Message de service

J’ai la chance et la joie de rejoindre dans quelques heures la formidable équipe qui travaille sur le non moins formidable projet CozyCloud.

Jusqu’à présent, il est rare que j’ai pu être fier de mes réalisations professionnelles, et mon expression publique ne pouvait être confondue avec celle de mes employeurs. La situation change, car Cozy est un projet auquel je crois, dont la philosophie rencontre mes valeurs. Je vais essayer de rester relativement neutre dans mes billets et gazouillis, mais je ne crois guère en l’objectivité de la parole humaine, et préfère dire clairement d’où elle émane. Les opinions que j’exprimerai resteront les miennes, et ce carnet ne va pas se transformer en prospectus sponsorisé par Cozy. Il n’empêche, le projet est enthousiasmant, donc je ne m’interdirai pas non plus de dire régulièrement tout le bien que j’en pense.

Inutile de délayer davantage, vous voici prévenus, vous saurez faire la part des choses. Trinquons plutôt à ma nouvelle aventure au pays des nuages douillets ☺

Son bout de réseau

Ayant du mettre le nez hors de ma cave ces derniers jours, je me suis heurté douloureusement au principe de réalité, parfois appelé « état de la couverture 3G outre-périf », et ai eu la curiosité de jeter un œil à quelques spécimens de réseaux Wifi ouverts et gratuits découverts dans ces inhospitalières contrées. Je suis tombé sur moult formulaires où la gratuité se payait en informations personnelles, état civil, coordonnées électroniques et téléphoniques, etc. Au nom bien sûr de la « responsabilité », le gentil fournisseur du service ne voulant être tenu responsable de l’utilisation de son réseau pour consulter des sites pédo-djihadistes. Mécréant que je suis, je taxe évidemment cette aimable fable d’hypocrite camouflage à la volonté de collecter des informations pour des buts moins avouables, n’ayons pas peur des maux, marketings. Il n’empêche qu’avec l’amoncellement de règlements encadrant la ténue liberté de surfer, je pourrais entendre l’argument de la responsabilité. Des fournisseurs d’accès honnêtes et philanthropiques seraient sans doute tenus de demander de semblables renseignements. Et j’en suis venu à me demander si la meilleure solution pour tout le monde ne serait pas que ces réseaux en accès plus ou moins libres n’autorisent que la connexion à un VPN.

Demain, chacun disposera d’un serveur personnel. Serveur non au sens de machine physique mais de plate-forme simple à administrer et fournissant un certain nombre de services, comme le mail. Il me semblerait sain qu’un de ces services soit un VPN, c’est à dire qu’en plus d’un serveur, l’honnête internaute de demain possède également un bout de réseau. J’y vois plusieurs avantages :

  • en terme de responsabilité des intermédiaires techniques : ils fournissent juste une connexion physique entre un terminal et un réseau, ils ne peuvent être tenus responsable de l’usage de leur réseau. L’IP de leur point d’accès s’efface au profit de celle de l’internaute ;
  • en terme de neutralité : le fournisseur de la liaison physique entre mes terminaux et le cœur du réseau ne peut plus être tenté de contrôler ce que je fais, d’interdire par exemple le P2P ou la VOIP. Mes communications sont encapsulées dans le VPN, il ne peut à priori rien y voir. À chaque internaute de connecter son VPN à un fournisseur de transit conforme à ses attentes et valeurs ;
  • en terme évidemment de sécurité : il est facile de récupérer des identifiants de connexion à par exemple Free, et de profiter ainsi du réseau FreeWifi. En déplacement, c’est une solution très pratique. Mais créer un faux accès FreeWifi pour intercepter des identifiants, voire tout le trafic, était il y a quelques années à la porté de quiconque sait se servir d’un moteur de recherche. Plus généralement, les réseaux publics sont rarement sûrs, et à moins d’être compétent en informatique et sûr de la configuration de ses terminaux, je ne me risquerais pas à m’y connecter. Il est par contre assez simple de s’assurer que la connexion entre notre terminal et le VPN est raisonnablement sécurisée. On rendrait ainsi beaucoup plus sûr la connexion via des points d’accès publics et partagés ;
  • on peut imaginer une meilleure mutualisation des ressources. Privilégier les points d’accès publics plutôt que les boites individuelles, puisque l’intelligence n’est plus dans le points d’accès lui-même mais dans le VPN ;
  • la contrepartie est évidemment un risque accru de surveillance. En faisant passer toutes mes communications par un unique tuyau, je rend leur interception bien plus aisée.

Une telle architecture pose un risque évident en facilitant l’espionnage. Mais elle résout également un certain nombre de problèmes, et l’idée ne me parait pas complètement débile. Fournir les outils pour se connecter à un VPN devrait donc être, à mon humble avis, une priorité des développeurs de plateformes, tant côté client que serveur.

Enfumer Gmail

Vouloir se prémunir de l’espionnage par les agences gouvernementales est une chose, essayer de se protéger du profilage par les marchands du temple en est une autre qui n’a pas grand chose en commun. La première, pour être sérieuse, demande beaucoup de ressources et impose nombre de contraintes. Par exemple chiffrer systématiquement tous ses messages, et ne communiquer qu’avec des gens maitrisant eux aussi raisonnablement la cryptographie. Mais la plupart du temps, je voudrais juste éviter que Google ne connaisse tous mes sujets d’intérêt du moment, via l’analyse de mes échanges avec des correspondants dont la majorité utilise Gmail.

Ce matin, je voulais envoyer quelques nouvelles à un correspondant, utilisateur de Gmail, mais n’avais guère envie que Google apprenne avant l’officialisation ici la nature de mes prochaines aventures professionnelles. J’ai donc cherché à offusquer le contenu du message, pour le masquer aux trop curieux algorithmes de Google.

J’ai d’abord pensé à simplement encoder le contenu du message en ROT13 ou ROT47. De nombreux sites proposent des formulaires permettant d’encoder / décoder ce format. Mais il serait trop simple pour Google de détecter ce format et décoder de tels messages. J’ai donc décidé de passer par un algorithme de chiffrement symétrique utilisant une clé. Clé que j’envoie en clair avec le message, mais ce n’est pas un problème : le but n’est pas d’empêcher un humain qui intercepterait ma correspondance de la lire, mais de rendre moins probable la lecture du message par les algorithmes de Google, et donc l’exploitation des données qu’il contient pour accroitre les données qu’il possède sur moi.

J’ai fini avec deux petits bouts de code :

  • un formulaire HTML hébergé à une URL que je contrôle et qui permet de chiffrer / déchiffrer directement dans le navigateur grâce à la bibliothèque crypto-js ;
  • un script shell qui utilise openssl pour créer une clé et chiffrer avec elle les données en entrée, puis afficher la clé, le message chiffré et l’URL du formulaire ;

En pratique, pour envoyer mon message, je l’ai comme à l’accoutumé composé dans Vim, puis j’ai sélectionné le texte que je voulais chiffrer, appelé via un raccourci mon script, et ainsi obtenu un message qui ressemblait à :


Pour lire ce message, copiez son contenu dans le formulaire sur http://url.de/monformulaire#U2FsdGVkX1+cOIz7zzahV+WoB5VywEECppjXMsMo0OUOhTTdNWFCDxbs3sdo5rthB/Y0CEdZdSg9c3ziwMZxSewInrfrTYnzSTygelNltyDgxXNgm9geYimxH+W9zgDK
Mot de passe : coucou

Message :

U2FsdGVkX1+cOIz7zzahV+WoB5VywEECppjXMsMo0OUOhTTdNWFCDxbs3sdo5rthB/Y0CEdZdSg9c3ziwMZxSewInrfrTYnzSTygelNltyDgxXNgm9geYimxH+W9zgDK


En cliquant sur le lien, mon correspondant arrive sur le formulaire pré-rempli où il ne lui reste plus qu’à saisir le mot de passe pour déchiffrer le message. Le même formulaire lui permet également de créer un texte avec la même sémantique, qu’il n’aura pour me répondre qu’à coller dans le corps de son message.

Je conviens aisément que cela n’est pas du tout ergonomique, et aisé à contourner. Mais ça me semble simple d’utilisation, à la portée de n’importe qui, et évite que les algorithmes de Google ne lisent mes messages.

Peut-être, dans nos réflexions sur la sauvegarde d’un peu de mystère et d’intimité, devrions-nous aussi réfléchir au concept de niveau raisonnable de brouillard pour une situation donnée.

Stiegler sur le marketing

Sakina Groth, une Mozillienne, a publié il y a peu un article donnant des conseils pour créer un site de promotion d’une appli. En jetant un œil sur son carnet, je suis tombé sur l’article Are Marketers Really Just Master Manipulators ?, qui m’a fait plaisir, en découvrant que même parmi les gens en charge du marketing de Mozilla, la Mission de la fondation n’est pas qu’un slogan publicitaire. J’ai gazouillé ma découverte, et il s’en est suivi un long échange entre deux de mes phares de la pensée, David et Nicolas (le débat est parti dans tous les sens, le lien précédent n’affiche qu’un de ses fils). Je n’y ai pas pris part parce que j’avais piscine et que je considère que Twitter n’est vraiment pas adapté au débat.

Il n’empêche, la discussion a beaucoup tourné autour de la définition du marketing. C’est un mot qui me terrifie depuis un article de Bernard Stiegler à propos de son ouvrage Pharmacologie du Front national. Dans un entretien au site atlantiste Atlantico, où il évoque le réel danger de voir le Front National au gouvernement en 2017, Stiegler s’en prend violemment au marketing, accusé d’être une des causes de la montée du fascisme. Article traumatisant, d’autant que je travaille depuis deux ans pour une grosse société experte en marketing numérique (ouf, je finis bientôt).

Pour alimenter un peu le feu de mes phares, voici une compilation de quelques citations de Stiegler. Attention, c’est un philosophe, sa pensée est complexe et ne saurait se résumer à ces citations. Mais je suis de la génération Twitter, incapable de concentrer mon attention au-delà du cent quarantième caractère, et ces courts extraits sont donc tout ce que je retiens de son analyse du marketing.

(c’est amusant, car je me souvenais vaguement d’un vieil article du Monde Diplomatique qui avait déjà attiré mon attention sur l’analyse du marketing. Après quelques recherches, je découvre qu’il était, déjà, signé de Stiegler : « Le désir asphyxié, ou comment l’industrie culturelle détruit l’individu » (version complète)).

Dès 1990, dans son Post-scriptum aux Sociétés de contrôle, Deleuze, à la suite de Foucault, estime que nous sommes en train de passer des sociétés disciplinaires aux sociétés de contrôle, et que le marketing est l’instrument du contrôle social :

Mais, dans la situation actuelle, le capitalisme n’est plus pour la production (…) C’est un capitalisme de surproduction (…). Ce n’est plus un capitalisme pour la production, mais pour le produit, c’est-à-dire pour la vente ou pour le marché. (…) Le service de vente est devenu le centre ou l’« âme » de l’entreprise. On nous apprend que les entreprises ont une âme, ce qui est bien la nouvelle la plus terrifiante du monde. Le marketing est maintenant l’instrument du contrôle social, et forme la race impudente de nos maîtres. Le contrôle est à court terme et à rotation rapide, mais aussi continu et illimité, tandis que la discipline était de longue durée, infinie et discontinue. L’homme n’est plus l’homme enfermé, mais l’homme endetté.

Autre source souvent citée par Stiegler, Edward Bernays, neveu de Freud, qui a cherché à utiliser les recherches sur l’inconscient pour les mettre au service de la manipulation des masses. Pour Wikipedia, il est « considéré comme le père de la propagande politique institutionnelle et de l’industrie des relations publiques. (…) Ses travaux sur l’inconscient à l’usage des entreprises à travers les Public Relations ont contribué à l’émergence du marketing moderne ». Paul Mazur, un banquier associé de Bernays, a déclaré en 1927 « nous devons faire passer l’Amérique d’une culture des besoins à une culture du désir. Les gens doivent être entraînés à désirer, à vouloir de nouvelles choses, avant même que les anciennes aient été entièrement consommées. Nous devons créer une nouvelle mentalité en Amérique. Les désirs de l’homme doivent dominer ses besoins ». J’y vois là l’essence du marketing : remplacer les besoins par des désirs créés artificiellement.

Sur le site de son association Ars Industrialis, Stiegler donne une définition détaillée du marketing, dont voici quelques extraits :

Le marketing désigne précisément le fait que, dans la consommation, le produit consommé est paradoxalement devenu secondaire. (…) Le marketing publicitaire matraque : c’est là son premier principe. Il n’informe pas tant (adverstising) qu’il incite : c’est une technique d’incitation à un comportement (…) Après la naissance du marketing, il est clair que le but n’est plus de former et d’exploiter des producteurs, mais de contrôler des comportements de consommateurs. Depuis les années 50-60, l’enjeu est d’assurer moins la production que la vente et la consommation des biens produits par un appareil structurellement en surproduction – les groupes industriels, devenus mondiaux, visant explicitement à s’assurer le contrôle comportemental des individus, c’est à dire leur esprit, leur désir, leur identité. (…)

D’autres citations en vrac, sur Atlantico :

L’hyperconsumérisme qui a été imposé par la révolution conservatrice par la substitution du marketing à la puissance publique a détruit les modes de vie et les structures familiales, sociales, éducatives, culturelles, etc.

… pour Bastamag …

[le marketing] est le fer de lance programmé depuis 1979 par les économistes libéraux de l’école de Chicago. Ce qui s’est mis en place dans les années 1950 avec le développement des médias de masse, c’est le projet d’Edward Bernays, le neveu de Sigmund Freud. Edward Bernays, concepteur du "public relation", est convaincu que pour faire adopter des idées ou des produits par des individus, il faut s’adresser à leur inconscient et non à leur conscience. Son idée est de faire consommer les Américains de plus en plus en détournant leurs désirs, en court-circuitant leurs pulsions. Sur la base d’une théorie freudienne, Bernays construit une stratégie de développement du capitalisme qui permet de capter, de contrôler, de canaliser chaque individu et de l’orienter vers les objets de l’investissement économique, les objets de consommation. Le but est de prendre le pouvoir sur le psychisme de l’individu afin de l’amener à un comportement pulsionnel. (…) Le marketing est responsable de la destruction progressive de tous les appareils de transformation de la pulsion en libido.

… dans Télérama …

Edward Bernays savait aussi qu’on ne transforme pas le comportement des individus en s’adressant à leur raison ou à leur conscience pour des « besoins » qu’ils n’ont pas, mais en captant leur attention pour détourner leur désir - ce que Freud appelle leur « énergie libidinale » - vers les marchandises. L’innovation associée au marketing pour capter le désir constitue dès lors l’économie libidinale capitaliste.

… pour l’Huma …

La destruction de l’attention pousse de plus en plus de gens vers le Front national parce qu’elle fait souffrir ceux qui la subissent tout en les empêchant de comprendre de quoi ils souffrent. L’attention est produite par l’éducation. Mais si on peut et on doit la former, on peut aussi la déformer. Le marketing la déforme en la manipulant avec d’énormes moyens. La formation de l’attention produit des savoirs – savoir vivre, faire ou conceptualiser. Politesse, chaudronnerie et mathématiques sont des formes d’attention. La déformation de l’attention est le désapprentissage de ces savoirs. Privé de ces savoirs, on est privé de place sociale : on n’est plus soi-même un objet d’attention. (…)

… chez les Inrocks …

ce néolibéralisme a remplacé l’action publique et démocratique par le marketing, ce qui a peu à peu rendu le politique impuissant (…) Obsédée par le calamiteux “réalisme” issu de l’idéologie ultralibérale, la gauche semble incapable d’imaginer une alternative à la société de consommation. C’est ainsi parce le consumérisme est devenu une machine de guerre idéologique mondiale qui coïncide avec une machine mondiale de guerre économique – ce que j’appelle l’idéologie du marketing.

… ailleurs …

le marketing est une machine qui détruit le désir. Le marketing sert à vendre à des gens des choses dont ils n’ont pas besoin. (…) Il faut savoir que depuis trente ans, le marketing américain dit : « il faut capter l’attention des enfants avant cinq ans, pour pouvoir avoir de la life time value », c’est-à-dire de la fidélisation à vie. Le marketing détourne le processus d’identification primaire décrit par Freud, des parents vers les marchandises. D’une façon très générale, cela détruit tous les processus d’identification, primaires, secondaires, affectifs… et les remplace par des identifications à des produits qui sont des produits de déception. A partir de ce moment-là, ce processus crée des gens amers, qui ne s’aiment plus, et cela détruit surtout, c’est le plus important, la capacité de l’être humain à transformer ses pulsions en désirs. (…) Nous sommes des êtres pulsionnels, nous sommes habités de pulsions, largement décrites par Freud. Toutes ces pulsions, si elles ne sont pas socialisées par une éducation qui produit un attachement libidinal à des objets d’idéalisation, elle s’exprime comme pulsion, et la pulsion c’est destructeur. Freud décrit bien ce processus au début d’un livre qui s’appelle L’Avenir d’une illusion. Il dit « Imaginez 5 minutes que tout ça ne marche plus, ça serait immédiatement la guerre civile. » Normalement, une société lutte contre le coté pulsionnel des individus, non pas pour l’éliminer mais pour le transformer, pour en faire une énergie positive, une énergie d’investissement et non pas de consommation. C’est ce que le marketing détruit, car nous sommes aujourd’hui dans une société pulsionnelle.

Je n’ai pas trouvé de phrase à en extraire, mais recommande également la lecture d’un autre entretien sur le thème de l’« infantilisation des adultes et la puérilisation des enfants ». Stiegler y développe les dégâts du marketing sur l’éducation des enfants et la formation de la personnalité des citoyens.

Je m’abstiens de commentaire et espère que si vous voulez en discuter, vous trouverez un autre lieu que Twitter.

Diversifions

Souvent, lorsqu’un administrateur se connecte à une machine, celle-ci l’accueille d’un salutaire rappel « un grand pouvoir donne de grandes responsabilités ». En informatique, les administrateurs (de réseaux, de machines, de bases de données, etc.) ont effectivement un grand pouvoir. Ils ont accès à de très nombreuses informations, directement à la source, sans être soumis à des restrictions d’accès. Ils ont souvent la capacité de lire la plupart des messages électroniques échangés et des documents internes de l’entreprise. Parfois, ils sont même amenés à le faire dans le cadre de leurs missions. Pouvoir accéder à des informations sensibles leur donne donc un certain pouvoir, et les soumet à une double responsabilité. Résister à la tentation d’abuser de leur pouvoir (aller lire des documents pour savoir si la direction prépare des licenciements ou si la jolie fille de la compta est célibataire), résister aux pressions (internes de sa hiérarchie qui voudrait fliquer un salarié, externes de personnes qui voudraient des renseignements sur la structure).

Tout pouvoir porte en lui la tentation de l’abus et le risque du détournement. Pour se protéger des abus, on ne peut se reposer uniquement sur la capacité des individus à résister à la tentation et à la pression. Et l’un des meilleurs garde-fous est à mon sens, non de contrôler les individus en situation de puissance, mais de limiter au maximum la concentration du pouvoir. Moins il y de pouvoir, moins on est tenté d’en abuser, et surtout moins les conséquences des abus sont dommageables. Il faut donc veiller à ne pas laisser trop de pouvoir s’accumuler entre les mêmes mains. Segmenter le système d’information pour éviter qu’un unique individu ait toutes les clés. Diversifier l’environnement pour éviter les points individuels de défaillance, que cette défaillance soit un panne, une attaque ou une indiscrétion.

Il y a quelques jours, quelqu’un a signalé que pour utiliser Hangout, un service de visioconférence de Google, il fallait désormais obligatoirement utiliser Chrome (alors que le service semble parfaitement fonctionner dans Firefox). Devant le tollé, un ingénieur de Google a rétropédalé, invoquant une simple erreur de formulation. Mais les faits sont têtus : trois jours plus tard, la page n’a toujours pas été corrigée (et j’avoue avoir vraiment beaucoup de mal à croire au caractère non intentionnel de cette restriction). Ça n’est bien sûr qu’une anecdote minuscule. Google triche un peu pour inciter les internautes à installer et utiliser son navigateur. Et cette ridicule malhonnêteté n’aurait guère de conséquences si son auteur n’était l’un des principaux fournisseur de logiciels et de services au monde. Mais dans la position où est Google, cette simple magouille va probablement se traduire par quelques milliers d’utilisateurs qui migreront, sans vraiment l’avoir voulu, à Chrome. Et les petits réseaux faisant les grandes rivières, de démonstrations réservées à Chrome en installations cachées dans les bagages d’autres logiciels, le nombre d’utilisateurs des produits de Google s’accroît. La quantité d’informations que Google collecte et, partant, sa capacité d’action augmente. Plus une entité est en situation de pouvoir, plus grande est la tentation d’abuser un peu de ce pouvoir à la marge, sur des points qui semblent sans conséquences. Et plus vastes deviennent les conséquences de ces micro-abus.

Le pouvoir de Google est aujourd’hui gigantesque, probablement bien plus important que la majorité d’entre nous ne l’imagine. Business Insider a récemment publié une interminable liste des multiples racines qui chaque jour alimentent davantage en données le ventre de l’ogre insatiable. Google a des capteurs partout. Sur internet, bien sûr, mais aussi dans le monde analogique, avec ses téléphones, ses satellites, demain ses voitures, lunettes, objets connectés… La quantité d’informations ainsi collectée dépasse l’imagination, tout comme les innombrables usages qu’il pourrait en faire. La puissance de Google est aujourd’hui terrifiante.

Et, sans vouloir retirer de mérite à ses ingénieurs, cette puissance, c’est en grande partie nous qui la confortons, qui la démultiplions chaque jour.

S’il est des individus qui cherchent explicitement la puissance, force est d’admettre que souvent c’est nous-mêmes qui déléguons notre pouvoir et créons les monstres devant lesquels nous tremblons ensuite. Les silos ne deviennent dangereux parce que nous leur en donnons les moyens. Personne ne nous oblige à abonder leur puissance, du moins au début. Mais chaque fois que nous utilisons Chrome, Gmail, Android, chaque fois que nous achetons un iGadget, racontons notre vie sur Facebook, commandons sur Amazon, nous leur donnons un tout petit peu plus d’informations, nous renforçons leur pouvoir, augmentons la tentation qu’ils en abusent, et les conséquences du moindre abus (et la liste de ces petits abus est déjà longue et publique, des censures d’Apple dans sa boutique aux pressions d’Amazon sur ses fournisseurs).

Le problème n’est donc pas Google ou Apple, Facebook, Microsoft ou Amazon, il est hors-sujet de disserter sur l’humanisme des intentions de leurs dirigeants ou leur capacité à résister à la pression de gouvernements ou de mafias. Inutile d’essayer de deviner comment toutes les informations que nous leur confions pourraient un jour se retourner contre nous. Non, l’unique question qui vaille est de savoir s’il est sain de laisser une aussi phénoménale puissance s’accumuler entre les mains d’un petit nombre d’acteurs, quels qu’ils soient.

Si vous pensez que la réponse à cette question est non, qu’il n’est pas sain que quiconque dispose d’autant d’informations, donc de pouvoir, alors il est grand temps d’agir, pendant que nous le pouvons encore. Et ça tombe bien, car l’effort pour agir concrètement sur la situation n’est pas insurmontable. Il suffit de ne plus mettre tous nos œufs dans le même panier. Ne plus confier tous nos échanges électroniques à deux ou trois acteurs. Ne plus tous et toutes utiliser les mêmes logiciels, système d’exploitation, navigateur, etc. Diversifier à défaut de décentraliser. En matière d’information comme dans la nature, c’est la diversité qui fait la force et la résilience d’un système. Il ne s’agit pas forcément de reprendre nous-mêmes le contrôle de toutes nos données. Je suis bien conscient que peu de gens ont les ressources (temps, compétences…) et l’envie de le faire. Mais de ne pas tout confier au même prestataire. De bâtir le meilleur garde-fou contre le totalitarisme, un réseau divers.

Fork me on GitHub