Décryptactualité du 27 février 2017

Titre :
Décryptactualité du 27 février 2017
Intervenants :
Magali - Luc - Manu
Lieu :
Studio d’enregistrement April
Date :
Février 2017
Durée :
15 min 16
Écouter ou télécharger le podcast
Revue de presse de l’April pour la semaine 8 de l’année 2017
Générique :
La prose du pépère - Les Barons Freaks - LAL
Licence de la transcription :
Verbatim

Présentation

Alors que Microsoft est mis sur la sellette par les CNIL européennes en raison de la collecte des données par Windows 10, Décryptactualité fait une rétrospective des histoires de ces dernières années qui ont vu de grosses entreprise transgresser volontairement la loi.

Transcription

Luc : Décryptualité — Le podcast qui décrypte l’actualité des libertés numériques.
Manu : Décryptualité, notre nouvelle émission. Bonjour Mag.
Magali : Bonjour Manu.
Manu : Salut Nico.
Luc : Non, pas de Nico puisqu’on a réussi à lui faire la peau.
Magali : Il est malade ?
Luc : Il est malade.
Manu : Il s’est chopé le rhume qu’on avait la semaine dernière.
Luc : Voilà ! Nous on partage, c’est comme ça les libristes ! On va, comme la semaine dernière, évoquer la revue de presse de l’April rapidement et on va s’arrêter sur un article.
Manu : Et une notion, une idée.
Luc : Et une notion, une idée. En fait, derrière, essayer de creuser un petit peu là-dessus. Libération : « Justice prédictive, l’augure des procédures », un article de Julie Brafman.
Manu : Et on reparle encore une fois des algorithmes et de l’informatique qui s’immisce un peu partout y compris dans la justice, donc c’est pour dire ! Article plutôt intéressant.
Luc : Les Échos : « Les transformations à venir dans le secteur public. »
Manu : Ça parle d’open data et des institutions.
Luc : Programmez : « Les éditeurs ont-ils tiré les leçons de la faille Heartbleed, ou sont-ils condamnés à répéter les mêmes erreurs ? », un article de Christian Hindre.
Manu : Donc on revient sur la faille Heartbleed qui avait fait beaucoup parler à son époque – c’était il y a peut-être déjà deux/trois ans – et il faut mettre de l’argent pour développer les logiciels, y compris et surtout les logiciels les plus importants, comme ceux qui font la sécurité sur Internet.
Luc : C’était le cas d’OpenSSl qui avait eu quelques difficultés à l’époque et ça avait soulevé plein de questions. Cet article est modérément intéressant. Ça ressemble un peu à un article publicitaire donc pas nécessairement le plus intéressant. Le Monde.fr : « Généralisé, le "mégafichier" TES ne dissipe pas les inquiétudes », un article de Martin Untersinger.
Manu : Oui, c’est 1984 qui arrive chez nous. Donc le fichier des passeports et des cartes d’identité, tout ça rassemblé en un.
Luc : Et des empreintes digitales et de plein, plein de choses en même temps.
Manu : On va vraiment s’amuser !
Luc : Le Monde.fr : « Windows 10 : les CNIL européennes toujours "inquiètes" de la protection des données personnelles », un article de la rédaction.
Manu : Comment une grosse entreprise peut faire des choses pas vraiment légales, c’est toujours compliqué et on va en parler un petit peu plus tard.
Luc : Voilà. C’est un peu notre sujet puisque, en fait, quand on est dans le grand public et qu’on ne connaît pas nécessairement un peu le dessous des cartes, on peut se dire c’est une grosse entreprise, elle a pignon sur rue donc je peux lui faire confiance, ils ne vont pas faire n’importe quoi.
Magali : Ou pas !
Luc : L’article, déjà, on peut en parler. Mais notre idée c’est de faire une petite rétrospective pour voir que ?
Manu : Eh bien, la confiance dans ces grosses boîtes, il faut y aller mollo.
Luc : Windows10 c’est le nouveau Windows, qui est là depuis quelque temps. Microsoft a changé son fusil d’épaule. Avant ils vendaient de la licence, ils imposaient le logiciel pour vendre de la licence.
Manu : Ils vendaient un produit.
Luc : Voilà ! Et ils s’orientent de plus en plus vers de la vente de services.
Magali : Vers le cloud, vers la récupération de données des utilisateurs, vers toutes les informations possibles.
Manu : Vers des mises à jour automatiques et des systèmes de stores où tu peux télécharger les applications et les acheter très facilement, comme on fait sur un téléphone portable.
Luc : Voilà ! Et donc, dans Windows 10, comme tu le disais Magali, la surveillance et la récupération des données personnelles c’est un élément clef, c’est un des points essentiels. Ils appellent ça la télémétrie. Et donc, en juillet dernier, déjà la CNIL leur avait tapé sur les doigts [1] en disant : « Attention, votre truc n’est pas dans les clous de la loi, donc c’est hors la loi. »
Manu : Oui. Ça étudie trop bien les citoyens. Alors ce n’est pas la CNIL, ce sont les CNIL. C’est même monté au niveau supérieur.
Magali : Au niveau européen, dans plusieurs pays.
Manu : Donc pour ça ce n’est pas mal.
Luc : En fait, elles se sont regroupées ensemble pour faire face à Microsoft qui, effectivement, est énorme. Il est partout dans le monde et donc en Europe.
Manu : Je pense que globalement une CNIL n’a pas les moyens et, en plus de ça, une CNIL ne peut donner des amendes qu’à une certaine hauteur qui est assez ridicule.
Luc : Et dans son pays uniquement.
Magali : Ils avaient dit qu’ils étaient inquiets déjà en janvier dernier et là, un an après, eh bien ils sont toujours inquiets. Parce que Microsoft a fait de belles paroles, mais ce sont toujours de belles paroles en l’air.
Luc : Et une des choses qu’on leur reproche c’est, notamment, d’une part de surveiller — et j’ai trouvé des vieux articles qui disaient que non seulement ils surveillaient, mais, qu’en plus de ça, quand on mettait des critères de respect de la vie privée, ils ne les respectaient pas nécessairement et ils n’informent pas les utilisateurs du type d’informations qu’ils vont collecter. Donc c’est à la fois le fait de collecter trop d’infos et, en plus de ça, de ne pas informer les gens. On dit aux gens : « Est-ce que vous voulez mettre un critère », mais ils ne savent pas quelles sont les conséquences, qu’est-ce qui part comme info, qu’est-ce qui ne part pas.
Manu : On pourrait supposer que tout ça c’est fait pour aider les utilisateurs de Windows, savoir s’ils ont des bugs à certains endroits, quelles applications sont les plus utilisées, est-ce qu’ils ont bien cliqué sur ces boutons qui sont mis à disposition.
Magali : Oui, oui ! Bien sûr ! On va encore leur dire que c’est pour leur bien comme ça ils recevront de la publicité ciblée et pas de la publicité qui va les ennuyer. On connaît la chanson !
Luc : Voilà. Nicolas, quand il reviendra et qu’il sera remis, pourra nous en parler un peu plus parce qu’il avait pris le temps de prendre un Windows 10 et de regarder ce qui se passait. Le sujet qu’on veut aborder, maintenant, c’est de dire dans ce cas-là, ce groupement de CNIL et leur équivalent au niveau européen ont établi — et donc ce n’est pas de la paranoïa — que Microsoft est en dehors de la loi, de la loi européenne, et on peut se douter que Microsoft a quand même les moyens de se payer deux/trois juristes qui soient en mesure d’étudier les lois européennes.
Manu : Ils peuvent acheter des écoles de juristes à niveau-là !
Luc : Et pour dire : « Tiens, on va faire un produit qui soit en accord avec la loi ! » Mais non, ce n’est pas ça !
Magali : Mais alors du coup, s’ils ont ces moyens-là, pourquoi est-ce qu’ils sortent des produits qui sont hors-la-loi ?
Luc : Bonne question. Parce qu’ils ont intérêt à le faire. Pour eux c’est super intéressant de mettre la main sur les données personnelles et puis ils se disent on le fait et puis on verra bien ce qui se passe !
Manu : Oui. Je pense qu’ils ne demandent pas l’autorisation. C’est quoi l’expression ? C’est il vaut mieux demander pardon que demander la permission ?
Luc : En se disant que, en gros, si tu veux tout faire dans les clous ça va prendre du temps ; si tu veux changer les lois ça va être très long. Et puis voilà, c’est comme ça qu’ils font leur beurre, donc il faut que ça tourne.
Manu : On ne sait pas à quel point, pour l’instant, ils gagnent de l’argent avec tous ces systèmes-là. On sait que ça a été à peu près évalué : nos données personnelles, chacun de nos profils vaut quelques euros individuellement, et donc quand on combine tout ça, ça commence à faire de la valeur. Je crois que ça avait été estimé, pour Facebook, notamment.
Luc : Moi j’ai vu des chiffres super importants. Le problème c’est que je n’ai jamais eu de chiffres vraiment carrés, donc je ne sais pas trop, mais j’ai vu des machins qui disaient que ça pouvait monter jusqu’à 500 euros par an et par personne.
Manu : Ça, ça doit être pour les utilisateurs de Mac !
Luc : Peut-être. Après, si on est une femme enceinte, par exemple, ses données personnelles valent beaucoup plus cher parce qu’on sait qu’on va faire beaucoup de dépenses et donc, du coup, là effectivement il y a vachement d’intérêt à récupérer ces données-là. Là, on parle de Microsoft, on aime bien taper sur Microsoft ; c’est un de nos favoris.
Magali : C’est tellement facile !
Manu : Aucun de nous n’utilise Microsoft par ailleurs !
Luc : Moi je l’utilise.
Manu : Comment ça !
Luc : Je l’utilise au travail, eh oui, parce que je n’ai pas le choix.
Manu : Ah ! Et toi, Mag ?
Magali : Moi j’ai un Microsoft virtuel.
Manu : Virtualisé.
Luc : Une machine virtuelle. Mais enfin bref !
Magali : Il se moque, mais lui il a plein d’Internet Explorer différents sur sa machine. Donc tu sais !
Luc : Oui, mais c’est pour tester sur les différents navigateurs ; on lui pardonne.
Manu : C’est moche ! J’ai honte !
Luc : L’idée, quand même, c’est de montrer que cette politique de Microsoft de ne pas respecter la loi, donc d’être hors-la-loi, donc d’être un délinquant en quelque sorte – je te vois Manu, tu fais la moue – bon d’accord ce n’est pas comme de tuer quelqu’un, mais n’empêche que c’est quelqu’un qui dit : « Tiens, là il y a une loi, et puis je ne vais pas la respecter ! » Une entreprise en l’occurrence !
Manu : Et on sait que c’est quelque chose qui est déjà arrivé plusieurs fois, qui continue à arriver, il n’y a pas de raison. On a quelques exemples, dans le passé, de circonstances considérables.
Luc : On va remonter en 2006, c’était il y a, hou, plus de dix ans, Sony — vous n’en aviez pas rêvé, mais ils l’ont fait quand même — avait mis dans les CD audio, puisqu’à l’époque on piratait pas mal la musique en gravant des CD.
Manu : Surtout toi !
Luc : Moi ? Non, jamais ! Et ils avaient mis ce qu’on appelle un rootkit, ce qui est en fait, en gros, un virus. Et quand on mettait son CD audio dans un ordinateur, Windows je pense, ça installait un vrai virus, un bon gros virus, ça laissait une grosse faille de sécurité et ça renvoyait des données, on ne sait pas quoi, vers les serveurs de Sony. Donc, légalement, c’était du piratage pur et dur.
Manu : Et ça avait touché plein de monde, tous les gens qui utilisaient des CD de Sony. Clairement, ils avaient installé ça sur leurs PC. Il y avait pas mal de monde qui s’était retrouvé avec rootkit qui les mettait à poil sur Internet.
Magali : C’est dingue parce qu’ils avaient acheté leur ordinateur légalement, ils avaient acheté leur CD légalement, c’est juste qu’ils n’avaient pas le droit de le lire sur un ordinateur ?
Luc : Si, ils avaient droit de le faire. Ils avaient le droit de lire leur musique achetée légalement sur leur ordinateur acheté légalement. C’est juste que Sony, comme ils en avaient ras-le-bol de voir que des gens allaient copier de la musique, ont mis un virus. Donc ils ont attaqué, piraté massivement les ordinateurs de leurs clients pour les espionner et voir ce qu’ils faisaient.
Magali : Des clients qui avaient confiance en eux !
Luc : Voilà ! Qui ont déboursé de l’argent pour acheter le CD.
Manu : C’est mieux que des DRM. On sait que les DRM, ces menottes numériques, c’est supposé vous empêcher de faire certaines choses avec vos ordinateurs, par exemple copier des fichiers. Donc les DRM peuvent faire ce genre de choses, mais là c’est encore mieux, là on prend le contrôle à distance, et on peut avoir confiance dans ton ordinateur.
Luc : Ça n’empêchait rien du tout, à priori !
Manu : Non, mais on prend le contrôle de ton ordi. On peut, éventuellement, vérifier ce que tu as copié.
Luc : Ah ! C’était pour surveiller !
Manu : En tout cas, là ils se sont autorisés à faire quelque chose qui leur a éclaté à la gueule parce que quand ça s’est su qu’ils installaient ça sur tous les PC sur lesquels on mettait leurs CD, ça a fait mauvaise impression !
Magali : C’est moche !
Luc : Oui, mais c’est du piratage. Normalement tu vas en prison pour ce genre de choses.
Manu : Sony est une des méga corporations de la planète donc, clairement, ils sont à l’abri.
Magali : Oui, mais ils ont eu une amende au moins pour ça ?
Luc : Ça ne s’est pas super bien passé pour eux, mais fondamentalement ils sont toujours en place, donc ça n’a pas été vraiment la fin du monde.
Manu : On peut supposer qu’il y a un directeur qui a sauté. Tu vois !
Luc : Autre exemple, 2010, les Google Car, donc ce sont les voitures que Google faire tourner dans les rues pour prendre des photos et faire le Google Street View qui est très pratique. Et à l’occasion, ils enregistrent également la présence de tous les wi-fi, parce que ça permet de localiser les gens. C’est-à-dire que si je dis : « J’ai tel et tel wifi, je sais que je suis à peu près dans telle zone. »
Manu : Ça permet de faciliter la géolocalisation.
Luc : Et à l’époque les Google Car avaient tout pris, y compris des paquets de données qui transitaient et donc avec des informations personnelles.
Manu : Ils enregistraient tout. Globalement ils prenaient des photos et ils enregistraient toutes les trames wi-fi qui passaient en non sécurisé, et ils les enregistraient. Et ils ont enregistré comme ça 600 gigaoctets de données, au minimum, qui étaient stockées dans un coin. Ils n’avaient pas forcément fait gaffe à ce de quoi il s’agissait, mais ce n’était pas légal.
Magali : Et ça leur servait à quoi ?
Manu : Vraisemblablement à rien. Honnêtement. C’est juste qu’ils localisaient tous les wi-fi, avec toutes données qui transitaient à droite à gauche, et ils stockaient sans se poser de questions.
Luc : À l’époque ils avaient dit en gros : « Il y a quelqu’un qui a pris l’initiative de tout ramasser en se disant on verra, on triera après. » C’est probable, mais ça montre que l’illégalité peut être également dans le truc de « on fait sans trop réfléchir » parce que fondamentalement ce n’est pas vraiment un sujet, quoi ! On va maintenant faire un bond jusqu’en 2015 avec la super télé connectée de Samsung qui, pour moi, est un must, un truc assez fabuleux. La télé connectée de Samsung c’est une télé avec des commandes vocales. Elle enregistre, donc en gros elle fait de la radio un peu comme nous ; disons plutôt : « Les clients de Samsung font un peu de la radio comme nous », sauf qu’ils ne sont pas au courant et la télé enregistre constamment, donc 24 heures sur 24, tout ce qui se passe dans la pièce.
Manu : Et elle envoie toutes les commandes vocales à des serveurs qui les analysent.
Luc : Elle envoie toute la conversation et tout l’enregistrement de ce qui se passe dans la pièce à des serveurs en Corée, dans un flux non chiffré. Donc ça veut dire qu’un petit malin qui a les compétences peut écouter tout ce qui se passe chez vous avec cette télé, en continu, et c’est transcrit et gardé dans des fichiers.
Magali :Tout comme le Siri de Apple ou comme le « OK Google ».
Luc : Ça, on n’a pas de données.
Manu : Ou Alexa de Amazon.
Magali : Attends ! Pour qu’une machine reconnaisse « OK Google » ou Siri, c’est qu’elle doit écouter en permanence.
Manu : Elle écoute en permanence, il n’y a aucun doute, mais on ne sait pas ce qu’elle transmet exactement.
Luc : Peut-être que le téléphone reconnaît « OK Google » par lui-même et ensuite se connecte. Donc on ne sait pas si c’est une connexion continue.
Manu : On parle aussi des assistants qui se vendent de plus en plus dans les maisons, c’est-à-dire Alexa, je crois que c’est l’exemple typique. Les gens ont acheté un petit device, un petit appareil qu’ils ont mis chez eux ; ils ont besoin d’une recette de cuisine et ils disent : « Alexa trouve-moi la recette de cuisine de bidule », et Alexa va leur dicter la recette de cuisine. Mais pour faire ça, à un moment donné, ça transite par le réseau et on ne sait pas dans quelle mesure c’est enregistré en continu. Mais en tout cas, il y a eu un exemple il n’y a pas longtemps : les autorités américaines, les flics, ont été demander d’avoir tous les enregistrements, parce qu’il y avait eu un meurtre à côté ; ils se disaient tiens, peut-être que ça a enregistré des effets du meurtre. On verra, éventuellement, si ça donne quelque chose.
Luc : Samsung, la télé connectée ça a fait du bruit. Ils ont un peu fait marche arrière, mais personne n’a été inquiété chez Samsung, ça reste illégal.
Magali : Mais si, il y a un directeur qui a sauté !
Luc : Non, non, parce que justement j’ai lu dans l’article « aucun directeur n’a sauté ». Tout s’est très bien passé pour les gens de Samsung.
Manu : En Allemagne, très récemment, même chose : des poupées connectées, vendues aux enfants, et ces poupées étaient capables de répondre à des commandes vocales des gamins. Sauf que ces commandes, en fait, étaient envoyées à des serveurs, en permanence, et de manière absolument non sécurisée.
Luc : Comme la télé connectée de Samsung.
Manu : Là, ça avait l’air d’être même pire parce que, en gros, tu pouvais te connecter à la poupée juste en te mettant à dix mètres et vraiment prendre le contrôle à distance et parler avec l’enfant par l’intermédiaire de cette poupée. Ça avait l’air d’être vraiment sympa. Les autorités allemandes n’ont pas trouvé ça très sympa, elles l’ont juste interdit dès qu’elles ont découvert le truc.
Magali : Arrêtons, on va croire qu’on est contre les objets connectés !
Luc : Il faut se méfier ! Autre exemple : Facebook, parce qu’on ne va pas taper toujours sur les mêmes. Donc en 2015, l’équivalent de la CNIL en Belgique a dit que Facebook ne respectait pas le droit européen sur les données privées et la DGCCRF [Direction générale de la concurrence, de la consommation et de la répression des fraudes, NdT], donc chez nous, en 2016, a aligné Facebook également là-dessus. Donc cette grosse boîte, Facebook, à qui on confie toute notre vie, ne respecte pas la loi ! Exemple qui est encore de l’informatique, mais de l’informatique embarquée : le Diesel Gate, donc la grosse magouille faite par Volkswagen qui, en gros, on en a parlé, c’est encore assez vif dans les mémoires, ont bidouillé l’informatique à bord pour que la bagnole passe les tests de pollution dès lors qu’elle se rendait compte qu’elle était testée.
Manu : Et ça c’est beau, parce que ce truc a donné lieu à pas mal de réflexions et pas mal de discussions autour de tout ce qui s’était passé là-dedans. Est-ce que c’était quelque chose d’involontaire « oups, désolés, on s’est trompés ! » Non, non, c’était quelque chose de volontaire. Donc volontairement ils ont installé des logiciels pour passer les tests et, à un moment donné, eh bien ils ont su, c’est monté plus ou moins haut dans la hiérarchie, mais ils ont su qu’ils avaient bien activé ces systèmes-là ; ils savaient sur quelles gammes de véhicules et ça leur a pété dans les dents. Volkswagen avait une grande réputation de confiance, eh bien à cause de ça, ils ont été obligés de ramener pas mal de matos, de faire des remboursements, et ils ont une grosse amende qui leur est tombée dessus ; mais on sort en négociations !
Luc : Ce petit tour d’horizon pour montrer que ces grosses entreprises qui ont pignon sur rue, qui sont respectables, peuvent régulièrement, volontairement, enfreindre la loi, parfois de façon vraiment sévère et que, en gros, on n’a aucune raison de leur faire confiance.
Manu : Ça peut aller plus loin. On sait qu’il y avait des Microsoft avec des abus de position dominante, donc là c’était des systèmes économiques entiers. Ça peut être aussi des banques qui abusent de situations et qui, en gros, font des chantages, ensuite, aux autorités politiques. Donc ça peut aller très loin. Mais, en tous cas dans l’informatique, on a des cas qui sont assez faciles à dépister. On en voit assez régulièrement qui arrivent et je pense que ça ne s’arrêtera pas d’ici longtemps !
Magali : Qu’est-ce qu’on peut faire, nous, en tant que citoyens ?
Manu : Se mettre au logiciel libre déjà, parce que le logiciel libre, eh bien oui, ça te permet de voir ce qui se passe. Le Diesel Gate serait beaucoup plus difficile à faire si toute l’informatique qui était embarquée dans les véhicules était une informatique à laquelle on avait un accès à un moment donné. Et on devrait pouvoir bidouiller, comme on bidouille un moteur de voiture, on devrait pouvoir bidouiller le code informatique des voitures.
Magali : Tu veux dire que le code doit être auditable ?
Manu : C’est le minimum !
Luc : Je pense aussi que dans nos actions de consommation, puisqu’on est tous consommateurs, déjà essayer de faire des choix. Et puis, si on n’a pas trop le choix parce que ce ne sont que des grosses boîtes en face, peut-être écouter la radio ou essayer de se renseigner un petit peu, et puis quand on va voir son vendeur dire : « Ah oui, mais voilà Samsung, je n’ai pas confiance ! » Et si tout le monde commence à dire au vendeur : « Samsung, je n’ai pas confiance », eh bien je pense que ça peut mettre un peu une pression, petit à petit, par le réseau commercial. En tout cas c’est bien d’en parler et d’être informé.

Magali : Du point de vue des vendeurs, je ne sais pas si ça va être efficace, mais il y a quelque chose qui est très efficace, ce sont les réseaux sociaux.
Luc : Oui, qui ne respectent pas !
Magali : Sans faire de fake news, en tout cas, quand on est témoin d’une malhonnêteté pareille, eh bien en parler sur les réseaux sociaux.
Luc : Voilà. C’est bien mieux qu’une théorie du complot. La télé connectée de Samsung c’est vachement mieux qu’une théorie du complot boiteuse. C’est complètement hallucinant. Il faut aller lire les articles parce qu’en plus les conditions d’utilisation sont assez incroyables, et c’est vrai.
Manu : Là c’est un exemple de 1984 pur. La télé de 1984, elle vous regarde !
Luc : Voilà. On a fait le tour de ce petit sujet, on se retrouve la semaine prochaine.
Manu : À la semaine prochaine.
Magali : Salut !

Références

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.