CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Posts Tagged ‘April’

Logiciel libre, chiffrement et vie privée – Laurent Sanselme

Posted by CercLL sur 2 août 2017

Titre : Le logiciel libre, chiffrement et vie privée
Intervenant : Laurent Sanselme
Lieu : Libre en Fête 2016 – SUPINFO Clermont-Ferrand
Date : Mars 2016
Durée : 40 min
Visualiser la vidéo
Licence de la transcription : Verbatim

Transcription

Pour cette conférence j’ai pris trois thèmes qui sont extrêmement vastes et qui mériteraient chacun une conférence à part entière sur eux ; que ce soit les logiciels libres, le chiffrement ou la vie privée, c’est très vaste, il y a beaucoup de sujets de débat. Là on va essayer de condenser au maximum pour essayer de s’intéresser aux liens qu’il peut y avoir entre eux.

Donc on va s’intéresser tout d’abord au logiciel libre. On va essayer d’expliquer un peu. Le but de cette conférence c’est principalement de donner les bases pour l’atelier qui va suivre, qui sera justement la mise en place de méthodes de chiffrement et de protection de la vie privée.

Le logiciel libre, qu’est-ce que c’est ?

Un logiciel libre, c’est un logiciel qui respecte quatre libertés fondamentales. Ces quatre libertés fondamentales, la première ça va être la liberté d’exécuter le programme ; d’exécuter le programme et ce pour toute utilisation ; ça, ça aura son importance par la suite. Si on est un boulanger et que l’on veut utiliser un logiciel de comptabilité qui est prévu pour un boucher, on peut le faire, il n’y a rien qui nous en empêche, on peut très bien l’adapter.

On a la liberté d’étudier le programme. Le fait, justement, de pouvoir l’étudier, va permettre cette adaptation par la suite. On peut le lire, vérifier comment il fonctionne, et s’assurer qu’il répond bien à nos attentes.

Il y a aussi la liberté de redistribuer des copies du programme. Si on a notre logiciel de comptabilité pour boulangerie et qu’on a un ami boucher qui veut l’utiliser, on peut très bien lui donner, il n’y a rien qui nous en empêche.

Et surtout, on a la liberté d’améliorer le programme et de partager ces modifications, c’est-à-dire qu’on va permettre de faire les modifications dans le programme pour, par exemple, au lieu de compter des croissants, pouvoir compter des steaks.

Alors qu’est-ce que tout ça implique ?

La première chose que tout ça implique, ça implique l’accès au code source. Pour pouvoir étudier le programme et le lire, il faut qu’on puisse avoir ce qui a permis la conception du programme. Même sur un programme déjà compilé, on peut toujours revenir à une version « lisible » entre guillemets par un humain, mais quand on a des programmes qui font des centaines de mégas voire des gigas de données, ça devient compliqué de déchiffrer un logiciel complet en assembleur.

La deuxième chose que ça implique, c’est que tout le monde peut être acteur : n’importe qui va pouvoir agir ou contribuer à ce programme. Et en plus, personne ne peut être limité, c’est-à-dire qu’il n’y aura pas de restrictions quant aux modifications qu’on va pouvoir effectuer. Si on se retrouve par exemple dans une entreprise qui veut absolument qu’une fonctionnalité reste de telle manière parce que ça fait partie de la culture de l’entreprise, elle pourrait bloquer un développeur en disant tu ne fais pas de modifications sur cette partie. Avec un logiciel libre, on peut : n’importe qui peut faire cette modification.

Qu’est-ce que ces trois éléments impliquent encore ?

Le premier, avec l’accès au code source, il est impossible de cacher quelque chose. Tout ce qui est programmé est lisible, visible. N’importe qui va pouvoir le retrouver. Donc on ne pas cacher quelque chose au sein d’un logiciel libre. Ça aussi ça aura son importance pour tout l’aspect sécurité qui va avec.

Le deuxième c’est qu’on peut adapter le programme à ses besoins, comme je vous le disais, et partager ces améliorations. Donc on va pouvoir faire évoluer le programme et permettre des améliorations constantes.

J’ouvre une petite parenthèse, même si pour les deux choses que je vais voir dans cette parenthèse je vous invite à regarder l’Expolibre1 qui est affichée sur les vitres dans le couloir ; n’hésitez pas à aller y jeter un coup d’œil.

La première chose dont je vais parler c’est des formats libres. Les formats libres ça va être le même principe que les logiciels libres, mais appliqué aux formats, les différents formats d’enregistrement. Ce sont des formats dont on connaît la structure. Et ça, ça va permettre plusieurs choses. La première c’est de garantir la pérennité des données : même un logiciel qui a été codé il y a 20 ans, s’il a arrêté d’être utilisé, les fichiers qui ont été créés à partir de ce logiciel sont toujours lisibles puisqu’il suffit de reprendre la même structure et de les lire de la même manière. Pareil pour de l’édition.

La deuxième chose, c’est l’interopérabilité : on va permettre, à partir de ces mêmes fichiers, de les lire dans plusieurs logiciels. Plusieurs logiciels vont pouvoir les interpréter, voire les éditer.

Et enfin l’évolutivité. À force d’utiliser un format on peut se rendre compte qu’il a des limites. L’avantage du format libre, c’est qu’on va pouvoir effectuer des modifications quand elles sont demandées par la plupart, une grosse partie de la communauté, et intégrer ces évolutions dans de nouvelles versions du format.

Donc voila quelques exemples de formats libres.

Le premier c’est le Format Open Document, celui que vous connaissez très certainement grâce à LibreOffice2, Open Office, etc. Il est lisible sous Office Windows depuis assez longtemps et sous Office Mac depuis pas très longtemps. Voila. C’est un bon exemple d’interopérabilité

Le format PDF, aussi très connu et très utilisé. Sur le PDF, pour vous donner une idée d’évolutivité, il y a la WWF, donc la société de protection de la vie sauvage, qui a fait un format qu’ils ont appelé Save as WWF et qui est en réalité un dérivé du format PDF. dans lequel l’autorisation d’impression est toujours mise à false. Donc on ne peut pas imprimer les documents qui sont sous ce format-là. En réalité, vu que c’est un dérivé du format PDF, il est très facilement possible d’inverser ceci pour les réimprimer, mais du moment qu’on reste dans leur format à eux qui est un dérivé, on ne peut pas imprimer les documents.

Après le format HTML, utilisé partout. Le format TXT qui est le format texte brut, pareil il n’y a pas d’ordinateur qui ne sait pas le lire, ou encore les formats d’image PNG.

Maintenant les licences libres

Les licences libres, ce sont les licences qui vont encadrer l’utilisation d’un logiciel. La première chose qu’il faut savoir, c’est qu’elles sont très nombreuses. Il y a beaucoup de licences différentes qui existent et sur lesquelles il va y avoir soit des incompatibilités entre elles, soit des limitations supplémentaires d’une licence à une autre.

Donc elles n’autorisent pas toutes les mêmes utilisations, mais par contre, elles garantissent toutes les mêmes libertés à savoir les quatre libertés principales qu’on a vues tout à l’heure.

Les quatre licences les plus connues sont la GNU/GPL v3, alors je précise v3, mais il y avait aussi la v2 dans les plus utilisées. La version Apache 2.0 ; la licence BSD modifiée, ou la licence Expat qui est une des licences MIT, le MIT ayant beaucoup de licences différences. C’est donc une des licences qu’on appelle MIT.

Je vais vous donner deux exemples particuliers, par exemple d’une d’incompatibilité : la version Apache version 1.1. Elle a quelques exigences qui la rendent incompatible avec la GNU/GPL v3, mais v2 aussi d’ailleurs, comme par exemple l’interdiction d’utiliser des noms en rapport avec Apache dans le nom du logiciel. Ça, c’est une limite que ne permet pas la GNU/GPL, puisque la GNU/GPL elle permet d’utiliser n’importe quel nom, que ce soit Apache ou un autre. Donc du coup, ces deux licences-là ne sont pas compatibles entre elles, mais elles sont toutes les deux libres, puisqu’elles garantissent que le programme a bien les quatre libertés principales.

La deuxième licence dont je veux vous parler qui est une petite anecdote, c’est la licence JSON. La licence JSON a une petite mention qui dit que le logiciel sera utilisé pour le bien et non pour le mal. On pourrait penser que donc, du coup, elle respecte bien toutes les libertés, mais en réalité, ça c’est une impossibilité d’utilisation, une limite d’utilisation du programme. Donc du coup, ça ne respecte pas la première liberté des quatre libertés fondamentales, donc elle n’est pas considérée comme une licence libre.

Vous pouvez trouver des comparatifs de tout ça sur le site de gnu.org3. Il y a un comparatif de toutes les licences libres et non libres. Vous pourrez voir une bonne partie des différences qui existent entre elles.

Donc voila pour refermer la parenthèse.

Maintenant je vais parler rapidement des logiciels libres, à savoir un certain nombre d’entre eux. Ces logiciels libres sont assez souvent connus puisqu’il y a des gens qui préfèrent utiliser un logiciel libre qu’un logiciel privateur et il y en a même qui sont plus connus que des solutions privatives. Par exemple si je vous demande un lecteur de vidéo, les trois quarts des gens vont répondre VLC4 puisque c’est, à l’heure actuelle, celui qui est le plus utilisé avant même des solutions propriétaires comme des Windows Media Player, Quick Time, etc.

Un autre qui est extrêmement connu c’est MediaWiki. Alors peut-être que vous ne le connaissez pas en tant que MediaWiki5, mais c’est le moteur qui permet de faire tourner Wikipédia. Donc moteur testé par des millions d’utilisateurs par jour.

Il y a aussi les langages de programmation. Les langages de programmation comme PHP, par exemple, sont des langages libres et ouverts. Il n’y a pas beaucoup de langages qui sont privateurs réellement ou entièrement, donc la plupart du temps on va quand même tomber sur des langages qui sont libres.

À propos de PHP, je vous rappelle qu’il y a le PHP Tour 20166 qui passe à Clermont-Ferrand cette année, c’est en mai. Vous pouvez vous renseigner, vous verrez qu’il y a de très belles conférences qui s’organisent. C’est chez nous ; c’est à Clermont-Ferrand.

Il y a d’autres logiciels libres qui sont aussi connus que les solutions privatives. La plupart du temps ils tournent en parallèle, par exemple Mozilla Firefox. Vous connaissez tous Chrome, Internet Explorer, Safari. Mozilla Firefox7 a réussi à faire son trou et est au même niveau que les concurrents.

Il y a en a d’autres comme Mozilla Thunderbird8 qui remplace par exemple Mail sous Apple, ou Outlook sous Microsoft.

Et enfin il y en a deux autres, ça c’est parmi des millions et des millions de logiciels libres, mais il y en a deux autres que je passe aussi dedans, par exemple Gimp9 et LibreOffice que si vous n’utilisez pas vous-même, vous en avez forcément entendu parler en tapant Photoshop gratuit ou Office gratuit. Habituellement c’est souvent comme ça qu’on les trouve.

Donc voilà pour toute la partie logiciel libre.

Chiffrement

Maintenant, là c’est la partie où il va falloir s’accrocher un petit peu. On va parler de chiffrement.

Alors je vais toujours parler et utiliser le mot chiffrement ; vous entendez peut-être sous le nom de cryptage. Cryptage, le mot n’existe pas ! Donc on va utiliser le vrai mot qui est chiffrement, mais vous avez la correspondance.

On va voir un certain nombre de points avec le chiffrement. Déjà qu’est-ce que c’est ? Comment est-ce que ça marche ? Dans quels cas est-ce qu’on s’en sert, aujourd’hui comme plus tard, on va voir. Et combien ça coûte ?

D’abord qu’est-ce que c’est ?

Le chiffrement, c’est le fait de prendre un document clair, mais intelligible soit pour l’homme soit pour la machine, et de le rendre illisible ou en tout cas in-interprétable par toute personne qui ne possède pas la clef de déchiffrement.

Au niveau du chiffrement, il faut distinguer deux types de chiffrement : le premier c’est le chiffrement symétrique et le deuxième ce sera le chiffrement asymétrique.

En ce qui concerne le chiffrement symétrique, comment ça marche ?

On a Alice et Bob, A et B — c’est toujours les noms qu’on utilise dans ce genre d’explication — donc Alice et Bob veulent s’échanger des messages chiffrés. Pour s’échanger des messages chiffrés, ils se mettent d’accord sur une clef. Cette clef va permettre de chiffrer et de déchiffrer les messages, mais elle doit être conservée secrète, toujours secrète. Quand il y a le carré rouge, ça veut dire si cette clef venait à être découverte, alors le chiffrement serait compromis : quelqu’un d’autre pourrait interagir. Donc A et B se mettent d’accord sur une clef.

Alice va écrire un message. Elle écrit son message puis décide de le chiffrer. Elle le chiffre avec la clef X sur laquelle A et B se sont mis d’accord. Le message est donc devenu illisible par toute personne qui ne posséderait pas la clef. B va récupérer ce message et va déchiffrer le message à l’aide de la même clef X sur laquelle il s’était mis d’accord auparavant avec Alice, puis va pouvoir consulter le message. Ça c’est le chiffrement symétrique. Symétrique parce que la clef qui sert au chiffrement est aussi celle qui sert au déchiffrement.

Maintenant le chiffrement asymétrique.

Cette fois-ci, on part sur beaucoup plus de clefs, parce que A va avoir une clef qui n’est pas secrète, qu’on va appeler publique, et qui ne sert que à chiffrer des messages. Elle va aussi avoir une clef qu’on appelle privée, qui elle, par contre, est bien secrète, et qui elle ne va servir qu’à déchiffrer des messages. Pareil pour B, avec ses propres clefs.

Cette fois-ci comment ça se passe ? A va écrire son message, comme au début, puis va chiffrer son message à l’aide de la clef publique de B. Donc c’est grâce à la clef qui permet de chiffrer les messages du destinataire que le message est chiffré. Le message est donc chiffré et inintelligible. On envoie le message. B récupère ce message et va déchiffrer le message à l’aide sa clef privée à lui. Donc on lui a écrit avec sa clef publique, qui peut être transmise à n’importe qui, et lui déchiffre avec sa clef privée qui elle est conservée secrète, par lui uniquement. Il va ensuite pouvoir consulter son message.

Maintenant si B veut répondre à A, il va écrire son message puis il va chiffrer la réponse avec la clef publique de A ; donc encore une fois le destinataire. Le message est chiffré, j’ai volontairement mis d’autres caractères pour montrer que le chiffrement n’est pas le même, et A, après avoir récupéré le message, va pouvoir déchiffrer le message à l’aide de sa clef privée, sa clef qui sert uniquement à déchiffrer, et va ensuite pouvoir lire son message.

Donc voilà les deux types de chiffrement qui sont utilisés.

Maintenant ces chiffrements, vu qu’ils sont différents, ils ont aussi des avantages et des inconvénients différents. Du coup quel est l’avantage – c’est vrai que j’ai mis un s mais pour le coup je n’en présente qu’un ; il y en aura très certainement d’autres, c’est amené à évolution – c’est la rapidité. Le chiffrement symétrique peut être jusqu’à 1000 fois plus rapide qu’un chiffrement asymétrique. Donc on est sur des différences qui sont quand même non négligeables.

Par contre, en inconvénients, le principal déjà, ça va être l’échange de la clef. Pour se mettre d’accord sur la clef qui va servir à chiffrer et à déchiffrer, il est important que les deux personnes se soient rencontrées auparavant ou en tout cas aient communiqué de manière sécurisée pour s’échanger cette clef. Parce que, encore une fois, si elle est interceptée, le chiffrement est compromis. Donc cet échange de clef c’est le problème principal du chiffrement symétrique.

Le deuxième problème ça va être la gestion des clefs. Si on veut faire un chiffrement symétrique sur une centaine de services, eh bien il va falloir générer une centaine de clefs différentes pour s’assurer de la sécurité de chacune des transactions. Donc on se retrouve avec un nombre de clefs très important, très rapidement.

Maintenant le chiffrement asymétrique. Attention ce slide ne m’a pas pris très longtemps.

Les avantages : l’échange de clefs et la gestion des clefs, et les inconvénients, la lenteur puisqu’il est beaucoup moins rapide que le chiffrement symétrique. Et pour la gestion des clefs, le principal point qu’il faut voir, c’est qu’avec une seule paire de clefs par utilisateur, ils vont pouvoir se connecter de manière sécurisée et différenciée sur chacun des services. Donc pas besoin de générer une clef différente à chaque fois.

Le chiffrement en pratique.

Maintenant quand est-ce qu’on va utiliser une solution ou une autre ? Le chiffrement symétrique, on va l’utiliser la plupart du temps pour du chiffrement de masse. Dès qu’on va avoir beaucoup d’informations à transmettre, on va utiliser le chiffrement symétrique parce que beaucoup plus rapide et donc, du coup, moins de pertes de temps au niveau de la transmission.

Alors que le chiffrement asymétrique, on va s’en servir pour deux principaux cas qui sont l’authentification, puisque chaque personne a deux clefs, c’est la seule personne qui possède cette clef-là. Donc si un message est chiffré par lui, on va pouvoir s’en rendre compte. Et le partage des clefs, puisque pour transmettre de manière sécurisée sa clef, dans le chiffrement asymétrique ça ne pose pas de problème puisqu’elle est publique.

Donc la plupart du temps on va utiliser du chiffrement asymétrique pour partager une clef symétrique et continuer le reste de la transaction dans un chiffrement symétrique.

Les certificats

Un autre élément dont je veux vous parler ce sont les certificats. Qu’est-ce que c’est qu’un certificat ? Un certificat c’est un document numérique qui va contenir un certain nombre d’informations, par exemple l’adresse du site web concerné, le propriétaire, une date d’expiration, etc., un certain nombre d’informations, ainsi qu’une clef publique. Donc on a un document qui lie une clef à un nom. Je passe les détails, mais il peut y avoir encore un certain nombre d’autres informations qui sont comprises dans les certificats en fonction de l’emploi qu’on fait de ce certificat, mais là, le genre de certificats dont je vous parle, c’est principalement, par exemple, pour les sites web. Quand vous vous connectez en HTTPS sur un site, c’est ce genre de certificat qui est utilisé.

Donc un certain nombre d’autres informations et, pour s’assurer que le nom correspond bien à la clef, il faut qu’il y ait quelqu’un qui le certifie, qui édite ce certificat et ça, c’est ce qu’on appelle une autorité de certification. Donc l’autorité de certification certifie, auprès de toute personne qui va lui demander, que l’adresse, par exemple site.lef2016.org, fait bien ses communications à l’aide de cette clef publique. Le fait de passer par une autorité de certification, ça force à passer par ce qu’on appelle un tiers de confiance : l’autorité de certification est un tiers de confiance, c’est-à-dire que tout ce qu’elle va nous dire on va le prendre pour argent comptant ; et donc si elle nous dit que c’est bon, on considère que c’est bon. C’est la notion de tiers de confiance.

Maintenant est-ce qu’on se sert du certificat ? Et du chiffrement même de manière générale ? La réponse est oui, vous vous en servez tous les jours, en vous en rendant compte ou sans vous en rendre compte, vous vous en servez tous les jours. En vous en rendant compte, par exemple quand vous faites une connexion SSH [Secure SHell] sur un serveur distant. Ou sans vous en rendre compte dès que vous vous connectez sur un site en HTTPS. Derrière il y a du chiffrement qui se met en place sans que vous vous ayez à faire quoi que ce soit.

Par ailleurs, on s’en sert de plus en plus. Facebook, par exemple, a passé toutes les communications en HTTPS il y a, je ne peux plus dire les nombre d’années mais ça fait quelque temps, où toutes les communications qui sont faites avec Facebook sont maintenant en HTTPS. Et on ne s’en sert pas encore suffisamment parce qu’il y a encore beaucoup trop d’informations qui sont en clair, il y a beaucoup de sites qui ne chiffrent pas par exemple les formulaires d’authentification et de login, donc du coup, dès qu’on tape son identifiant et son mot de passe, ceux-là circulent en clair sur le réseau jusqu’au serveur. Et ça, déjà, c’est un énorme problème de sécurité et même au niveau de la vie privée puisque les informations qu’ils vont nous retourner aussi ne sont pas chiffrées.

Quelques exemples connus : les transactions bancaires. Dès que vous faites une transaction bancaire en ligne vous vérifiez bien qu’il y a votre petit cadenas vert ; s’il n’y est pas, c’est qu’il y a un problème de sécurité. Les formulaires de connexion comme je vous le disais, la navigation classique, par exemple des sites comme Facebook. Et les mails, pareil, de plus en plus de serveurs mails à l’heure actuelle font du SMTP ou de l’IMAP au travers de SSL, et SSL [ Secure Sockets Layer] c’est du chiffrement.

Maintenant est-ce que le chiffrement coûte cher ?

La réponse c’est oui. C’est oui et non. Attention ! Donc on va voir déjà pourquoi ça coûte cher. Pourquoi ça coûte cher ? Parce que déjà toutes les autorités de certification, par exemple, eh bien il y a une infrastructure derrière qui est énorme. Il va falloir sécuriser les accès physiques à toutes ces machines qui permettent de savoir si un certificat est bon ou n’est pas bon. Pour vous donner un parfait exemple d’infrastructure sécurisée qui ne va pas, il y avait un serrurier qui avait réussi à faire une porte avec une serrure électronique et ils avaient vérifié que la serrure était parfaitement sécurisée, elle était vraiment inviolable électroniquement ; mais il suffisait de mettre un coup de marteau à un endroit précis sur la serrure et elle sautait. Donc l’aspect physique compte autant que l’aspect électronique.

Donc les autorités de certification se doivent d’avoir une infrastructure sécurisée.

Par ailleurs, elles doivent traiter des millions et des milliards de vérifications par jour et ça, ça demande de pouvoir traiter l’ensemble de ces demandes et ça, pareil, ça coûte de l’argent. Il faut des machines qui soient capables d’encaisser tout ça derrière. Donc il y a des investissements qui sont faits à ce niveau-là.

Par contre le chiffrement ça coûte cher et non. Par exemple il y a des boîtes comme StartSSL qui donnent des certificats d’une validité de un an, gratuitement, et des initiatives comme Let’s Encrypt10 qui est portée par la Mozilla Fondation, qui a édité son millionième certificat d’ailleurs récemment, qui donne des certificats pour les utilisateurs.

Par ailleurs, il y a un autre moyen qui ne coûte pas cher du tout c’est de s’assurer qu’on a chiffré le message ou chiffré ce qu’on a envoyé sur sa machine jusqu’au destinataire. Donc le chiffrement est fait à l’expédition et le déchiffrement est fait à la réception. Quelles que soient les infrastructures par lesquelles on passe entre les deux, on n’a pas à s’occuper de savoir si ça coûte de l’argent ou pas de l’argent puisque le chiffrement est fait d’un côté, le déchiffrement est fait de l’autre.

Donc en résumé sur tout ça:

  • le chiffrement est à la portée de tous. N’importe qui peut mettre en place du chiffrement, et maintenant ça ne coûte plus cher de faire du chiffrement ;
  • il se démocratise. De plus en plus de sociétés, de plus en plus de particuliers, se mettent au chiffrement pour s’assurer de la sécurité et de la confidentialité des données ;
  • Et par ailleurs, c’est le seul garant de la confidentialité. C’est-à-dire que si vous envoyez un message non chiffré, quel que soit le réseau par lequel il passe, il y a un risque et une chance qu’il soit intercepté par quelqu’un. Alors ce quelqu’un, ça peut être une autorité gouvernementale, une société privée ou même un pirate qui se serait intégré dans le réseau, mais le seul garant de la confidentialité, c’est le chiffrement.

La vie privée

Maintenant, la vie privée.

Alors ça va être assez rapidement passé parce qu’encore une fois c’est un sujet à débat. Il y a de très nombreux débats qui se font là-dessus. Je vais juste déjà rappeler une première chose qui est l’article 9 du Code civil qui dit que chacun a droit au respect de sa vie privée. C’est écrit dans la loi, c’est prévu. La vie privée c’est quelque chose qui compte.

Donc un certain nombre de news de ces dernières années, eh bien c’est particulièrement mis à l’épreuve. On a vu ce que ça avait donné, notamment avec les documents Snowden, tout l’espionnage de masse qui était pratiqué par la NSA pendant de nombreuses années et je n’ai jamais dit que c’était arrêté.

C’est aussi menacé sous couvert de sécurité. Nous, en France, on est bien placés pour ça puisqu’on a M. Cazeneuve qui a fait une loi permettant de mettre des boîtes noires. Alors ces boîtes, on ne sait pas trop ce qui s’y passe, mais qui interceptent l’ensemble du trafic. Toujours pour contrer les terroristes, bien sûr ! Toujours menacés sous couvert de sécurité !

Ce n’est pas moins important qu’avant. Ce n’est pas parce qu’on est à la génération Les Anges de la télé-réalité et autres dictionnaires intellectuels, que la vie privée n’a pas un sens. C’est important, ça reste quelque chose qu’il faut protéger. Et on a tous quelque chose à cacher. ÇA C’est justement la partie que je traite assez rapidement ; C’est qu’on connaît tous un quelqu’un qui dit qu’il n’a rien à cacher et que ça ne change rien de mettre l’ensemble de ses données, etc. On a tous quelque chose à cacher, c’est sûr et certain, et si ce n’est pas nous c’est quelqu’un qu’on connaît et c’est, en tout cas, cette personne-là qu’il faut protéger, quel que soit l’aspect d’ouverture qu’on peut avoir sur ses propres données.

À ce titre-là, je vous invite à aller regarder donc si vous l’avez sur votre machine vous pouvez cliquer directement sur les liens, sinon les sites 11, le Wikipédia Rien à cacher (argument)12 qui montre un certain nombre justement d’arguments pro et contre le fait de rien avoir à cacher, et une excellente conférence qui s’appelle « Si, vous avez quelque chose à cacher »13 [Transcription de cette conférence14] dont vous avez le lien ici. C’était une conférence qui avait été faite à Pas Sage En Seine, en 2013. Je vous laisse les regarder.

Donc à partir de maintenant, on va partir du postulat que la vie privée est importante. Pas de notion de débat, la vie privée c’est important !

Rapport entre le logiciel libre et le chiffrement

On va voir le rapport entre le logiciel libre et le chiffrement. On a vu tous les avantages qu’avait le logiciel libre et ce que pouvait apporter le chiffrement. Maintenant pourquoi faire du chiffrement avec un logiciel libre est important ?

La première chose c’est qu’on a un algorithme vérifié. Si un logiciel dit qu’il utilise le chiffrement AES, eh bien ça veut dire qu’il utilise du chiffrement AES [Advanced Encryption Standard]. Derrière on va pouvoir regarder le code source et vérifier que c’est bien celui-là qui est employé.

De plus, il n’y a pas de backdoors [et il s’affiche mal, tant pis]. Il n’y a pas de backdoors, c’est-à-dire que du fait qu’on a le code source et qu’on sait qu’il n’y a rien qu’il est possible de cacher à l’intérieur, eh bien il n’est pas non plus possible de cacher des entrées dissimulées qui vont permettre de chercher ou de s’infiltrer dans le réseau par la suite.

Par ailleurs, on est sûrs de la fiabilité du chiffrement. Le fait d’avoir un code ouvert, ça veut dire qu’on va pouvoir le vérifier et que des personnes même plus expérimentées que nous vont pouvoir le vérifier et s’assurer qu’il n’y a pas d’erreur, tout bêtement d’implémentation. Ce n’est pas parce qu’on a mis un chiffrement AES ; il y a un endroit où on devait faire quelque chose et où on s’est trompé, on n’a pas tout à fait fait ce que, mathématiquement, il est important de faire, eh bien des personnes vont pouvoir se rendre compte de ça, faire la correction et retransmettre pour que le chiffrement soit fiable.

Un exemple qui s’en rapproche c’était Apple, je crois que c’était sur une de leurs librairies, justement, de vérification de certificat où il y avait deux lignes qui étaient recopiées et ces deux lignes recopiées avaient pour effet que si un certificat respectait juste les deux premières conditions mais pas celles d’après, il était quand même considéré comme valide. Donc ça, c’est un problème d’implémentation ; c’est au moment du développement qu’il y a un problème qui a été fait et donc, du coup, le fait que cette partie-là était open source a permis de voir le problème et de le corriger.

Donc justement, toute cette partie analyse et correction des erreurs, des personnes avec des compétences bien plus élevées que la plupart des utilisateurs, vont pouvoir se rendre compte de ces problèmes et les corriger.

Par ailleurs, personne ne peut empêcher quelqu’un de corriger un problème. Ça, c’est quelque chose qui a son sens au vu, par exemple, des documents de la NSA ressortis par Edward Snowden. Il y avait des sociétés, comme RSA Security, qui avaient des backdoors, qui savaient qu’ils avaient des backdoors dans leurs différents systèmes et qui n’avaient pas le droit de les enlever parce qu’il y avait une pression du gouvernement américain qui leur demandait de les laisser. Là, avec un logiciel libre, personne ne peut obliger ce genre de blocage.

Le chiffrement et la vie privée

Maintenant le chiffrement et la vie privée. Quel est le lien qu’on va pouvoir trouver entre eux ?

Tout d’abord, le chiffrement est le seul garant de la confidentialité, on l’a vu tout à l’heure, sinon il y a toujours une possibilité pour que des informations s’évaporent dans la nature, mais c’est à condition qu’il soit maîtrisé. Comme je vous disais, vous faites une connexion en HTTPS avec un site, prenons un exemple au hasard, Google, votre connexion est sécurisée, ça vous le savez, vous passez avec un certificat HTTPS, il n’y a pas de problème, les informations que vous envoyez personne ne peut les intercepter au milieu. Quand Google vous répond, il vous répond de manière sécurisée, personne ne peut les intercepter non plus. Mais il y a un endroit où on ne sait pas ce qui se passe, c’est dans les serveurs Google. Est-ce que vos informations sont toujours chiffrées et ne peuvent pas être interceptées ? Ou, est-ce qu’à l’inverse, tout est stocké en clair et si une personne a accès à ces services, à ces serveurs en tout cas, elle peut accéder à vos informations ? La vraie réponse c’est celle-là, mais il y en a d’autres, on ne sait pas.

Idem si vous envoyez des mails. Par exemple vous envoyez un mail de manière sécurisée au serveur mail qui renvoie le mail au serveur sécurisé, etc., chez votre correspondant. Lui quand il vous écrit boom ! Pareil, sécurisé. Au milieu, vous ne savez pas ce qu’il en est. Potentiellement, une personne qui a accès à ces services peut récupérer vos données.

La solution c’est le chiffrement de bout en bout. Le chiffrement de bout en bout, c’est ce que je vous disais quand je vous disais que le chiffrement ne coûte pas cher. C’est le fait qu’ici vous chiffrez vos données ; ça peut passer par tous les intermédiaires que vous voudrez, de toutes façons le chiffrement est fait, on ne peut pas interpréter le message ou, en tout cas, personne ne peut déchiffrer le message à part le destinataire. Ça peut passer par toutes les infrastructures que vous voulez, ça ne vous change rien. Le destinataire, lui, est capable de le déchiffrer. Et à l’inverse, quand il vous répond, il chiffre, ça peut passer par ce que vous voulez, et vous déchiffrez. Donc le chiffrement de bout en bout.

Donc ça, ça fait partie des recommandations que je vous fais : c’est de, par exemple, toujours déjà se connecter en HTTPS si c’est disponible. Ce n’est pas du bout en bout, mais au moins vous empêchez toutes les possibilités d’interception de vos messages dans un même réseau.

Utiliser un VPN personnel lorsque vous le pouvez. Pourquoi personnel et pas celui d’une entreprise ? C’est que rien ne vous dit que l’entreprise, elle, ne récupère pas vos données en sortie. Avec un VPN [Réseau privé virtuel] personnel au moins vous maîtrisez le point de sortie.

Et surtout, du coup, chiffrer de bout en bout. Ça, c’est ce qu’on va essayer de mettre en pratique tout à l’heure pendant l’atelier, ça va être l’utilisation par exemple de protocoles comme OTR ou PGP, donc pour Off-the-Record ou Pretty Good Privacy, qui eux sont des protocoles de chiffrement entre une personne et une autre. Donc du coup pareil, quels que soient les intermédiaires ça ne vous change rien puisque le message est chiffré, ne peut être déchiffré que par la personne qui va réceptionner votre message.

Les inconvénients. Je ne savais pas trop où le mettre, le l’ai quand même mis ici : chiffrer vos données ça a au moins un coût à l’utilisation. C’est-à-dire que vous mettez en place une sécurité supplémentaire et que celle-là va forcément jouer sur votre confort d’utilisation. Quand vous allez envoyer un mail, eh bien vous allez retaper votre mot de passe pour chiffrer, ça fait déjà une étape en plus. Quand vous allez recevoir un mail, eh bien pareil, vous allez taper votre mot de passe pour déchiffrer votre mail. Quand on va vous envoyer un mail chiffré et que vous n’êtes pas sur votre ordinateur où il y a votre clef, etc., eh bien soit vous avez une machine qui est configurée ou un téléphone qui est configuré avec votre clef pour le déchiffrer, soit vous allez devoir attendre d’avoir accès à votre machine pour le lire, etc. Le confort d’utilisation se retrouve diminué. C’est la grosse problématique en sécurité de manière générale, c’est de trouver la bonne balance entre confort d’utilisation et sécurité. Donc le fait de mettre du chiffrement, on est un peu plus sécurisé, mais du coup, on perd en confort.

La deuxième chose c’est la mise en place. Au début, il va falloir mettre en place toutes ces possibilités de chiffrement, ne serait-ce que d’apprendre à se créer des clefs publique et privée, d’installer les logiciels qu’il faut, etc. Ça c’est une problématique, au début, qu’il va falloir réaliser.

Donc voilà. Il y a quelques inconvénients au chiffrement, mais qui sont largement compensés par la sauvegarde de votre vie privée qui, encore une fois, a un intérêt.

Je suis allé plus vite que ce que je pensais, donc si vous avez des questions, n’hésitez pas. Je vous rappelle, c’est une conférence sur logiciel libre, chiffrement et vie privée. N’hésitez pas si vous avez des questions sur le chiffrement. Il y a certaines parties que j’ai traitées assez rapidement parce qu’encore une fois ces trois sujets de conférences à part entière, on peut en parler des heures et des heures et le but c’était surtout de voir le lien entre les deux et que tout le monde ait les bases pour faire l’atelier ensuite en comprenant ce qui se passe.

Source april.org

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Logiciel libre, chiffrement et vie privée – Laurent Sanselme

Hybridation : usages du logiciel libre dans la cité > Au cœur de l’April

Posted by CercLL sur 27 juillet 2017

Par les libertés qu’elles offrent, les licences des logiciels libres sont d’une certaine manière la traduction informatique des éléments structurant d’une démocratie, notamment exprimé dans la devise : « liberté, égalité, fraternité ».

À l’inverse, un logiciel privateur – conçu verticalement comme une « boite noire » imposant des usages aux utilisateurs – s’apparente dans la continuité de cette analogie à de l’autocratie.

Loin d’une réflexion de pure technique, ou d’une quelconque forme de dogmatisme comme cela est trop souvent entendu, cette distinction représente la manière dont nous entendons les notions de progrès, de vivre ensemble, et in fine de liberté, dans une société informatisée.

Des interrogations qui font du logiciel libre un enjeu fondamentalement politique et social.

Cette conférence se proposera ainsi de faire une présentation générale de cette réflexion, ouverte à l’échange, puis de l’illustrer avec des exemples d’actions institutionnelles, et militantes, menées par l’April.

Étienne Gonnu
Chargé de mission affaires publiques pour l’April.

Source rmll.ubicast.tv

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Hybridation : usages du logiciel libre dans la cité > Au cœur de l’April

Offre d’emploi poste Assistant administratif / Assistante administrative (juillet 2017)

Posted by CercLL sur 26 juillet 2017

 

L’April, association de promotion et de défense du Logiciel Libre en France et en Europe, recherche, dans le cadre d’une ouverture de poste, un·e assistant·e administratif·ve.

Annonce mise en ligne le 25 juillet 2017.

Description de l’offre :

Éligibilité au contrat aidé (CUI-CAE) requise (conditions précisées sur service.public.fr).

Au sein d’une équipe de quatre personnes et sous la direction de la coordinatrice de la vie associative, vos principales missions seront les suivantes :

  • contribuer à assurer la gestion des adhérents (enregistrement des cotisations dans la base de données, gestion des prélèvements automatiques, traitement des courriels…) ;
  • assurer le suivi comptable de l’association (saisi des dépenses dans le logiciel de comptabilité simple, rapprochements bancaires…) ;
  • assurer la gestion administrative des salariés (suivi des absences, gestion de la paie en lien avec le prestataire…) ;
  • assurer le secrétariat courant (traitement du courrier, classement et archivage des documents…) ;
  • veiller au fonctionnement matériel de l’association (gestion des stocks, achat de fournitures…).

Une formation en secrétariat serait souhaitée, mais ce sont surtout les qualités personnelles du candidat qui seront évaluées.

Qualités / compétences requises : capacité d’adaptation ; rigueur ; travail en équipe ; bonne maîtrise informatique et internet, si possible logiciels libres ; maîtrise du français.

L’aisance avec internet et l’informatique (messagerie, tableur..), ainsi que la facilité d’apprentissage de nouveaux logiciels sont des qualités fondamentales pour réussir dans les missions proposées.

Temps hebdomadaire négociable (minimum 24 heures).

Salaire selon profil.

Type de contrat : CUI-CAE temps partiel. CDD de 12 mois. Éligibilité aux contrats CUI CAE exigée (conditions précisées sur service.public.fr).

Date de prise de poste : dès que possible à partir de septembre 2017

Localisation du poste : 44/46 rue de l’Ouest Paris 75014

Merci d’envoyer vos CV et lettre de motivation (dans un format ouvert1) par courriel.

Les entretiens commenceront la deuxième quinzaine d’août 2017.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Offre d’emploi poste Assistant administratif / Assistante administrative (juillet 2017)

Loi de finances 2016 : une doctrine fiscale qui reconnait les logiciels libres mais avec une marge de progression certaine

Posted by CercLL sur 8 juin 2017

Comme indiqué dans notre dernier point d’étape sur ce dossier l’article 88 de la loi de finances de 2016 marque la volonté du gouvernement français de lutter contre la fraude fiscale par un encadrement plus strict des logiciels de comptabilité, de gestion ou d’encaissement. Le texte aurait pu avoir pour effet de bord l’interdiction de détenir des logiciels libres de caisse. L’administration, que nous avons rencontrée, a visiblement été sensible à ce problème et a fait preuve d’une attitude conciliante et constructive. Notre principale crainte a été ainsi levée, même s’il reste des points d’amélioration. Les dispositions, codifiées à l’article 286, I. 3° bis du code des impôts, entreront en vigueur le 1er janvier 2018.

Pour des recommandations plus concrètes de mise en conformité avec la loi de finances vous pouvez notamment vous reporter à ce billet de l’éditeur Pastèque.

Doctrine de l’administration fiscale

En août 2016, l’administration fiscale a publié au BOFIP (Bulletin officiel des finances publiques — Impôts), son interprétation de l’article 88 de la loi de finances. Le BOI-TVA-DECLA-30-10-30 (« BOI » ci-après), correspond donc à la doctrine de l’administration, la manière dont elle entend appliquer la loi. Un document très important puisqu’il lui est opposable. Pour rappel, la publication du BOI s’inscrit dans la suite d’échanges avec l’administration fiscale qui avait communiqué son projet de commentaires au BOFIP et c’est notamment par les précisions apportées par ce texte que le risque d’une interdiction de fait des logiciels libres de caisse a été écarté.

Ci-dessous un résumé des principales questions et problématiques. Suivi d’une analyse critique plus détaillée dont il ressort que le texte reste mal adapté à la réalité du modèle de développement des logiciels libres dont les qualités intrinsèques sont pourtant des atouts pour la lutte contre la fraude fiscale. Il faut cependant garder à l’esprit que chaque loi de finances, et chaque nouvelle révision du BOFIP, sera une occasion d’inciter à une meilleure prise en compte des logiciels libres.

Résumé des principales questions et problématiques

Qui est concerné ?

À compter du 1er janvier 2018, toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui enregistre les règlements de ses clients au moyen d’un logiciel de comptabilité ou de gestion ou d’un système de caisse. S’il y a peu de doute sur le fait que ce soient les fonctionnalités d’encaissement qui sont visées, cela mériterait d’être explicité.

En cas de contrôle, il faudra fournir (ou « produire ») une certification ou une attestation délivrée par l’éditeur établissant que le logiciel satisfait les « conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données en vue du contrôle de l’administration fiscale » (les « quatre conditions »).

Est-il possible d’utiliser des logiciels libres ?

Oui. Le paragraphe 40 du BOI le dit explicitement en reconnaissant aux utilisateurs la possibilité « d’adapter le logiciel à leurs besoins spécifiques ». Par ailleurs, le paragraphe 310 prend en compte le cas des logiciels « conçus de manière ouverte », c.à.d les logiciels libres.

L’utilisateur bénéficie de sa pleine liberté de modification en ce qui concerne les paramètres « triviaux » du logiciel. Si les modifications impactent les « quatre conditions » l’utilisateur, devenu éditeur, devra faire certifier, faire attester ou attester pour lui-même (s’il le peut, voire infra) que la nouvelle version du logiciel satisfait ces exigences.

Pour que l’attestation demeure valable en cas de modification triviale l’éditeur doit (§380) ; « identifier clairement la racine de la dernière version majeure à la date d’émission de l’attestation et les subdivisions de cette racine qui sont ou seront utilisées pour l’identification des versions mineures ultérieures ».

Ces précisions apportées par le BOI sont importantes mais perfectibles.

À propos de l’attestation :

Une attestation est « individuelle » (§370). Elle se fait donc au cas par cas, pour chaque client, sur la base du modèle BOI-LETTRE-000242. Un certificat, délivré par une autorité agréée, a une portée générale et concerne une version (majeure) d’un logiciel.

  • Qui peut attester ?N’importe qui peut attester « pour autrui ». Cela signifie que l’éditeur qui atteste engage sa responsabilité si le logiciel est contrôlé et ne satisfait pas les « quatre conditions ». Sauf si l’utilisateur a modifié un paramètre impactant les « quatre conditions » alors que ce paramètre était clairement identifié.
  • Est-il possible d’attester pour soi-même ?Oui. Mais le BOI conditionne cela à la détention du code NACE (nomenclature des activités économiques dans la Communauté européenne) d’une « activité d’édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse ». Le code le plus approchant est le 58.29 sur l’ « édition d’autres logiciels ». L’administration devra préciser ce point. Sans le code approprié il faudra faire attester la nouvelle version du logiciel par un autre éditeur (qui n’aura pas besoin de ce code puisqu’il attestera pour autrui). Non bloquant dans la pratique, mais inutilement rigide.

Précisions pour les développeurs et utilisateurs de logiciels libres de caisse

Le BOFIP apporte des précisions aux développeurs et utilisateurs de logiciels libres de caisse nécessaires pour garantir leurs libertés informatiques. Toutefois, il reste encore trop d’incertitudes et d’imprécisions pour que ce texte soit pleinement satisfaisant.

Des définitions plus claires pour une meilleure prise en compte des logiciels libres

  • Une avancée symbolique : une définition plus juste des logiciels libres.
    Le projet de commentaires de l’administration qualifiait les logiciels libres comme des logiciels « dont la principale caractéristique est d’être librement paramétrables ». Désormais le BOI, au paragraphe 40, mentionne explicitement les quatre libertés et préfère le terme « adapter » à « paramétrer ». Ce changement n’est pas anodin ; il confirme la reconnaissance institutionnelle croissante de ce qu’est un logiciel libre et des libertés qu’il garantit.
  • Une définition de l’« éditeur » qui concilie mieux le lien de responsabilité et liberté de modification.
    Pour lutter contre la fraude fiscale, la nouvelle réglementation impose que les logiciels utilisés soient certifiés conformes par une autorité certifiante, ou soient assortis d’une attestation individuelle fournie par l’éditeur du logiciel qui peut donc voir sa responsabilité engagée en cas de fraude par l’utilisateur. Sans clarification, ce lien de responsabilité pouvait avoir des conséquences lourdes pour le modèle du logiciel libre, notamment en ce qui concerne la liberté de modification. Ce point était la source de la principale inquiétude de l’April et de certains éditeurs ; une responsabilité « infinie » imposant de fait aux éditeurs d’entraver la liberté de modification des utilisateurs. La définition inscrite aux paragraphes 300 et 310 du BOI circonscrit ce risque.Le paragraphe 300 du BOI définit ainsi comme « éditeur du logiciel ou du système de caisse la personne qui détient le code source du logiciel ou système et qui a la maîtrise de la modification des paramètres de ce produit. ». Le paragraphe 310 vient ensuite préciser que « lorsque le logiciel ou système est conçu de manière ouverte pour permettre son adaptation aux besoins spécifiques des clients » , l’éditeur est soit le concepteur d’origine si les modifications concernant les quatre conditions essentielles sont impossibles soit le dernier intervenant si « son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données ».
    Cette seconde option est importante puisqu’elle permet, sans restreindre la liberté de modification, à tout prestataire de fournir une attestation en tant qu’éditeur, tout en rompant le lien de responsabilité en cas de modification d’éléments non-triviaux du logiciel par l’utilisateur. L’utilisateur devient en ce cas lui-même l’éditeur, et doit alors faire certifier ou attester la conformité du logiciel ainsi modifié.

Pour résumer : large applicabilité du dispositif d’attestation de l’éditeur pour autrui et possibilité de modifier des éléments triviaux sans remise en cause de l’attestation (mếme s’il reste des points de vigilance, voir plus bas).

Petit bémol : le premier tiret du paragraphe 310 qui ne couvre pas le cas des logiciels libres puisqu’il interdit la possibilité de modification non-triviale par toute personne autre que le concepteur. Cela sous-entend-il la création de « boîtes noires » au sein des logiciels comme cela fut le cas — et un échec criant — en Belgique ? Cela s’oppose directement à la notion d’un système ouvert de la première partie de la définition et induit une incertitude inutile quant aux obligations que l’administration entend faire peser sur les éditeurs de logiciels libres. Un bémol aux conséquences certainement plus théoriques que pratiques.

Des aspects qui gagneront à être précisés

  • Un champ d’application défini de manière trop large par rapport à l’objet de la loi ?Lors des débats parlementaires, l’article 88 avait été justifié par la lutte contre « la dissimulation de recettes de taxe sur la valeur ajoutée (TVA) au moyen de logiciels de caisse frauduleux ». Autrement dit la soustraction de paiements en espèce au point de vente. La formulation du texte de loi est malheureusement ambiguë en ce qu’elle peut laisser craindre un champ d’application plus large, incluant les logiciels de comptabilité pure. Le paragraphe 10 du BOI reprend cette expression ambiguë sans la commenter.En cohérence avec l’intention du législateur, les organismes de certification considèrent que le champ d’application est limité aux logiciels incluant des fonctionnalités d’encaissement, à l’exclusion des logiciels de comptabilité pure. Voir en ce sens le référentiel du Laboratoire National de métrologie et d’Essais (LNE). Cet organisme précise ainsi qu’il « exclut du domaine d’application de la certification les logiciels servant au support des services après-vente (rapports de maintenance, rapports de services, génération de bons d’intervention, etc.) ainsi que les logiciels de comptabilité pure ou les applications monétiques (terminaux de paiement électroniques par exemple) ».
    La plupart des projets libres se basent sur cette interprétation.

    Une définition plus précise de la part de l’administration apporterait davantage de confiance en réduisant une potentielle insécurité juridique.

  • Paramètres triviaux et non-triviaux ; une distinction importante mais par aspect trop théorique.Le deuxième point du §310 laisse entendre qu’une nouvelle attestation du professionnel intervenant sur le logiciel est seulement nécessaire lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données. À contrario, l’attestation d’origine resterait donc valable dans le cas d’une modification « triviale ».Cette prise en compte de l’existence de fonctionnalités « triviales » révèle in fine une meilleure reconnaissance de la liberté de modification, et semble mieux préciser le partage des responsabilités que l’administration envisage entre l’éditeur et l’utilisateur.

    En somme, un utilisateur pourra modifier les éléments triviaux du logiciel sans entacher l’attestation ou certification qui lui a été remise par l’éditeur.

    À l’inverse, on pourrait ainsi considérer que si ce qui relève des quatre conditions essentielles d’inaltérabilité, de sécurisation, de conservation et d’archivage des données a été clairement identifié, alors la responsabilité de l’éditeur initial, ou du dernier à avoir valablement attesté, ne sera pas engagée en cas de modification majeure, voire d’utilisation frauduleuse du logiciel.

    Toutefois, cette prise en compte des modifications « triviales » gagnerait à être plus explicite. Les paragraphes 340 et 380 abordent la question des « versions majeures » et « mineures » du logiciel, mais en gardant comme seul critère distinctif l’impact sur les quatre conditions essentielles.

    En outre, dans la pratique, une telle distinction n’est pas aussi aisée que l’administration semble l’entendre. En effet, même un fonctionnalité d’apparence triviale, pourrait avoir des impacts sur le fonctionnement général du logiciel. Potentielle source d’insécurité juridique qui gagnera à être adressée par des critères plus fins et plus adaptés à la réalité du développement logiciel.

  • L’inaltérabilité des données : une obligation à la portée encore trop incertaine.Dès la publication de l’article 88 de la loi de finances 2016, la question de l’obligation d’inaltérabilité des données est apparue comme un des points de vigilance principaux pour le logiciel libre.Assez peu d’évolutions concernant cet aspect depuis le projet de commentaires, si ce n’est une structuration du texte peut-être un peu plus claire dans le BOI, mais la traduction en termes techniques du principe comptable d’« intangibilité des écritures » qui a été retenue crée encore trop d’incertitudes pour être pleinement satisfaisante. Ainsi le paragraphe 120 qui établit sans autre précision que « pour respecter la condition d’inaltérabilité, l’intégrité des données enregistrées doit être garantie dans le temps par tout procédé technique fiable », laisse une marge d’interprétation trop importante sur la portée de l’obligation.

    Ce point est important en ce qu’il se lie avec la problématique de la responsabilité. Aucune procédure techniquement fiable à 100% n’est possible. Pourtant la simple démonstration d’un usage frauduleux suffit à invalider l’attestation ou à la qualifier de « faux document » (paragraphe 570) : c.à.d attestant à tort de la conformité du logiciel et engageant donc la responsabilité de l’éditeur. La formulation retenue pourrait ainsi laisser entendre que les éditeurs sont soumis à une « obligation de résultat », un logiciel 100% fiable, plutôt qu’une « obligation de moyens » ; un logiciel le plus fiable possible selon l’état de l’art. Même si la seconde hypothèse semble l’interprétation la plus raisonnable de la doctrine fiscale, les conséquences potentielles qui s’y rattachent nécessitent un périmètre mieux défini. Ainsi, sans sombrer dans un alarmisme inutile, il s’agit avant toute chose de renforcer la sécurité juridique des TPE/PME, l’essentiel des acteurs du libre, pour qui la confiance est un élément clef.

    Cela étant dit, cette réflexion n’est pas propre aux cas des logiciels libres et ceux-ci ont l’avantage sur les logiciels privateurs de permettre une identification bien plus rapide de potentielles failles de sécurité.

Un système d’auto-attestation défini de manière trop rigide : l’enjeu d’une meilleure reconnaissance des vertus du libre

S’il est possible pour tout éditeur de fournir une attestation de conformité à un utilisateur — cette dernière engage sa responsabilité — la possibilité d’attester pour soi-même en cas de modification de paramètres non-triviaux du logiciel est restreinte. Elle s’appuie exclusivement sur le code NACE. Au paragraphe 370, il est ainsi précisé que seule une société dont l’activité déclarée « est une activité d’édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse » peut « auto-attester » de la conformité du logiciel de caisse avec les obligations issues de l’article 286, I. 3° bis du code général des impôts. Et dans la mesure où il est illégal d’utiliser un logiciel qui ne serait pas valablement certifiée ou attestée conforme, modifier pour soi-même son outil de gestion sans ce code NACE nécessitera, par exemple, de passer par des accords entre éditeurs d’une même solution libre. Procédure inutilement lourde. D’autant plus qu’il n’existe aucune classification NACE spécifique aux éditeurs de logiciel « comptabilité ou de gestion ou un système de caisse », celle la plus approchant est la 58.29 sur l’ « édition d’autres logiciels ». S’agirait-il d’une imprécision visant à anticiper d’éventuelles évolutions ?

D’autre part, quand bien même le critère du code NACE serait pertinent, il est bien trop rigide comme critère exclusif, en particulier parce qu’il ne concerne que l’activité principale d’une société. Dans un modèle ouvert et contributif comme celui du logiciel libre cela est un frein évident, notamment dans le cas des sociétés ayant plusieurs secteurs d’activité ou dans le cas de contributeurs non professionnels. Particulièrement si l’on considère que l’implication des utilisateurs est au coeur de la dynamique de développement des logiciels libres. Cette limitation de la liberté de modification en cas de développement pour soi-même est d’autant plus disproportionnée que les risques de fraude « généralisée » seront largement contenus par un modèle ancré sur la transparence et la revue par les pairs. Les dérives dues aux boites noires ne doivent pas pénaliser les logiciels libres. Une attestation par la communauté, ou portant sur le modèle de gouvernance d’un projet, pourrait par exemple être une solution plus proportionnée à l’objectif poursuivi.

En conclusion, un texte mieux rédigé mais encore mal adapté à la réalité du modèle de développement des logiciels libres.

Pour résumer nos attentes : des définitions et des critères plus précis pour plus de sécurité juridique et donc de confiance, et davantage de souplesse dans les conditions d’auto-attestation. Une obligation d’identifier clairement ce qui relève des quatre critères essentiels, et donc du périmètre de l’attestation, combiné avec la facilité d’audit garanti par les logiciels libres, devrait être considérées comme suffisantes et proportionnées à l’objectif légitime de lutte contre la fraude fiscale.

Il est bien sûr entendu que ces problématiques sont complexes et que c’est aussi par l’usage et par l’échange qu’une doctrine fiscale plus claire se dégagera. Nous appelons en ce sens à la vigilance de l’administration et souhaitons qu’elle garde l’attitude ouverte qu’elle a eue jusqu’à présent.

Quoiqu’il en soit, la crainte initiale à la lecture de l’article 88 était l’interdiction de fait des logiciels libres «  de comptabilité ou de gestion ou un système de caisse ». Ce risque semble heureusement écarté. En revanche, la dynamique du texte initial ainsi que celle du BOI restent ancrées sur le modèle fermé du logiciel privateur comme norme, avec un aménagement en marge pour le modèle ouvert et contributif du logiciel libre. Les qualités intrinsèques du logiciel libre, particulièrement sa caractéristique de transparence, sont des atouts incontestables pour la lutte contre la fraude fiscale. Le recours au logiciel libre devrait en ce sens être privilégié et encouragé. Dans un tout autre domaine, l’exemple du scandale Volkswagen où un logiciel opaque a permis au constructeur de frauder sur les normes environnementales pendant plusieurs années l’illustre bien.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Loi de finances 2016 : une doctrine fiscale qui reconnait les logiciels libres mais avec une marge de progression certaine

GnuPG : 20 ans de protection de la vie privée et une nouvelle campagne de financement participatif

Posted by CercLL sur 6 juin 2017

Le logiciel GnuPG (pour GNU Privacy Guard : gardien de vie privée du projet GNU) est un outil fondamental pour la protection de la vie privée. Il permet notamment de transmettre des messages chiffrés et/ou signés entre utilisateurs au sein de réseaux (de confiance). Werner Koch, qui a initié le projet en 1997 et qui en est toujours l’auteur principal, a donné en juillet 2013 une conférence aux Rencontres Mondiales du Logiciel Libre conférence intitulée Vie Privée en 2013 : Pourquoi. Quand. Comment. (transcrite par l’April).

Aujourd’hui, GnuPG fête ses 20 ans et vient de lancer un nouvel appel à financement participatif.

« De nombreux usagers, entre autres militant·e·s, journalistes ou avocat·e·s, dépendent de GnuPG pour protéger leurs données et communications. En outre, presque tous les systèmes d’exploitation basés sur le logiciel libre (c’est à dire plus des deux tiers des serveurs formant notre internet) utilisent GnuPG pour vérifier l’intégrité de leurs mises à jours système.

Afin de continuer à maintenir et à améliorer GnuPG, nous, les principaux développeurs de GnuPG, faisons un appel à la générosité du public. Notre objectif principal est de lever 15 000 euros mensuels pour financer 3 dévelopeurs à plein temps; notre objectif complémentaire est deux fois plus élevé, soit 30 000 euros mensuels.

Pensez à contribuer afin que cette composante logicielle essentielle continue à fonctionner pour tout le monde.»

N’hésitez pas à participer et relayer la campagne de financement pour donner de nouvelles opportunités pour le développement du projet.

Le logo GnuPG est sous licence GNU GPL version 2 ou ultérieure.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur GnuPG : 20 ans de protection de la vie privée et une nouvelle campagne de financement participatif

Éducation nationale : les données personnelles mises à disposition des GAFAM

Posted by CercLL sur 3 juin 2017

 

L’April signe, avec les CEMEA, une prise de position contre la décision de l’Éducation nationale de donner accès aux données numériques des élèves, des enseignant.e.s et personnels de l’Éducation aux grandes entreprises de l’internet dont les intérêts sont avant tout mercantiles et qui hébergent souvent les données en dehors du territoire européen.

Pour lire le communiqué

Le mouvement d’éducation populaire CEMEA, association complémentaire de l’école alerte et dénonce la lettre envoyée par Mathieu JEANDRON (Directeur du Numérique pour l’Éducation au ministère) aux Délégués Académiques du Numérique (DAN) ; lettre qui autorise la connexion des annuaires de l’institution avec les services « type GAFAM ».

Plusieurs signataires soutiennent déjà ce texte qui, par ailleurs, fait écho à celui publié le 25 mai par l’association EPI (Enseignement Public et Informatique) ,« Les données personnelles et scolaires des élèves mises à disposition des GAFAM » , auquel l’April apporte également son soutien.

Dans la continuité du partenariat indigne conclut en novembre 2015 avec la société Microsoft, l’Éducation nationale démontre à nouveau son impuissance face aux enjeux sociétaux liés à ses missions. Le constat de François Poulain, trésorier de l’April, est amer : « Le radeau de la Méduse vient de couler. Constat d’échec accablant, nous payons là des années d’absence de politique claire et volontariste en faveur du logiciel libre et des formats ouverts. »

La critique n’est pas celle de la légalité immédiate de la décision, seule focale de la lettre du délégué au numérique éducatif, mais bien celle de l’absence de tout débat de fond visant à inscrire dans la durée une politique publique claire sur l’éducation des jeunes générations dans une société informatisée. Éducation qui ne peut faire l’économie de la formation et de la sensibilisation « à l’usage des logiciels libres, de services en ligne loyaux, décentralisés, éthiques et solidaires. »

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Éducation nationale : les données personnelles mises à disposition des GAFAM

L’April en appelle au président de la République pour la suspension de la renégociation du contrat Microsoft/Défense

Posted by CercLL sur 22 mai 2017

Dans une enquête parue vendredi 19 mai, le magazine d’information Marianne a révélé que le contrat Open Bar Microsoft/Défense n’avait pas encore été renouvelé pour la période 2017-2021. La même enquête confirme que le contrat Open Bar est jugé illégal par le rapporteur de la commission des marchés publics en charge de l’étude du premier contrat. L’April demande solennellement au président de la République et au gouvernement la suspension de cette renégociation ainsi qu’une enquête pour faire la lumière sur le rôle joué par les différents acteurs dans ce dossier scandaleux.

« Investigate Europe », un consortium de neuf journalistes européens, partenaires d’une dizaine de médias, a réalisé pendant trois mois une même enquête dans leurs pays respectifs sur les relations entre Microsoft et les institutions publiques. Dans ce cadre, la journaliste Leila Minano a publié un article sur la situation française, le vendredi 19 mai 2017 dans le magazine Marianne, intitulé « Microsoft : menace sur la sécurité de l’État ».

La conclusion de l’enquête, citation d’un expert informatique des armées resté anonyme, est sans appel : « dans nos Ministères, Microsoft est comme à la maison ».

L’article revient notamment sur le contrat « Open Bar » Microsoft/Défense1, le partenariat indigne entre le ministère de l’Éducation nationale et l’éditeur de logiciel privateur, et met en lumière l’immixtion très forte des GAFAM2 au sein des institutions françaises.

Dans le cadre de son travail d’investigation, la journaliste a eu l’occasion de recueillir les propos exclusifs du rapporteur pour la commission des marchés publics de l’État (CMPE) pour le premier accord Open Bar signé en 2009 :

« C’était déjà illégal à l’époque, je ne vois pas pourquoi cela le serait moins aujourd’hui ! On m’a demandé de valider la décision politique émanant d’un cabinet, j’ai refusé, mais on ne m’a pas écouté. » Et l’expert d’ajouter : « Il n’y avait aucune raison de favoriser Microsoft. Il n’a pas le monopole du traitement de texte… On était dans un délit de favoritisme, ce contrat aurait dû passer par une procédure de marché public, ça relève du pénal. Ce contrat aurait dû finir devant un tribunal, mais personne n’a osé. »

Des propos d’autant plus cruels pour l’État français qu’en janvier 2017 le ministère de la Défense, dont Jean-Yves Le Drian était en charge, interrogé par la sénatrice Joëlle Garriaud-Maylam sur les « fortes réserves et interrogations [qui] avaient été émises par le rapporteur », affirmait sans nuance que « la commission des marchés publics de l’État (CMPE) n’a remis en cause ni l’objet ni la procédure suivie pour passer l’accord cadre ».

Une lecture très réductrice du rapport que le ministère de la Défense avait déjà en 2013, le ministre étant à l’époque Hervé Morin, comme le rapportait Next Inpact qui communiquait au public le fameux rapport de la CMPE. Rapport auquel les propos sus-cités du rapporteur offrent une lecture nouvelle, notamment sur ses « fortes réserves ».

L’indignation du rapporteur de la CMPE pour le contrat initial entre en résonance avec les propos du président du groupe d’experts militaires mandaté en 2008 par le ministère pour étudier l’offre Microsoft. Celui-ci avait déclaré dans l’émission Cash Investigation d’octobre 2016 :

« Le seul scénario qui était déconseillé a été celui qui in fine a été retenu. Oui, on peut considérer que les recommandations n’ont pas été suivies. »

L’article de Marianne indique que « le ministère de la Défense renouvellera son contrat avec la firme de Redmond le 25 mai ».

Le contrat Open Bar Microsoft/Défense a été signé en 2009, puis renouvelé en 2013, malgré l’avis du rapporteur de la CPME qui parle ouvertement de délit de favoritisme, en passant outre l’avis des experts militaires qui évoquaient notamment les risques « d’addiction » et de « perte de souveraineté », sans le moindre élément tangible pour justifier une telle décision, et le tout accompagné d’un refus systématique de faire œuvre de la moindre once de transparence (relire notre chronologie).

L’acte inaugural du quinquennat du président Emmanuel Macron veut être celui de la moralisation de la vie publique. Le dossier Open Bar Microsoft/Défense, les conditions de sa signature et de son renouvellement, semble être taillé sur mesure pour symboliser la mise en œuvre de cette volonté de transparence pour rétablir la confiance entre citoyens et politique.

L’April en appelle solennellement au président de la République, qui fixe la stratégie de la Défense nationale, et au gouvernement pour suspendre la renégociation de ce contrat et pour initier une enquête visant à faire toute la lumière sur le rôle joué par les différents acteurs dans ce dossier scandaleux.

« Ce contrat Open Bar avec Microsoft n’est qu’une partie émergée de l’iceberg des relations entre Microsoft et l’État français. Espérons que le quinquennat à venir verra la mise en place d’une cure de désintoxication et d’une vraie politique publique en faveur du logiciel libre. » a déclaré Frédéric Couchet, délégué général de l’April.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur L’April en appelle au président de la République pour la suspension de la renégociation du contrat Microsoft/Défense

Open Bar : Après 10 ans de mutisme, la Défense annonce l’existence d’un « bilan risques-opportunités »

Posted by CercLL sur 1 février 2017

Au mois de décembre 2016, deux parlementaires ont demandé par voie de question écrite au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft. Le 26 janvier 2016, première réponse à la question de la Sénatrice Joëlle Garriaud-Maylam. On apprend ainsi, après des années d’un grand mutisme, qu’il existerait une base rationnelle justifiant le choix de l’ « Open Bar » : un « bilan risques-opportunités » dont l’April a demandé communication au ministère, au titre de la loi « CADA » .

Le ministère mentionne l’existence d’un « bilan risques-opportunités » « favorable à la conclusion du contrat sur la base d’un périmètre ajusté », élaboré sur la base d’études « notamment en termes d’évaluation des risques, de recherche de mesures tendant à réduire les risques envisageables, ainsi que d’analyse des opportunités. »
Il existerait donc un document, rigoureux et impartial, qui permet de déduire que la conclusion d’un « Open Bar » entre Microsoft et la Défense présentait le meilleur équilibre entre risques et opportunités ?
S’il est regrettable que le ministère ait attendu près de 10 ans pour évoquer l’existence d’une base rationnelle menant à cette décision, nous saluons ce premier pas vers plus de transparence et ne doutons pas que l’administration répondra favorablement à notre demande de communication du « bilan risques-opportunités » et des différentes études mentionnées dans la réponse.

L’évocation de ce document est l’élément le plus important de cette réponse. Le reste du texte n’en est pas moins instructif, il est même assez révélateur de la mécompréhension de cette administration des critiques qui lui sont faites et des enjeux en cause :

  • La Défense s’efforce, encore, de justifier la contractualisation avec Microsoft Irlande ; « qui dispose de l’exclusivité de la distribution des licences Microsoft en Europe. » La sénatrice à l’origine de la question écrite, ou quinconque ayant suivi cette affaire, a parfaitement conscience du montage utilisé par Microsoft, le tristement célèbre « double irlandais ».
    Mais s’il est possible pour une entreprise d’utiliser les vides juridiques à des fins d’ « optimisation fiscale », nous pourrions attendre d’un ministère régalien qu’il ne finance pas ce genre de pratique avec de l’argent public.
  • Le ministère précise qu’il « convient d’observer que ce n’est pas le scénario déconseillé par le groupe d’experts qui a été retenu, mais celui qualifié de « risqué » ». Cette affirmation est pourtant en complète contradiction avec le rapport du groupe d’experts. On y lit ainsi que ; « le scénario 2 « offre Microsoft sur tout le catalogue » est déconseillée » et que « le scénario 3 « offre Microsoft adaptée sur le seul périmètre bureautique (dit 90/10) » est risqué ». L’Open Bar portant sur l’ensemble du catalogue Microsoft – justifiant ainsi de cette appellation – la lecture du ministère semble pour le moins créative, même avec un « périmètre ajusté ». La communication du « bilan » aidera sans aucun doute à lever cette ambiguïté.
  • Le ministère rejette l’appelation « Open Bar », qui, selon lui suggère un « déséquilibre entre les obligations des deux parties ». Le rapport d’experts, dont ont été extraits les « premiers éléments d’identification et de caractérisation des risques » attachait à la conclusion de ce contrat, sans la moindre équivoque, la « perte de souveraineté nationale », le « coût de sortie de la technologie » et l’ « addiction aux technologies Microsoft. » Considérant qui plus est que cette situation perdure depuis 2008, la capacité de négociation du ministère avec le géant américain nous semble, au mieux, limitée.
  • La réponse prend soin de préciser que « les travaux d’évaluation du retour sur investissement (ROI) se heurtaient à ce stade à des difficultés dont le groupe d’experts a reconnu qu’elles pénalisaient l’analyse des différents scénarios. » La lecture du « bilan » permettra, nous l’espérons, de comprendre le lien entre la difficulté d’évaluer des ROI et la détermination par les experts de « risques rédhibitoires », tels la perte de souveraineté, l’addiction, les portes dérobées ou l’ « affaiblissement de l’industrie française et européenne du logiciel ».
  • Le ministère précise, en parlant de la période de contractualisation 2013-2017 ; « le deuxième contrat a étendu la forme locative à pratiquement l’ensemble des licences du ministère ». Si le choix de la « forme locative » semble de prime abord assez discutable dans des considérations d’indépendance technologique et de choix stratégique sur le long terme nous ne doutons pas que le « bilan » explicitera cette décision. Il convient toutefois de noter que toute licence privative, comme celle de Microsoft, est assimilable de fait à la forme locative, puisqu’il ne s’agit que d’une autorisation d’utilisation par le titulaire des droits, pour certains usages et sur une période de temps donnée. Seule une licence libre, qui garantit les quatre libertés informatiques, offre une jouissance pleine et entière sur le logiciel, condition fondamentale pour une maîtrise globale d’un système d’information.

Nous pouvons enfin noter que le ministère reconnait le biais initial du premier contrat « Open Bar ». Il ne s’agissait pas de doter l’administration d’un système d’information souverain et pérenne, mais de « soutenir une partie du parc Microsoft déjà déployé ». Effectivement, si l’objectif est la rationnalisation d’une addiction, l’ « Open Bar » semble le plus à même de répondre à ce besoin.
Le « bilan risques-opportunités » a-t-il été construit autour de ce biais ? Ou une réflexion plus globale sur l’utilisation, ou non, des produits opaques et privateurs de Microsoft a-t-elle été menée ? L’opportunité d’une migration vers du logiciel libre, à l’instar de ce qu’a fait la Gendarmerie nationale, a-t-elle seulement été envisagée ?

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Open Bar : Après 10 ans de mutisme, la Défense annonce l’existence d’un « bilan risques-opportunités »

Conférence de Jean-Christophe Becquet à Gardanne (13)

Posted by CercLL sur 27 janvier 2017

Début: 31 Janvier 2017 – 18:30
Fin: 31 Janvier 2017 – 20:30

 

Jean-Christophe Becquet, animera une conférence, mardi 31 janvier 2017 à la Médiathèque Nelson Mandela, boulevard Paul Cézanne à Gardanne (13)

Les logiciels libres sont nés sous l’impulsion de Richard Stallman, dans les années 80. Ils sont définis comme conférant à leurs utilisateurs quatre libertés fondamentales : liberté d’exécuter le programme, liberté d’étudier le fonctionnement du programme, liberté de redistribuer des copies du programme et liberté d’améliorer le programme et de distribuer ces améliorations au public. Les logiciels libres représentent aujourd’hui un enjeu majeur, autant dans la maîtrise des outils qu’on utilise au quotidien que dans la communauté qui en découle.

Quel est donc le projet de société qu’ils délimitent, et en quoi cette question est-elle fondamentale dans notre démocratie ? C’est à ces questions que répondra Jean-Christophe Becquet de l’association April, principale organisation de défense des logiciels libres en France, qui vient de fêter ses 20 ans.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Conférence de Jean-Christophe Becquet à Gardanne (13)

Les consultations publiques en ligne doivent être basées sur des logiciels libres

Posted by CercLL sur 13 janvier 2017

La consultation publique en ligne initiée par MM. les députés Luc Belot (PS) et Patrice Martin-Lalande (LR) sera clôturée mardi 17 janvier. Elle porte sur leur proposition de loi « généralisant la consultation publique en ligne, par l’internet, sur les textes de loi avant leur examen par le Parlement »

Au vu du calendrier parlementaire cette proposition de loi ne sera vraisemblablement pas présentée au Parlement, cependant elle a le mérite de faire avancer le débat sur les consultations publiques en ligne. D’autant qu’il est tout à fait probable que la prochaine majorité se saisisse de ce sujet tant il semble populaire : nombreux sont ceux qui semblent considérer ces consultations comme un pilier d’un « renouveau démocratique ». C’est le cas des députés à l’origine de la proposition qui voient dans ces consultations un moyen de « retisser le lien de confiance distendu ».

Si le débat de fond sur l’opportunité et le périmètre de cette procédure présente un intérêt réel, il est une question de forme sur laquelle il ne peut être transigé : les consultations publiques en ligne doivent être basées sur des logiciels libres. Le numérique ne peut aider la démocratie sans en adopter les fondements. C’est dans cette optique que l’April a formulé une proposition d’amendement au texte des députés afin d’inscrire dans la proposition de loi le recours impératif à des logiciels libres au moment de consultations publiques en ligne.

Notons d’ailleurs que la plateforme servant de base à cette consultation, tout comme celle qui avait été utilisée pour le projet de loi « République numérique », repose sur un logiciel privateur de la société Cap Collectif. Sur ce sujet, lire l’excellent billet de Regards Citoyens ; Civic Tech ou Civic Business ? Le numérique ne pourra pas aider la démocratie sans en adopter les fondements.

Si vous souhaitez participer à cette consultation, et notamment soutenir la proposition de l’April, l’inscription à la plateforme a le mérite d’être très rapide et d’exiger un nombre minimal de données personnelles : un pseudonyme, un mot de passe et une adresse électronique suffisent.

Notre proposition d’amendement à la proposition de loi :

À la fin de l’exposé des motifs ajouter:

  • « L’article 4 rappelle que l’utilisation d’outils numériques ne pourra aider la démocratie que s’ils en adoptent les fondements. Il décrit ainsi les critères essentiels que les plateformes de consultations en ligne devront respecter afin de répondre aux impératifs démocratiques à l’heure du numérique en matière de transparence comme de respect de la vie privée.

Insérer un article 4:

Après l’article 12 de la loi organique n° 2009-403 du 15 avril 2009 relative à l’application des articles 34-1, 39 et 44 de la Constitution, sont insérés un chapitre II quater et un article 12 quater ainsi rédigés :

  • « Dispositions relatives à la plateforme de consultation publique en ligne sur les textes de loi
  • « Article 12 quater : La plateforme de consultation publique en ligne utilisée dans le cadre d’un projet ou d’une proposition de loi repose sur des logiciels libres, dont la licence permet l’audit, la diffusion et la réutilisation des codes sources.
  • Elle comporte des fonctionnalités d’extraction de toutes les informations publiques non nominatives générées sous un format ouvert permettant leur libre réutilisation.
  • Les données à caractère personnel collectées dans le cadre de cette consultation ne peuvent faire l’objet d’aucune réutilisation ou d’aucun traitement en dehors des traitements strictement nécessaires à la réalisation de la consultation. Elles sont détruites à l’issue de la consultation. »

Et l’exposé des motifs:

« La qualité des outils logiciels – plateformes dédiées, messagerie, outils collaboratifs… – est déterminante pour l’exercice. […] Le logiciel doit, de préférence, être un logiciel libre dont le code soit accessible et puisse ainsi être audité par le public. Les choix méthodologiques de la consultation doivent être publics et doivent pouvoir être discutés. »
Consultations ouvertes sur internet organisées par les administrations; un instrument précieux au service de la participation du public qui requiert une forte implication des organisateurs, Novembre 2016, COEPIA.

Si la consultation publique par l’internet peut contribuer à retisser le lien de confiance distendu entre représentants et représentés, elle ne pourra se faire sans confiance dans l’outil utilisé. Le numérique ne pourra ainsi aider la démocratie sans en adopter les fondements. Seule l’utilisation du logiciel libre, intrinsèquement transparent et donc auditable par tous, peut offrir un niveau de confiance suffisant en préservant contre toute possibilité de manipulation. « Le code est loi » disait Lawrence Lessig en 2001. Par ailleurs, le modèle de gestion horizontale des logiciels libres s’inscrit parfaitement dans l’esprit d’une démocratie plus participative et plus proche des citoyens, ambition du présent texte.

Dans sa volonté de promouvoir l’ « open data », la loi numérique a consacré le caractère de document administratif des codes source « produits ou reçus » par les administrations. Pour que cette règle puisse produire son plein effet, il convient de prêter une attention particulière aux licences attachées aux logiciels. Les licences libres, comme les licences GPL ou CECILL, garantissent l’accès au code source et la liberté de modifier, de mutualiser et de redistribuer le logiciel. Dans l’objectif de la démocratie participative, garantir la possibilité de communication et de réutilisation des logiciels de consultation publique en ligne semble particulièrement opportune. On pourra ainsi imaginer des initiatives citoyennes locales, ainsi que des collectivités, qui pourraient avoir accès à des outils puissants, de confiance, et bénéficiant du support de la puissance publique.

Enfin, comme l’a notamment rappelé le Conseil d’État dans sa décision n°350431 du 30 septembre 2011, les logiciels libres assurent aux structures utilisatrices une indépendance vis-à-vis de tout éditeur, pérennisant ainsi un marché ouvert et concurrentiel pour les prestataires de services.

Source april.org

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Les consultations publiques en ligne doivent être basées sur des logiciels libres

Evènements 2016

Posted by CercLL sur 2 janvier 2017

 

dscf0002

dscf0010

 

 

 

 

 

 

dscf0005

 

Install Party GNU/Linux.
(Janvier,Février,Mars,Avril,Mai,Juin,Juillet,Septembre,Octobre,Novembre,Décembre 2016)
Divers lieux : La Fabulerie, Plan M, Foyer du Peuple.

Atelier Découvertes des Logiciels Libres Firefox.
(16 Janvier, 13 Février,12 Mars 2016)
Divers Lieux : La Fabulerie, Plan M

Initiation basique d’une distribution Linux.
(16 Avril,14 Mai 2016)
Divers Lieux : La Fabulerie, Plan M

Repair Café Informatique.
(Janvier,Février,Mars,Avril,Mai,Juin,Juillet,Septembre,Octobre,Novembre,Décembre 2016)
Divers lieux.

Rencontre de l’association April (21 mai 2016)
Lieu : Arsenic.

Rencontres de l’Orme 2.16 (8 et 9 juin 2016)
Lieu : Parc Chanot.

Apéro du Libre les 20 ans de l’April (9 décembre 2016)
Lieu : La Boate.

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Evènements 2016

Deux parlementaires demandent au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft

Posted by CercLL sur 14 décembre 2016

Deux parlementaires, Mme Isabelle Attard, députée (non-inscrite) du Calvados, et Mme Joëlle Garriaud-Maylam, sénatrice (LR) des Français établis hors de France, de deux chambres et de deux bords politiques différents, interrogent, par voie de question écrite (question n° 101223 et question n° 24267), le ministre de la Défense, M. Jean-Yves le Drian, sur le contrat « Open Bar » qui lie le ministère à Microsoft depuis 2009.

Le 18 octobre 2016 l’émission Cash Investigation de France 2 était en partie consacrée au dossier « Open Bar » Microsoft / Défense. L’April avait alors publié un récapitulatif de l’affaire. Cette émission a permis de mettre en lumière, auprès du grand public, les contradictions et l’opacité de la « grande muette » concernant ce contrat, mais également de verser de nouveaux éléments au dossier. Autant d’éléments qui ont poussé ces deux élues à demander plus de transparence au ministre de la Défense.

Isabelle Attard, après une première question écrite en 2013, toujours sans réponse, interroge cette fois-ci le ministre, par sa question écrite n° 101223 publiée le 13 décembre 2016, sur « le périmètre et le contenu de l’ « accord de sécurité » passé entre l’État français et la société Microsoft ». Elle s’inquiète de ce que « la souveraineté numérique de l’État français dépende principalement de la bonne foi » de l’entreprise américaine alors que la National Security Agency (NSA) « introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels »

L’April avait également demandé la communication de cet accord.

Joëlle Garriaud-Maylam avait déjà interrogé le ministre en 2014 sur les risques de perte de souverainté. Elle relève dans cette nouvelle question écrite n° 24267 publiée le 8 décembre 2016, les contre-vérités qui lui furent adressées dans la réponse du ministre, notamment sur la « maîtrise des coûts ». Elle rappelle que « le seul scénario qui était déconseillé a été celui qui in fine a été retenu » d’après les mots, dans l’émission Cash Investigation, du directeur du groupe d’experts alors mandaté pour envisager différents scenarii. Elle relève également que le rapporteur pour la commission des marchés publics de l’État avait émis de fortes réserves et interrogations. La Sénatrice demande donc que des « précisions soient apportées sur les conditions de passation et les éléments ayant motivé le choix initial de recourir à cet accord dit « open bar » malgré ces avis contradictoires ». Elle souligne l’importance particulière de ces interrogations alors que le contrat actuel arrive à son terme en 2017 et risque donc d’être reconduit.

Ces mêmes éléments avaient conduit l’April à demander la création d’une commission d’enquête parlementaire.

Nous appelons de nos vœux le ministre de la Défense à sortir de son silence et à présenter publiquement les raisons qui ont poussé la France à conclure et renouveler un tel accord « Open Bar » malgré tous les éléments rationnels émis contre la signature d’un tel contrat.

Source april.org

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: | Commentaires fermés sur Deux parlementaires demandent au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft

Apéro Libre : Les 20 ans d’April

Posted by CercLL sur 11 décembre 2016

Les 20 ans d’April fêtés à Marseille. Avec la venue de Magali Garnero qui a présenté les dernières actions de l’association.

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Apéro Libre : Les 20 ans d’April

Apéro du Libre « les 20 ans de l’April »

Posted by CercLL sur 24 novembre 2016

L’association CercLL vous donne rendez-vous pour Apéro du Libre.

On fête les 20 ans de l’April, vendredi 9 décembre 2016 à partir de 18h 30, à la Bo@te 35 rue de la Paix Marcel Paul 13001 Marseille.

Magali Garnero, administratrice de lApril, vous présentera les dernières actions de l’association puis vous pourrez vous promenez le long des panneaux de l’Expolibre, une exposition qui présente les logiciels libres au grand public.

Les Apéros du Libre sont des rencontres conviviales autour d’un verre, pour discuter, échanger et parfois troller entre utilisateurs et curieux de logiciels et culture libres.

Entrée Libre. Tout Public.

 

 

Plan d’accés

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Apéro du Libre « les 20 ans de l’April »

Le personnel de la Culture, nouvelle victime des relations privilégiées entre Microsoft et l’État français ?

Posted by CercLL sur 8 novembre 2016

Le site BFM business a eu connaissance d’une lettre interne de Mme la ministre de la Culture et de la Communication, Audrey Azoulay, destinée au personnel de son ministère, signifiant, entre autres, sa volonté d’investir deux millions d’euros « pour améliorer la bureautique et les systèmes d’information relatifs aux ressources humaines pour qu’enfin, tout le monde travaille avec les mêmes logiciels ».

Cette intention est parfaitement légitime et louable : une telle enveloppe, en partie investie dans un projet collaboratif et libre tel que LibreOffice1, quatre ans après la circulaire du Premier ministre Jean-Marc Ayrault sur l’usage des logiciels libres et un mois après la promulgation d’une loi « encourageant » l’usage du logiciel libre, serait une décision raisonnable, avisée et cohérente.

Seulement, selon la source de BFM business, le choix du ministère de la Culture serait de basculer l’ensemble de la bureautique sous Microsoft Office. Cette décision constituerait un revirement de la stratégie bureautique au sein de ce ministère. Décision atterrante, notamment pour la grande majorité d’agents qui utilisent depuis des années une suite bureautique libre. Mais décision qui serait conforme aux relations privilégiées que l’État entretient avec la firme américaine. Ainsi, après la Défense avec l’Open Bar, l’Éducation nationale avec un très discutable partenariat, Microsoft s’offrirait-t-elle la Culture ?

Nous souhaitons donc que Madame la Ministre s’exprime rapidement sur le sujet. Si cette information s’avére exacte, nous sommes curieux de connaître le contenu de l’appel d’offres, toujours pas diffusé au bulletin officiel des annonces des marchés publics ce mardi 8 novembre, ou à défaut le nouveau tour de passe trouvé par Microsoft et l’État pour contourner, encore une fois, le code des marchés publics.

Source april.org

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Le personnel de la Culture, nouvelle victime des relations privilégiées entre Microsoft et l’État français ?

 
%d blogueurs aiment cette page :