[PERSO] Twitter, pourquoi toujours prendre la mauvaise décision ?

Depuis quelques jours, Twitter a décidé de tuer le « fav’ ». Est-ce réellement une bonne nouvelle et un pas en avant ?

Dans une récente décision, Twitter décidait d’enterrer le fav’, cette fonctionnalité qui avait au moins autant de significations et d’usages que d’abonnés au service.

Certains s’en servaient pour mettre des articles de côté, comme moi, pour les consulter plus tard, une fois installé confortablement devant un écran.

D’autres s’en servaient pour réellement « aimer » un contenu, ou pour faire un petit coucou, un clin d’œil, pour faire passer des messages en douce, une sorte de « je suis là, poke »

Très clairement, il y avait un problème avec cette fonction de mise en favoris, son rôle n’était pas clair, pas assez défini.

Pour répondre à ce problème, Twitter a fait simple, comme à son habitude. Il a complètement bousillé une partie de son propre service, au grand désarroi d’une partie non négligeable de ses utilisateurs.

Ce changement est simple : plus de favoris, mais des « j’aime », suivis d’un cœur et de tout ce qui peut aller avec.

Pour certains, ce n’est qu’un détail sans aucune importance, pour d’autres c’est un problème.

Le favori était assez flou et c’était, selon moi, son principal atout, il n’engagerait pas réellement, il n’y avait aucune notion d’amour ou d’affection dedans, il était très neutre, en soi.

Le cœur, par définition, ne l’est pas. D’autant plus que ce cœur s’accompagne d’un « untel a aimé votre tweet », ce qui est nettement plus engagé qu’une toute petite étoile.

Je prends l’exemple d’un de mes contacts, journaliste, qui travaille sur tout ce qui touche de près ou de loin à l’EI, l’Etat Islamique : un fav’ n’était pas dérangeant, voir des cœurs sur chaque tweet en lien avec l’EI, ça l’est déjà beaucoup plus, tellement qu’il n’ose plus s’en servir, au risque de sacrifier une partie de sa veille de journaliste.

Comme toujours, Twitter décide mal, et brutalement, à grand coup de hache presque. J’aimerais voir le retour de ce favoris, quitte à ce que le « j’aime » et le fav’ puissent coexister, ce qui ne me semble pas spécialement aberrant.

Reste à voir ce que Twitter décidera dans l’avenir… et à espérer qu’il ne se transforme pas en Facebook.

Nouvelle menace sous iOS : iBackDoor

Les analystes de FireEye ont récemment publié un billet qui parle d’une nouvelle menace pour les utilisateurs d’iOS, billet au titre explicite : iBackDoor.

Cette potentielle backdoor pourrait permettre de :

  • Faire de la capture audio et des copies d’écran
  • Enregistrer et observer la position d’un terminal
  • Lire, écrire, créer et modifier les fichiers de l’application « backdoorée »
  • Envoyer des données chiffrées à des serveurs distants
  • Faire installer des applications hors market en demandant à l’utilisateur de cliquer sur « Installer »

Ladite backdoor se situe dans une librairie nommée mobiSage SDK, éditée par la société chinoise adSage. L’application a besoin, pour son propre fonctionnement, d’aller chercher du contenu distant, comme des publicités. Il apparaît donc normal que certaines fonctionnalités existent.

Ce qui l’est sans doute moins, comme l’explique FireEye, c’est qu’il soit possible, pour l’application, de récupérer du code distant et de l’exécuter en douce, sans que l’utilisateur en soit informé. Partant de ce constat, on imagine aisément les risques liés à cette fonctionnalité : exécuter du code distant, récupérer des données personnelles, installer d’autres applications ou autorisations en douce, véroler complètement le terminal, …

Bien que le problème semble concerner plus de 2800 applications iOS, la société tient à préciser qu’elle n’a pas observé de mouvements suspects ou d’injections de codes et commandes « malicieuses » sur le serveur de la société incriminée. Elle ne sait pas non plus si cette backdoor a été créée par adSage ou s’ils sont victimes d’un piratage.

Enfin, autre point, dans la dernière version de la librairie (mobiSage SDK 7.0.5), FireEye explique ne pas avoir trouvé la backdoor.

Reste à attendre la suite des évènements, ce problème est déjà remonté à Apple, qui réagira peut-être en bannissant toutes les applications concernées

Pour celles et ceux qui souhaitent obtenir le détail technique, c’est par ici que ça se passe (en anglais).

David Cameron n’a définitivement pas compris le chiffrement.

L’Investigatory Powers Bill est un projet de loi qui propose d’étendre le pouvoir d’enquête des policiers et, selon un journal anglais, ce projet de loi va tenter d’interdire le « chiffrement indéchiffrable », explications.

Continuer la lecture de David Cameron n’a définitivement pas compris le chiffrement.

Le Parlement Européen, la surveillance et Snowden.

Pendant qu’en France, nos « représentants de la nation » votent des lois décriées par de très nombreuses associations, l’Europe s’inquiète.

Dans un communiqué de presse publié le 29 Octobre 2015, le Parlement Européen (PE) demande à la Commission Européenne de « veiller à ce que tous les transferts de données vers les États-Unis soient soumis à un niveau efficace de protection et demandent aux États membres de l’UE d’accorder une protection à Edward Snowden, en tant que « défenseur des droits de l’homme ». »

Deux informations sont à prendre en compte : la gestion des données personnelles de l’ensemble des citoyens européens suite à la chute du « Safe Harbor » d’un côté et la protection du lanceur d’alerte Edward Snowden, à qui nous devons toutes les révélations sur l’espionnage planétaire des agences du renseignement, NSA en tête de liste.

A cela s’ajoute l’inquiétude du parlement sur « des lois de surveillance dans plusieurs pays de l’UE », qui fait référence au projet de loi relatif au renseignement, au projet de loi de surveillance des communications internationales et à d’autres projets de loi, dans d’autres pays de l’Union.

Concernant le « Safe Harbor » ou « Sphère de sécurité », (administration oblige), le Parlement reste sur la défensive, presse la Commission de s’assurer que les données personnelles des citoyens de l’Union soient réellement protégées et que le transfert de nos données vers les Etats-Unis d’Amérique soit strictement encadré.

Bonne nouvelle, une résolution approuvée d’extrême justesse (285 pour, 281 contre) appelle les états membres de l’Union à « abandonner toute poursuite contre Edward Snowden, à lui offrir une protection et à empêcher en conséquence son extradition ou sa restitution par une tierce partie, en signe de reconnaissance de son statut de lanceur d’alerte et de défenseur international des droits de l’homme. »

Certes, ce n’est qu’un « appel à abandonner » les charges et à protéger Edward Snowden, il faut donc relativiser.

C’est une déclaration, ce sont des mots, les états membres ne sont pas obligés de répondre à cet appel. Je salue donc la déclaration du Parlement, qui ne prend tout de même pas trop de risques avec cette déclaration. J’attends de voir ce qui sera fait au sein de l’Union, dans l’avenir, pour la protection des lanceurs d’alertes comme Assange ou Snowden.

La suite ?

C’est là que ma joie est bien plus mitigée. Le Parlement Européen déclare de bien jolies choses, ses idées, intentions, sa vision… tout ceci mérite le plus grand respect mais, dans les faits, qu’est-ce que cela change ?

Actuellement, rien.

Les états membres continuent de voter des lois particulièrement liberticides, Assange et Snowden ne sont toujours pas en odeur de sainteté au sein desdits pays, les 281 opposants à la résolution en témoignent.

Le Parlement et les eurodéputés pourront continuer d’écrire et de déclarer de bien jolies choses, si elles ne sont pas suivies d’actions, cela revient à « pisser dans un violon ».

Bref, rien de bien nouveau dans notre bonne vieille Europe.

[En bref] République Numérique : Axelle Lemaire nous enf…remercie.

Dans un récent article publié dans les colonnes numérique de Libération, j’ai pu lire la chose suivante : «la consultation renforce la légitimité du texte»

Cette petite phrase, c’est celle d’Axelle Lemaire qui se félicite de la contribution publique à la République Numérique.

Petit résumé : la République Numérique est le nom du projet d’appel à contributions sur le projet de loi Numérique. Cette consultation a mobilisé plus de 20 000 inscrits, de très nombreuses propositions, encore plus de vote sur les propositions et amendements…

En termes d’implication et d’initiative, nous pouvons considérer que c’est un bon début, même un succès. Réussir à faire participer des milliers de personnes est une excellente nouvelle, d’autant plus que ces personnes ne viennent pas forcément de « milieu habituel », entendez par là qu’il n’y a pas que La Quadrature du Net et les autres habituels qui ont répondu à cet appel.

Il me semble important de saluer l’initiative, première en la matière. Sur le papier et dans le principe, l’objectif est rempli : le citoyen est en capacité de participer activement à l’élaboration de la loi, à une forme de démocratie plus directe, il peut observer les mouvements de chacun, ce qui revient à dire qu’il y a plus de transparence (qui souhaite quoi, quel groupe, organisation, société ….).

Là, ce n’est pas ce qui est dit. Ce qui est dit, c’est : «la consultation renforce la légitimité du texte»… et ça me dérange profondément.

Participer à une consultation publique ne signifie pas et n’a jamais signifié « adhérer au texte », le projet de loi n’est pas plus légitime qu’avant la consultation publique. Il est plus riche certes, mais pas plus légitime.

Que vous soyez d’accord ou non, peu importe votre avis, si vous avez répondu à l’appel, vous avez légitimé le texte, vous avez légitimé la vision du gouvernement sur le numérique.

A quoi ça sert de faire un appel à contributions si c’est pour déclarer une aberration pareille ?

Si je comprends que, pour Axelle Lemaire, c’est un excellent coup de communication, il n’en reste pas moins qu’il m’a refroidit pour toute prochaine contribution.

Je n’apprécie que très moyennement le sentiment d’être piégé : si nous participons à une consultation, nous légitimons un texte. Lorsque nous n’y participons pas, nous sommes critiqués. Lorsque nous ne sommes pas d’accord, nous sommes « des exégètes amateurs » qui font « blocage au texte et au gouvernement ».

Dans tous les cas, nous sommes les dindons de la farce…

La prochaine consultation, si prochaine consultation il y a, ça sera sans moi, puisque pour le gouvernement, participer = adhérer.

Le GranitePhone, top, flop ?

J’ai pu découvrir chez les amis de NextInpact un article sur le GranitePhone. Ce mobile « est le premier vrai smartphone conçu autour de la protection des communications et des données de ses utilisateurs », pour reprendre la présentation d’Archos, entreprise française engagée dans la production de ce GranitePhone.

Passons sur le discours commercial et le prix et intéressons-nous à ce que devrait permettre ce téléphone : protection des données, des appels, des messages, des contacts et de tout ce qui s’approche, de près ou de loin, à une donnée personnelle. Archos déclare que le stockage sur l’appareil sera entièrement chiffré et qu’il n’existera aucune porte dérobée (ndlr : les backdoors).

Personnellement, je n’irai jamais déclarer qu’un système est inviolable, c’est une promesse parfaitement impossible à tenir et l’histoire nous a déjà montré qu’il fallait éviter d’avoir ces propos, histoire de ne pas perdre toute sa crédibilité le jour où la première faille est découverte.

Qui plus est, le communiqué de presse [PDF] dit « les données stockées sur le smartphone sont également encryptées dans le cloud pour que les utilisateurs du « GranitePhone » puissent accéder à leurs données à tout moment ».

Si je résume donc, les données des utilisateurs seront stockées dans « le cloud », donc sur l’ordinateur de quelqu’un d’autre, pour parler plus clairement. Je ne suis pas certain que cela soit une bonne nouvelle, j’ai du mal à mettre « aucune faille » et « cloud » dans la même phrase.

Imaginons tout de même que ce téléphone soit réellement inviolable pour la suite. Archos explique que les utilisateurs du GranitePhone pourront « accéder à leurs données depuis un ordinateur et depuis d’autres mobiles Android ou iOS, ce qui leur garantit une grande flexibilité sans compromettre la sécurité. »

A nouveau, j’ai l’impression de faire face à un enfumage du service marketing d’Archos, je ne peux pas concevoir qu’un accès à des données ultra sécurisées depuis un Android ou un iOS ou un ordinateur ne représente pas un potentiel vecteur d’attaque ou une faille de sécurité.

Dernier point, et pas des moindres : qu’est-ce qui fait tourner ce téléphone ?

Dans ma conception de la sécurité informatique, un concept est essentiel : l’ouverture du code source. Cela permet à de nombreuses personnes de s’assurer que le code qui fait tourner le système est propre et sain.

Cela crée une relation de confiance, de transparence : « je sais que mon revendeur ne me ment pas lorsqu’il dit que c’est sécurisé, parce que le code ou les expert.e.s en capacité de le lire l’ont confirmé. »

Ici… rien. Aucune information sur le système d’exploitation du GranitePhone, nous savons simplement que ce n’est ni du Android, ni du iOS.

Est-ce que le code source du système sera libre, ouvert, modifiable ?

Qui a la main sur ce code ?

Est-ce le système de chiffrement du mobile est réellement solide ?

Sur quoi repose-t-il ?

Est-ce qu’il est géré par Archos ou Sikur ? Si oui, sur quels éléments je dois faire reposer ma confiance ?

Le seul site où le GranitePhone est mentionné ne donne aucune indication quant au système embarqué… il se sert des polices d’écriture de Google, se sert d’Analytics et de quelques trackers… rassurant quand on sait que la société est censée me protéger et protéger mes données personnelles.

Bref, à voir lorsque le mobile sera sorti.