Annales WE01

The Heartbleed bug crushed our faith in the secure web, but a world without the encryption software that Heartbleed exploited would be even worse. In fact, it's time for the web to take a good hard look at a new idea: encryption everywhere.

Most major websites use either the SSL or TLS protocol to protect your password or credit card information as it travels between your browser and their servers. Whenever you see that a site is using HTTPS, as opposed to HTTP, you know that SSL/TLS is being used. But only a few sites -- like Facebook and Gmail -- actually use HTTPS to protect all of their traffic as opposed to just passwords and payment details.

Many security experts — including Google's in-house search guru, Matt Cutts — think it's time to bring this style of encryption to the entire web. That means secure connections to everything from your bank site to Wired.com to the online menu at your local pizza parlor.

• Titre : It's Time to Encrypt the Entire Internet

• URL : https://www.wired.com/2014/04/https/

• Auteur : Klint Finley

• Date : Apr 17, 2014

• Éditeur : Wired

L'industrie numérique prospère grâce à un principe presque enfantin : extraire les données personnelles et vendre aux annonceurs des prédictions sur le comportement des utilisateurs. Mais, pour que les profits croissent, le pronostic doit se changer en certitude. Pour cela, il ne suffit plus de prévoir : il s'agit désormais de modifier à grande échelle les conduites humaines.

En 1999, Google, malgré l'éclat de son nouveau monde, avec ses pages Web consultables en un clic et ses capacités informatiques croissantes, ne disposait d'aucune stratégie pour faire fructifier l'argent de ses investisseurs prestigieux.

La logique d'accumulation qui assurera la réussite de Google apparaît clairement dans un brevet déposé en 2003 par trois de ses meilleurs informaticiens, intitulé : « Générer des informations utilisateur à des fins de publicité ciblée ». La présente invention, expliquent-ils, vise « à établir les informations de profils d'utilisateurs et à utiliser ces dernières pour la diffusion d'annonces publicitaires (1) ». En d'autres termes, Google ne se contente plus d'extraire des données comportementales afin d'améliorer les services. Il s'agit désormais de lire dans les pensées des utilisateurs afin de faire correspondre des publicités avec leurs intérêts.

• Titre : Un capitalisme de surveillance

• URL : https://www.monde-diplomatique.fr/2019/01/ZUBOFF/59443

• Auteur : Shoshana Zuboff

• Date : janvier 2019

• Éditeur : Le Monde diplomatique.

Aux États-Unis, la peur des fusillades dans les écoles et les campus a banalisé l'installation de systèmes de surveillance sophistiqués. Elles vont bien au-delà des caméras de vidéosurveillance : drones, capteurs de détection de coups de feu, lecteurs de plaques d'immatriculation automatisés, logiciels biométriques, entre autres.

[...]

Des collèges et universités surveillent également leurs étudiants sur les réseaux sociaux, « et ce n'est pas seulement pour retweeter ou aimer un joli post Instagram sur leur stage d'été », ironise l'EFF. Ils s'en servent d'abord pour rechercher des publications où les étudiants indiquent des idées suicidaires ou encore des menaces de violence armée.

• Titre : Les technologies de surveillance à l'assaut des campus américains

• URL : https://www.nextinpact.com/article/46426/les-technologies-surveillance-a-assaut-campus-americains

• Auteur : Jean-Marc Manach

• Date : 2021

• Éditeur : NextINpact

Human Rights Watch a analysé durant deux ans 164 outils numériques destinés aux élèves de 49 pays durant la pandémie afin qu'ils puissent continuer à suivre leurs cours. 89 % « surveillaient les enfants, secrètement et sans le consentement de leurs parents ».

Or, sur les 73 applications analysées, 22, soit 30 %, « s'accordaient la capacité de collecter des données de localisation précises, ou des coordonnées GPS qui peuvent déterminer à la localisation exacte d'un enfant à 4,9 mètres près ».

Dix de ces applications étaient directement destinées aux enfants, comme Minecraft : Education Edition, et ont collecté les données de localisation d'environ 52,1 millions d'enfants.

Certaines applications, 18 sur les 73, collectaient également le Wifi SSID, qui correspond au nom du réseau auquel se connecte un téléphone mobile. Avec cette donnée, les entreprises peuvent retrouver la localisation exacte du réseau en question. Parmi les applications utilisant cette technique, on retrouve des géants du numérique comme Microsoft Teams, Cisco Webex, Zoom (recommandé dans l'État du New South Wales en Australie, au Cameroun, au Kazakhstan, en République de Corée, en Roumanie, en Californie, au Texas et en Angleterre), YouTube (recommandé dans l'État d'Uttar Pradesh en Inde, en Malaisie, au Nigeria et en Angleterre), WhatsApp (recommandé dans l'État d'Uttar Pradesh et au Cameroun), Telegram (recommandé au Nigeria) ou encore Facebook (recommandé à Taïwan).

Enfin, les élèves ont également pu être pistés en dehors de leurs salles de classe virtuelles, lors de leurs autres activités sur Internet, via les fameux « cookies », des petits fichiers installés dans le navigateur d'un·e internaute pour l'identifier.

• Titre : Les publicitaires font main basse sur les données des élèves partout dans le monde

• URL : https://www.mediapart.fr/journal/international/250522/les-publicitaires-font-main-basse-sur-les-donnees-des-eleves-partout-dans-le-monde

• Auteur : Jérôme Hourdeaux

• Date : 2022

• Éditeur : Mediapart

L'HyperText Transfer Protocol Secure (HTTPS, littéralement « protocole de transfert hypertextuel sécurisé ») est la combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS.

HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentification client.

HTTPS était initialement surtout utilisé pour les transactions financières en ligne : commerce électronique, banque en ligne, courtage en ligne, etc. Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques, par exemple.

En 2016, une campagne de l'Electronic Frontier Foundation, soutenu par les développeurs de navigateurs Web, a aidé à rendre le protocole beaucoup plus populaire. HTTPS est maintenant utilisé plus souvent par les utilisateurs Web que le HTTP non sécurisé d'origine, principalement pour protéger l'authenticité des pages sur tous les types de sites Web, comptes sécurisés, et pour garder les communications des utilisateurs, l'identité et la navigation Web privées.

Depuis le début des années 2010, le HTTPS s'est également généralisé sur les réseaux sociaux.

Par défaut, les serveurs HTTPS sont connectés au port TCP 443.

En janvier 2017, Google Chrome et Mozilla Firefox ont commencé à identifier et signaler les sites Web qui recueillent des informations sensibles sans utiliser le protocole HTTPS. Ce changement a pour but d'augmenter de manière significative l'utilisation du HTTPS. En février 2017, le protocole de sécurité HTTPS était utilisé par environ 16,28 % de l'Internet français.

• Titre : HyperText Transfer Protocol Secure

• URL : https://fr.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure

• Date : Consulté en 2022

• Éditeur : Wikipédia

• Licence : Creative Commons BY-SA

Pourquoi est-ce un problème d'utiliser un outil comme Facebook pour organiser ses événements ?

« On ne changera pas le monde depuis Facebook »

On pourra utiliser Mobilizon pour son club de sport ou ses associations festives, mais parmi les utilisateurs potentiels de Mobilizon, il y a les militants, les mouvements sociaux. Est-ce que le cas particulier du militantisme se pose ?

« Nous sommes nombreuses et nombreux à en avoir marre que Facebook soit l'outil qui enferme les événements rythmant nos vies ! »

Si le service est décentralisé, ça veut dire que chacun va pouvoir installer son propre serveur, mais du coup, il faudra se créer un compte sur chaque serveur ?

« Bien entendu, tout le monde ne va pas aller l'installer sur un serveur informatique, et monter son propre Mobilizon. Mais il est essentiel qu'une communauté, un syndicat, une ONG, un mouvement, une fédération... que n'importe quel collectif puisse s'émanciper librement des plateformes avides de données. »

Est-ce qu'on pourrait en faire quelque chose ici à l'UTC ?

« Car un outil convivial est un outil qui nous laisse le pouvoir, qui nous rend le contrôle. C'est un outil qui laisse chaque groupe s'organiser comme il le souhaite. »

• Titre : Mobilizon, une alternative décentralisée aux événements et groupes Facebook

• URL : https://podcast.picasoft.net/@la_voix_est_libre/episodes/mobilizon-une-alternative-decentralisee-aux-evenements-et-groupes-facebook

• Date : Émission enregistrée le 28 octobre 2019 dans les locaux de Graf'hit

• Éditeur : Picasoft

• Licence : Creative Commons BY