GuiGui's Show

« Le Premier ministre a déploré mardi les appels téléphoniques d’associations comme la Quadrature du Net et Amnesty International visant à influencer le vote des députés sur le projet de loi sur le renseignement. "Je constate que peu de parlementaires, heureusement, ont été sensibles à ces pressions", a déclaré Manuel Valls. »

En rapport avec ça : http://shaarli.guiguishow.info/?DwINEA

C'est beau :') et les marchands d'armes numériques et la finance et les labos pharma et les pétroliers et les ayant-droits et les télécoms et les... ils ne font pas lobbying beaucoup plus intense, bien sûr ! Tu te fous de nous, Manu !

«  En 5 minutes je pense déjà à des tonnes d'arguments pour exprimer à quel point cette idée est profondément stupide :

    * le système des CA SSL est complètement cassé, de par sa conception-même. Ça fait des années que tout le monde dans le monde de la sécurité dit que c'est de la merde. Plutôt que de nous emmerder avec des rustines inutiles comme "letsencrypt" ou à recopier l'UI de Chrome, Mozilla ferait mieux de réfléchir à une alternative crédible pour qu'HTTPS devienne enfin quelque chose de sécurisé et accessible à tout le monde, pas seulement aux riches occidentaux.

[NDLR : +1, DANE, par exemple :) Sinon s/SSL/TLS/, les gens, SSL c'est mort depuis longtemps hein. :P ]

    * un certificat ça coûte des thunes. Oui oui StartSSL, letsencrypt machin. Non je suis pas d'accord, car c'est un monopole (bientôt duopole), si demain ils décident de faire payer c'est foutu. De plus quand on veut des sous-domaines c'est tout de suite très chiant (et cher). Et quand on veut un wildcard, c'est là que ça devient marrant. Enfin ou pas.

[NDLR : ouais enfin des certs wildcard, non, juste non :/ ]

    * ça veut dire que tous les gens qui n'ont pas de thune vont aller faire certifier leur site auprès d'une autorité centralisée (startssl ou letsencrypt, whatever). Big brother toussa. Si un jour ces autorités n'acceptent plus votre site parce que vous êtes un index de bittorrent, un média alternatif ou autre truc qui dérange, vous êtes bien dans la merde. Et combien de temps avant qu'un CA ne soit obligé par la justice à la demande de la RIAA ou autre à révoquer le certif d'un site ?

    * la gestion des certificats c'est chiant, grave. J'ai une dizaine de domaines en HTTPS à gérer, tous les 6 mois il faut que je renouvelle les certificats. A chaque fois je finit par en enlever un, parce que c'est super chiant. Une fois que j'ai mis en place un truc, je veux que ça marche sans avoir à y revenir tous les ans ou tous les 6 mois, je suis pas admin sys, je fait ça sur mon temps libre. Et moi je suis un geek, je kiffe jouer de la config apache (enfin pas trop quand même), mais pour le péquin lambda, qui aura le courage d'aller se faire chier à faire un certif, le mettre à jour etc.

[NDLR : la sécurité c'est toujours plus contraignantn que sans, il faut arrêter avec ça, maintenant ! ]

    * Mozilla devient CA, et juste après parle de ne plus faire que du httpS. Tiens tiens, un business plan sous le coude ?

    * C'est un sacré frein à la création de site web et à l'amateurisme (au sens noble), la barrière d'entrée sur le web devient encore plus haute

[...]

un autre souci c'est OCSP, une techno qui permet au navigateur de demander au CA si le certificat est bon et encore valide. En théorie c'est super. En pratique ça veut dire que tout le monde qui visite un site fait une requête au CA, qui sait donc qui visite le site. Non seulement ça peut être un gros business, mais en plus c'est une sacré atteinte à la vie privée (et on peut risquer sa vie dans un pays non démocratique, si on va visiter un site interdit…). Dans HTTP, aucun mouchard n'envoie à un prestataire tiers le nom de tous les sites que vous visitez…  »

Via http://sebsauvage.net/links/?L-bxTg

« Le 3 mars 2015, le Conseil de l'Union européenne a voté un texte mettant en péril la neutralité du Net en Europe, au mépris de la position arrêtée par le Parlement européen un an plus tôt. Des négociations entre le Parlement européen, la Commission européenne et le Conseil ont commencé le 11 mars dernier (trilogue) pour aboutir avant l'été à un accord sur le texte définif. Une fois adopté, ce règlement devra s'appliquer dans tous les pays de l'UE. L'enjeu est donc fondamental d'obtenir du Parlement européen qu'il reste ferme sur la préservation de la neutralité du Net

[...]

En refusant de définir strictement la neutralité du Net, il se soumet aux intérêts des opérateurs et ignore ceux des citoyens. »

«  "Ce projet de loi est un mensonge d'État", dénonce le représentant des avocats de Paris, pas du tout séduit par la communications gouvernement et élyséenne. "Le président de la République l'a présenté lui-même récemment à la télévision comme un texte essentiel pour lutter contre le terrorisme, alors qu'il va s'appliquer bien au-delà, à beaucoup d'autres domaines. Ce projet menace gravement les libertés publiques", dénonce-t-il.

Pour Me Sur, "ce texte est un fourre-tout où domine l'arbitraire". Entre autres reproches : "Jusqu'à présent, dans le cadre d'une enquête, on ciblait, on isolait la cible suspecte avant de la placer sous contrôle. A l'avenir, on écoutera d'abord tout le monde, sur parfois de vastes zones géographiques. On va inverser la méthode. La nouvelle logique sera celle de l'entonnoir. C'est dangereux".

L'avocat en appelle au Conseil constitutionnel, dont on sait qu'il sera saisi à la fois par le président François Hollande et par des députés, et "ne pense pas que les Sages laisseront passer cette illégalité", en parlant de l'exclusion de l'autorité judiciaire dans le mécanisme d'autorisation des mises sur surveillance. »

L'essentiel du projet de loi renseignement est ainsi résumé en des termes simples : pas de séparation des pouvoirs, pas de judiciaire, des finalités permettant la msie en place de techniques de renseignement trop vastes, surveillance de masse, arbitraire... Je devine la réponse du gouvernement : c'est un baveux donc il défend ses intérêts (justice -> défense) et puis si tu fais appel à lui, c'est forcément que t'as quelque chose à te reprocher.

« Qui développera l’algorithme chargé de détecter «une menace terroriste» ?

L’expression «boîte noire» - trouvée par le gouvernement - résume bien l’opacité qui entoure cette nouvelle technique de renseignement. Dans le texte de loi, les boîtes noires sont définies comme des «dispositifs destinés à détecter une menace terroriste sur la base de traitements automatisés». En somme, des algorithmes passent à la moulinette des données pour trouver des comportements considérés comme propres aux terroristes. Interrogé par Libération, Bernard Cazeneuve n’avait pas voulu dire précisément qui concevrait ces algorithmes. Il s’agira de la Direction générale de la sécurité extérieure (DGSE). Une source informée précise : «L’algorithme est élaboré par des ingénieurs de France Télécom se trouvant hors contingent. Autrement dit, ils n’existent pas et reçoivent leurs instructions oralement de la direction technique de la DGSE.» »

Alors là, c'est le bouquet ! J'attends l'avis de Reflets sur ça... M'étonnerait beaucoup qu'on trouve que du FT (Qosmos et co bonjour).


« Combien y a-t-il d’Imsi-catchers en service et combien coûtent-ils ?

Cette question a fait l’objet d’un jeu du chat et de la souris avec la place Beauvau. Malgré nos nombreuses relances, nul moyen d’obtenir le nombre d’Imsi-catchers déjà en service, que ce soit dans le cadre d’enquêtes judiciaires ou d’écoutes administratives. La question n’a pourtant rien d’infamant puisque, au moins pour le judiciaire, la police les utilise sous le contrôle d’un juge. Outre le secret-défense concernant les modèles d’Imsi-catchers déjà employés, le ministère invoque l’imminence de commandes publiques pour motiver son silence. Selon Urvoas, «moins d’une dizaine» d’Imsi-catchers seraient utilisés en France, judiciaire et administratif confondus. Un chiffre qu’un policier antiterroriste qualifie de «réaliste». A en croire l’étude d’impact réalisée en amont de l’examen du projet de loi, le coût d’un Imsi-catcher avoisinerait les 375 000 euros. Une estimation jugée «un peu basse» par Urvoas. Toujours est-il que 4,5 millions d’euros sont prévus entre 2015 et 2017 pour «le financement de douze dispositifs.»  »

Via https://twitter.com/bortzmeyer/status/595188801904975872

Un maire proche FN qui fait des stats sur la religion qu'il présume des enfants scolarisés dans sa ville à partir de leur prénom. J-O-I-E !

« La nouvelle est tombée brutalement vendredi dernier : le site de streaming musical Grooveshark a fermé ses portes, après plus de huit années d’existence et une longue bataille judiciaire contre les majors de la musique, qui s’était conclue en 2014 par une cinglante condamnation pour violation du droit d’auteur. Sous la pression des ayants droit, les fondateurs du site ont préféré saborder leur navire et mettre un point final à l’aventure, plutôt que de devoir payer les 700 millions de dollars d’amendes auxquels la justice les avaient condamnés.

[...]

Du P2P rémunéré au streaming musical centralisé

[...]

Car à leurs yeux, Grooveshark portait en lui une forme de « vice fondamental »: si les industriels de la musique toléraient l’existence d’un service fonctionnant sur le principe du partage des fichiers par les individus, ils acceptaient de revenir sur un des fondements du droit d’auteur, qui veut qu’une oeuvre ne peut être distribuée sous une forme donnée qu’avec l’accord des titulaires de droits. Ne parvenant pas à trouver d’issue légale pour son modèle, Grooveshark s’est alors abrité derrière la responsabilité allégée dont bénéficient les hébergeurs de contenu sur Internet au titre du DMCA (Digital Millenium Copyright Act) aux Etats-Unis. Une plateforme ne devient responsable pour un contenu mis en ligne par ses utilisateurs que si elle ne réagit pas rapidement pour le retirer une fois qu’il lui a été signalé. Or c’est ce point qui a causé la perte de Grooveshark : les ayants droit sont parvenus à prouver devant les juges que la société avait demandé à des employés de charger eux-mêmes de fichiers sur la plateforme, ce qui a eu pour conséquence de leur faire perdre le bénéfice du « safe harbour » (sphère de sécurité) prévu par le DMCA.

[...]

Quelle différence entre Grooveshark et « l’offre légale » ?

La différence est en réalité extrêmement ténue. On peut même dire que Deezer n’est rien d’autre qu’un Grooveshark qui a réussi. En effet, il est bon de rappeler qu’à ses origines l’aujourd’hui respectable Deezer a également subi des accusations de violation de droit d’auteur. Le champion français du streaming avait en effet réussi à trouver un accord avec la SACEM en ce qui concerne les droits des auteurs, mais pas avec les producteurs de musique qui l’ont longtemps menacé de procès. Ce n’est qu’après coup qu’une entente a pu être entérinée, mais Deezer a bien été obligé lui-aussi à une époque de « passer en force », en mettant les titulaires devant le fait accompli de l’existence d’une offre.

Un site très proche de Grooveshark a d’ailleurs existé en France. En 2003, Radio.blog.club avait essayé de mettre en place un modèle d’écoute en streaming gratuit, financé par de la publicité. C’était d’ailleurs à l’époque le concurrent d’un certain BlogMusik, qui se se transformera ensuite en Deezer après avoir réglé ses problèmes juridiques. Mais la sanction a été lourde pour lui, puisque le site a été condamné en 2012 par la justice, avec un million d’euros d’amendes à verser pour ses fondateurs.

[...]

Comment les plateformes « achètent » leur survie…

Pourquoi les ayants droit se sont-ils acharnés à ce point sur Grooveshark, alors qu’ils laissent subsister des plateformes proches dans leurs principes de fonctionnement, comme YouTube ou SoundCloud ? Certes, il y a bien sûr le fait que Grooveshark a commis l’énorme erreur de faire partager des fichiers à ses propres employés, ce qui le rendait beaucoup plus facile à abattre en justice. Mais au-delà de cela, YouTube et SoundCloud ont accepté de faire évoluer graduellement leur modèle pour trouver un terrain d’entente avec les titulaires de droits.

YouTube a par exemple des accords de redistribution de recettes publicitaires qu’il génère avec certains producteurs, ainsi qu’avec des sociétés d’auteur comme la SACEM en France. Par ailleurs, il a déployé un système de filtrage automatique des contenus chargés par ses utilisateurs, le fameux ContentID, dit aussi « Robocopyright ». Cet algorithme fonctionnant à partir d’empreintes des fichiers fournies à YouTube par les titulaires de droits assure une forme de « police privée du droit d’auteur », en distribuant des sanctions (les « strikes ») aux utilisateurs qui chargent des contenus sans respecter le droit d’auteur. Le système permet à la plateforme d’exercer une surveilance constante des contenus, sans perdre le bénéfice de sa responsabilité allégée.

[...]

SoundCloud a connu exactement la même trajectoire. Un robocopyright a aussi été progressivement déployé pour filtrer les contenus et la plateforme a récemment noué un partenariat avec la société Zefr pour améliorer son efficacité. Cette évolution lui a permis de commencer à nouer des accords avec Warner Music, mais les négociations continuent toujours avec les autres majors. Au passage, l’implantation du robot a eu des conséquences non négligeables pour les utilisateurs. Car SoundCloud a longtemps été réputé comme un lieu privilégié sur la Toile pour le partage des mixes et des compilations de DJs. Or son algorithme repère automatiquement les empreintes des oeuvres qu’il est chargé de surveiller, sans distinguer s’il s’agit de morceaux entiers ou d’extraits réutilisés dans des créations dérivées. Depuis quelques temps, les DJ postant leurs mixes sur SoundCloud font donc l’objet de sanctions à répétition, à tel point que la communauté envisage à présent de migrer. SoundCloud en sera plus « propre », mais aussi bien plus pauvre…

[...]

D’une certaine manière, on peut dire que deux plateformes comme YouTube et SoundCloud ont « acheté leur survie » en acceptant de déployer ces systèmes de police privée du droit d’auteur. Pour les utilisateurs, cela signifie aussi qu’il faudra dorénavant se soumettre à une forme de « robotisation » de l’application du droit, provoquant de plus en plus de dommages collatéraux.

Même s’il change profondément leur nature, ce « deal » peut s’avérer juteux pour les plateformes. YouTube par exemple a lancé depuis la fin de l’année une offre de musique en streaming sur abonnement à partir des contenus partagés sur sa plateforme. En termes de profondeur de catalogue, il est le seul qui puisse être comparé à Grooveshark, parce que son principe repose aussi sur une alimentation par la foule.

Son modèle passera par des abonnements proposés aux utilisateurs en échange d’une suppression de la publicité qui devient de plus en plus envahissante sur YouTube. Evidemment, YouTube – et Google derrière lui, propriétaire du site – a négocié le montage de cette offre avec les majors de la musique. Mais la plateforme n’a pas hésité au passage à utiliser sa puissance pour tordre le bras des producteurs indépendants, qui ont été sommés d’accepter des termes contractuels défavorables sous peine d’être éjectés de l’offre gratuite.

[...]

Le seul point « positif » – si l’on peut s’exprimer ainsi – dans la fermeture de Grooveshark, c’est qu’il aura quand même fallu un procès en bonne et due forme pour arriver à ce résultat. On reste encore dans le cadre d’une décision de justice, offrant un minimum de garanties pour les droits de la défense. L’étape suivante que visent à présent les titulaires de droits, c’est d’être en mesure de contourner la justice pour faire pression directement sur les plateformes avec l’appui de l’Etat.

[...]

C’est une tendance lourde que l’on voit actuellement monter à travers des concepts comme « l’auto-régulation des plateformes » ou la mise en place de moyens extra-judiciaires de lutte contre la « contrefaçon à échelle commerciale », telle la Charte récemment négociée en France sous l’égide du Ministère de la Culture à propos de la publicité en ligne. Le prochain Grooveshark ne sera pas condamné par un juge : il sera éjecté de l’écosystème par un système de censure privée organisé sur une base contractuelle entre les titulaires de droits et des intermédiaires. C’est d’ailleurs ce qui avait commencé avec Grooveshark, puisque Google avait accepté en 2013 de ne plus afficher le site dans ses suggestions de recherche, avant même que le jugement final ne soit rendu en 2014. Ce type de réactions des intermédiaires techniques risque de se généraliser.

L’évolution du streaming dans la musique montre d’ailleurs à quel point un concept comme celui de « contrefaçon commerciale » ou de « site massivement contrefaisant » est évanescent. La différence entre Deezer, YouTube et Grooveshark n’est qu’une différence de degrés et pas de nature. Ceux qui acceptent « d’acheter leur survie » pourront subsister, mais à condition d’évoluer vers des modèles de plus en plus problématiques pour le respect des libertés… »

Via https://twitter.com/bortzmeyer/status/595173585007845376

Vu que le vote en séance publique à l'Assemblée est pour mardi 5 mai, j'ai encore contacté mon député (duquel je n'ai toujours aucune réponse, narmol quoi)...

« Monsieur le Député,

Je fais suite à mes mails « À propos du projet de loi relatif au renseignement » du 01/04/2015 et 12/04/2015.

Le projet de loi renseignement sera mis au vote dans notre Assemblée le 5 mai prochain.

Comme aucune des dispositions liberticides[1] n'a été retirée ni même amoindrie lors des discussions publiques à l'Assemblée les 13,14,15,16 avril derniers, je m'oppose toujours fermement à ce texte. Les promesses de saisine du Conseil constitutionnel par François Hollande et par des parlementaires de l'opposition ne constituent pas une garantie suffisante à mes yeux.

Je vous rappelle que les acteurs de l'Économie numérique française (mouvement « ni pigeons, ni espions - http://ni-pigeons-ni-espions.fr/fr/), les défenseurs des libertés (Syndicat de la Magistrature, le Syndicat national des journalistes, l’Ordre des avocats de Paris, (La Quadrature du Net, Amnesty International, Reporters Sans Frontières,... parmi de nombreux autres) ainsi que la société civile (manifestation du 2 mai à Lyon - http://www.zdnet.fr/actualites/loi-renseignement-premiere-manifestation-d-opposants-a-lyon-39818820.htm, inauguration de la place de la liberté surveillée à Brest - https://www.youtube.com/watch?v=7DV2P-eSlWI) restent mobilisés contre ce projet de loi. Les représentants du peuple français les ignoreront-ils ? Iront-ils à l'encontre de leur volonté ?

Quel est votre positionnement sur ce projet de loi ?

Je vous demande expressément de rejeter ce texte lors du vote de mardi prochain pour les raisons exposées dans mes mails précédents et rappelées en préambule de ce mail.

Cordialement.

[1] Contrôle complet du dispositif de renseignement par l'exécutif, aucun contre-pouvoir, pas de judiciaire, pas de réel recours pour le citoyen, la CNCTR est une commission purement consultative en manque de moyens, mise en place d'une surveillance de masse (via une collecte de masse sur les réseaux informatiques) perpétrée par de mystérieux algorithmes informatiques dont personne ne saura jamais rien, légalisation de techniques de renseignement intrusives déjà en usage sans débat démocratique pour offrir l'impunité aux agents de l'État,... »

Un énième rappel pour que ça rentre bien dans les esprits.

« Selon la presse allemande, l’Allemagne aurait espionné la France et l’Union européenne pour le compte de la NSA. Etonnament, pensent certains, la France se tait. Comme si finalement, il n’y avait pas là une sorte de cassure dans le couple franco-allemand.

[...]

Premier point, comme l’expliquait déjà Bluetouff en juin 2013, la collaboration très étroite entre la Grande-Bretagne, l’Allemagne et les Etats-Unis en matière d’écoute n’est pas une nouveauté. L’armée américaine et la NSA, évidemment, exploitent des bases monumentales dans ces pays. Des bases dans lesquelles les employés sont américains. Lorsqu’un pays donne le droit à un autre de mettre en place des stations d’écoute très sophistiquées et « autonomes » sur son sol, on est en droit d’imaginer que la collaboration dans ce domaine est maximale.

Deuxième point, il est désormais établi que les pays, amis plus ou moins proches, ont mis en place après le 11 septembre une gigantesque bourse d’échange de renseignements. Tu espionne machin, ça m’intéresse. Moi j’espionne truc et ça t’intéresse. Ça tombe bien, nos législations locales nous interdisent d’espionner machin ou truc, on n’a qu’à échanger ces données. #Spamoi qui l’ai fait, c’est mon copain. Ainsi, les Etats-Unis puisent en Grande-Bretagne les informations concernant leurs ressortissants et la Grande-Bretagne va chercher aux Etats-Unis les données concernant les sujets de sa majesté. Pratique.

Les Etats-Unis, comme l’avait déjà évoqué Reflets, ont une mauvaise connectivité avec l’Afrique. La France, à l’inverse, a de gros tuyaux qui passent par cette région. Les Américains utilisent donc des métadonnées récoltées par la France. Ceci, très probablement dans le cadre du mystérieux accord Lustre que la France refuse catégoriquement de commenter depuis la révélation de son existence. Jean-Jacques Urvoas allant même jusqu’à quitter la salle lorsque Reflets l’interrogeait sur ce sujet dans une réunion publique.

Cette collaboration asymétrique (les Etats-Unis ont des capacités d’écoute bien plus importantes) a bien entendu un volet désagréable. Lorsque Edward Snowden envisageait de demander l’asile à l’Allemagne, les Etats-Unis ont expliqué à leurs amis allemands qu’il n’en était pas question, sous peine de perdre l’accès à cette bourse d’échanges. »

« Au restaurant, à l'hôtel ou dans les bibliothèques, il est souvent possible d'utiliser un réseau internet wi-fi ou des postes informatiques en libre accès.

La CNIL a décidé d'intégrer dans son programme annuel des contrôles la thématique de l'internet en libre accès. Elle a effectué plusieurs contrôles des modalités de mise en œuvre de ce type de service auprès d'organismes privés et publics.

[...]

La CNIL a constaté lors des contrôles que de nombreux opérateurs de communication électronique conservaient des données portant sur le contenu des correspondances échangées ou des informations consultées (URLs) alors qu'ils ne sont pas autorisés à le faire (article L. 34‑1 VI du CPCE).

[...]

Or, les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement ( Article R. 10-13 du Code des postes et des communications électroniques)

Les autres données collectées dans le cadre de l'offre d'internet en libre accès, telles que les informations d'abonnement, etc. doivent être supprimées régulièrement (article 6-5° de la loi n°78-17 du 6 janvier 1978 modifiée) lorsqu'elles ne sont plus nécessaires (désinscription ou inutilisation prolongée de l'abonnement).

[...]

Les opérateurs de communication électronique doivent délivrer une information aux utilisateurs de leur service sur les modalités de traitement de leurs données (article 32 de la loi n°78-17 du 6 janvier 1978 modifiée). Le support de cette information doit être le formulaire d'inscription au service. A défaut, l'information doit être fournie par voie d'affichage, dans une charte informatique, etc. (Voir les modèles de mention d'information).

[...]

Plusieurs opérateurs de communication électronique contrôlés utilisaient des outils de surveillance afin d'assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions, etc.

L'utilisation de tels outils (consultation ou prise en main à distance, contrôle de l'historique de la navigation, etc.) est susceptible de donner accès à un grand nombre d'informations excessives au regard de la finalité pour laquelle elles sont collectées (identifiants-mots de passe, numéros de compte bancaire, etc). Le recours à de tels outils doit être évité ou un paramétrage limité doit être mis en place. »