Chers nous…

Récemment, Barbayellow sortait un (bon) billet de blog qui a démarré un bon « débat » dans la « twittosphère » : pourquoi, la sécurité, bah… ça marche pas.

Dans ce billet, il explique que la communauté des développeurs et des experts doit s’adapter au besoin et non l’inverse. Dans son cas, ce sont ces communautés qui doivent s’adapter au journalisme et non aux journalistes de devenir des experts en sécurité et des administrateurs réseau en puissance.

Il rajoute d’ailleurs que ça n’arrivera jamais, et, non sans un certain regret, je dois admettre qu’il a raison.

Je voulais détailler mon point de vue, d’où ce billet. D’avance, je vais m’inclure dans ces communautés, mon intention n’étant pas de tirer sur des gens et de m’en exclure, puisque cette adaptation me concerne également.

Notre communauté a un problème : elle reste dans un petit monde, un petit cercle qui, bien qu’il soit extrêmement ouvert d’esprit, est relativement fermé, et ce pour plusieurs raisons.

La première est assez légitime : la méfiance. Quelqu’un qui débarque « comme ça » sera forcément observé, ce qui ne plait pas à tout le monde. Dans l’univers du hacking, de la sécurité informatique ou de l’(h)ac(k)tivisme, il y a toujours de la paranoïa, plus ou moins présente selon les groupes de ces communautés, plus ou moins justifiée, mais toujours.

La seconde est déjà moins sympathique : la fierté, l’élitisme, je considère que c’est une plaie. Et c’est principalement de ça que nous allons parler.

Nous sommes curieux, exigeants, nous avons l’envie d’apprendre, nous avons la motivation, chacun à notre rythme, à notre niveau. Nous avons parfois le temps pour nous planter. Nous avons le luxe de nous le permettre car, à de rares exceptions, cela ne met pas en péril une personne, une vie, une information sensible. Nous pouvons recommencer encore et encore puis réussir, créer, nous documenter sur des manuels tellement intelligibles qu’un profane aurait l’impression de voir un programme de Canal+ ou un écran de la Matrice. Rien que le fait de voir un terminal, ça fait peur à beaucoup. D’ailleurs, rien que de prononcer le terme terminal, mine de rien, c’est déjà quelque chose.

Allez, sérieusement, allez voir des gens « au hasard » et demandez-leur ce que c’est. Voilà. Bref, revenons-en à nos octets…

L’élitisme, donc. « Je sais que je sais, et toi, je sais que tu ne sais pas. Je t’explique, et si tu ne comprends pas alors t’es un N00b », « J’ai eu personne pour apprendre, RTFM » sont des réponses qui calment les gens, sérieusement.

On ne peut pas rester ainsi éternellement si on veut qu’un jour, les efforts que nous faisons marchent. On ne peut pas rester dans notre petit milieu, à envoyer promener les gens parce qu’ils ne comprennent pas assez vite, ou pas du tout.

Des personnes, peut-être pas vous hein, ne vous sentez pas pris pour cible, ont ce comportement-là. Et les conséquences de ce comportement sont nombreuses, l’information reste dans un cercle de gens qui « savent », les autres peuvent se sentir rejetés, ou pris de haut, méprisés, démotivés, ce comportement, c’est un répulsif efficace.

Bref, si nous sommes une communauté ouverte, nous sommes une réelle communauté ouverte, pas uniquement sur le papier. Cela demande du temps, de l’implication, de l’adaptation de la pédagogie et de l’andragogie, les gens doivent se questionner pour comprendre, leur servir la connaissance, ça ne fonctionne pas.

Revenons-en au cas de Barbayellow : la protection de la vie privée, de l’intimité, le contournement de la censure, est freiné par les exigences demandées pour y arriver, qui se résument à la chose suivante dans l’exemple : être administrateur système.

Ça fait mal à lire, mais c’est vrai, nous accusons un cruel manque de pédagogie, de volonté, de capacité à transmettre l’information…

Nous manquons de pédagogie pour les points cités juste avant, je ne reviendrai pas dessus.

Nous manquons de volonté car entre utiliser un programme et expliquer un programme, il y a un gouffre énorme.

Enfin, nous manquons réellement de capacités d’adaptation. Tous, ou presque. Il y a une différence phénoménale entre comprendre quelque chose et être capable d’expliquer quelque chose et, désolé d’avance, si beaucoup comprennent comment fonctionne telle ou telle chose, les gens capables d’expliquer comment ça fonctionne, à n’importe qui, je les compte sur les doigts d’une seule main.

Il faut s’adapter en permanence, accepter que la personne ne comprenne pas, faire l’effort d’aller vers elle, de reprendre ses termes, son cadre de référence, pour la comprendre et pour réussir à transmettre le savoir.

L’exemple est parlant, n’est-ce pas ? (Merci à fo0_ pour l’exemple bien trouvé)

Pour Barbayellow, ça passe par une simplification de ce qu’on appelle l’interface utilisateur. Il faut qu’elle soit claire, simple, compréhensible afin de toucher un public large.

C’est là où le bât blesse, pour l’instant et selon moi. Utiliser GPG, TOR, Jitsi ou LinPhone, c’est tout sauf aisé pour un utilisateur Lambda. Les interfaces s’améliorent certes, mais il reste énormément de travail à faire.

Il en reste beaucoup en partant de la même base : les interfaces doivent s’adapter aux utilisateurs et non l’inverse. Si, pour « nous », c’est ce qui s’est passé, c’est parce que nous le voulions bien et parce que des choses nous semblent évidentes, sauf que nos évidences ne sont pas celles des autres.

Oui, il y a des gens qui refusent d’apprendre, et d’autres qui ont juste besoin que le programme fonctionne, et qu’il fonctionne bien parce qu’il va gérer des données sensibles, il y a des gens qui ne veulent qu’utiliser un programme, sans forcément chercher à savoir comment il fonctionne parce qu’ils n’en ont tout simplement pas besoin. Les journalistes sont journalistes, pas administrateurs réseau, c’est vrai. A ce titre, il faut leur fournir des outils quasiment « clefs en main », sans pour autant oublier celles et ceux qui veulent comprendre. Il faut donc de la documentation, claire et adaptée, dans plein de langues car tout le monde ne parle pas anglais, tout le monde ne comprend pas forcément un manuel, tout le monde n’a pas « la bonne » logique.

L’interface doit donc être simplifiée, sans induire un manque de réflexion, sans induire une infantilisation de l’utilisateur : TextSecure, une application qui permet d’envoyer des SMS chiffrés, est une bonne démonstration : elle protège vos SMS, l’envoi et la réception de ces messages-là dans certains cas et, pour autant, elle n’infantilise personne, les menus de configuration sont assez poussés et pourtant, le programme est très simple d’utilisation, ce qui contribue d’ailleurs à une adoption plus rapide et plus massive de cette solution.

Nous ne pouvons pas demander aux journalistes d’être des administrateurs réseau et, quitte à pousser la réflexion jusqu’au bout, si nous leur demandons de l’être, alors nous devons être des « formateurs-communicants-développeurs-rédacteurs-whatever », sauf que c’est pas le cas. Comment demander quelque chose à quelqu’un alors que nous même ne remplissons pas le critère ?

Chacun a son propre métier, son propre cadre de référence et refuser de l’admettre, c’est se condamner à un flagrant manque d’adaptation. Je parle en connaissance de cause, mon métier consiste à s’adapter à n’importe quel profil, technique ou non, intéressé ou non, avec des gens qui n’ont pas le choix et qui doivent être capables de se servir de tel, tel ou tel logiciel très rapidement.

Au final, c’est un tout, dont Okhin a déjà parlé à Pas Sage En Seine (lien HS) : nous devons sortir de notre petit monde, arrêter d’espérer qu’un jour les utilisateurs s’adapteront à nos technologies, prendre les devants et aller « sur le terrain », au contact des utilisateurs, adapter nos ressources, documents, manuels x ou y, interfaces, nous ouvrir vers l’extérieur…

Ça me tue de l’écrire mais, si Skype est énormément présent et qu’il est très difficile de motiver quelqu’un à le quitter, c’est parce qu’il est facile à configurer, que l’interface est assez « sexy » et que « ça marche », au mépris des dangers, de la surveillance, de tout plein de choses que je connais déjà, pas la peine de me les rappeler ici.

Encore une fois, ceci n’est que mon point de vue. Cependant, pour voir et entendre chaque jour des centaines de personnes, je peux affirmer qu’il n’est pas totalement à côté de la plaque. Tout le monde n’a pas envie d’apprendre, de passer des heures interminables à configurer un logiciel qui fait ce qu’un autre fait en trois clics. D’autres ont besoin de solutions sans forcément avoir le niveau technique requis pour les comprendre… qu’allons-nous répondre ? De revenir dans trois ans, une fois le niveau nécessaire acquis ?

Evidemment, il y a aussi des aspects négatifs : la diffusion massive d’un logiciel l’expose à plus de dangers parce que le logiciel devient une cible plus intéressante, plus une interface est simplifiée et plus le travail pour la simplifier est énorme, plus il y aura donc de développement, et c’est un facteur à prendre en compte.

J’arrête là, mais nous pouvons en parler (oubliez Twitter, c’est hors de question, on ne débat pas sur Twitter). Le débat peut s’installer dans les commentaires si vous voulez, mais ne vous tapez pas dessus, ça serait bien.

Bien sûr, le problème ne vient pas que des administrateurs et des développeurs et de nos communautés, mais il est en grande partie lié à tout ceci et au narcissisme dont nous faisons preuve.

Les utilisateurs finaux devront toujours chercher, se renseigner, ça ne changera jamais, vraiment pas. Pour autant, ils le feront avec des outils adaptés à eux, ce qui sera beaucoup plus efficace. Il va sans dire que si ces utilisateurs ne font aucune démarche, cela ne changera rien, jamais rien.

La folie c’est se comporter de la même manière et s’attendre à un résultat différent… Einstein

Votre intimité face à Android et ses autorisations, troisième partie. [M.A.J]

Dans la première partie de ce billet, nous avons découvert que Google avait modifié affichage des autorisations requise dans les applications sur Android lors d’une mise à jour. Dans la seconde partie de ce billet, nous avons détaillés les autorisations les plus sensibles du système de Google, mais sans expliquer comment gérer ces autorisations là

C’est l’objet de ce troisième et dernier billet : comment reprendre le contrôle sur les autorisations dans Android ?

En théorie, la réponse peut sembler simple. Elle ne l’est pas forcément et pas pour tout le monde dans les faits. Dans un monde idéal, Android est un système qui, nativement, permet d’autoriser ou de refuser n’importe quel accès, il serait ainsi possible, avec un simple menu, de valider ou refuser une autorisation d’une application.

Dans les faits, c’est l’anarchie.

Le parc Android étant assez éclaté, il est compliqué de trouver une seule et unique solution pour régler ce problème d’autorisations, je vais donc faire une petite présentation d’un certain nombre de solutions que j’ai pu tester, n’hésitez pas à me faire un retour si vous souhaitez partager vos expériences.

Clueful Privacy Advisor

Clueful Privacy Advisor (l’application est en français, rassurez-vous) est une application disponible dans le Play Store, elle est fournie par Bit Defender et on ne peut pas dire que ce sont des novices côté solutions de sécurité.

L’application en elle-même est respectueuse de votre vie privée, elle requiert juste ce qu’il faut en autorisations et elle vous présente les conditions générales d’utilisation au premier démarrage. Conditions que vous devez accepter pour pouvoir continuer.

Une fois l’application installée, vous tombez dans le menu suivant

Clueful

Ce menu vous affiche votre « privacy score » : le niveau global de protection de votre vie privée, à 50/100 sur le téléphone qui m’a servi à faire ce billet. L’application présente ensuite les trois niveaux de danger des applications dont vous disposez : application à haut risque, à risque modéré et à risque faible.

En sélectionnant le niveau de danger de votre choix, on vous liste les applications concernées et on vous explique pourquoi cette application présente un risque potentiel.

Clueful - liste d'applications
Clueful – liste d’applications

Mince, Firefox qui doit accéder à l’historique de navigation !

Il faut cependant réfléchir un peu, l’application ne le fait pas à votre place et c’est très bien, elle considèrera par exemple que Firefox représente un potentiel risque parce qu’il accède à l’historique de navigation… ce qui est normal, pour un navigateur.

Mince, Firefox qui doit accéder à l'historique de navigation !
Mince, Firefox qui doit accéder à l’historique de navigation !

Cependant….

Si c’est gratuit…

il y a…

C’est que c’est…

des choses anormales.

vous le produit !

Donc, cette application est sympa, dans la mesure où c’est très lisible et qu’elle permet de désinstaller une application. Dernier point non négligeable, elle permet de rendre les autorisations très factuelles, on sait quelle application fait quoi, dit quoi, à qui.

Mais comment faire lorsqu’on souhaite conserver l’application, tout en modifiant ses autorisations ?

Bah oui, moi par exemple, j’adore jouer à Andry Birds, mais je n’apprécie pas qu’il transmette plein d’informations qui me concernent, concernent mes habitudes, ainsi que ma position. Ce jeu sait ou je suis, ce n’est pas nécessaire et c’est quelque chose qui ne regarde que moi. Bon, et qui regarde aussi les applications qui ont réellement besoin de ma position, comme un GPS par exemple.

Donc, comment faire pour régler les autorisations d’une façon plus fine qu’une désinstallation brutale ?

C’est là. Là que ça devient vite le foutoir pas possible, surtout depuis l’arrivée d’Android 4 et 4.4.

Personnellement, j’utilisais AppOps. AppOps, ce n’est pas vraiment une application, c’est un raccourci qui vous permet d’accéder à un menu caché des versions d’Android KitKat, qui permet de gérer l’ensemble des droits de chaque application. Bien sûr, c’est long, et potentiellement vous pouvez faire des erreurs, comme interdire la caméra à l’appareil photo (je l’ai fait et un j’ai eu un écran noir).

Seul hic : ce menu et AppOps ne sont, à l’heure actuelle et à ma connaissance, fonctionnels qu’avec la version antérieures à la 4.4.2 du système.

Il existe donc une variante du raccourci : AppOpsX, qui lui fonctionne sous la 4.3, la 4.4 et le reste pour l’instant… seulement, il faut disposer d’un téléphone rooté pour le faire, donc il faut savoir rooter son téléphone, ce qui n’est pas forcément simple pour tout le monde, ni avec tous les téléphones.

Edit du 20/06/2014 à 00:04 : suite à mon billet, l’application n’est plus disponible sur le Play Store, je ne sais pas si c’est lié ou non, mais le constat est là.

Il reste enfin une dernière solution, très radicale : passer sous un système alternatif comme CyanogenMod, qui gère les autorisations d’une autre manière, sous forme de demande de confirmation lorsqu’une application doit accéder à des données sensibles. Bien sûr cela ne change pas grand-chose au problème, mais cette fois, c’est l’utilisateur qui décide et qui fait, ou non, n’importe quoi.

Pour terminer, j’attire votre attention quant au fait que nous ayons tous notre part de responsabilité à assumer : les révélations d’Edward Snowden ont donné un ennemi commun à plein de personnes : la NSA.

Sauf qu’en attendant, nous sommes sans doute ceux qui travaillent le plus pour elle sans spécialement y prêter attention. Votre intimité et votre vie privée ne se protègera pas sans votre intervention…

Alors, qu’allez-vous faire maintenant ?

Edit du 19/06/2014 à 22h41 :

L’ami @Greenpisse m’a envoyé une petite présentation de LBE Privacy Guard, que j’ai voulu tester mais sans succès.

LBE Privacy Guard se présente un peu de la même manière que Clueful Privacy Advisor, dont nous avons parlé juste avant. LBE Privacy Guard fait la liste de toute vos applications en incluant les applications systèmes, et fait ensuite la liste des autorisations demandées. Grâce à LBE Privacy Guarg, vous pouvez choisir de valider une à une chaque autorisation, dire si oui ou non une autorisation sera validée.

Les applications sont classés soit par autorisation :
LBE1

Soit par nom :
LBE2

A chaque fois que vous installez une application, une phase de validation par notification vous demandera de confirmer les autorisations de ladite application.
Trois choix s’affrent à vous : allow / prompr / deny.

Allow et Deny sont assez explicites, « prompt », lui, vous demandera ce qu’il faut faire dès lors que l’application aura besoin d’une autorisation. Vous disposez de 10 secondes pour choisir, une fois passé ce délai, la demande est rejetée, c’est le comportement par défaut de l’application.

Au final, ça donne quelque chose comme ça
LBE3

D’ailleurs… il faudra m’expliquer aussi pourquoi une application de backup requiert ma position !

Le problème de cette application, c’est le manque de précision sur les demandes des applications, au passage, elle ne bénéficie pas de traduction française. C’est pourquoi elle me semble un bon complément à  Clueful Privacy Advisor.

Attention cependant, pour quelques applications, LBE ne detecte pas immédiatement certaines autorisations… parce que ce n’en sont pas.

Explications : j’ai joué à duel quizz un moment et, au 1er lancement, LBE m’a fait savoir que l’application tentait de me géolocaliser alors que ce n’est précisé nulle part dans les conditions (on applaudit donc Duel Quiz pour ce coup bas).

Votre intimité face à Android et ses autorisations, seconde partie.

Dans la première partie de ce billet, nous avons fait le point sur la mise à jour de l’affichage des autorisations requise dans les applications sur Android. Je sais, ça fait vachement long à lire.

Dans la seconde partie de ce billet, nous allons décrire un peu plus en détail les autorisations sous les systèmes android : il faut bien savoir quoi protéger pour faire attention, non ?

Nous allons commencer assez simplement : il y a plus de 150 autorisations différentes sous android et, de prime abord, ça peut sembler assez énorme. C’est d’ailleurs pour ça que nous allons faire le point.

Si vous voulez obtenir la liste complète, et à jour, c’est là que ça se passe : (et les groupes d’autorisations sont ici)

Ce qu’il y a de bien avec ces pages c’est qu’une petite description est présente, je sais donc, par exemple, que « CHANGE_WIFI_MULTICAST_STATE » permet de changer l’état multicast du Wi-Fi.

Bon, bien, le but de de blog, ce n’est pas de parler uniquement à celles et ceux qui savent lire un langage chiffré pour le commun des mortels, sans élitisme, « nous » – si tant est que je puise dire nous – sommes généralement entre « nous » et le principe, ici, c’est de faire en sorte de vous inviter dans ce « nous », que tout soit compréhensible, peu importe votre niveau.

Je vous invite quand même à lire les deux liens précédents, si vous avez des notions d’anglais, c’est parfaitement suffisant. Nous allons donc nous concentrer sur les autorisations les plus sensibles du système.

Les points suivants sont donc, selon moi, les plus sensibles pour votre vie privée et l’intimité de vos données, n’hésitez pas à commenter au besoin.

Le groupe d’autorisation « Identité », « Localisation », « Photos / Médias / Fichiers » et « SMS » me semblent déjà un bon début pour faire attention

Côté Identité, pour faire très bref, une application pourra disposer des droits suivants :

  • Rechercher des comptes sur l’appareil
  • Lire votre fiche de contact (nom et coordonnées)
  • Modifier votre fiche de contact
  • Ajouter ou supprimer des comptes

Côté Localisation

  • Accéder à la localisation approximative
  • Accéder à la localisation précise
  • Accéder à la localisation par le fournisseur
  • Créer des points de localisation fictifs

Vous l’aurez compris, c’est la même pour la suite : il sera ainsi possible d’accéder aux photos, médias et fichiers, de les modifier via une autre autorisation, de les supprimer via une autre et ainsi de suite.

Il en va de même pour les SMS, qui peuvent être lus via une autorisation, envoyés à votre insu via une autre, payants via une énième, transmis et ainsi de suite … la liste est plus longue sur la partie SMS d’ailleurs.

Je n’ai pas réussi à remettre la main sur une adresse qui facilite grandement la lecture des autorisations, j’éditerai le billet dès que ça sera corrigé.

Je vais essayer, maintenant, d’être un peu plus parlant.

Vous disposez d’une application qui utilise une autorisation du groupe « Camera ». A l’époque, vous avez autorisé cette application parce qu’elle prend des photos, c’était d’ailleurs la seule autorisation requise dans ce groupe. Parfait, une application qui me donne confiance, c’est moi qui décide de l’utilisation de l’appareil.

Seulement, depuis cette mise à jour dont nous parlions au précédent billet, il n’y a plus de notifications d’une nouvelle autorisation requise si cette dernière fait partie d’un groupe d’autorisation déjà présent.

Revenons à notre cas pratique. Votre application doit être mise à jour, vous faites confiance à cette dernière et votre appareil vous dit qu’aucune autorisation supplémentaire n’est requise, pourquoi s’inquiéter…

Et c’est ainsi que vous donnez à votre application le contrôle total de la caméra, le droit de l’utiliser sans prévenir, de prendre des photos, de transmettre les clichés, de prendre des enregistrements sonores, à nouveau sans vous prévenir, bref, de doper l’espion déjà bien costaud qui est dans votre main.

Voilà, pour rejoindre l’explication du premier billet, le résultat de cette mise à jour. Le constat est assez dramatique, je trouve, et très visible là : perte de visibilité, de pouvoir, de sécurité pour l’utilisateur.

Google répondra qu’il est possible d’aller voir dans le détail de chaque application, sauf que nous sommes, au doigt mouillé, moins de 5% à systématiquement vérifier scrupuleusement une application, non ?

Google n’est pas sans le savoir, leur choix représente donc pour moi une très mauvaise nouvelle.

Puis, comme expliqué dans le précédent billet, ne pas mettre à jour son application représente un danger, puisque cela revient à s’exposer à d’éventuelles failles.

On peut également se dire qu’en soi, les développeurs savent ce qu’ils font, qu’ils n’abusent pas avec les autorisations, mais ça serait une grosse erreur.

Démonstration :

2048 qui souhaite consulter mes fichiers, pourquoi ?
2048 qui souhaite consulter mes fichiers, pourquoi ?

Est-ce que quelqu’un peut m’expliquer pourquoi une application où il faut faire glisser des chiffres vers une direction doit accéder à mes fichiers ?

Vous seriez surpris, peut-être, de savoir que les Angry Birds peuvent accéder à votre position approximative, que des écrans de veille ont le droit d’envoyer des SMS payants et j’en passe encore.

On peut, enfin, se dire qu’il faut régler ces autorisations, et je suis parfaitement d’accord avec vous. Seulement, ce n’est pas si simple que ça, Android ne vous laisse pas modifier ses autorisations « comme ça », et ça sera l’objet d’un dernier billet.

Alors, vous avez une application un peu trop gourmande ? Pour ceux qui n’ont pas trouvé où cela se situe, c’est du côté de « Paramètres », puis « Applications », il faut choisir une application, et en bas, vous aurez « Autorisations ».

Suite et fin au prochain billet.

Votre intimité face à Android et ses autorisations, première partie.

Chez moi, ça commence par ça :

Après, il m’a fallu pas mal de lecture….

C’était le 06 juin, dans ce tweet envoyé un peu à l’arrache, je m’étonnais de la mise à jour des conditions d’affichage des autorisations dans les applications pour Android, je me suis, depuis, étonné du traitement de cette information, pour ainsi dire pas reprise.

Vous pouvez retrouver les conditions à cette adresse. Le principal changement opéré par Google, c’est la façon dont sont affichées les modifications des permissions dans les applications, en gros, les applications qui nécessitent une modification de privilèges n’afficheront plus automatiquement cette demande.

Dans le discours de Google, cette mise à jour est là pour simplifier l’affichage des autorisations, ce qui est d’ailleurs vrai : les autorisations d’une section non autorisée par le passé seront affichées. Peu importe que les mises à jour automatiques soient activées ou non, il faudra que l’utilisateur accepte d’installer l’application si elle a besoin d’accéder à une nouvelle section d’autorisation.

Et c’est là que le problème se situe, pour moi, dans cette « nouvelle section d’autorisations ».

Pour bien comprendre, il faut s’attarder un peu sur le fonctionnement des autorisations, sous le système android : les autorisations marchent par « rubriques », par exemple, une pour l’identité, une autre pour les photos, une autre pour les paramètres réseaux et ainsi de suite. Dans ces rubriques, il y a les autorisations, comme « lire les informations des contacts », par exemple, ou encore « modifier les informations des contacts ».

L'affichage des rubriques
L’affichage des rubriques
Le détail de ces rubriques
Le détail de ces rubriques

Or, le nouvel affichage des autorisations ne prend en compte que les nouvelles «rubriques, pas la modification de celles déjà autorisées.

En pratique, ça signifie quoi ?

Ça signifie que vous ne savez pas ce que votre application fait. Exemple : Vous avez l’application Facebook, elle dispose des autorisations pour « accéder au contenu de la carte SD ».

Vous mettez cette application à jour, une nouvelle autorisation est requise : « modifier ou supprimer le contenu de la carte SD », mais, parce qu’elle est dans une rubrique déjà autorisée, la mise à jour ne stipulera pas ça, elle affichera quelque chose comme ça :

mise à jour
Une mise à jour qui ne nécessite – officiellement – aucune nouvelle autorisation

 

Le hic, c’est que je sais qu’Adobe Reader a besoin d’une nouvelle autorisation. Je le sais parce que j’ai refusé de le mettre à jour déjà 5 fois, et qu’il n’y a aucune raison pour que cette autorisation disparaisse comme par magie.

Autre exemple : l’application Youtube que j’utilise n’est pas à jour parce qu’elle demande à activer ou désactiver les paramètres de synchronisation de mon téléphone toute seule, chose que je refuse fermement. Seulement, maintenant, ce n’est plus affiché.

Bah, il n’y a qu’a plus rien mettre à jour, et puis voilà.

Oui, non, mauvaise idée. Les applications sont mises à jour parce qu’elles présentent généralement des failles de sécurité, ne pas les mettre à jour pour éviter les autorisations abusives revient donc à s’exposer à d’autres menaces. Vous voilà donc le téléphone entre deux chaises…

Ce choix de Google me semble étonnant : dans un contexte post révélations de Snowden, donner moins de visibilité à ce paramètre m’inquiète, d’autant plus qu’il est admis que les renseignements se servent des applications pour récupérer des données sur les utilisateurs.

C’est aussi un risque plus grand pour l’utilisateur, puisqu’il y a maintenant moins de visibilité sur ce que demande une application.

De l’autre côté, je cherche à comprendre les raisons de cette mise à jour et j’en viens à me dire que c’est peut-être parce que de moins en moins de gens mettaient à jour leurs applications qu’ils ont décidé de faire ça.

Depuis les révélations citées au-dessus, beaucoup de personnes, au moins dans mon entourage large, font plus attention aux autorisations requises. Cette prise de conscience a peut-être dérangé Google et les fournisseurs d’applications sur le Play Store, poussant la firme à modifier l’affichage des autorisations…

Quoi qu’il en soit, j’initie donc ici le premier billet d’une suite, qui découle de cette mise à jour. Le prochain billet sera consacré aux autorisations, dans le détail, ainsi qu’aux autorisations les plus sensibles.

Quant à cette information, c’est peut-être un détail pour vous, mais pour moi ça veut dire beaucoup…. Ne me cherchez pas, je suis déjà parti rédiger le second billet, dehors, loin.

Courier : l’application sécurisée qui aide à contourner la censure.

The Guardian Project vient de mettre en ligne une nouvelle application pour smartphones : Courier.

Courier est un lecteur de flux RSS, mais pas forcément très classique : il embarque un certain nombre d’outils dédiés à la protection de vos données, votre vie privée, la sécurité … et il permet de contourner la censure installée çà et là dans les Internets, afin de permettre à ceux qui subissent cette censure d’accéder à ce qui est bloqué.

Je l’ai testé et, premier point positif, il n’y aura pas de copies d’écran : l’application verrouille cette fonction, tout comme la prise de vidéo d’ailleurs.

Au démarrage de l’application, on vous demande une phrase de passe qui permet de chiffrer vos données, vous tombez ensuite sur une petite présentation de l’application ainsi que sur un « panic buton », un bouton qui permet de supprimer l’ensemble des données de l’application ou mieux encore, désinstaller l’application.

A ce sujet, après avoir testé, je trouve que cette fonction n’est pas encore aboutie car on bascule sur le gestionnaire d’applications android, qui demande si on veut bien désinstaller l’application. C’est un fonctionnement parfaitement normal, mais du coup le bouton panique perd de son intérêt.

Ensuite, point que j’ai trouvé bien fait, l’application est entièrement configurable, on peut choisir de passer par le réseau Tor ou pas, de diffuser des informations via courier ou pas, de communiquer hors de l’application, de diffuser des informations via le réseau Wi-Fi ou bien encore de partager l’application via un réseau Wi-Fi aussi.

Côté réseau, l’application est plutôt bien optimisée, ce qui est fort agréable surtout lorsque le réseau est un peu en carton…

Bien évidemment, l’application permet de rajouter ses propres flux RSS, bien qu’elle en propose quelques-uns par défaut.

Côté passe de phrase, c’est assez poussé : il est possible de configurer un temps d’expiration pour la phrase de passe et de configurer un kill password : une phrase de passe qui efface l’application ainsi que ses données. C’est pratique pour ceux qui risquent leur vie rien qu’en lisant des informations interdites, même si ça semble peut être fou pour quelques personnes.

Enfin, côté langues, Courier est disponible en anglais, chinois, tibétain, ukrainien et russe. Ces choix peuvent sembler étranges mais ils correspondent, selon moi, à des besoins actuels, la Russie et les autres n’étant pas des modèles de liberté d’information…

Dans les fonctionnalités que j’aimerais voir dans une prochaine mise à jour, il y a celle des flux en https. L’application ne fait pas elle-même de recherches sur le https des flux ajoutés en http, en résumé : si vous ajoutez un flux en http, il restera en http et courier n’ira pas chercher le https (si vous utilisez l’application et que ça fonctionne chez vous, prévenez-moi, c’est peut-être un bug chez moi).

Bref, je ne peux que vous inviter à au moins tester l’application, et à l’adopter si vous l’appréciez !

Enfin, l’application étant encore en beta (v 0.1.8 actuellement), n’hésitez pas à remonter des bugs ou des fonctionnalités que vous souhaitez voir dans de prochaines versions, The Guardian Project disposant d’un système de remontée de bugs

#PRISM, indignation à géométrie variable.

Ce billet est un énorme coup de gueule, considérez-vous comme prévenu(e)s.

De récentes publications (la suite sur votre moteur de recherche préféré) des fuites déclenchées par Edward Snowden, le whisleblower de l’affaire PRISM, attestent d’un grave fait : des instances l’Union Européenne, comme le Parlement Européen, sont sous écoute et infiltrées.

Les données des personnes concernées ne sont plus en sécurité depuis des années et les documents font peur à ces personnes, qui s’indignent d’être espionnées par une puissance étrangère.

La nouvelle fait mal comme un mur en pleine face : les Etats-Unis interceptent les données d’eurodéputés, du Parlement Européen et sans doute d’autres instances.

La réaction du Parlement ne s’est pas fait attendre, c’est un scandale. Ainsi, on retrouve des déclarations qui vont dans ce sens, « scandale », « indignation », « horreur », « les Etats-Unis ne devraient pas espionner leurs alliés » …

Seulement, ces déclarations m’irritent profondément.

Lors de premières révélations sur PRISM, il n’y avait que quelques eurodéputés pour crier au scandale, il n’y avait que quelques députés pour trouver quelque chose à dire sur le sujet.

Fleur Pellerin se montrait rassurante en tentant de minimiser l’affaire PRISM, le président ou le premier ministre ne semblaient pas spécialement inquiets et ce malgré les réactions scandalisées d’une partie du peuple.

Maintenant que des documents attestent qu’ils sont eux aussi concernés par PRISM, ce n’est plus la même chose.

Mesdames et messieurs les représentants de la nation et de l’Union Européenne, laissez-moi vous dire quelque chose : votre réaction est parfaitement inacceptable.

En qualité de représentants, vous avez pour rôle de vous saisir des inquiétudes de vos citoyens, français ou européens, vous ne l’avez pas fait jusqu’à ce que cela vous concerne.

Fleur Pellerin a changé son fusil d’épaule, déclarant que l’administration Obama était sommée de s’expliquer sur PRISM.

Le Parlement fait de même en demandant des comptes à cette même administration, allant jusqu’à menacer de bloquer des accords en cours de négociation. Le président du parlement explique même que si tout ceci était vrai, cela ne pourrait que dégrader les relations entre l’Europe et les Etats-Unis d’Amérique.

Qu’est-ce à dire, messieurs et mesdames de l’Europe ?

Votre comportement est, pour moi, la représentation d’un égoïsme effarant, c’est un manque total de respect envers ceux que vous êtes censés représenter.

Pourquoi n’avoir rien fait avant ? Pourquoi avoir tenté de minimiser le scandale ?

La réponse se trouve peut-être dans un article du Guardian, retiré peu de temps après sa publication.

Il apparait que des pays ont un accord secret avec la NSA et beaucoup de pays européens semblent concernés par cet accord.

C’est peut-être ça, la raison de votre silence. Vous le saviez peut-être et il ne fallait donc pas en parler, mais vous ne saviez pas que tout ceci vous concernait. Maintenant que c’est avéré, vous décidez de vous réveiller.

Quitte à perdre toute crédibilité aux yeux de beaucoup.
Quitte à passer pour des complices de tout ceci.

Vos déclarations sont étranges, votre comportement l’est d’autant plus et je ne pense pas que votre incompétence soit la principale raison de ce cafouillage.

Je me permets donc de vous donner un conseil : l’indignation n’est pas à géométrie variable, vous représentez le peuple et auriez donc du vous saisir de l’affaire PRISM dès son commencement.

Un dernier point : quelque chose me dit que les révélations sur le dossier PRISM ne sont pas terminées, vous devriez peut-être vous réveiller rapidement, ne serait-ce que pour rester crédible aux yeux des citoyens européens qui se sentent concernés par tout ceci.

Ah, et à l’avenir, évitez de réagir uniquement lorsque ça vous concerne, c’est consternant et irrespectueux.