Tag Archives: sécurité

[de chez Pixellibre]

Bon alors je viens de voir passer ça et c’est suffisamment intéressant pour que je reposte ici, en partie pour les coupainEs du libre et à propos de comment on est merdiques pour ramener des gens dans nos communautés, ou rendre nos communautés accessibles aux gens, des fois.

Original disponible ici.

 

 

Récemment, Barbayellow sortait un (bon) billet de blog qui a démarré un bon « débat » dans la « twittosphère » : pourquoi, la sécurité, bah… ça marche pas.

Dans ce billet, il explique que la communauté des développeurs et des experts doit s’adapter au besoin et non l’inverse. Dans son cas, ce sont ces communautés qui doivent s’adapter au journalisme et non aux journalistes de devenir des experts en sécurité et des administrateurs réseau en puissance.

Il rajoute d’ailleurs que ça n’arrivera jamais, et, non sans un certain regret, je dois admettre qu’il a raison.

Je voulais détailler mon point de vue, d’où ce billet. D’avance, je vais m’inclure dans ces communautés, mon intention n’étant pas de tirer sur des gens et de m’en exclure, puisque cette adaptation me concerne également.

Notre communauté a un problème : elle reste dans un petit monde, un petit cercle qui, bien qu’il soit extrêmement ouvert d’esprit, est relativement fermé, et ce pour plusieurs raisons.

La première est assez légitime : la méfiance. Quelqu’un qui débarque « comme ça » sera forcément observé, ce qui ne plait pas à tout le monde. Dans l’univers du hacking, de la sécurité informatique ou de l’(h)ac(k)tivisme, il y a toujours de la paranoïa, plus ou moins présente selon les groupes de ces communautés, plus ou moins justifiée, mais toujours.

La seconde est déjà moins sympathique : la fierté, l’élitisme, je considère que c’est une plaie. Et c’est principalement de ça que nous allons parler.

Nous sommes curieux, exigeants, nous avons l’envie d’apprendre, nous avons la motivation, chacun à notre rythme, à notre niveau. Nous avons parfois le temps pour nous planter. Nous avons le luxe de nous le permettre car, à de rares exceptions, cela ne met pas en péril une personne, une vie, une information sensible. Nous pouvons recommencer encore et encore puis réussir, créer, nous documenter sur des manuels tellement intelligibles qu’un profane aurait l’impression de voir un programme de Canal+ ou un écran de la Matrice. Rien que le fait de voir un terminal, ça fait peur à beaucoup. D’ailleurs, rien que de prononcer le terme terminal, mine de rien, c’est déjà quelque chose.

Allez, sérieusement, allez voir des gens « au hasard » et demandez-leur ce que c’est. Voilà. Bref, revenons-en à nos octets…

L’élitisme, donc. « Je sais que je sais, et toi, je sais que tu ne sais pas. Je t’explique, et si tu ne comprends pas alors t’es un N00b », « J’ai eu personne pour apprendre, RTFM » sont des réponses qui calment les gens, sérieusement.

On ne peut pas rester ainsi éternellement si on veut qu’un jour, les efforts que nous faisons marchent. On ne peut pas rester dans notre petit milieu, à envoyer promener les gens parce qu’ils ne comprennent pas assez vite, ou pas du tout.

Des personnes, peut-être pas vous hein, ne vous sentez pas pris pour cible, ont ce comportement-là. Et les conséquences de ce comportement sont nombreuses, l’information reste dans un cercle de gens qui « savent », les autres peuvent se sentir rejetés, ou pris de haut, méprisés, démotivés, ce comportement, c’est un répulsif efficace.

Bref, si nous sommes une communauté ouverte, nous sommes une réelle communauté ouverte, pas uniquement sur le papier. Cela demande du temps, de l’implication, de l’adaptation de la pédagogie et de l’andragogie, les gens doivent se questionner pour comprendre, leur servir la connaissance, ça ne fonctionne pas.

Revenons-en au cas de Barbayellow : la protection de la vie privée, de l’intimité, le contournement de la censure, est freiné par les exigences demandées pour y arriver, qui se résument à la chose suivante dans l’exemple : être administrateur système.

Ça fait mal à lire, mais c’est vrai, nous accusons un cruel manque de pédagogie, de volonté, de capacité à transmettre l’information…

Nous manquons de pédagogie pour les points cités juste avant, je ne reviendrai pas dessus.

Nous manquons de volonté car entre utiliser un programme et expliquer un programme, il y a un gouffre énorme.

Enfin, nous manquons réellement de capacités d’adaptation. Tous, ou presque. Il y a une différence phénoménale entre comprendre quelque chose et être capable d’expliquer quelque chose et, désolé d’avance, si beaucoup comprennent comment fonctionne telle ou telle chose, les gens capables d’expliquer comment ça fonctionne, à n’importe qui, je les compte sur les doigts d’une seule main.

Il faut s’adapter en permanence, accepter que la personne ne comprenne pas, faire l’effort d’aller vers elle, de reprendre ses termes, son cadre de référence, pour la comprendre et pour réussir à transmettre le savoir.

L’exemple est parlant, n’est-ce pas ? (Merci à fo0_ pour l’exemple bien trouvé)

Pour Barbayellow, ça passe par une simplification de ce qu’on appelle l’interface utilisateur. Il faut qu’elle soit claire, simple, compréhensible afin de toucher un public large.

C’est là où le bât blesse, pour l’instant et selon moi. Utiliser GPG, TOR, Jitsi ou LinPhone, c’est tout sauf aisé pour un utilisateur Lambda. Les interfaces s’améliorent certes, mais il reste énormément de travail à faire.

Il en reste beaucoup en partant de la même base : les interfaces doivent s’adapter aux utilisateurs et non l’inverse. Si, pour « nous », c’est ce qui s’est passé, c’est parce que nous le voulions bien et parce que des choses nous semblent évidentes, sauf que nos évidences ne sont pas celles des autres.

Oui, il y a des gens qui refusent d’apprendre, et d’autres qui ont juste besoin que le programme fonctionne, et qu’il fonctionne bien parce qu’il va gérer des données sensibles, il y a des gens qui ne veulent qu’utiliser un programme, sans forcément chercher à savoir comment il fonctionne parce qu’ils n’en ont tout simplement pas besoin. Les journalistes sont journalistes, pas administrateurs réseau, c’est vrai. A ce titre, il faut leur fournir des outils quasiment « clefs en main », sans pour autant oublier celles et ceux qui veulent comprendre. Il faut donc de la documentation, claire et adaptée, dans plein de langues car tout le monde ne parle pas anglais, tout le monde ne comprend pas forcément un manuel, tout le monde n’a pas « la bonne » logique.

L’interface doit donc être simplifiée, sans induire un manque de réflexion, sans induire une infantilisation de l’utilisateur : TextSecure, une application qui permet d’envoyer des SMS chiffrés, est une bonne démonstration : elle protège vos SMS, l’envoi et la réception de ces messages-là dans certains cas et, pour autant, elle n’infantilise personne, les menus de configuration sont assez poussés et pourtant, le programme est très simple d’utilisation, ce qui contribue d’ailleurs à une adoption plus rapide et plus massive de cette solution.

Nous ne pouvons pas demander aux journalistes d’être des administrateurs réseau et, quitte à pousser la réflexion jusqu’au bout, si nous leur demandons de l’être, alors nous devons être des « formateurs-communicants-développeurs-rédacteurs-whatever », sauf que c’est pas le cas. Comment demander quelque chose à quelqu’un alors que nous même ne remplissons pas le critère ?

Chacun a son propre métier, son propre cadre de référence et refuser de l’admettre, c’est se condamner à un flagrant manque d’adaptation. Je parle en connaissance de cause, mon métier consiste à s’adapter à n’importe quel profil, technique ou non, intéressé ou non, avec des gens qui n’ont pas le choix et qui doivent être capables de se servir de tel, tel ou tel logiciel très rapidement.

Au final, c’est un tout, dont Okhin a déjà parlé à Pas Sage En Seine : nous devons sortir de notre petit monde, arrêter d’espérer qu’un jour les utilisateurs s’adapteront à nos technologies, prendre les devants et aller « sur le terrain », au contact des utilisateurs, adapter nos ressources, documents, manuels x ou y, interfaces, nous ouvrir vers l’extérieur…

Ça me tue de l’écrire mais, si Skype est énormément présent et qu’il est très difficile de motiver quelqu’un à le quitter, c’est parce qu’il est facile à configurer, que l’interface est assez « sexy » et que « ça marche », au mépris des dangers, de la surveillance, de tout plein de choses que je connais déjà, pas la peine de me les rappeler ici.

Encore une fois, ceci n’est que mon point de vue. Cependant, pour voir et entendre chaque jour des centaines de personnes, je peux affirmer qu’il n’est pas totalement à côté de la plaque. Tout le monde n’a pas envie d’apprendre, de passer des heures interminables à configurer un logiciel qui fait ce qu’un autre fait en trois clics. D’autres ont besoin de solutions sans forcément avoir le niveau technique requis pour les comprendre… qu’allons-nous répondre ? De revenir dans trois ans, une fois le niveau nécessaire acquis ?

Evidemment, il y a aussi des aspects négatifs : la diffusion massive d’un logiciel l’expose à plus de dangers parce que le logiciel devient une cible plus intéressante, plus une interface est simplifiée et plus le travail pour la simplifier est énorme, plus il y aura donc de développement, et c’est un facteur à prendre en compte.

J’arrête là, mais nous pouvons en parler (oubliez Twitter, c’est hors de question, on ne débat pas sur Twitter). Le débat peut s’installer dans les commentaires si vous voulez, mais ne vous tapez pas dessus, ça serait bien.

Bien sûr, le problème ne vient pas que des administrateurs et des développeurs et de nos communautés, mais il est en grande partie lié à tout ceci et au narcissisme dont nous faisons preuve.

Les utilisateurs finaux devront toujours chercher, se renseigner, ça ne changera jamais, vraiment pas. Pour autant, ils le feront avec des outils adaptés à eux, ce qui sera beaucoup plus efficace. Il va sans dire que si ces utilisateurs ne font aucune démarche, cela ne changera rien, jamais rien.

Advertisements

HTTPS Everywhere

J’ai déjà parlé ici de Prism Break et de comment c’est trop chouette pour découvrir des outils qui permettent de rendre l’utilisation d’Internet plus sûre.

Aujourd’hui, on va parler de HTTPS everywhere.

HTTPS, c’est quoi ?

HTTPS est basé sur HTTP.

HTTP, c’est les quatre première lettres qui apparaissent dans une URL. Elles signifient “HyperText Transfer Protocol”. C’est un protocole de communication client-serveur (ça ne mord pas. C’est juste une façon pour votre ordinateur de communiquer avec le serveur sur lequel est hébergé le site que vous voulez visiter).

Comment HTTP fonctionne-t-il ? Il permet aux deux machines (la vôtre, ordinateur A, et le serveur, ordinateur B) de parler la même langue (c’est à ça que sert un protocole, et c’est très utile quand on veut communiquer).

Pour en savoir plus sur le protocole HTTP, vous pouvez consulter la page Wikipedia qui explique tout bien comme il faut.

Qu’est-ce donc qu’HTTPS ? C’est le même protocole, avec un S à la fin, pour “sécurisé”. Si vous consultez vos comptes bancaires en ligne, vous avez sûrement dû voir un petit cadenas juste avant le début de l’URL : il est là pour vous garantir que vos données ne passent pas en clair sur le réseau, c’est-à-dire qu’elles sont chiffrées (on ajoute par-dessus vos données une “enveloppe” qui les rend illisibles à moins d’avoir une clef spéciale, et c’est vous qui décidez à qui vous donnez la clef).

 

HTTPS, comment ça fonctionne ?

HTTPS sécurise nos connexions en utilisant le système SSL. Pour comprendre le système SSL, je vous renvoie à l’excellent post de Sebsauvage sur le sujet.

En simplifiant, on pourrait dire que SSL :

empêche la communication entre deux machines d’être écoutée,

– garantit que les informations transmises soient les bonnes,

– garantit que les deux interlocuteurs soient vraiment ceux qu’ils disent être.

 

Mais c’est super compliqué, et puis j’en ai pas besoin !

En fait, pas si compliqué que ça. Ce qui se passe entre les deux machines est peut-être compliqué à comprendre à première vue, mais un utilisateur qui n’a pas envie de s’y intéresser peut très bien s’en passer.

Comme je le disais plus tôt, HTTPS est déjà utilisé par les sites bancaires, les sites de vente en ligne, etc, pour garantir que vos données bancaires ne soient pas écoutables par quelqu’un qui mettrait ses oreilles entre votre ordinateur et le serveur du site. Ce qui est bien sympa de leur part.

Mais si on pousse le raisonnement un peu plus loin, est-ce que vos données bancaires sont la seule chose qui doit appartenir à votre vie privée ? Est-ce que vous avez envie que vos scan de carte d’identité (ceux que vous envoyez en pièce jointe quand vous posez votre candidature à un job), les mails que vous envoyez à vos amoureuxSEs, votre consommation de produits pas toujours recommandables, ou encore les détail du moment où vous avez vomi des morceaux de courgette avant-hier soir soient accessibles par tout un chacun ? Votre maman, votre patron, votre ex, une entreprise, la police ?

Pour éviter, donc, que ces données ne transitent en clair sur Internet, vous pouvez choisir de demander à votre navigateur Web d’utiliser HTTPS pour tous les sites qu’il rencontre (il parlera donc de façon sécurisée avec tous les serveurs hébergeant ces sites). Comment ? En utilisant HTTPS Everywhere.

HTTPS est une extension développée par l’Electronic Frontier Foundation (EFF) qui peut s’ajouter à Mozilla Firefox et Chrome. C’est donc un petit programme qui dit à Firefox ou Chrome de chiffrer ce qu’ils disent et reçoivent des sites que vous visitez. Il est téléchargeable sur le site de l’EFF et s’installe très simplement sous Windows et Linux, et ensuite, il travaille tout seul, sans qu’on ait besoin de s’en occuper. Simplicité maximale, plus grande tranquillité d’esprit. Cool, non ?