GuiGui's Show

L'examen de la révision constitutionnelle afin d'y intégrer l'état d'urgence et la déchéance de nationalité commence aujourd'hui, mercredi 27 janvier et continuera demain, au sein de la commission des lois de l'Assemblée.

Voici donc le mail que j'ai envoyé aux membres de cette commission :

Mesdames et messieurs les député-e-s membres de la commission des Lois,
Monsieur le rapporteur Urvoas,

La commission des Lois examinera dès ce mercredi matin le projet de loi constitutionnelle de protection de la Nation. En tant que citoyen, je vous demande de rejeter ce projet de loi lors du vote sur l'ensemble du texte et/ou d'accepter les amendements visant à vider ce texte de sa dangereuse moelle (amendements CL1, CL3, CL4, CL5, CL64,... par exemple). Il est inutile de renforcer un texte déjà hautement préjudiciable à notre République et à ses citoyens.

Quels sont mes griefs contre ce projet de loi ? (liste non ordonnée)
        * Il est discuté sous le coup de l'émotion et alors que les citoyens sont toujours soumis à l'état d'urgence. Rien de bon ne peut être produit dans la précipitation.

        * Son article premier constitue une acceptation d'une gouvernance par exception, par stratégie du choc orchestrée par un exécutif tout puissant. C'est inacceptable dans un état de droit comme la France.
                De plus, cet article inscrit dans notre Constitution un état d'urgence sécuritaire déjà responsable de trop de dérives liberticides ces derniers mois : interdiction de rassemblements, violences policières lors de manifestations, comportements paranoïaque dans les écoles publiques (annulation des sorties scolaires, peur des cartables errants dans les couloirs,...), assignations à résidence abusives, perquisitions à domicile fracassantes et traumatisantes,... Les exemples ne manquent pas (voir https://wiki.laquadrature.net/%C3%89tat_urgence/Recensement ) et aucun n'a quelque chose à voir avec le terrorisme.
                Le gouvernement est empêtré dans un mouvement guerrier et d'extrême défiance vis-à-vis de ses citoyens. La lutte contre le terrorisme est uniquement un alibi.

        * Son deuxième article est une atteinte inefficace à la cohésion sociale de la Nation sous couvert de symbolisme (va-t-on déchoir de sa nationalité un terroriste qui s'est fait sauter le caisson pour sa cause ?!). Si cette mesure est appliquée un jour, ça sera forcément un abus dû à la formule large et floue « atteinte grave à la vie de la Nation ».

        * Le tout constitue une amplification de la migration des pouvoirs vers le juge administratif comme l'indiquent clairement le futur article 36-1 et l'exposé des motifs. Cela fait bientôt 10 ans que l'on accentue les pouvoirs du juge administratif au détriment du juge judiciaire alors que seul ce dernier permet de répondre à la séparation des pouvoirs et donc d'être un état de droit. On arrête quand ?

        * Ce projet de loi ne s'attaque pas aux racines du mal-être : exclusion sociale, raz-le-bol, désespoir, problèmes de l'éducation publique, misère financière, les petits jeux ambigus de la diplomatie française quand il s'agit de business (avec l'Arabie Saoudite et son wahhabisme proche des idées de Daesh, par exemple). Si l'on ne s'attaque pas à ses racines, le mal reviendra.

La France, cette terre de libertés et de fraternité, oublie sa force et ses valeurs avec des lois sécuritaires depuis plus de 3 ans et un état d'urgence débridé et pesant qui crée un climat délétère. Cela a assez duré.

Cordialement.


Voici également la liste des adresses mails des 73 député-e-s membres de la commission des Lois, au format kiVaBien :
iaboubacar@assemblee-nationale.fr, nappere@assemblee-nationale.fr, cassaf@assemblee-nationale.fr, mfbechtel@assemblee-nationale.fr, lbelot@assemblee-nationale.fr, ebinet@assemblee-nationale.fr, jbompard@assemblee-nationale.fr, gbourdouleix@assemblee-nationale.fr, dbussereau@assemblee-nationale.fr, ccapdevielle@assemblee-nationale.fr, machapdelaine@assemblee-nationale.fr, eciotti@assemblee-nationale.fr, jmclement@assemblee-nationale.fr, gcollard@assemblee-nationale.fr, scoronado@assemblee-nationale.fr, pcrozon@assemblee-nationale.fr, fcuvillier@assemblee-nationale.fr, cdasilva@assemblee-nationale.fr, mpdaubresse@assemblee-nationale.fr, jpdecool@assemblee-nationale.fr, sdenaja@assemblee-nationale.fr, fdescampscrosnier@assemblee-nationale.fr, pdevedjian@assemblee-nationale.fr, mdolez@assemblee-nationale.fr, rdosiere@assemblee-nationale.fr, pdoucet@assemblee-nationale.fr, ldumont@assemblee-nationale.fr, odussopt@assemblee-nationale.fr, gfenech@assemblee-nationale.fr, hfourage@assemblee-nationale.fr, ggarot@assemblee-nationale.fr, ggeoffroy@assemblee-nationale.fr, bgerard@assemblee-nationale.fr, dgibbes@assemblee-nationale.fr, ygoasdoue@assemblee-nationale.fr, pgosselin@assemblee-nationale.fr, pgoujon@assemblee-nationale.fr, fguegot@assemblee-nationale.fr, phouillon@assemblee-nationale.fr, shuyghe@assemblee-nationale.fr, mkaramanli@assemblee-nationale.fr, nkosciusko-morizet@assemblee-nationale.fr, jclagarde@assemblee-nationale.fr, glarrive@assemblee-nationale.fr, jylebouillonnec@assemblee-nationale.fr, ayledain@assemblee-nationale.fr, amarie-jeanne@assemblee-nationale.fr, omarleix@assemblee-nationale.fr, smazetier@assemblee-nationale.fr, pmennucci@assemblee-nationale.fr, pmolac@assemblee-nationale.fr, pmorelalhuissier@assemblee-nationale.fr, jpelissard@assemblee-nationale.fr, ephilippe@assemblee-nationale.fr, spietrasanta@assemblee-nationale.fr, epochon@assemblee-nationale.fr, jfpoisson@assemblee-nationale.fr, ppopelin@assemblee-nationale.fr, draimbourg@assemblee-nationale.fr, broman@assemblee-nationale.fr, msage@assemblee-nationale.fr, rgschwartzenberg@assemblee-nationale.fr, atourret@assemblee-nationale.fr, cuntermaier@assemblee-nationale.fr, jjurvoas@assemblee-nationale.fr, dvaillant@assemblee-nationale.fr, jvalax@assemblee-nationale.fr, fvannson@assemblee-nationale.fr, pverchere@assemblee-nationale.fr, jlwarsmann@assemblee-nationale.fr, pzanetti@assemblee-nationale.fr, mjzimmermann@assemblee-nationale.fr, mzumkeller@assemblee-nationale.fr

« Dans son rapport sur la lutte contre la cybercriminalité (p.211 et s.), le magistrat Marc Robert avait regretté qu’en l’état actuel de notre droit, la compétence des juridictions françaises soit seulement reconnue si la victime porte plainte, même si le lieu de commission de l’infraction est extérieur au territoire français. (art. 113-7 du Code pénal). Dans les autres cas, il faut en effet que l’un des éléments constitutifs de l’infraction ait eu lieu en France. Le souci est que la plainte préalable n’est pas toujours déposée. De plus, « il n’est pas toujours possible de trouver un élément constitutif commis en France pour fonder la compétence de la loi nationale. »

Le même Marc Robert ajoutait que « même si la jurisprudence adopte, généralement, une conception extensive, en retenant ordinairement la compétence des juridictions françaises dès lors que les contenus illicites diffusés via Internet sont accessibles en France, des doutes subsistent encore pour d’autres infractions, notamment la contrefaçon ».

Dans l’avant-projet de loi « renforçant la lutte contre le crime organisé et son financement, l’efficacité et les garanties de la procédure pénale », les doutes sont levés. [...] : tout crime ou délit puni d’une peine d’emprisonnement réalisé sur Internet, quelle que soit la localisation de ses éléments constitutifs, sera réputé réalisé en France dès lors qu’il vise une personne physique résidant en France ou une personne morale qui a son siège. Cela vaudra pour tous les crimes et délits punis d’une peine de prison, notamment donc pour la contrefaçon.

[...]

Ce texte en préparation veut aussi autoriser le recours aux moyens de procédure exceptionnels à l’encontre du piratage informatique commis en bande organisée : surveillance étendue à tout le territoire national, infiltration, enquête sous pseudonyme, (mais pas de garde à vue pendant 96 heures.) »

La suite : présentation de ce projet de loi « renforçant la lutte contre le crime organisé et son financement, l’efficacité et les garanties de la procédure pénale » en conseil des ministres le 3 février prochain.

« La Linux Foundation est une association à but non lucratif dont la mission est, globalement, de promouvoir Linux. Elle permet de financer nombre de développements, à commencer par celui du noyau lui-même, et de veiller à ce que les parties impliquées s’unissent autour de standards communs. Elle permet également de payer un certain nombre de développeurs, dont Linus Torvalds.

[...]

Jusqu’à récemment, les élections pour le conseil d’administration se faisaient en fonction du rang des inscrits à la fondation. Les Platinum élisent ainsi dix membres du conseil, les Gold en choisissent cinq, les Silver un, et les individuels deux. Il peut sembler étrange que ces derniers puissent élire deux membres, mais ils sont également beaucoup plus nombreux, les élus ayant alors la charge de représenter la communauté elle-même. C’était du moins la situation avant que le règlement ne change.

Certains passages ont été modifiés le 15 janvier, dans une mise à jour silencieuse du règlement (section 3.3a). Les individuels n’ont ainsi plus le droit d’élire deux membres du conseil d’administration. L’abonnement à 99 dollars est d’ailleurs supprimé, et remplacé par une offre gratuite intitulée « Individual supporter », le terme « adhérent » ayant été abandonné. La question principale est évidemment : pourquoi ? Elle recouvre aussi les raisons du changement que la manière dont ils ont été faits.

[...]

Il s’interroge également sur la possibilité que le changement soit une conséquence d’un problème entourant Karen Sandler, directrice de la Software Freedom Conservancy, une association qui lutte pour le respect de la licence GPL. Or, elle souhaite actuellement intégrer le conseil d’administration, alors que la SFC prépare un dépôt de plainte contre VMware, à la fois membre Silver de la fondation et accusé de violer les termes de la GPL. Supprimer les votes de la communauté pourrait alors permettre d’évincer Karen Sandler.

[...]

 Jim Zemlin, président de la fondation Linux, explique ainsi que la composition du conseil d’administration ne change pas, le ratio des membres provenant des entreprises et de la communauté restent le même. Il y aura donc toujours deux membres issus de cette dernière. Il ne rebondit par contre pas vraiment sur le changement de statut des adhérents et se contente d’expliquer que la sélection sera simplement plus en phase avec ce qui se fait ailleurs.

Les deux membres concernés actuels, Larry Augustin et Bdale Garbee, restent donc en place. En cas de nouvelles élections par contre, seul le conseil d’administration pourra voter. Zemlin indique par ailleurs que la fondation « pourrait choisir d’ajouter des membres individuels supplémentaires provenant des communautés grandissantes », mais il s’agit bien d’une possibilité, en aucun cas d’une promesse.

[...]

De nombreuses questions restent en suspens, mais les médias ayant interrogé la fondation sur ces sujets (ZDnet, Softpedia ou encore The Register) n’ont obtenu aucune réponse. Beaucoup estiment en tout cas que le changement met la fondation encore un peu plus sous contrôle des entreprises, plus intéressées par la standardisation de Linux que par les aspects philosophiques de l’open source et le respect de la GPL. »

Ça pue. :'(

« Dans un billet officiel vantant le lancement de Windows 10, Microsoft a publié entre autres les suivantes :

    Plus de 11 milliards d’heures ont été passées sous Windows 10 en décembre 2015
    0,7 milliard d’heures ont été passées sous le navigateur web maison Microsoft Edge
    Plus de 82 milliards de photos ont été vues sous l’application Photos pour Windows 10
    Les joueurs sous Windows 10 ont passé 4 milliards d’heures à jouer à des jeux PC

Aucune de ces données ne provient d’un besoin technique (comme peut l’être par exemple le temps passé au téléphone, qui découle directement de la méthode de facturation au temps). Ces données ont donc été obtenues par pur espionnage du comportement des utilisateurs de Windows 10 dans l’intérêt de Microsoft.

[...]

Microsoft récolte vos mots de passe, vos recherches, vos contacts, vos rendez vous, votre localisation, etc… Jusqu’où accepterez vous?

Via http://sebsauvage.net/links/?ByW1qA

« Personne ne s’y attendait, et pourtant The Pokémon Company l’a fait. La firme nippone a annoncé la venue d’un nouveau jeu mettant Pikachu sur le devant de la scène… en détective privé.

[...]

La vidéo ci-dessus est donc la première qui nous parvient, et elle annonce l’arrivée du jeu Detective Pikachu : Birth of a New Duo le 3 février sur Nintendo 3DS au Japon. On y découvre non sans surprise un Pikachu parlant le langage des humains, qui vivra aventures et mystères accompagné d’un jeune garçon, le fameux duo que le titre évoque. Le Pokémon sera amené à résoudre diverses énigmes dans la ville de Rhyme City où humains et pokémons se côtoient librement. Ne cherchez pas à comprendre. »

OWI OWI OWI \o/

« Certains le verront comme une avancée de la sécurité, d’autres comme un recul de leurs libertés. Dans un communiqué de presse, Uber explique qu’il utilise désormais les multiples capteurs présents sur les smartphones de ses chauffeurs pour traquer leurs moindres faits et gestes et s’assurer qu’ils restent dans les clous des consignes dictées par le service de VTC, en particulier en matière de sécurité routière. Il s’agit pour le moment d’un programme pilote, qui pourrait donc être généralisé à terme à l’ensemble des chauffeurs s’il donne satisfaction.

Uber, qui utilisait déjà les informations GPS renvoyées par l’application utilisée par les chauffeurs, explique qu’il exploite dans ce programme toute une série de données renvoyées inconsciemment par les conducteurs, grâce à leurs smartphones. Si un chauffeur a tendance à freiner au dernier moment et donc brutalement, l’accéléromètre de l’iPhone l’enregistre et peut communiquer l’information à Uber. S’il va trop vite dans les virages ou s’il ne s’arrête pas au stop alors qu’il était prévu sur le parcours, idem.
Même, Uber raconte qu’il détecte si un chauffeur prend régulièrement son téléphone dans les mains en conduisant (ce qui active son gyroscope), pour «  lui proposer un support pour régler le problème  ». Mais ça devrait surtout lui permettre de l’avertir ou de l’enlever de la plateforme en cas de récidives ultérieures, car c’est certainement le signe qu’il téléphone ou échange des SMS en conduisant, ce qui met en danger la sécurité des clients — et accessoirement, c’est interdit par la loi, au moins en France. «  Échanger des SMS ou parler au téléphone triple les chances d’avoir un accident », rappelle Uber. »

Qu'il fait bon travailler pour Uber. Bientôt les sanctions préventives sur la base d'un ordiphone. Ça donne envie.

« Tout le monde n’est pas égal devant les publicités sur Twitter. Comme le remarque Re/Code, le réseau social a décidé de ne plus afficher de tweets sponsorisés chez ses membres les plus influents, alors que les utilisateurs occasionnels ou qui ne disposent pas de la même « aura » continuent à voir des publicités s’afficher dans leur timeline.

« Des sources chez Twitter indiquent que la société ne sélectionne pas le groupe avec ou sans publicité purement sur la popularité, mais en fonction d’une diversité de critères, y compris le volume et le reach (taux de visibilité, ndlr) des tweets qu’ils génèrent », explique Re/Code. Le site indique que les premières mesures du genre auraient été prises dès le mois de septembre 2015. »

Que c'est moche...

« the DNS lookup tool "dig" has a very useful feature to trace the DNS delegation from the root-DNS down to the requested domain name. Such a trace looks like this:

% dig menandmice.com +trace

[...]

If the  DNS resolver configured in the operating system where "dig +trace" is uses is a unbound DNS Server, the "+trace" function might fail: [...] The reason for this is that dig sends the very first query for the list of root-dns servers as an iterative query to the local resolving DNS Server. An iterative query is a query where the RD-Flag in the DNS query package is not set (RD=recursion desired). Iterative queries are usually used between a resolving DNS Server and an authoritative DNS Server. Client systems send recursive queries (RD flag set= recursion desired). Unbound is a recursive DNS Server, and it is build to answer recursive queries, not iterative queries (it is not an authoritative DNS Server). In the default configuration, unbound will refuse an iterative query:

[...]

It is possible to use "dig +trace" by specifying one of the root-DNS servers for the initial query:

dig menandmice.com +trace @a.root-servers.net

However for users of unbound that do not want to miss the "+trace" function of dig can configure unbound in a way that it allows iterative (no-recursive) queries. This is done by using the "allow_snoop" option in the access-control statement: »

Via https://twitter.com/aeris22/status/691267904600432640

Hier soir, j'ai fait mes premiers pas sur OTR (chiffrement de bout en bout (le chiffrement commence sur la machine du premier interlocuteur et termine sur la machine du second interlocuteur, quel que soit le nombre de serveurs traversés par la communication pour relier les deux interlocuteurs) des messageries instantanées (XMPP, IRC,...)) suite à l'insistance d'un nouveau contact (nouveau sur XMPP, connu depuis plusieurs années sur d'autres canaux). Depuis le temps que c'était dans ma TODO, ça ne pouvait pas me faire de mal de m'y mettre, pensais-je...

J'utilise Gajim comme client XMPP. Gajim m'indique que mon interlocuteur veut faire de l'OTR mais qu'il me faut un plugin pour ça. Soit, je vais dans le menu Édition -> Plugins -> Available (on notera l'absence de traduction...), je coche Off-the-Record Encryption et je clique sur le bouton « Upgrade » à moitié masqué derrière la liste des plugins disponibles (la qualité de conception habituelle de Gajim, normal quoi).

Je teste avec un premier contact : je clique sur le bouclier OTR apparu dans la fenêtre de notre conversation. Vu qu'on a déjà signé nos clés OpenPGP, je lui envoie un mail chiffré+signé (chiffré pour que personne d'autre ne soit au courant, signé pour qu'il puisse être sûr que ça vient bien de moi) avec un secret partagé (une chaîne de 40 caractères minuscules+majuscules+chiffres+autres générée aléatoirement). Je décoche la case « use question? » puisqu'il sait déjà ce que je vais lui demander. On saisit chacun le secret partagé et... ça juste fonctionne. Jusque-là, je suis émerveillé. :O

Je teste avec un deuxième contact. On n'a jamais signé nos clés OpenPGP donc il va falloir trouver un autre moyen de s'authentifier mutuellement. Mon interlocuteur a dégainé avant moi et le plugin OTR me propose de répondre à sa question : quel est le contenu d'un fichier sur un serveur sur lequel nous sommes tous les deux adminsys. Ho, excellente idée, c'est de là que je le connais en plus donc ça tombe bien puisque ce que je cherche à savoir en réalité, c'est si ce mec sur XMPP est bien le copain adminsys que je connais ! Je vais chercher la réponse (on notera que cette phase dépend de ma configuration SSH pour les algos de chiffrement utilisés et sur une bonne vérification antérieure de l'empreinte de la clé du serveur) et je réponds à la question dans le plugin OTR.

Cette fois-ci, surprise : lui me voit comme un contact authentifié mais pas moi... Je dois lui poser une question... C'quoi l'embrouille ?! Sur l'instant je suis perdu et c'est *très mauvais* signe en crypto : si vous ne comprenez pas ce que vous êtes en train de faire, la crypto est totalement inutile, vous êtes foutu, de base ! Je réfléchis avec le premier contact qui a déjà touché de l'OTR. On ne comprend pas : nous avons réussi à utiliser un secret partagé tous les deux mais là, ça semble être le mode question/réponse... Je mets en cause la qualité des implémentations mais... on utilise tous les trois Gajim @ Debian...

En fait, le problème, c'est l'ergonomie du plugin OTR de Gajim : si tu coches « use question? », tu utilises le mode « question/réponse » d'OTR donc chaque interlocuteur doit répondre à une question de l'autre. Si tu décoches cette case, tu passes au mode « secret partagé » d'OTR. Vas-y pour comprendre ça quand t'es pas initié... Je maintiens : l'interface du plugin OTR de Gajim est naze. On est au niveau de l'ergonomie d'Enigmail (extension de chiffrement des mails avec OpenPGP pour Thunderbird). Ce n'est pas possible.

Mes premières conversations OTR établies, je me dis que je vais creuser un peu plus les options de ce plugin OTR. Déjà, dans la description du plugin, je lis « Read https://github.com/python-otr/gajim-otr/wiki before use. ». Oki, allons lire. Et là, c'est le drame : « What's the status of python-otr and gajim-otr on GitHub or the gajim-plugin repository? *It's dead.* [...] However, I do not recommend using this software, as *it's completely unaudited and written by non-cryptographers. I would not be surprised if it provides absolutely no security in any sense.* ». Oki donc je croyais être plus en sécurité mais c'est peine perdue, je n'ai rien gagné... Encourageant, n'est-ce pas ?

Je ne baisse pas les bras, peut-être y'a-t-il un autre plugin OTR pour Gajim non référencé dans le dépôt officiel des plugins ? Une rapide recherche sur le web ne met rien en évidence. Je voulais juste faire du chiffrement de bout en bout qui fonctionne out-of-box sans prise de tête, pas me retrouver à changer de client XMPP car cette réponse est inacceptable pour un non-initié ("je ne vais pas apprendre un nouveau logiciel, voyons !") à juste titre !

Je décide d'en apprendre un peu plus sur OTR et je lis la page Wikipedia qui lui est consacrée et là, c'est encore plus le drame : « OTR uses a combination of AES symmetric-key algorithm with 128 bits key length, the Diffie–Hellman key exchange with 1536 bits group size, and the SHA-1 hash function. ». Je lis les spécifications (https://xmpp.org/extensions/xep-0364.html et https://otr.cypherpunks.ca/Protocol-v2-3.1.0.html, la version 3 n'apporte aucun changement à ce niveau là) et oui, l'intégrité et l'authenticité du message reposent bien sur SHA-1... En 2016 (https://sites.google.com/site/itstheshappening/) ! Oui, SHA-1 n'est pas encore troué mais en crypto, il faut toujours voir plus loin, avoir de l'avance. On est donc plutôt mal parti avec OTR.

Aeris me pointe cette actualité https://linuxfr.org/news/xmpp-a-fond#chiffrement . Et là, j'ai envie de me trancher les veines :
« L’ancienne méthode : OpenPGP

Il y a eu d’abord une XEP pour utiliser OpenPGP, qui était une XEP dite « historique », c’est à dire basée sur l’usage existant. Cette XEP (la XEP-0027) posait des problèmes de sécurité et a été dépréciée pour cette raison.

Le bout en bout un peu fouillis : OTR

Quelques tentatives plus tard, OTR est apparu et est devenu la mode. Si bien que plusieurs clients XMPP se sont mis à l’utiliser, mais sans XEP. Autrement, dit c’était un peu la fête, surtout qu’OTR dispose de sa propre méthode de découverte indépendante du discovery de XMPP, que certains s’amusaient à mettre du XHTML dans le message sans rien pour le préciser (amenant à des situations comme « j’essaye de décoder du XHTML, pas d’erreur ? Si ? Alors, je prends ça comme du texte. »). Heureusement, une XEP a été publiée récemment pour améliorer la situation, la XEP-0364. On voit bien ici l’intérêt de la standardisation, c’est un cas d’école.

D’autres problèmes sont liés à OTR : il ne chiffre que le contenu du <body/>, c.‐à‐d. le cœur du message. Comme des tas d’extensions ajoutent des informations en dehors du <body/>, il est risqué de les utiliser avec OTR. Autrement dit, il vaut mieux que le client désactive tout quand il utilise OTR. D’autre part, il ne fonctionne qu’avec une conversation directe et il n’est pas possible de laisser un message hors ligne.

Le bout en bout moderne : Aloxotl

En parallèle est arrivé Aloxotl, qui corrige plusieurs défauts d’OTR. Désirant l’implémenter, les développeurs du client Conversations ont pu bénéficier du Google Summer of Code, sous l’égide de la XSF, à condition qu’ils rédigent une XEP.

Ceci a donné OMEMO, qui apporte principalement une synchronisation entre les ressources XMPP (et donc entre les appareils) et les messages hors ligne. Deux XEP ont donc été proposées (cf. le lien précédent), l’une pour le cœur d’OMEMO, l’autre pour son utilisation avec le transfert de fichiers Jingle. Malheureusement, elle souffre du même défaut qu’OTR, c’est‐à‐dire qu’elle ne chiffre que le <body/> du message.

Côté IETF

Mais ça n’est pas tout ! Il y a eu également un travail sur une méthode de chiffrement faite par l’IETF, dont on peut consulter le brouillon. Méthode qui, elle, chiffre la stanza complète !

Et re-OpenPGP

Enfin, il y un travail en cours pour une nouvelle intégration, propre cette fois, d’OpenPGP dans XMPP, dont un brouillon est disponible. »


Une seule expression pour qualifier tout ça : le bordel intégral ! On espère vraiment populariser le chiffrement de bout en bout avec ça ?! Sérieusement ?

Où je veux en venir ? On n'arrivera jamais à faire percer la crypto avec :
    1) des logiciels à l'ergonomie vaseuse (Enigmail et gajim-otr, même combat) ;
    2) des logiciels complètement cramés d'un point de vue de la sécurité ;
    3) des algos foireux, dépréciés et non sécurisés activés de base (GPG et OTR, même combat) ;
    4) XXXX méthodes de chiffrement/signature dont aucune n'atteint l'objectif et n'est réellement utilisable par des non-initiés (on a le même problème avec le chiffrement des SMS... SMSSecure, TextSecure, Signal, Telegram... à part SMSSecure, toutes sont vaseuses/dangereuses (voir http://shaarli.guiguishow.info/?CGDOlw et http://shaarli.guiguishow.info/?vungLg ) et SMSSecure ne semble pas être accessible aux non-initités).

Je n'aime pas l'acronyme « IRL » et sa version longue « dans la vraie vie » (même chose pour l'expression « viens me causer en vrai ») et je pense qu'il ne faut plus les utiliser. Voici mes raisons :
    * Dire « IRL », c'est faire le jeu des détracteurs du Net, de ceux et celles qui pensent que c'est uniquement du virtuel, qu'il n'y a rien de concret, que c'est uniquement du vent, que les personnes qui s'expriment sur le Net sont des peureu-x-ses planqué-e-s derrière leur écran, que la législation actuelle ne s'y applique pas et que c'est donc une zone de non-droit qu'il faut réguler immédiatement. Le pédoporn, ce n'est pas des vidéos sur Internet : c'est des enfants en souffrance quelque part dans le monde. Les libertés numériques ce sont les libertés usuelles tout court (liberté d'expression, droit à l'image, liberté d'information, liberté d'opinion,...). Évitons d'utiliser la novlangue des personnes avec lesquelles nous sommes en désaccord car la possession d'autrui, d'un groupe de personnes ou d'une idée commence par la langue. Exemple : les personnes transgenres ne veulent pas qu'on les désigne transsexuelles car ce mot à un sens bien précis : en psychiatrie, il désigne une pathologie donc si ces personnes utilisent ce terme, elles se reconnaissent malade, de fait, alors que l'idée qu'elles cherchent à faire passer est que, justement, c't'un choix, c'est une identité, c'est *leur* identité, c'est ce qu'elles sont, c'est "comme ça" mais ce n'est sûrement pas une maladie mentale.

    * Techniquement, Internet est un médium de transmission, comme le téléphone ou le courrier. Dirait-on que les factures reçues par la Poste ne sont pas réelles ? Dire « IRL », c'est reléguer Internet à un simple réseau technique, entre ordinateurs alors que c'est un réseau qui permet à des personnes de communiquer entre elles : les ordinateurs ne sont pas autonomes et transmettent ce qu'une personne humaine leur demande de transmettre. Ce réseau et ce que nous y trouvons sont bel et bien physiques, ancrés dans notre réalité : il y a des bâtiments (datacenters) qui hébergent des serveurs informatiques qui stockent les contenus produits par l'humanité connectée. Il y a des kilomètres de câbles, sous nos trottoirs, le long des autoroutes,... Il y a des organisations humaines (sociétés commerciales, associations) qui font tourner tout ça. Des gens sont payés pour veiller au bon fonctionnement de leur parcelle d'Internet. Il y a chacun de nous.

    * Mieux qu'un médium de transmission, Internet est un prolongement de nos humanités. Internet n'est pas une autre réalité à la Matrix, une réalité alternative et encore moins une fausse vie. Une expérience toute simple : si c'était le cas, j'aurais le droit d'insulter quelqu'un, d'être en guerre intégrale avec lui sur le Net tout en étant pote dès qu'il n'y a plus Internet entre nous. Il y aurait une action de se brancher/débrancher du réseau. Une sorte de délire collectif. C'est stupide : on voit bien que les actions en ligne ont des répercussions hors ligne, de la simple communication à la catalyse qui conduit à la chute d'un état totalitaire en passant par des achats sur le Net. De ce simple fait, on démonte l'idée de deux mondes bien différents et cloisonnés : on est bien dans un seul et unique monde. Un site web, un mail, un commentaire sur un blog, une discussion par messagerie instantanée sont bel et bien réels et c'est bien mon cerveau qui a rédigé tout ça, tout comme il structure mes conversations orales. Le même cerveau, pas un autre.

    * D'un point de vue sémantique, « IRL » met l'accent sur les spécificités des interactions en ligne, par opposition à celles qu'on peut avoir quand on peut se donner des châtaignes. Et c'est bien tout le problème : on suppose implicitement la lâcheté de l'interlocuteur, ce qui n'est pas le cas (exemples des lanceurs-euses d'alertes et des militant-e-s pour la liberté dans les états totalitaires,...). Je peux être lâche au téléphone comme sur le Net mais utiliser un téléphone ou un ordinateur ne fait pas forcément de moi un lâche. Ou alors, les militant-e-s pour la liberté lors du Printemps arabe qui uploadaient des vidéos au lieu d'être sur le front de la contestation étaient aussi des lâches : après tout, ils-elles s'exprimaient sur Youtube/Facebook/autre pour documenter au lieu de recevoir des coups ! Bizarre de traiter de lâches des personnes qui s'expriment à l'écrit (donc ça restera, au contraire de l'oral) en public (au contraire de la rixe en petit comité). On part du principe que, s'il n'y a pas moyen de coller un marron à son interlocuteur, alors la communication n'a plus rien de vrai, qu'elle est dénaturée, presque qu'elle n'a plus de sens. C'est juste des pulsions guerrières qui s'expriment. Et si l'évolution de l'humanité était de surpasser cet esprit-là ? J'veux dire, c'est dans cette direction que l'on se dirige depuis plusieurs siècles avec nos états de droit : le droit est une construction humaine comme échappatoire à l'état de nature : on ne se tape plus dessus jusqu'à ce que le plus fort/rapide l'emporte, on privilégie le dialogue et on règle nos problèmes devant des personnes qui ne sont pas parties prenantes dans notre embrouille (la justice). Le droit protège les faibles contre les puissants car la nature ne nous donne pas les mêmes caractéristiques physiques (force, rapidité, réflexes,...). On lisse les inégalités pour faire société en se consacrant à ce qui importe vraiment : nos humanités. Internet n'est donc pas une communication de lâche mais une communication plus humaine et au-delà des préjugés qui tend à aller au-delà des barrières (économiques, sociales, culturelles,...).


En remplacement d'« IRL », je préfère dire « AFK » mais cela soulève quelques oppositions. Faisons-en le tour :
    * Dire « AFK », c'est s'adresser à des initiés. Des non-initiés ne comprendront pas que ça signifie. Oui, c'est vrai, je n'ai pas grand'chose à dire pour défendre « AFK » si ce n'est que notre cerveau est capable de comprendre un terme qui nous échappe en fonction du contexte. Exemple : j'ai réussi à faire percer « ack » autour de moi, y compris à l'oral et y compris à des non-initiés (très peu savent que je tire ça de TCP et tou-s-tes n'ont pas calé que c'était le diminutif de « acknowledgement » mais juste que c'est ce qu'il faut dire pour confirmer qu'on a reçu une info quand on n'a rien à redire sur cette info).

    * La sémantique originale du terme « AFK » vient du milieu du jeu vidéo en réseau et signifie plutôt « je suis indisponible ». On le retrouve également sur les messageries instantanées, là encore pour prévenir rapidement que la conversation est interrompue suite à un événement extérieur imprévu. La bonne question est : je suis indisponible mais pour faire quoi ? Pour avoir ou prolonger une interaction humaine en ligne (que ça soit jouer ou discuter). Et c'est bien l'idée que je cherche à faire passer quand je dis AFK au sens d'IRL. Donc « se voir AFK » représente bien l'idée que je cherche à faire passer, c'est-à-dire qu'il n'y aura plus les machines et le réseau entre nous.

    * « Loin du clavier » à l'époque des ordiphones dans toutes les poches, c't'un peu une connerie, non ? Oui, on n'est jamais loin d'un clavier. Mais avoir un clavier près de soi ne signifie pas forcément l'utiliser et c'est inclus dans la définition d'AFK : un événement extérieur m'empêche d'avoir ou de poursuivre l'interaction que nous avions (discuter ou jouer, par exemple) mais ça n'indique pas ma localisation : quelqu'un peut me parler auquel cas je suis toujours devant mon clavier physiquement parlant ou bien je peux aussi avoir à ouvrir la porte de ma maison car quelqu'un a sonné auquel cas je ne suis plus devant mon clavier.

    * Ma définition d'AFK provient de Peter Sunde, l'un des fondateurs de The Pirate Bay et, vu qu'elle n'est pas répandue, elle entraîne une ambiguïté : un même acronyme, deux sens. Comme les termes geek et hacker : leur sens a été détourné par le plus grand nombre et il y a aujourd'hui une ambiguïté totale. La différence, c'est que, pour hacker/geek, leur véritable sens est également répandu. Il y a donc une sorte d'équilibre. Mais, comme on est un tout petit groupe à utiliser AFK dans le sens d'IRL, alors il y a déséquilibre et on crée une ambiguïté exclusivement dans nos prises de parole. Le problème de ce raisonnement est que, si on le suit, on laisse dire crypter au lieu de chiffrer parce qu'une majorité de personnes semble s'orienter vers l'usage de ce mot dans ce sens précis. Une différence toutefois : crypter pré-existait dans la langue française et on lui donne une définition provenant de l'anglais sans aucune raison valable : c'est un calque donc une impropriété. AFK et IRL c'est différent : je dénigre le sens d'IRL et je prolonge le sens d'AFK. Les langues évoluent en fonction des usages donc AFK peut très bien remplacer IRL : il suffit de le vouloir, comme d'habitude.

    * En revanche, c'est parfois certaines expressions qu'il faut virer sans essayer de leur trouver un équivalent. Je pense notamment à « j'ai discuté avec elle sur les Internets et dans la vraie vie » et à « on se connait dans la vraie vie ». Les compléments dans ces phrases n'apportent aucune information : tu as eu des discussions et tu connais cette personne, point, le support de la communication (l'air ou Internet) n'a rien à voir dans l'histoire. Certaines personnes diront ici que ça ajoute encore de l'ambiguïté genre un ami sur Facebook n'est pas un ami au sens traditionnel donc il faut faire la différence. Tout à fait mais plutôt que de se triturer l'esprit, on bannit aussi l'expression « un ami FB » qui est un non-sens en elle-même et le problème est réglé.


Peut-être devrions-nous construire un nouveau terme pour désigner une communication hors ligne, je ne sais pas. En attendant, je bannis « IRL » / « dans la vraie vie » de mes propos, je vire les constructions de phrases avec « dans la vie réelle » où ça n'apporte aucune information et je remplace « IRL » par « AFK » / « communication hors ligne » en fonction de mon interlocuteur dans les phrases restantes.