PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

#Firechat : comme si Snowden n’avait jamais existé

mardi 7 octobre 2014 à 00:01

OLYMPUS DIGITAL CAMERA

Il y a trois ans environ, Reflets révélait qu’Amesys, une société française, avait mis sur écoute la Libye pour le compte du colonel Kadhafi. Nous passions alors pour de dangereux complotistes lorsque nous évoquions l’aspect particulièrement abject de ce deal : des opposants au régime politique local risquaient de se faire arrêter et torturer grâce à des outils bien français. Aujourd’hui, des torturés sur la base de ces écoutes ont témoigné devant un juge qui enquête sur des faits de complicité de torture. Puis, Edward Snowden est arrivé. Il a mis en lumière, powerpoints à l’appui, l’étendue de la surveillance mondiale. Il est aujourd’hui impossible de se voiler la face : les gouvernements sont engagés dans une course à l’échalote. C’est à celui qui surveillera le plus, de la manière la plus intrusive. Mieux, les services s’échangent des métadonnées par camions. Un peu comme les Etats-Unis après 2001, opéraient des livraisons de détenus dans des pays où les autorités sont moins gênées aux entournures avec la torture, pour obtenir des « résultats ». Lancer une application de messagerie comme Firechat n’a rien de condamnable. Le faire dans une ère post-Snowden, sans afficher des mises en garde sévères et multiples pour les pays fâchés avec les Droits de l’Homme, c’est au mieux irresponsable, au pire, pas loin d’être criminel. Se réjouir de l’utilisation de son application -que l’on sait sans chiffrement et laissant fuir des données personnelles – dans des pays à risques pour les opposants et s’en vanter sur son site est particulièrement troublant.

presse-2

Créer une sorte de réseau social, fonctionnant en dehors des points d’écoute classiques, pourquoi pas. Monétiser d’une manière ou d’une autre cet outil, pourquoi pas… Mais afficher en clair tous les messages échangés entre les utilisateurs, y compris dans des pays dont tout le monde sait la volonté des autorités d’identifier les meneurs, d’éventuellement les arrêter, c’est faire preuve d’une singulière légèreté. Expliquer ensuite, une fois l’affaire éventée et les éventuelles mauvaises retombées en termes d’image en approche, que c’est tout à fait normal, que cet outil de communication est « comme Twitter » et que les messages sont publics, sans plus de réflexion, c’est aussi faire preuve d’une légèreté inquiétante.

Dans une ère post-snowden, mettre en valeur les retombées presse sur l’usage qui est fait d’une application (extrêmement intrusive en matière de privacy) dans des pays comme l’Irak ou Hong-Kong, c’est conforter les utilisateurs de ces pays sur l’intérêt de son produit.

acces-firechat

Or, il est évident, y compris pour ses créateurs qu’au delà de l’intérêt éventuel et tout à fait discutable d’un tel outil, il y a d’énormes risques pour les opposants. Le fait d’inscrire sur son site ou de tweeter un message sur le fait que les conversations passent en clair n’est pas suffisant. Ce type d’alertes devrait figurer en rouge sur les pages où l’appli est téléchargeable.

En 2006, je co-écrivais (peut-être un peu trop tôt?) un dossier dans Le Monde 2 titré :

Internet : Staline aurait adoré

lemonde2

Nous sommes en 2014 et Edward Snowden, Amesys, Qosmos, Gamma, et tant d’autres, sont passés par là. Comment une entreprise, fut-elle une « startup Kikoulol 2.0″ peut-elle être aussi négligente alors que des opposants dans des pays fâchés avec les Droits de l’Homme utilisent son produit ? Comment la presse peut-elle encore tomber dans le panneau de « la belle histoire » ? Autant de questions auxquelles je n’ai pas de réponses.

 

#HKProtest : comment accéder aux échanges des manifestants depuis n’importe où dans le monde

dimanche 5 octobre 2014 à 19:06

firecat1041007

Quel organe de presse n’a pas vanté cette semaine cette application fantastique Firechat, qui plus est, française, oui monsieur ? Le Monde, Le Monde Informatique, on en passe. Tout le monde au garde-à-vous pour saluer cette app qui permet aux opposants à Hong Kong de « contourner la censure« . Une vraie réussite française. Personne ne s’est demandé pourquoi l’appli fonctionne toujours à Hong-Kong alors qu’il suffit d’une pile de 9 volts, d’un CDROM et d’un fil de cuivre pour brouiller les communications ? Les autorités locales ont probablement tout intérêt à ce que les communications via Firechat continuent.

Que les journalistes se trompent, cela peut se comprendre. Qu’ils ne s’interrogent pas sur le discours marketing en or que leur servent une entreprise et les autres médias, c’est un peu plus inquiétant. Qu’ils n’interrogent pas les spécialistes du sujet, c’est dommage. Notre métier, le journalisme, consiste justement à toujours remettre en question la communication, la « belle histoire« . Pour ce faire, n’ayant pas la science infuse, nous sommes obligés d’aller questionner les experts. Puis, nous écrivons un article lisible et compréhensible par tous nos lecteurs. L’humilité, la prise de recul devraient guider nos pas. Ce n’est visiblement pas toujours le cas. L’histoire Firechat le démontre à nouveau.

L’article de Bluetouff a mis en lumière la fuite de données sur le site même d’Opengarden. Depuis Paris, n’importe qui peut « écouter » les conversations de (par exemple) l’incongrue Manif pour tous. Demain, la police pourra identifier les auteurs de deals d’extas sur un festival techno. Merci Opengarden.

De rien, c’est un plaisir :

micha1

Mais ce n’est pas tout. Depuis Paris, toujours, n’importe qui peut « écouter » les discussions et récupérer des informations techniques importantes concernant les opposants à Hong-Kong. Et pourquoi pas en Syrie, en Irak ?

Voici donc la méthode.

1°) s’armer d’un navigateur,

2°) utiliser un proxy à Hong-Kong ou un VPN sortant dans l’île.

3°) se connecter sur le site d’Opengarden.

4°) pleurer.

hk1

Nous attendions bien sûr les commentaires d’experts de la privacy et des zinternets après l’article de Bluetouff et de celui-ci. Sur le mode « ce n’est pas très grave, il n’y a pas de données identifiables simplement« , etc.

Mais c’est du patron d’OpenGarden que les commentaires les plus étonnants sont arrivés. Comme à notre habitude, nous procédons par étapes. En nous basant sur la doctrine Usenet de Guillermito : « dans quelques lignes, vous allez être ridicule« .

Notez que ceci est notre deuxième article sur le sujet. Il y en aura d’autres. Probablement autant que de réponses tentant d’excuser le comportement inqualifiable d’Opengarden.

Popcorn someone ?

Personal information leaked by #Firechat

dimanche 5 octobre 2014 à 15:25

Capture d’écran 2014-10-02 à 22.40.14The more we read « news » that chronicle the extraordinary feats of the mobile application FireChat, the more we wonder if all this is a simple buzz operation (and maybe more) orchestrated by who knows who. It’s too big, it recycles in a  shaker too many shady things to make it a natural buzz.

Certainly, one is accustomed to seeing many media re-write an AFP news, remixing it with so-called technical explanations make Bozzo the clown look for a sinister character. Except that this buzz is too good to be natural.

Fearless, media from around the world do not have enough words to praise an application which enables people communicate « without  a  network » (lol) « without Internet » … but who still demands to create an account when installing the app… How the hell do I do that, without the Internet? … Uh, Mr. Firechat why would you need me to create an account to let my phone communicate with my neighbor’s phone using a peer to peer technology?

In the best case, Firechat is a shell company whose success is an accident. At worst, people, not OpenGarden, has an obvious interest in other people using this application.

I just created the firechat « Crowdfunding ». Join me at http://t.co/mrPGvEzvDk

- Diana (dfyconsulting) October 2, 2014

We will now leave for your consideration the potential impact this URL -highlighted by @9B22EB34 and which shows on the OpenGarden website, posts  (in real time with the user’s identity) – on the Firechat’s users privacy, especially in conflict areas where this app seems to have so much been popularized.

No need to connect to Firechat to monitor users, or even identify them.

A careful reading of this paper is essential to a proper understanding of the risks protesters, activists, who recklessly use this application are bearing.

Capture d’écran 2014-10-05 à 12.24.16

Capture d’écran 2014-10-05 à 12.26.38

#Firechat pisse les messages et l’identité de ses utilisateurs

dimanche 5 octobre 2014 à 13:34

Capture d’écran 2014-10-02 à 22.40.14Plus nous lisons les « informations » qui relatent les extraordinaires prouesses de l’application mobile FireChat, plus il y a de quoi se demander s’il ne s’agit pas d’une opération de communication (et peut être bien plus) savamment orchestrée par on ne sait trop qui. C’est trop énorme, ça recycle au shaker trop de choses louches pour que ce soit un buzz naturel.

Certes, on s’est habitué à voir de nombreux médias reprendre une dépêche AFP en la remixant avec des pseudos explications techniques qui feraient passer Bozzo le clown pour un sinistre personnage. Sauf que ce buzz est trop beau pour être naturel.

Aucun recul, les medias du monde entier n’ont pas assez de mots pour chanter les louanges d’une application qui permet de communiquer « sans réseau » (lol) « sans Internet » … mais qui demande quand même de créer un compte à l’installation… heu comment je fais sans Internet ?… Heu, mais au fait monsieur Firechat pourquoi tu as besoin que je crée un compte pour faire communiquer mon téléphone avec celui de mon voisin en paire à paire ?

Dans le meilleur des cas Firechat est une coquille vide dont le succès est un accident. Au pire des cas, des gens, pas d’OpenGarden, ont un intérêt manifeste à ce qu’on utilise cette application.

<script async src="//platform.twitter.com/widgets.js" charset="utf-8">

Nous allons maintenant laisser à votre appréciation l’effet que pourrait avoir cette URL, mise en évidence par  et qui laisse public sur le site d’OpenGarden les messages de proximité (en temps réel, avec l’identité des utilisateurs), sur la confidentialité des utilisateurs de Firechat, tout particulièrement dans des zones de conflit où cette application semble s’être tant popularisée.

Pas besoin de se connecter à Firechat pour surveiller les utilisateurs, ni même les identifier.

Une lecture attentive de ce paper est indispensable à la bonne compréhension des risques que des manifestants, des activistes, courent à utiliser cette application de manière inconsidérée.

Capture d’écran 2014-10-05 à 12.24.16 Capture d’écran 2014-10-05 à 12.26.38

Google : 1, presse allemande : 0

jeudi 2 octobre 2014 à 15:30

Axel-SpringerLes rapports conflictuels entre Google et les organes de presse européens commencent à faire tâche. Le problème n’est pas franchement nouveau et il dépasse de loin le cantonnement au géant américain. Le nouvel épisode qui avait connu un chapitre français (et le connait toujours),  concerne les médias allemands avec en tête de la fronde le groupe Axel Springer.

Le nerf de la guerre est vieux comme le Net : un producteur de contenus veut à la fois être plus visible que ses concurrents mais il veut qu’on le voit sans que l’on diffuse ses contenus, ou qu’on les diffuse partiellement mais contre rémunération. En face le moteur de recherche indexe les contenus pour y donner accès, sur le site du producteur de contenus. Mais pour faire la promotion d’un contenu, le moteur va indexer des titres, une image et une accroche… ou juste un titre.

Et c’est là que Google lança Google News, pour différencier les résultats « du tout venant », des articles de presse, un investissement pour Google, rendu possible par ses colossaux revenus générés par la publicité… car oui, on a tendance à le perdre de vue, mais Google n’est pas un réseau social, Google n’est pas un fabriquant de téléphones, Google est une régie publicitaire, qui vend de l’espace et de la visibilité à des annonceurs, notamment la presse.

Nous avons donc des moteurs dont le business model est de vendre de la visibilité (de l’espace publicitaire) à des contenus générés par les utilisateurs de ses services pour les utilisateurs de ses services, et de l’autre des producteurs de contenus dont le business model est d’être lu pour vendre plus de pub.

Sur son service Google News, Google n’affiche pas de publicité. Il ne peut donc pas être taxé de « capter de la valeur » en utilisant les contenus de la presse. La stratégie est claire, Google offre l’accès aux contenus, gracieusement, en offrant l’indexation aux médias de leurs contenus pour que les lecteurs puissent les lires sur les sites cibles, c’est à dire les médias qui affichent une grande partie de leurs publicités grâce à cette indexation.

Mais ce n’est un secret pour personne la presse « traditionnelle » opère lentement un virage souvent douloureux du papier aux pixels. Ca n’allait déjà pas très fort avec l’élément maîtrisé, le papier, ça va donc encore moins fort avec l’élément pixélisé dont on saisit assez mal les contours.

Et quand on cherche des sources de revenus pour payer des salaires de journalistes, soit on arrive à trouver un point d’équilibre publicitaire avec ses propres annonceurs et en se plaçant soit même comme annonceur pour être visible, soit on instaure un paywall, c’est à dire un accès payant aux contenus, ce qui a un effet certain sur l’indexation (même s’il y a moyen de le faire plus ou moins bien).  La solution miracle n’existe pas.

Les organes de presse européens, jouant sur un problème réel mais qui n’a pas grand chose à voir avec cette cyber-choucroute, à savoir le goût prononcé de Google pour l’optimisation fiscale, sont parvenus à se placer quelques ministres dans la poche. Des ministres, qui, tout offusqués que Google ne payent pas d’impôt dans leur pays, les ont encouragé à aller demander des sous à Google au motif que ce dernier « captait la valeur » de leurs contenus. Sans vouloir rentrer dans une polémique absurde, il faut également se rendre compte que ces contenus, s’ils sont introuvables, n’ont plus aucune « valeur » : pas de visiteur, pas d’annonceur, pas de revenu publicitaire. La question à se poser est : Est-ce que Google capte de la valeur ou crée de la valeur pour les régies publicitaires des médias qu’il indexe… ma conviction est que dans l’état actuel du web, Google en crée plus qu’il n’en capte.

Mais la presse allemande, après le relatif succès de la presse française qui a obtenu de Google une forme de participation à son virage vers le numérique (moyennant contreparties bien entendu), est arrivée au point de rupture avec Google en demandant une rémunération due au motif que Google News utilise leurs titres, une image miniature, et l’accroche de leurs contenus pour donner accès à ces derniers. En clair, nous avons un média, qui est une régie publicitaire, qui demande à une autre régie publicitaire qui s’applique à ne pas diffuser de publicité pour donner accès à la régie publicitaire des médias…

Un autre point important, c’est que la définition d’un moteur de recherche est de donner accès à tous les contenus. Il n’existe pas de relation contractuelle à priori entre un média et Google. Si un média ne veut pas être indexé par les moteurs de recherche, il a une solution toute simple qu’il ne peut ignorer et que Google explique parfaitement dans sa dangereuse documentation qui peut faire de vous un cybercriminel : le fichier robots.txt qui va dire aux robots d’indexation, d’indexer ou non les contenus.  Cette absence de relation contractuelle « à priori », est probablement elle aussi un levier sur lequel peuvent jouer les médias pour tenter de faire pression (j’en entend déjà certains pouffer de rire à Mountain View) sur Google. Mais cette absence de relation contractuelle est inhérente à Internet, et c’est là probablement le raisonnement qui fait défaut aux médias frondeurs européens : Internet est un réseau public, on PUBLIE des choses sur Internet, ce n’est pas Internet qui vient nous voler nos contenus. Si vous ne voulez pas que vos contenus soient publics, il suffit de ne pas les PUBLIER sur Internet… oui je sais c’est une mécanique sémantique un poil complexe.

Passons maintenant au second niveau, celui de l’accès restreint à des abonnés. C’est évidemment faisable : le média conserve ses contenus à lui en les publiant dans un espace privatif. Mais ce qui est privé, forcément… c’est tout de suite (en théorie), moins visible. La toute puissance de Google, Facebook et dans une moindre mesure de Twitter dans la réalité de la diffusion de l’information, c’est que ces trois acteurs sont en grande partie des réseaux dont le rôle est de pousser le plus de contenus de leurs utilisateurs au public, et c’est justement ce qui fait leur toute puissance.

Plus amusant maintenant, de nombreux « médias frondeurs » sont aussi les premiers clients de Google qui guide les publicités d’annonceurs vers leur espace de diffusion… Là il y a bien une relation contractuelle établie, Google se commissionne comme n’importe quelle régie publicitaire sur les publicités affichées par ces médias qui sont eux aussi rémunérés pour cette diffusion. Ces mêmes médias mesurent leur audience grâce au service gratuit Google Analytics auquel certains sont parfaitement accrocs et qu’ils ont bien entendu rattaché au service Google Adwords faisant l’objet dudit contrat entre Google et eux.

Et PAN! … dans les dents

A force de réclamer le beurre et l’argent du beurre, est arrivé ce qui devait arriver, et ce sur quoi nous avions déjà alerté… et encore, Google l’a fait de manière soft. La firme de Mountain View a tout simplement décidé de n’afficher que les titres des médias frondeurs :  plus d’accroche, et encore moins de visuel. La sanction aurait pu être bien plus douloureuse puisque certains moteurs n’ont eux pas hésité à désindexer totalement les médias frondeurs.

L’effet est immédiat : les contenus de ces médias ne sont plus mis en valeur, les visiteurs cliquent logiquement moins sur ce qui n’est aujourd’hui plus qu’un titre. Les médias non frondeurs, concurrents, voient leur trafic exploser au détriment des médias frondeurs…. rébellion… répression, schéma classique qui pique au portefeuille : moins de visites, moins de revenus publicitaires, Google dans son bon droit de ne pas avoir à acheter le couteau sous la gorge le droit d’envoyer du trafic aux médias pour que ces derniers vendent plus de publicité.

Conclusion 1 : on ne répond pas à un problème que les services fiscaux européens ont avec Google par un racket organisé maladroitement par une profession qui génèrent les contenus qui passent dans ses tuyaux. Les politiques européens ont leur part de responsabilité dans cette magistrale… disons le mot… branlée… que Google inflige actuellement à la presse allemande.

Et comme on a pu le lire à droite ou à gauche, tout ceci n’a pas grand chose à voir avec la liberté de la presse, Google n’empêche pas la presse d’écrire ou d’être lue mais ce n’est certainement pas à Google de payer pour obtenir le droit d’enrichir les médias. La presse, elle, reste libre de se payer des Google Adwords, de se payer un cluster de serveurs pour monter une instance Piwik (le logiciel libre de statistiques concurrent de Google Analytics)… ou de ne pas le faire.

Conclusion 2 : Google tu l’aimes, ou tu te casses.