’s legal, but is it appropriate? Especially when the deceased was shot and killed by a police officer in that same department. "While the deceased person doesn’t have a vested interest in the remains of their body, the family sure does, so it really doesn’t pass the smell test," said Charles Rose, professor and director of the Center for Excellence in Advocacy at Stetson University College of Law. "There’s a ghoulish component to it that’s troubling to most people." Cops Attempt To Unlock Phone Of Man They Killed Using His Finger | Huffington Post Cops used dead man’s finger in attempt to access his phone. It’s legal, but is it okay? | Tampabay Bezos’s empire: How Amazon became the world’s biggest retailer Amazon has shipped more than 400 items per second at its peak. How did it grow from bookseller to retail giant? Bezos’s empire: How Amazon became the world’s biggest retailer | The Guardian Jeff Bezos v the world: why all companies fear 'death by Amazon' | The Guardian More security related, Amazon’s internet domain service was rerouted. Hijack of Amazon’s internet domain service used to reroute web traffic for two hours unnoticed | Kevin Beaumont, Medium       

Le 2018-04-28


  Financial Fraud: What Can You Do About It?
Financial fraud used to be simple. Erase the ink from a check, make it out for more money, and laugh as you withdrew money. Nowadays, it requires a bit more finesse but is still simple in concept. Thankfully, it’s also fairly easy to protect yourself or your company from financial fraud in a highly digitized world. In 2017, massive data breaches, ransomware attacks, and financial fraud ramped up. Steps are being taken around the world to combat this, such as the European Union updating their General Data Protection Regulation to help with breaches, but where does that leave you? Identity Theft and Credit Card Fraud First, it’s helpful to discuss identity theft and credit card fraud, and what they mean to you. From a data breach, a hacker could, in theory, steal your Social Security number and open a credit card in your name. The first part is identity theft; the second, where the hacker maxes out the credit card, is credit card fraud. You won’t be liable for the damages, but you need to be aware of them first. Otherwise, they will sit on your credit report, quickly wrecking your credit score thanks to unpaid bills and high utilization ratio. This makes financing a car or a house much harder. This is a less-than-ideal situation, but at least your money is safe. That’s only the beginning, though. A 2013 study showed that identity theft accounted for $24.7 billion in losses. Hackers attack every 39 seconds, from your social media accounts to your IoT devices. They steal credentials, log in to your bank account, and steal your money. Here’s how: Email Spoofing If you look in your spam email folder, you are likely to see familiar emails. Banks and people you know have, apparently, been emailing you without your knowledge. Your bank needs your password in order to unlock your account, for example. The problem is that the email is not actually from your bank; hackers have spoofed the email address to appear as something familiar. It’s not just banks, either. It could be an email from Facebook or Instagram that looks legit, asking you to log in. Once your credentials are stolen, they can try your logins on other sites, leading back to your bank. Hackers are sophisticated enough that they can even spoof a different employee of your company. If you get an odd email from someone in the finance department, it’sa good idea to verify, in person, that they actually do need the private information they are asking for. Otherwise, you may end up with a compromised payroll. The Internet of Things You have a spam filter for your emails. You don’t see any spoofed emails. But you do have IoT items. It might be a fitness tracker, your smart TV, or a home automation system, but it’s wirelessly connected to the internet. If your network is not secured, your IoT devices offer multiple opportunities to penetrate your network and “sniff” the data that is being transmitted. Hackers can see what images you are loading. They can see everything you type, including login credentials. They can redirect you to a custom-made website to steal more information, under the guise of a legitimate version of your bank’s website. Although your financials will not be affected, IoT devices can also be hacked and added to a botnet. As part of a botnet, the device could be used as part of an advertisement fraud scheme, where it is remotely commanded to go to a website and click on an ad. The hacker then gets a percentage of the advertising fees for every click. Or it could be made to mine cryptocurrency, slowing down your system. What You Can Do How can you stop hackers from infiltrating your system and either stealing your money, login credentials, or even the potential for making money? Here are some simple steps: Upgrade your password. You may think replacing letters is a smart idea, but it’s even better if you use four random words. Don’t use the same password for everything. Use a different password for banking than anything else. Use a completely different password for social media. Use yet another password for logging in to your email. If you are protecting a business, encrypt your data whenever possible. Conduct regular accounts payable audits to make sure hackers have not obtained access to your accounts. Avoid suspicious emails, especially with links to unfamiliar sites. Always check where the link actually goes to, rather than what it says in the text of the email. The same goes for suspicious attachments. Get antivirus software. If you do download a file or click a link, if it tries to install a virus or malware, an antivirus can stop it. This is more important in a business, as the computers are likely linked, and one computer will infect the next. Conclusion Hackers are evolving with the times. Some use new tactics, while others try to pose as someone in authority and get information, such as login credentials. It’s vital to understand their methods so you can protect yourself or your company from losing vast sums of money.       

Le 2018-04-28


  Certificate Lifecycle Management: People, Process and Technology
Trust and Digital Certificates Trust is a valuable commodity in the age of data proliferation. An abundance of information makes it possible for bad actors to impersonate trusted brands using fake websites and accounts. Organizations therefore need a way to ensure that potential customers can trust their identity when visiting their official website, especially if they decide to purchase their goods or services. To address this issue of trust online, organizations look to the Public Key Infrastructure (PKI). This framework enables the issuance of public key certificates, otherwise known as digital certificates. These documents use security technology called Transport Layer Security (TLS) and previously Secure Sockets Layer (SSL) to encrypt a connection between a company's web server and a user's browser. As such, digital certificates provide a way for web users to trust that a website domain owner is who they say they are and that the transmission of their information with the website is secure. Challenges of Certificate Management It's not difficult for organizations to obtain a digital certificate. Depending on the level of trust they want to build with users, they can obtain a domain validation (DV), organization validation (OV) or extended validation (EV) certificate. These different types of electronic documents require that domain owners submit to validation checks conducted by trusted Certificate Authorities (CAs). In the case of DV certificates, CAs look to confirm the contact listed in the WHOIS record of a domain. EV certification is comparatively more thorough, requiring steps to confirm legal and physical operation. For those that obtain EV certificates, web browsers display their names in green along with a padlock indicating HTTPS protection in the address bar. (

Le 2018-04-28


  Le RGPD va rebooter Internet : ouvrons le combat
Tribune de Marne et Arthur, instigateurs de la campagne de plaintes collectives contre les GAFAM 25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour. Pour comprendre ce qui commence aujourd'hui avec l'entrée en application du règlement général sur la protection des données (RGPD), repartons d'abord dans le passé... il y a 5 ans, presque jour pour jour. RGPD, fruit de la plus violente campagne de lobbying américaine Le 27 mai 2013, La Quadrature du Net publiait son analyse principale en faveur d'un « consentement explicite » dans le RGPD, qui était alors en pleine discussion au Parlement européen. Cette revendication était alors notre combat principal et, aux côtés de nos associations alliées (voir notre campagne Naked Citizens, lancée le 25 avril 2013), nous l'avons gagné. Ainsi, 5 ans plus tard, depuis ce matin, une entreprise ne peut plus justifier de nous surveiller au motif que nous y aurions « consenti » en oubliant de décocher une case obscure rangée en fin de formulaire ou derrière divers menus (stratégie éculée pour dérober l'accord d'une personne). C'est la victoire du « consentement explicite », c'est ce que continuent de violer Google, Apple ou Amazon, et c'est notamment ce que nous invoquons avec 11 000 autres personnes dans les plaintes collectives que nous déposerons lundi prochain devant la CNIL (et que vous pouvez encore rejoindre). Avec le recul, ce « consentement explicite », cette arme que nous nous sommes donnés il y a 5 ans, cette victoire, semble irréelle. De l'aveu des parlementaires européens, l'Union européenne n'avait jamais connu de campagne de lobbying aussi intense et brutale que sur le RGPD : c'est toute la Silicon Valley qui descendait dans le Parlement, suivi de sa myriade de syndicats, de groupements, de Think Tanks? et de serfs européens. Nous avions d'ailleurs recensé les milliers de pages qu'ils envoyaient au Parlement, et le site LobbyPlag les avait analysées pour révéler quels eurodéputés en déposaient et défendaient les propositions. Dans un premier temps, cet effort titanesque de lobbying a largement payé : au 19 mars 2013, chacune des 4 commissions consultatives du Parlement européen avait rendu un avis affaiblissant largement la protection de nos libertés. Heureusement, le débat a subitement changé de ton lorsque, le 6 juin 2013, Edward Snowden a commencé à révéler les pratiques des renseignements américains. La première de ses révélations publiées, sur le programme PRISM, impliquait directement les mêmes entreprises américaines qui remportaient jusqu'ici le débat européen... Notre victoire doit probablement beaucoup à ces circonstances. Le 21 octobre 2016, le Parlement européen arrêtait sa première position officielle : les pires de nos inquiétudes en avaient enfin disparues, et nous gagnions sur le consentement explicite. À l'époque, nous regrettions pourtant amèrement les nombreuses failles qui, existantes depuis la première réglementation européenne de 1995, avaient été maintenues dans RGPD (et y sont encore aujourd‘hui). Au premier rang d'entre elle : l'« intérêt légitime » (nous y revenons ci-dessous). Peu de nouveautés Définitivement signé le 27 avril 2016, le RGPD aura finalement apporté peu de protections nouvelles pour nos libertés. En plus du « consentement explicite » que nous avions réussi à obtenir, les avancées, bien que considérables, sont surtout procédurales : les CNIL pourront prononcer des sanctions à hauteur de 20 millions d'euros ou 4% du chiffre d'affaire mondial de la société visée (la plus haute des deux valeurs est retenue) et, pour les pousser à agir fermement, elles pourront être saisies par des plaintes collectives réunissant des milliers de personnes (c'est ce que nous faisons !). À côté de ça, tous les grands principes de la protection de données (conditions de licéité, données sensibles, loyautés, etc.) ainsi que la majorité de nos « droits » (d'accéder à nos données, de les rectifier, etc.) ont été repris presque à l'identique de la directive européenne initiale de 1995. Le règlement crée bien aussi un nouveau droit à la portabilité, mais son intérêt pratique reste encore à trouver. De plus, comme on l'a vu, le RGPD ne s'est pas contenté d'hériter des forces de la directive de 1995, il a aussi hérité de sa faille principale : il autorise toute entreprise à collecter et utiliser des données personnelles si elle y trouve un « intérêt légitime » (un intérêt économique, structurel...) et que la poursuite de cet intérêt ne porte pas une « atteinte disproportionnée » aux intérêts des personnes concernées. Oui, ce « critère » est particulièrement flou et tordu, et c'est hélas bien son but : « pour l'instant, vous avez le droit de faire ce que vous voulez, et on viendra vérifier plus tard, si on a le temps, que vous n'ayez pas trop dépassé les bornes ». Heureusement, les CNIL européennes (réunies au sein de « groupe de l'article 29 ») ont pris position, dès 2014, pour affirmer que l'analyse comportementale à des fins de ciblage publicitaire ne devraient pas pouvoir constituer un tel « intérêt légitime », et ne devrait donc être autorisée qu'avec notre consentement (voir son avis 06/2014, p. 45). C'est un des arguments que nous opposons notamment à Google dans nos plaintes collectives - car celui-ci ose bel et bien invoquer son « intérêt légitime » pour justifier la surveillance de masse dont il tire sa fortune. Une arme puissante Mais alors, si le RGPD apporte si peu de nouveautés, pourquoi y trouverions-nous l'espoir de changements majeurs? Son principal effet, en vérité, n'est pas tant d'avoir modifié le droit que d'en permettre enfin l'application. En théorie, depuis longtemps, le droit des données personnelles pourrait être une arme puissante pour nous protéger : l'analyse comportementale n'est possible qu'avec notre consentement (qui doit désormais être explicite) et, surtout, ce consentement doit être libre. Insistons encore une fois sur la notion de consentement libre, qui est au c‘ur de nos plaintes collectives. C'est bien là que se trouve le germe du changement à venir : le droit des données personnelles prévoit, depuis plusieurs années (voir dernièrement la décision rendue en France par la CNIL sur Whatsapp, fin 2017) que notre consentement n'est pas valide s'il est une condition pour accéder à un service. Le consentement n'est pas « libre » s'il est donné sous la menace de subir une conséquence négative. Il n'est pas valide s'il est assimilé à la contrepartie d'un contrat, à un prix. Ce principe est simple à comprendre : céder ses données, c'est renoncer à son droit fondamental à la protection de la vie privée, à la liberté de conscience, à l'intégrité. Or, heureusement, nos principes démocratiques s'opposent à la marchandisation de nos libertés fondamentales (sans quoi la moindre « égalité des droits » ne bénéficierait qu'à ceux pouvant se l'acheter). Pour résumer, depuis plusieurs années, les modèles économiques de Facebook ou Google n'ont, juridiquement, aucune raison d'exister : ils se financent grâce à une analyse comportementale de masse à des fins publicitaire. Or cette analyse n'est possible qu'avec notre consentement. Nous devrions donc pouvoir accéder à leur service tout en refusant de donner ce consentement : mais si nous avions véritablement cette possibilité, la très grande majorité d'entre nous refuserait cette surveillance. Leur modèle est illégal et juridiquement absurde depuis longtemps. Le seul problème, en vérité, c'est que personne n'avait le pouvoir, ou la volonté, de les arrêter. C'est cela, et surtout cela, qui a changé ce matin. Alors que, en France par exemple, jusqu'en 2016, la CNIL ne pouvait prononcer des sanctions qu'à hauteur de 150 000 ?, ce qui était inutile contre Google ou Facebook (qui ont d'ailleurs bien été condamnés à payer cette somme), le montant de l'amende pourra désormais atteindre 4 % de leur chiffre d'affaire mondial. Et, au cas où les CNIL manqueraient de la volonté pour ce faire, les plaintes collectives sont maintenant là pour, enfin, rendre la population actrice de ce processus : si les CNIL, saisies par des milliers de personnes sur une même plainte, n'agissent pas, elles perdront toute légitimité. Nous pouvons enfin oublier notre sentiment de « à quoi bon lutter contre ces géants ? ». Si cette amertume était entièrement justifiée hier, elle ne l'est plus aujourd'hui. Pour eux, la fête est finie. Elle commence pour nous. Retour à l'Internet des origines Le RGPD laisse l'espoir de voir enfin le droit protéger nos données contre des géants qui, y trouvant leur fortune, ont entièrement remodelé Internet. Internet, dans ses principes fondamentaux, repose sur la décentralisation : la puissance de calcul, le stockage et l'usage de bande passante sont répartis sur un nombre infini de points du réseaux (nos ordinateurs et téléphones ainsi qu'une multitude de serveurs) dont l'interconnexion et le travail collectif ne dépendent d'aucune autorité centrale. C'est ce qui lui permet d'être si résilient, de voir constamment apparaître de nouvelles structures et de nouveaux usages, dont chacune et chacun peut être l'acteur, et ainsi d'offrir une alternative libre et vivante à notre monde physique, si bordé et normé qu'il est par des organisations aussi centralisées que rigides, incapables de s'adapter et de répondre aux préoccupations de la population. C'est cet idéal des origines qui a conduit à l'essor d'Internet, pendant que le Minitel français, hyper centralisé, connaissait le cuisant échec dont nous nous réjouissons encore. Et pourtant, sur ce même Internet, nous avons vu apparaître Facebook, Youtube, Instagram ou Twitter, qui ne sont rien d'autre que de nouveaux Minitels (pour une comparaison utile, on peut revoir la conférence « Minitel 2.0 » dans laquelle Benjamin Bayart défendait la neutralité du Net - que nous avons d'ailleurs fini par obtenir, ici encore !) . Sur ces nouveaux Minitels, nos relations, nos créations et nos débats sont entièrement régulés par des autorités centrales, selon leurs propres critères qui, chaque fois et afin d‘accroître leurs recettes publicitaires, distordent entièrement l'espace public. Symptômes chroniques des effets de cette centralisation, celle-ci conduit à la sur-diffusion de vidéo anxiogènes et polémiques (voir notre analyse sur Google), de fakenews et de débats caricaturaux, stériles (voir notre analyse sur les fakenews). À l'opposé, sur des réseaux décentralisés, de tels contenus ne sont pas mis en avant et, surtout, ne nuisent pas à l'ensemble des internautes, puisque ceux-ci choisissent librement avec qui communiquer et selon quelles règles, en fonction du n‘ud où ils ont choisit de s'installer sur le réseau. Comment en est-on arrivé à cette hyper-centralisation de l'Internet ? Il suffit de regarder la source des revenus de ces nouveaux Minitels pour comprendre que l'analyse comportementale à des fins publicitaires a été décisive dans leur essort. Or, ce levier économique, la source financière de cette centralisation, on l'a dit, est aujourd'hui obsolète. À court terme, quand le droit sera enfin appliqué, on voit mal comment Facebook, typiquement, pourra continuer de fournir son service « gratuitement » (sans publicité ciblée) et comment il pourra donc survivre. C'est donc le modèle-même de cette centralisation qui est aujourd'hui remis en cause puisque, historiquement, celle-ci n'a été possible qu'au moyen de pratiques qui ne seront plus possibles. Évidement, on soulignera que le capitalisme, comme toujours, s'adaptera, et que la centralisation trouvera des nouvelles façons de se financer. Mais force est de constater que ces rebondissements tardent ici à se faire connaître alors que, nous, en face, nous avons déjà notre modèle. Jusqu'à nouvel ordre, c'est donc celui qui primera. Bref, nous avons déjà gagné.

Le 2018-05-25


  Newsletter #78
Salut à toutes et à tous ! Voici la newsletter 78 de La Quadrature du Net ! Sommaire L'activité de La Quadrature du Net Revue de Presse Calendrier Participer English version Press Review L'activité de La Quadrature du Net Newsletter, le retour La newsletter de La Quadrature est enfin de retour ! Pourquoi un tel silence ? L'équipe des salariés de l'association a connu une recomposition importante, après le départ de Chris et d'Adrienne à la fin de l'été 2017. Il a fallu redistribuer les rôles, prendre ses marques en tâtonnant un peu. Et puis l'automne et l'hiver ont été chargés, entre la campagne de dons (un grand merci pour votre soutien renouvelé pour une année !), l'organisation du CCC (https://www.ccc.de/en/) - nouvellement installé à Leipzig - et une actualité politique animée - grâce aux diverses lois imaginées par le gouvernement Macron et à notre nouvelle campagne pour la protection des données personnelles. Cette newsletter présente donc l'essentiel de l'actualité de ces trois derniers mois (janvier-mars 2018), pour ceux qui nous suivent de loin. Si vous cherchez des infos plus détaillées et surtout plus fréquentes sur nos actions, le bulletin QPSTAG (Que se passe-t-il au Garage ?) est diffusé chaque semaine sur la liste discussion@laquadrature.net. Inscrivez-vous aux listes de diffusion ici : https://wiki.laquadrature.net/Listes_de_discussion Nouveaux membres Le 12 mars dernier, nous avons annoncé l'arrivée de nouveaux membres au sein de l'association, avec deux objectifs : acter l'engagement de bénévoles parmi les plus proches et les plus impliqués, et ouvrir l'espace de réflexion de l'association en accueillant des compétences et des sensibilités plus diverses. La première AG de ce nouveau groupe de travail a eu lieu pendant le week-end de Pâques, du samedi 31 mars au lundi 2 avril. Une annonce à lire ici : https://www.laquadrature.net/fr/ouverture_nouveaux_membres Campagne de dons 2017-2018 Merci beaucoup ! Grâce à vous, nous avons rassemblé assez d'argent pour faire fonctionner l'association jusqu'à la fin de 2018. Le bilan est en ligne sur notre site. Rendez-vous à la fin de l'année pour tenter de prolonger l'action une année encore ! Le bilan de campagne à lire ici :https://www.laquadrature.net/fr/bilan_campagne_dons_2017 Données personnelles sur tous les fronts C'est le gros sujet de ce début d'année ! Entre l'entrée en application du RGPD à partir du 25 mai, la discussion autour du projet de loi sur les données personnelles, et l'affaire Cambridge Analytica qui met à jour le modèle économique de Facebook et d'innombrables autres sociétés du web, le problème de l'exploitation illégale de nos données personnelles a connu en ce début d'année un gros regain d'intérêt dans les médias. La Quadrature du Net a participé au débat à chaque fois qu'elle en a eu l'occasion. Données personnelles : le projet de loi Mi-mars, le projet de loi données personnelles était au Sénat. La commission en charge du dossier a refusé d'amender le texte pour encadrer les activités des services de renseignement, malgré les obligations édictées par la directive européenne. La Quadrature du Net a donc rédigé des amendements et invité les sénateurs et sénatrices de tous bords à les soutenir. Notre appel a été entendu, et nos amendements les plus importants ont été déposés et soutenus. Un seul a été accepté, concernant le chiffrement. Début avril, après le vote du projet de loi au Sénat, est arrivée l'heure de la commission mixte paritaire, chargée de trouver un accord entre les deux textes votés à l'Assemblée nationale et au Sénat. À la veille de ce moment important, l'Observatoire des Libertés et du Numérique (OLN), dont fait partie La Quadrature du Net, a publié une lettre adressée aux parlementaires. Elle réaffirmait les points cruciaux à nos yeux, comme le droit au chiffrement et à la portabilité des données. La commission mixte paritaire s'est finalement séparée sans arriver à un accord. Le texte repart donc pour une nouvelle navette entre les deux chambres. Invitation à soutenir nos amendements au Sénat : https://www.laquadrature.net/fr/pjl_rgpd_senat_com Nos amendements (PDF) : https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf Lettre ouverte de l'OLN aux membres de la CMP : https://www.laquadrature.net/fr/cmp_pjl_rgpd Action de groupe contre les GAFAM Le RGPD entre en application le 25 mai, mais nous avons des doutes sur le fait qu'il soit bien appliqué comme il se doit. Est-ce que des entreprises comme Facebook ont vraiment l'intention de cesser cette surveillance de masse dont elles tirent tous leurs profits ? On en doutait alors on a pris les devants. Le 16 avril, on a lancé une campagne visant à récolter un maximum de mandats pour mener UNE ACTION DE GROUPE CONTRE LES GAFAM !!! La CNIL pourra, à partir du 24 mai, sanctionner à hauteur de 4% du chiffre d'affaires mondial mais si on veut qu'elle agisse il faut qu'on soit nombreux à rejoindre l'action de groupe. Rejoignez l'action : gafam.laquadrature.net !!!! Sur le site vous trouverez chaque semaine une vidéo expliquant pourquoi on attaque chacun des GAFAM et un texte d'analyse lié. Vous pouvez aussi créer et partager vos affiches ici : https://gafam.laquadrature.net/#poster Rejoignez-nous dans notre action (pour rappel, les particuliers donnant mandat à La Quadrature dans le cadre de cette action de groupe ne prennent aucun risque personnel, que ce soit sur un plan juridique ou financier) et faites circuler l'information autour de vous ! Données personnelles : ePrivacy Certaines dispositions du RGPD, protectrices pour les utilisateurs, gênent beaucoup les entreprises privées qui prospèrent actuellement sur l'exploitation de nos données personnelles. Certaines d'entre elles (publicitaires et groupes de presse en tête) ont donc écrit au gouvernement français (PDF) pour le supplier de réintroduire dans le règlement ePrivacy (toujours en discussion) des dispositions qui leur permettraient de continuer leur juteux business. « L?économie de la donnée est un pilier de la croissance, de la création d‘emplois et du progrès » : le gouvernement de la « Start-up Nation » n'a pas dû être très difficile à convaincre avec de telles phrases. La Quadrature adresse à son tour une lettre ouverte aux ministres. Un lettre ouverte à lire ici : https://www.laquadrature.net/fr/eprivacy_marchandisation Surveillance : Marseille, ville laboratoire La mairie de Marseille veut déployer un « observatoire Big Data de la tranquillité publique », confié à une entreprise privée : ce grand fourre-tout sécuritaire agrègera des informations venues des services de police, des pompiers, de la justice, de la sécurité routière, de la vidéosurveillance urbaine, des hôpitaux et même de la météo pour prédire les zones d'espace et de temps où des faits de délinquances sont susceptibles d'avoir lieu. Les habitants seront aussi invités à alimenter la base de données, à l'aide d'une application mobile, dans le genre de celle que lance de son côté la ville de Nice (Reporty). Félix Tréguer, président de La Quadrature du Net et habitant de Marseille, a exercé le droit d'accès aux documents administratifs que détient chaque citoyen pour obtenir le Cahier des Clauses Techniques Particulières qui décrit le objectifs et les moyens du dispositif. Il livre son analyse. Une tribune à lire ici : https://www.laquadrature.net/fr/surveillance_big_data_marseille Opérateurs téléphoniques : que savent-ils de nous ? Les opérateurs téléphoniques collectent une grande quantité de données personnelles à travers nos téléphones (métadata de nos échanges, géolocalisation, etc.) : mais lesquelles précisément, et sont-ils prêts à le reconnaître ? Pour le savoir, quatre bénévoles de La Quadrature du Net ont écrit aux quatre grands opérateurs mobiles français (Orange, Free Mobile, Bouygues Telecom et SFR) pour leur demander l'accès, autorisé par la loi, aux données personnelles détenues par leurs fournisseurs téléphoniques respectifs. Trois mois plus tard, aucune réponse satisfaisante. Mais l'étape suivante était prévue : quatre plaintes ont donc été déposées auprès de la CNIL, une contre chaque opérateur. On attend désormais les réponses... Une histoire à suivre, à lire ici : https://www.laquadrature.net/fr/conservation_operateurs Au secours, les recours ! Quand une loi est votée, on peut encore la changer : il suffit de l'attaquer devant le Conseil constitutionnel ? et de gagner. C'est ce à quoi s'emploient La Quadrature du Net, FDN et la Fédération FDN, dans le groupe informel des Exégètes amateurs. Mais cet hiver, deux recours devant le Conseil constitutionnel ont reçu un jugement défavorable. D'abord, le « recours Chambord », jugement rendu le 2 février dernier : il s'agissait de rendre à tous le droit de photographier les monuments nationaux. Malheureusement, le Conseil constitutionnel a confirmé le « droit à l'image » consenti en 2016 aux gestionnaires de ces momuments. Une décision que Lionel Maurel, membre fondateur de La Quadrature du Net, analyse en détail dans ses conséquences. Le 4 mars, le Conseil constitutionnel a rejeté le recours déposé pour contester l'obligation faite à une personne gardée à vue de remettre à la police ses clefs de chiffrement. Une décision assortie de conditions (l'aval d'un juge, en particulier), mais une déception expliquée dans notre analyse. Décision Chiffrement : texte du recours https://www.laquadrature.net/fr/conseil-constitutionnel-clefs-chiffrement et décision du Conseil constitutionnel https://www.laquadrature.net/fr/le-conseil-constitutionnel-restreint-le-... Décision Chambord : https://www.laquadrature.net/fr/apres-d%C3%A9cision-chambord-comment-sortir-d-un-domaine-public-residuel FAKE NEWS, FAUX DÉBAT Emmanuel Macron veut une loi pour interdire les « fake news », les fausses nouvelles et les manipulations médiatiques en ligne qui ont connu leur heure de gloire au moment de l'élection de Donald Trump aux États-Unis d'Amérique. La Commission européenne se pose elle aussi la question de savoir si elle peut aussi légiférer de son côté. La Quadrature du Net a donc répondu à sa consultation, pour dire non : la question des fake news est un faux problème, il s'agit avant tout d'un problème de logique économique desplateformes et des réseaux sociaux. Une réponse à consultation à lire ici : https://www.laquadrature.net/fr/consultation_fake_news Revue de Presse Action contre les GAFAM [Freenews, 16/04/2018] : https://www.freenews.fr/freenews-edition-nationale-299/presse-5/vie-priv... [Le Figaro, 16/04/2018] : http://www.lefigaro.fr/flash-eco/2018/04/16/97002-20180416FILWWW00320-in... [NextINpact, 16/04/2018] : https://www.nextinpact.com/news/106472-rgpd-la-quadrature-net-prepare-se... [Univers Freebox, 16/04/2018] : https://www.universfreebox.com/article/44123/Actions-de-groupe-contre-le... [Actu Orange, 16/04/2018] : https://actu.orange.fr/societe/high-tech/internet-la-quadrature-du-net-v... [Le Figaro, 17/04/2018] : http://www.lefigaro.fr/secteur/high-tech/2018/04/17/32001-20180417ARTFIG... [La Tribune, 17/04/2018] : https://www.latribune.fr/technos-medias/actions-de-groupe-la-quadrature-... [Le Monde, 17/04/2018] : http://www.lemonde.fr/economie/article/2018/04/17/une-association-franca... [Mediapart, 16/04/2017] : https://www.mediapart.fr/journal/international/160418/donnees-personnell... [L'Imprévu, 17/04/2018] : https://limprevu.fr/articles/17-04-2018/aux-origines-de-la-quadrature-du... [Numerama, 17/04/2018] : https://www.numerama.com/politique/345803-5-questions-laction-de-groupe-... [Challenges, 18/04/2018]: https://www.challenges.fr/media/gafa/google-facebook-apple-et-amazon-sou... [Mieux vivre votre argent, 18/04/2018] : https://www.mieuxvivre-votreargent.fr/vie-pratique/2018/04/17/une-associ... [L'Obs, 18/04/2018] : https://www.nouvelobs.com/societe/20180418.OBS5396/l-association-la-quad... [La Correspondance de la Presse, 18/04/2018]: https://framapic.org/hpYbJh78ydIr/dIA8yRyEgwVG.png [La Tribune Hebdo, 19/04/2018]: https://framapic.org/x2SVesw0AXCa/cXFxuDqyKOf3.png [L'Obs, 19/04/2018]: https://www.nouvelobs.com/monde/20180419.OBS5450/facebook-va-mettre-hors... [Liberation, 19/04/2018]: http://www.liberation.fr/france/2018/04/19/quadrature-du-net-vers-un-rec... [La Croix, 20/04/2018]: https://www.la-croix.com/Journal/Gestion-donnees-France-prepare-big-bang... Loi RGPD Sénat 360 : Débat protection des données personnelles ? Public Sénat Vidéo ? Session « Protection des données : mythes ou réalités » ? Inria-Alumni-Sif Facebook & Cambridge Analytica Antoinette Rouvroy: "À mon sens, Zuckerberg est dépassé" ? L'Écho J'ai voulu reprendre le contrôle de mes données ? France Culture Protection des données personnelles : faut-il brûler Facebook ? ? France Inter Face à Facebook, les options de l'internaute inquiet ? Capital Scandale Facebook : "Soyons clairs, le contrat démocratique est mort" ? Marianne Exploitation de nos données : quand le sage pointe le problème, l'idiot ne regarde que Facebook ? Next INpact Tristan Nitot : Facebook a « laissé faire » Cambridge Analytica ? Le Point Données personnelles Données de connexion : la Quadrature du Net traîne quatre opérateurs devant la CNIL ? Next INpact À qui confier notre portefeuille de données personnelles ? ? France Culture Plateformes et « fake news » La liberté d‘expression prise au piège des réseaux sociaux ? Mediapart « Fake news » : « Les réseaux sociaux ne se soucient pas de ce que nous partageons » ? Le Figaro Fake news : analyse ligne par ligne de la future loi contre les fausses informations ? Next INpact Internet : comment le gratuit fait du client un produit ? Le Parisien Censure et surveillance Les Pays-Bas rejettent une loi sur le renseignement ? Le Monde Reconnaissance faciale : comment nos visages sont traqués ? Le Monde La CNIL défavorable à l‘utilisation de l‘application de sécurité Reporty à Nice ? Le Monde Big Data de la tranquillité : le Minority Report de Marseille ? Next INpact À Marseille, un algorithme pour « anticiper la sécurité » ? Le Monde En Chine, travailler malgré la censure du Net ? Le Monde Blocage administratif : bras de fer entre la personnalité qualifiée de la CNIL et l‘Intérieur ? Next INpact Technologies de prédiction du crime : Palantir a scruté les citoyens de la Nouvelle-Orléans en secret pendant 6 ans ? TV5Monde Cybersécurité : l?État appelle les télécoms à la rescousse ? Libération Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025 ? Next INpact Neutralité du net Mitchell Baker : « La question est de savoir quel Internet nous voulons » ? Le Monde Participer Il existe de nombreuses façons de participer à l'action menée par La Quadrature du Net. Vous pouvez aider La Quadrature en parlant de ses publications autour de vous, et en les diffusant sur vos blogs, Twitter,Diaspora*, vos réseaux sociaux, listes de discussion? Bref, en « buzzant ». Vous pouvez également participer à nos listes de discussion ou échanger sur notre chat (ou directement sur notre canal IRC : #laquadrature sur irc.freenode.net). La Quadrature du Net a aussi besoin d'aide pour un grand nombre de tâches quotidiennes, par exemple pour l'édition de sa revue de presse, des traductions, la mise à jour de son wiki, des créations graphiques ou sonores? Si vous en avez la capacité, vous pouvez contribuer à améliorer les outils comme Memopol, < ahref="http://respectmynet.eu/">Respect My Net, ou le Piphone,ContrôleTes Données, ou bien nous proposer de nouveaux projets sur notre GitLab. N'hésitez pas à nous contacter pour avoir plus d'information à ce sujet. Enfin, si vous en avez les moyens, vous pouvez également nous souteniren effectuant un don. Calendrier Mai 2018 : 17 : Quadrapéro à Montpellier : http://montpel-libre.fr/spip.php‘article3850 20 : intervention d'Arthur à Gare XP : http://garexp.org/ 23 : soirée GAFAM et libertés personnelles à La Paillasse (26 rue Saint-Deni, Paris) : "Quartier Libre : en présence de La Quadrature du Net" : https://www.meetup.com/fr-FR/La-Paillasse-Events/events/250610048 25 : entrée en application du RGPD 25 : Arthur et Marne en direct dans l'émission "Le Poste" des Parasites (19h) 26 et 27 : hackathon Caliopen : https://hackathon.caliopen.org 29 : conférence d'Arthur au SPIM Juin 2018 : 6 : réunion de préparation pour la campagne de dons 2018 : venez nous aider à imaginer notre campagne de dons de fin d'année ! (Au Garage, 60 rue des Orteaux, Paris, 19h) 8 : Quadrapéro au Garage (60 rue des Orteaux, Paris, 19h) 12 : Conférence de l'OLN sur les données personnelles, avec Lionel Maurel, Antonio Casilli, membres de La Quadrature du Net, et Arthur Messaud 28-29 juin - 1er juillet : PSES - conférence "Actions de groupe contre les GAFAM" le 1er juillet à 15h (Arthur) : https://programme.passageenseine.fr/ Juillet 2018 : 7-12 : RMLL (Strasbourg) - ateliers "arpentages" (Lunar et mmu_man, membres de LQDN) : https://2018.rmll.info/indexfr.html English Version The newsletter is back Why such a long silence? The paid staff went through important changes after Chris and Adrienne left at the end of summer 2017, and the arrival of Myriam (administrator) and Marine (art and communication director). We needed time to reassign roles and find our bearings with a bit of fumbling... Autumn and winter were busy times: our support campaign (thanks again for another year of support!), the organisation of our tea-house at the CCC (now taking place at Leipzig (https://www.ccc.de/en/ ), and lively political developments - thanks to various laws conceived by the Macron government and to our new campaign to protect privacy. This newsletter presents a summary of key points from the past three months (January-March 2018) for those following us from afar. If you're looking for more precise and frequent information about our actions, our weekly newletter in French, QPSTAG ("Que se passe-t-il au garage ?" or "What's on at the garage?") is sent out from discussion@laquadrature.net. Subscribe to mailing-lists here: https://wiki.laquadrature.net/Listes_de_discussion/en New members Last 12 March, we announced the arrival of new members in the core of the association. Here are their two objectives: to engage volunteers among those closest and most involved in LQdN, and to open a space for reflection within the Association by accommodating more diverse skills and sensibilities. The first general meeting of this new taskforce took place over the Easter weekend, from Saturday, March 31 to Monday, April 2. Read our announcement: https://www.laquadrature.net/en/node/10444 Donation Campaign 2017-2018 Thanks a lot! We have collected enough money to go forward until the end of 2018. The result is available on our site. We will meet again at the end of the year to try to keep this going for another year! o/ Read the campaign's results here: https://www.laquadrature.net/en/Founding%20campaign%202017 Personal Data On All Fronts Between the implementation of the RGPD from May 25, the discussion of the bill on personal data in the French Parliament, and the Facebook-Cambridge Analytica scandal that revealed Facebook's economic model to the general public: the problem of the illegal exploitation of our personal data has seen a big revival of interest in the media since the beginning of the year. La Quadrature du Net took part in the debate at every opportunity. Personal Data: a French bill under discussion In mid-March, the bill concerning personal data was examined in the French Senate. The commission in charge of the bill refused every amendment in the provisions regarding aiming at overseeing the activities of French intelligence services, in spite of the obligations laid down by the European directive. La Quadrature du Net wrote amendments and invited senators of both wings to defend them during the discussion. Our call was heard and our main amendments were supported. But only one of them was adopted (regarding cryptography). In the beginning of April, after the bill was voted by the Senate, a commission was in charge of finding an agreement between the two bills voted by the Assemblée Nationale and the Senate. The day before this important meeting, the OLN (Observatoire des Libertés et du Numérique) published an open letter to members of the two chambers. It states again several points important to us, such as the right to encrypt and the portability of data. The commission parted without coming to an agreement, and so the draft bill will go back and forth again between the two chambers. Call for our amendments (in French): https://www.laquadrature.net/fr/pjl_rgpd_senat_com Our amendments (PDF in French): https://www.laquadrature.net/files/amendements_lqdn_pjl_rgpd_27_02_2018.pdf Open letter to the members of the French Parliament: https://www.laquadrature.net/fr/cmp_pjl_rgpd (in French) Extrajudicial Class Action Against the GAFAM The GDPR comes into effect on the 25th of May, but we doubt that it will be properly applied. Do companies such as Facebook and Google really intend to stop the mass surveillance from which they make their money? So we have decided to take pre-emptive action, and have begun collecting individual mandates in order to file a class action against the GAFAM. French citizens are invited to join the action here: https://gafam.laquadrature.net (in French) Personal Data : ePrivacy Certain provisions of the GDPR which protect European citizens' private lives are a real impediment for private companies that live off the exploitation of personal data. Some of them (mainly advertising and press companies) pleaded their case with the French government and asked them to reinstate in future regulation a set of provisions allowing the safety of their profitable businesses. The government of the self-designated "Start-Up Nation" was easily convinced. La Quadrature du Net adresses its own open letter (FR) to the ministers. Read the open letter here: https://www.laquadrature.net/fr/eprivacy_marchandisation (in French) Marseille, A Laboratory for Surveillance The mayor of Marseille, France's third major city, wants to build a "Big Data Observatory For Public Security" and has handed the project to a private company: this catch-all will gather information from the police, fire departments, road safety, legal bodies, CCTV, hospitals and even weather services to predict locales and times where delinquency is likely to take place. Residents of the city are also invited to feed a database through a mobile application very similar to Reporty, the app acquired by the city of Nice. Félix Tréguer, founding member of La Quadrature du Net, managed to obtain access to the documents describing the objectives and means of the project. Read his analysis here: https://www.laquadrature.net/fr/surveillance_big_data_marseille (in French) Mobile Phone Operators: What Do They really Know? Mobile phone operators collect a huge amount of personal data (metadata from our voice or text conversations, localisation, etc.). But which ones precisely? Are they ready to reveal and acknowledge the true extent of their databases? For the record, four members of La Quadrature du Net asked their own mobile operators (Orange, Free Mobile, Bouygues Telecom et SFR) access, authorised by law, to mail them the personal data held by their telephone providers. Three months later, the four operators had not given a satisfactory response. But the next step had already been planned: four cases have been filed against them with the CNIL, the French data protection authority. We're waiting now for the replies... Read the whole story here: https://www.laquadrature.net/fr/conservation_operateurs (in French) Litigations When a law is voted, you can still change it: but you have to plead before the Constitutional Council‘and win... This is the purpose of the Exégètes amateurs, an informal group of law experts from La Quadrature du Net, FDN and FFDN. But last winter, two of their actions were rejected by the French constitutional court. First, on 2 February, the "Chambord" action: the point was to give back to every citizen the right to take a picture of a public monument and share it freely. Unfortunately, The Constitutional Council confirmed the "right to the image" granted in 2016 to the administrators of such monuments. Lionel Maurel, active member of SavoirsCom1 and founding member of La Quadrature du Net, analyses the consequences of this decision (FR). On 4 March, the Council rejected a recourse intending to contest the obligation that a person placed in custody give the encryption key of their mobile phone to the police. The decision comes with a few conditions (such as the prior approval of a civil or criminal judge), but we explain why it is still a disappointment (FR). Fake news, phony debate Emmanuel Macron wants to forbid "fake news", and other types of online media manipulations that were popularised during the American presidential campaign won by Donald Trump. The European Commission also wonders if it can legislate on the matter: La Quadrature du Net answered the European consultation. The answer is no, "fake news" are a phony debate, the real problem is the click-bait favoring business model of platforms and social neworks. Read the extensive answer here : https://www.laquadrature.net/en/node/10435 Press Review Rubrique As Zuckerberg Smiles to Congress, Facebook Fights State Privacy Laws ? Wired U.K. Assessing Evidence After Search at Cambridge Analytica ? Bloomberg Dutch say 'no' in referendum on spy agency tapping powers ? Reuters Pour vous inscrire à la newsletter, envoyez un email à actu-subscribe@laquadrature.net Pour vous désinscrire, envoyez un email à actu-unsubscribe@laquadrature.net

Le 2018-05-18


  Derrière les assistants vocaux, des humains vous entendent
18 mai 2018 - Cette semaine, nous sommes allés à la rencontre de Julie, qui a travaillé pour une entreprise chargée d' « améliorer » le fonctionnement de Cortana, l‘assistant vocal de Microsoft, en écoutant une à une divers paroles captées par la machine (volontairement ou non). Nous partageons ici son témoignage édifiant, en vidéo ainsi qu'à l'écrit (en fin d'article). Comme nous le rappelle Antonio Casilli ci-dessous, ce récit souligne exactement les pratiques très « humaines » que l'ont retrouve en masse sous les miroirs trompeurs d'une soi-disant « intelligence artificielle ». Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net Les humains derrière Cortana, par Antonio Casilli Antonio Casilli, membre de La Quadrature du Net, est chercheur à l'EHESS et maître de conférence à Télécom ParisTech (voir son site). Qui écoute vos conversations quand vous utilisez un assistant vocal comme Cortana ? Qui regarde vos requêtes quand vous utilisez un moteur de recherche comme Bing ? « Personne », vous assurent les concepteurs de ces dispositifs, « ce sont des machines ». La réalité est tout autre, comme l'atteste ce témoignage : une jeune femme qui, sans contrat de travail et sans aucun accord de confidentialité, a retranscrit des milliers de conversations privées, recherches d'information, noms et coordonnées personnelles de personnes utilisant des produits Microsoft. Son métier ? Dresseuse d'IA. Malgré les allégations de leurs producteurs, les assistants virtuels qui équipent les enceintes connectées trônant dans nos salles à manger ou qui se nichent jusque dans nos poches, installés sur nos smartphones, ne naissent pas intelligents. Ils doivent apprendre à interpréter les requêtes et les habitudes de leurs utilisateurs. Cet apprentissage est aidé par des êtres humains, qui vérifient la pertinence des réponses des assistants virtuels aux questions de leurs propriétaires. Mais plus souvent encore, ces êtres humains « entraînent » les dispositifs, en leurs fournissant des données déjà préparées, des requêtes avec des réponses toutes faites (ex. « Quelle est la météo aujourd'hui ? » : « Il fait 23 degrés » ou « Il pleut »), des phrases desquelles ils fournissent des interprétations (ex. savoir dans quel contexte « la flotte » signifie « un ensemble de navires » ou « la pluie »). Ces dresseurs d'intelligences artificielles sont parfois des télétravailleurs payés à l'heure par des entreprises spécialisées. Dans d'autres cas, ils sont des « travailleurs à la pièce » recrutés sur des services web que l'on appelle des plateformes de micro-travail. Celle de Microsoft s'appelle UHRS et propose des rémunérations de 3, 2, voire même 1 centime de dollar par micro-tâche (retranscrire un mot, labelliser une image?). Parfois les personnes qui trient vos requêtes, regardent vos photos, écoutent vos propos sont situés dans votre pays, voire dans votre ville (peut-être vos voisins d'en bas ?). D'autres fois, ils sont des travailleurs précaires de pays francophones, comme la Tunisie, le Maroc ou le Madagascar (qui s'est dernièrement imposé comme « leader français de l'intelligence artificielle » Les logiciels à activation vocale tels Cortana, Siri ou Alexa sont des agents conversationnels qui possèdent une forte composante de travail non-artificiel. Cette implication humaine introduit des risques sociétaux spécifiques. La confidentialité des données personnelles utilisées pour entraîner les solutions intelligentes est à risque. Ces IA présupposent le transfert de quantités importantes de données à caractère personnel et existent dans une zone grise légale et éthique. Dans la mesure où les usagers des services numériques ignorent la présence d'êtres humains dans les coulisses de l'IA, ils sous-estiment les risques qui pèsent sur leur vie privée. Il est urgent de répertorier les atteintes à la privacy et à la confidentialité associées à cette forme de « digital labor », afin d'en estimer la portée pour informer, sensibiliser, et mieux protéger les personnes les plus exposées. Témoignage complet de Julie J'ai travaillé comme transcripteuse ('transcriber') pour améliorer la qualité de la version française de Cortana, "votre assistante personnelle virtuelle" proposée par Microsoft. Je travaillais en télétravail pour une entreprise chinoise qui avait Microsoft pour client. J'ai commencé en Avril 2017 et arrêté en Décembre 2017. J'ai pu constater directement le type de données que Microsoft collecte via son petit monstre Cortana, car les données audio qu'elle collectait passaient entre nos mains (et nos oreilles !) pour analyse et correction. Microsoft, voulant améliorer les capacités de compréhension de Cortana, collectait les données des utilisateurs 'consentants'. Donc, quand ces utilisateurs s'adressaient à Cortana, celle-ci collectait, enregistrait ce qu'ils disaient. Ensuite, Microsoft récupérait tout ça, envoyait une partie des enregistrements à la compagnie pour laquelle je travaillais, et celle-ci mettait le tout sur notre plate-forme de télétravail. Les transcripteurs se connectaient, et écoutaient un par un les enregistrements. Les pistes étaient généralement très courtes, entre 3 et 15 secondes en moyenne (mais pouvaient parfois durer plusieurs minutes). En fonction des projets sur lesquels on travaillait, on devait réaliser entre 120 et 170 transcriptions/heure. Plusieurs milliers de pistes étaient déposées quotidiennement sur notre plate-forme. On écoutait l'enregistrement audio, ensuite un texte s'affichait, nous montrant ce que Cortana avait compris et retranscrit. Notre travail était de vérifier si elle avait bien compris - si ce n'était pas le cas, on devait corriger le texte, la moindre faute de compréhension, de conjugaison ou d'orthographe. Une autre partie du travail consistait à ajouter des tags dans le texte signalant les événements sonores qui pourraient expliquer pourquoi Cortana avait mal compris ceci ou mieux compris cela. Je n'ai pas le détail de la suite du processus, mais j'imagine qu'ensuite, les données que nous corrigions étaient envoyées à une équipe de techniciens, programmeurs et autres génies de l'informatique qui s'occupaient de faire comprendre à Cortana comment ne pas répéter les mêmes erreurs. Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels Les données qu'on écoutait allaient d'Utilisateur A qui dit simplement "Hey Cortana, quelle sera la météo demain?" à Utilisateur B qui demande en chuchotant à Cortana de lui trouver des vidéos porno de telle ou telle catégorie... Il y avait leurs recherches internet, leurs interactions directes avec Cortana ("Hey Cortana, raconte-moi une blague", "imite la poule", "est-ce que tu m'aimes?", "est-ce que tu ressens la douleur?"?). Les utilisateurs peuvent aussi dicter du texte : messages, documents texte (résumés de cours, comptes-rendus professionnels...), adresses GPS, courriers administratifs (avec par exemple leur numéro de sécurité sociale), etc. ; nous avions accès à tout ça. Elle peut être connectée à des consoles Xbox, on avait donc aussi des enregistrements provenant de ce service-là. Il y avait notamment des morceaux de communication en ligne (principalement d'ados et d'enfants) qui discutent sur les jeux en réseaux. On avait également de nombreux extraits de conversations en ligne, sûrement sur Skype, provenant de personnes qui utilisaient un service de traduction instantanée (Microsoft Translator mais peut-être aussi Skype Translator, je ne suis pas certaine). Nous n'avions jamais l'intégralité des conversations évidemment, elles étaient découpées en petites pistes ; cependant on pouvait tomber sur plusieurs morceaux d'une même conversation dans une même série de transcriptions (c'était suffisant pour dresser un profil basique de l'utilisateur ou de son humeur du moment par exemple). On avait des conversations diverses, vraiment toutes sortes de choses, notamment souvent les séances sexcams de certains utilisateurs qui avaient besoin d'un service de traduction pour se faire comprendre, et dans ces cas-là les transcriptions étaient très explicites (parfois amusantes, parfois glauques). Je me demandais à chaque fois si ces gens avaient conscience qu'une personne extérieure allaient entendre leurs petits délires sexuels. Cortana ne fait pas le tri... Enfin, il y avait beaucoup d'enregistrements involontaires, où des personnes discutent entre elles (dans leur voiture, à la maison, avec leurs enfants sur le chemin de l'école...) tandis que Cortana est dans les parages (tablette, téléphone portable, ordinateur, etc.) et s'est déclenchée de manière non-solliscitée et a tout enregistré. (D'ailleurs, on avait aussi beaucoup d'utilisateurs qui insultaient tout simplement Cortana, car elle s'était déclenchée de façon non-solliscitée, ou avait mal compris une requête... Vous n'imaginez pas le nombre de fois où j'ai entendu "Sale pute Cortana !" ) On avait ainsi accès à énormément de données personnelles, que ce soit des bribes de conversations privées en ligne ou bien hors ligne. N'importe qui pouvait être engagé Pour pouvoir être embauché (ils recrutaient en grand nombre), il fallait s'inscrire sur le site de l'entreprise, postuler puis suivre une formation en ligne conclue par un un examen final. Si on avait un pourcentage de réussite satisfaisant, on était engagé. Auquel cas, le manager nous faisait créer un compte sur le site internet de télétravail (une plate-forme externe, utilisée par plusieurs compagnies comme celle qui m'avait engagée), et le travail commençait. Il n'y avait pas besoin d'envoyer son CV, ni aucun entretien individuel avec un responsable ou un manager (ni par téléphone, ni par Skype, ni e-mail, rien). N'importe qui pouvait être engagé et avoir accès aux enregistrements du moment qu'ils en avaient les compétences techniques, que l'examen final avait été réussi. Pourtant, nous avions accès à des informations sensibles et personnelles. Beaucoup de personnes ignorent ou oublient que les données collectées par Cortana (et autres outils du genre) ne sont pas uniquement traitées par des robots, mais bien aussi par des êtres-humains. En m'inscrivant sur le site de l'entreprise, j'ai accepté ses conditions d'utilisations en cochant machinalement des petites cases, celles-ci parlaient d'une multitudes de choses, mais à ce que je me souviens il n'y avait pas d'emphase spéciale sur le respect de la vie privée des utilisateurs des nos clients. Et à aucun moment j'ai signé de ma main un contrat de confidentialité. Ils m'ont pourtant bien demandé de signer et renvoyer un document relatif aux taxes et impôts ; ils auraient pu en faire autant pour le respect de la confidentialité. Et sur plus d'une cinquantaine de pages d'instructions détaillées sur comment traiter les transcriptions, pas une seule ligne ne mentionnait le respect de la vie privée des utilisateurs. Pas un seul des nombreux e-mails du manager que nous recevions chaque semaine, rien n'a jamais été dédié au respect de la vie privée (en ligne et hors ligne) des utilisateurs. Et ce dont je parle ici ne concerne pas uniquement les utilisateurs français de Cortana, il y avait des équipes de transcripteurs pour une multitudes de langues (anglais, portugais, espagnol, etc.). On avait le même manager et les mêmes instructions générales. En théorie, les données étaient anonymes pour les transcripteurs, c'est-à-dire que nous n'avions jamais les identifiants des utilisateurs que nous écoutions, et les pistes étaient généralement distribuées de façon aléatoire et désordonnée, en plus d'être parfois découpées. Cependant, inévitablement il arrivait que les utilisateurs révèlent un numéro de téléphone, une adresse, des coordonnées, date de naissance, numéros importants, événements auxquels ils allaient se rendre, etc. Certaines voix se reconnaissent facilement, et bien que les pistes étaient aléatoires et dans le désordre, mises bout à bout elles auraient dans quelques cas pu suffire à un transcripteur déterminé pour identifier un utilisateur. De plus, on travaillait tous depuis nos propres ordinateurs, il était donc facile de récupérer les enregistrements qu'on traitait si on le voulait. Selon moi, ce n'était pas bien sécurisé, surtout quand on considère le fait qu'on avait aussi beaucoup d'enregistrements provenant d'enfants. Mais il faut comprendre que ce genre de traitement de données est de toute façon impossible à sécuriser entièrement (encore moins quand on sous-traite), car des données récoltées massivement ne peuvent pas être triées parfaitement, des informations sensibles passeront toujours. Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti Enfin, j'aimerais parler du fait qu'il me semble évident que la plupart des logiciels de reconnaissance vocale et assistants virtuels doivent se construire comme Cortana, donc il est important que les gens mesurent ce qu'utiliser de tels logiciels implique (ce que j'ai décrit n'est assurément pas juste typique à Microsoft). Avec l'affluence des nouveaux ''assistants personnels virtuels'', le champs des possibles pour la collecte de données s'est développé de manière fulgurante. Le modèle de Microsoft (et les autres GAFAM) n'est pas basé sur le respect de la vie privée et la non-intrusion, c'est le contraire. Les outils comme Cortana sont hautement intrusifs et ont accès à une liste impressionnante de données personnelles, qu'ils exploitent et développent simultanément. La collecte de données qu'ils peuvent permettre peut être utilisée à votre insu, détournée, utilisée contre votre gré, tombée entre de mauvaises mains, être exploitées à des fins auxquelles vous n'avez jamais consciemment donné votre accord? Personnaliser les paramètres de confidentialité de services de ce genre requiert parfois des compétences en informatique qui dépassent l'utilisateur amateur, et des écrans de fumée font oublier que vous sacrifiez et marchandez votre vie privée à l'aide de formules comme "personnalisation du contenu", "optimisation des résultats", "amélioration de votre expérience et de nos services". Beaucoup d'utilisateurs se sentent dépassés par tout ça, et les GAFAM savent exactement comment en tirer parti. Merci beaucoup à Julie pour son témoignage ! Contre l'emprise des GAFAM sur nos vies, signez les plaintes collectives sur gafam.laquadrature.net

Le 2018-05-18


  Pourquoi attaquer Apple ?
11 Mai 2018 - Le troisième monstre qu'on attaque, c'est Apple. Il est bien différent de ses deux frères déjà traités ici (Google et Facebook), car il ne centre pas ses profits sur l'exploitation de nos données personnelles. Ce géant-là est avant tout un géant de la communication, il sait donc bien se donner une image d'élève modèle alors qu'il n'est pas irréprochable... ni inattaquable ! Contre l'emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL. L'entreprise Apple Apple, c'est 200 milliards d'euros de chiffre d'affaires annuel et tout autant de réserve en trésorerie (pour comparer, le budget annuel de l'État français est d'environ 300 milliards). En bourse, l'ensemble des actions de l'entreprise vaudrait maintenant 1 000 milliards de dollars, ce qui en fait la première capitalisation boursière du monde. Fondée en 1976, notamment par Steeve Jobs et bien avant l'avènement d'Internet, l'entreprise se centre sur la vente de ses propres ordinateurs, équipés de systèmes d'exploitation qu'elle développe elle-même. En 1984, Apple annonce le lancement de son Macintosh au moyen d'une publicité vidéo réalisée par Ridley Scott, naïvement intitulée « 1984 » et posant l'entreprise en rempart contre une future société de surveillance (la vidéo originale est disponible sur YouTube, mais nous lui préférons le détournement qu'en ont fait nos amis de la Startuffe Nation !). Tout comme le slogan interne de Google, « Don't be evil », la posture prise en 1984 par Apple n'est finalement qu'une sinistre anti-prophétie : l'entreprise jouera bien un rôle décisif dans la transformation des outils numériques en moyens d'enfermement et de contrôle. Par la suite, Apple ne cessera d'ailleurs pas de briller par ses stratégies de communication aussi confuses qu'insidieuses : sa fameuse injonction « Think different » ne nous disant surtout pas « de quoi » il s'agirait penser différemment, elle nous demande surtout, en vérité, de penser différemment « de nous-même » (de notre singularité) pour « penser Apple » et nous fondre dans un « cool » finalement très commun. En 2007, il y a à peine plus de 10 ans, sort l'iPhone. Ses ventes ont placé l'entreprise dans sa situation économique actuelle, représentant désormais 70% de son chiffre d'affaire (les 30% restants étant à peu près équitablement répartis entre les ventes d'iPad, de Mac et de services). Aujourd'hui, environ un smartphone sur cinq vendu dans le monde l'est par Apple. Le modèle Apple Le modèle économique d'Apple, centré sur la vente au public de ses seules machines, repose sur l'enfermement de ses clients : s'assurer que ceux-ci n'achèteront que du matériel Apple. Pour cela, l'entreprise entend garder tout contrôle sur l'utilisation que ses clients peuvent faire des produits qu'ils ont achetés. Les systèmes d'exploitation livrés avec les machines Apple - iOS et Mac OS - sont ainsi de pures boites noires : leur code source est gardé secret, empêchant qu'on puisse prendre connaissance de leur fonctionnement pour l'adapter à nos besoins, en dehors du contrôle d'Apple. Son App Store est aussi une parfaite illustration de cette prison dorée : Apple limite les logiciels téléchargeables selon ses propres critères, s'assurant que ses utilisateurs n'aient accès qu'à des services tiers « de qualité » - conformes à son modèle économique et à sa stratégie d'enfermement (Apple prenant au passage 30% du prix de vente des applications payantes, il a d'ailleurs tout intérêt à favoriser celles-ci). Enfin, une fois que ses utilisateurs ont payé pour utiliser divers logiciels non-libres via l'App Store, il devient bien difficile pour eux, économiquement, de se tourner vers d'autres systèmes qu'Apple, où l'accès à certains de ces logiciels ne serait plus possible - et où l'argent dépensé pour les acheter serait perdu. L'emprisonnement est parfait. Un enfermement (aussi) matériel Hélas, le modèle d'enfermement d'Apple ne se limite pas aux logiciels : la connectique des iPhones n'est pas compatible avec le standard Micro-USB utilisé par tous les autres constructeurs, obligeant ainsi à acheter des câbles spécifiques. De même, les derniers iPhones n'ont pas de prise jack pour le casque audio, obligeant à acheter un adaptateur supplémentaire si on ne souhaite pas utiliser les écouteurs Bluetooth d'Apple. La dernière caricature en date de ce modèle est la nouvelle enceinte d'Apple, HomePod, qui requiert un iPhone pour s'installer et ne peut jouer que de la musique principalement fournie par les services d'Apple (iTunes, Apple Music...). Enfin, une fois qu'Apple peut entièrement contrôler l'utilisation de ses appareils, la route lui est grande ouverte pour en programmer l'obsolescence et pousser à l'achat d'appareils plus récents. Ainsi, l'hiver dernier, accusée par des observateurs extérieurs, l'entreprise a été contrainte de reconnaître que des mises à jour avaient volontairement ralenti les anciens modèles de ses téléphones. Apple a expliqué que ce changement visait à protéger les téléphones les plus anciens dont la batterie était usée. Mais sa réponse, qu'elle soit sincère ou non, ne fait que souligner le véritable problème : ses iPhone sont conçus pour ne pas permettre une réparation ou un changement de batterie simple. Ralentir les vieux modèles n'était « utile » que dans la mesure où ceux-ci n'étaient pas conçus pour durer. Vie privée : un faux ami Apple vendant surtout du matériel, la surveillance de masse n'est a priori pas aussi utile pour lui que pour les autres GAFAM. L'entreprise en profite donc pour se présenter comme un défenseur de la vie privée. Par exemple sur son navigateur Web, Safari, les cookies tiers, qui sont utilisés pour retracer l'activité d'une personne sur différents sites Internet, sont bloqués par défaut. L'entreprise présente cela comme une mesure de protection de la vie privée, et c'est vrai, mais c'est aussi pour elle une façon de ramener le marché de la publicité vers le secteur des applications mobiles, où non seulement le traçage n'est pas bloqué mais, au contraire, directement offert par Apple. C'est ce que nous attaquons. Une définition « hors-loi » des données personnelles Dans son « engagement de confidentialité », qu'on est obligé d'accepter pour utiliser ses services, Apple s'autorise à utiliser nos données personnelles dans certains cas limités, se donnant l'image d'un entreprise respectueuse de ses utilisateurs. Pourtant, aussitôt, Apple s'autorise à « collecter, utiliser, transférer et divulguer des données non-personnelles à quelque fin que ce soit », incluant parmi ces données : « le métier, la langue, le code postal, l‘indicatif régional, l‘identifiant unique de l‘appareil, l‘URL de référence » ; « la localisation et le fuseau horaire dans lesquels un produit Apple est utilisé » ; l'utilisation des services Apple, « y compris les recherches que vous effectuez », ces informations n'étant pas associées à l'adresse IP de l'utilisateur, « sauf dans de très rares cas pour assurer la qualité de nos services en ligne ». Cette liste révèle que la définition des « données personnelles » retenue par Apple est bien différente de celle retenue par le droit européen. En droit européen, une information est une donnée personnelle du moment qu'elle peut être associée à une personne unique, peu importe que l'identité de cette personne soit connue ou non. Or, l'identifiant unique de l'appareil, l'adresse IP ou, dans bien des cas aussi, les recherches effectuées ou la localisation, sont bien associables à une personne unique par elles-mêmes. Ainsi, l'entreprise a beau jeu de préciser que « si nous associons des données non-personnelles à des données personnelles, les données ainsi combinées seront traitées comme des données à caractère personnel ». En effet, les données qu'elle dit « non-personnelles » et qu'elle associe ensembles constituent déja des données personnelles, que le droit européen interdit d'utiliser « à quelque fin que ce soit ». C'est bien pourtant ce qu'Apple nous demande d'accepter pour utiliser ses services (et sans qu'on sache dans quelle mesure il utilise ou utilisera un jour ce blanc-seing). Le méga-cookie Apple En dehors de l'immense incertitude quant aux pouvoirs qu'Apple s'arroge via sa définition erronée des « données non-personnelles », un danger est déjà parfaitement actuel : l'identifiant publicitaire unique qu'Apple fournit à chaque application. Comme nous l'avions déjà vu pour Google (le fonctionnement est identique), Apple associe à chaque appareil un identifiant unique à fins publicitaires. Cet identifiant est librement accessible par chaque application installée (l'utilisateur n'est pas invité à en autoriser l'accès au cas par cas - l'accès est automatiquement donné). Cet identifiant, encore plus efficace qu'un simple « cookie », permet d'individualiser chaque utilisateur et, ainsi, de retracer parfaitement ses activités sur l'ensemble de ses applications. Apple fournit donc à des entreprises tierces un outil décisif pour établir le profil de chaque utilisateur - pour sonder notre esprit afin de mieux nous manipuler, de nous soumettre la bonne publicité au bon moment (exactement de la même façon que nous le décrivions au sujet de Facebook). On comprend facilement l'intérêt qu'en tire Apple : attirer sur ses plateformes le plus grand nombre d'applications, afin que celles-ci attirent le plus grand nombre d'utilisateurs, qui se retrouveront enfermés dans le système Apple. Tel que déjà évoqué, les entreprises tierces sont d'autant plus incitées à venir sur l'App Store depuis que Apple les empêche de recourir aux juteux « cookies tiers » sur le Web - que Safari bloque par défaut. En effet, à quoi bon se battre contre Apple pour surveiller la population sur des sites internets alors que cette même entreprise offre gratuitement les moyens de le faire sur des applications ? La protection offerte par Safari apparaît dès lors sous des traits biens cyniques. Un identifiant illégal Contrairement au méga-cookie offert par Google sur Android, celui d'Apple est désactivable : l'utilisateur peut lui donner comme valeur « 0 ». Ce faisant, Apple prétend « laisser le choix » de se soumettre ou non à la surveillance massive qu'il permet. Or, ce choix est largement illusoire : au moment de l'acquisition et de l'installation d'un appareil, le méga-cookie d'Apple est activé par défaut, et l'utilisateur n'est pas invité à faire le moindre choix à son sujet. Ce n'est qu'ultérieurement, s'il a connaissance de l'option appropriée et en comprend le fonctionnement et l'intérêt, que l'utilisateur peut vraiment faire ce choix. Et Apple sait pertinemment que la plupart de ses clients n'auront pas cette connaissance ou cette compréhension, et qu'aucun choix ne leur aura donc été véritablement donné. C'est pourtant bien ce qu'exige la loi. La directive « ePrivacy » exige le consentement de l'utilisateur pour accéder aux informations contenues sur sa machine, tel que ce méga-cookie. Le règlement général sur la protection des données (RGPD) exige que ce consentement soit donné de façon explicite, par un acte positif dont le seul but est d'accepter l'accès aux données. Or, Apple ne demande jamais ce consentement, le considérant comme étant donné par défaut. Pour respecter la loi, il devrait, au moment de l'installation de la machine, exiger que l'utilisateur choisisse s'il veut ou non que lui soit associé un identifiant publicitaire unique. Si l'utilisateur refuse, il doit pouvoir terminer l'installation et utiliser librement l'appareil. C'est ce que nous exigerons collectivement devant la CNIL. D'ailleurs, la solution que nous exigeons est bien celle qui avait été retenue par Microsoft, l'été dernier, pour mettre Windows 10 en conformité avec la loi lorsque la CNIL lui faisait des reproches semblables à ceux que nous formulons aujourd'hui. Si Apple souhaite véritablement respecter les droits de ses utilisateurs, tel qu'il le prétend aujourd'hui hypocritement, la voie lui est donc clairement ouverte. S'il ne prend pas cette voie, il sera le GAFAM dont la sanction, d'un montant maximum de 8 milliards d'euros, sera, pour l'Europe, la plus rentable. De quoi commencer à rééquilibrer les conséquences de son évasion fiscale, qui lui a déjà valu en 2016 une amende de 13 milliards d'euros, encore en attente de paiement (pour approfondir cet aspect, plus éloigné de notre action centrée sur les données personnelles, voir les actions conduites par ATTAC). Contre l'emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.

Le 2018-05-11


admin