Category Archives: vie privée

Au sujet de copwatchnord-idf.eu.org

Ce billet va être un tantinet abscons car technique, et je n’ai malheureusement pas le temps de développer… que les lecteurs veuillent bien m’en excuser. Il y aurait beaucoup à dire, des pages et des pages, mais je vais me limiter à l’essentiel.

Rapide historique

Le site copwatchnord-idf.org a défrayé la chronique cet automne car il a provoqué l’ire du ministère de l’Intérieur. Ce dernier a réussi à en obtenir le blocage sur le territoire français, obtenant aussitôt un bel effet Streisand puisque des miroirs sont apparus aussitôt après. Ce blocage a été obtenu par le blocage, par les principaux fournisseurs d’accès français, de l’adresse IP du site, qui se trouve hébergé aux États-Unis. On trouvera sur Numérama un résumé de l’affaire. Selon cet article ultérieur de Numérama, les éditeurs du site Copwatch ne s’étant pas présentés à l’audience, le tribunal n’a pas débattu de la légalité du site .

Depuis quelques jours, le site est réapparu à l’adresse https://copwatchnord-idf.eu.org/. Le 24 janvier, cela a donné matière à un article sur le site web du journal Le Point : Censuré par Claude Guéant, Copwatch revient.

Or, le domaine copwatchnord-idf.eu.org, comme son nom l’indique, a été réservé via eu.org, service que je gère depuis 1996 avec l’aide d’une équipe de bénévoles. Le domaine copwatchnord-idf.eu.org a été validé (rendu utilisable) le 5 novembre 2011.

Pour rappel, eu.org n’est pas hébergeur mais distribue des noms de domaine gratuitement. eu.org est un simple intermédiaire technique et a distribué à ce jour plus de 20 000 domaines.

Les nouvelles du jour

Des bruits laissaient entendre cet après-midi que la place Beauvau aurait dit qu’il serait pratiquement impossible d’identifier l’hébergeur de eu.org.

Mon intuition me dit que si la place Beauvau mentionne actuellement eu.org, c’est très probablement en raison de la réapparition de Copwatch.

Revenons sur les termes de l’affirmation ci-dessus :

– l’hébergeur (celui qui fournit le serveur contenant les pages web ainsi que les logiciels du service de fourniture de noms de domaine) est parfaitement identifié puisqu’il s’agit de moi-même, sur ma liaison ADSL personnelle. Je suis facilement identifiable par la base publique Whois des noms de domaine publiée par le registrar Gandi.net (pour les domaines dont il a la charge) ; de même mon fournisseur d’accès, Free, est facilement identifiable par la base Whois d’allocation des adresses IP dans laquelle figure le bloc où se trouve celle que j’utilise.

– l’hébergeur de eu.org n’a rien à voir avec les hébergeurs des 20 000 sites, dont Copwatch, délégués par eu.org via le système de noms de domaine ;

– la prestation fournie par eu.org à ses utilisateurs, dont Copwatch, n’est pas une prestation d’hébergement mais la simple fourniture (on dit délégation) d’un nom de domaine.

– les personnes responsables des domaines ainsi fournis (délégués) fournissent des informations de contact supposées sincères, dont l’exactitude n’est pas vérifiée, mais qui sont diffusées publiquement sous le nom de base Whois. Au minimum il faut que l’adresse email fournie et les serveurs de noms soient techniquement corrects au moment de la demande de délégation du domaine, sinon l’enregistrement est refusé.

Et maintenant ?

Il est probable que le ministère de l’Intérieur va demander que le site copwatchnord-idf.eu.org soit, sinon fermé proprement dit, du moins rendu inaccessible. Le site étant physiquement hébergé aux USA, il est impossible d’obtenir la coupure du serveur qui l’héberge pour la même raison qu’en octobre.

En revanche, il est possible, par exemple, que :

– le ministère demande aux fournisseurs d’accès français, de même qu’en octobre, le blocage pour les accès depuis la France de l’adresse IP du nouveau site (située chez le même hébergeur que l’ancien) ;

– ou qu’il demande à eu.org la coupure du domaine copwatchnord-idf.eu.org.

N’étant pas juriste, je ne suis pas en mesure de juger de la légalité, ni des mesures citées ci-dessus qui posent de sérieuses questions sur les libertés publiques, ni du site Copwatch lui-même.

J’espère en tout cas que l’on n’utilisera pas une bombe atomique pour atteindre la cible, comme c’est malheureusement trop souvent le cas par les temps qui courent lorsqu’Internet est concerné.

Mise à jour : article du 1er février de PcInpact sur le développement de l’affaire (et encore un autre nom de domaine pour le site : copwatchnord-idf.meta.gd). Rendez-vous le 7 février apparemment…

Mise à jour 2 février au soir : un article d’Arrêt sur images revient sur l’affaire.

 

Spam téléphonique

Appel « numéro inconnu ».

– bonjour monsieur, ici « Virginie Latour », je vous appelle de la part de votre conseillère Mme Truc de la banque Bidule pour blablabla réserve de crédit blabla…
– je ne souhaite pas être dérangé par des sollicitations commerciales téléphoniques émanant de centres d’appel, je suis sur la liste orange, je vous remercie d’en faire part à ma banque.

(2 secondes de pause, le temps de trouver la bonne réplique dans son script)

mais je vous appelle de l’agence, monsieur.

Mais oui, on y croit.

Ce n’est pas la première fois qu’une opératrice de centre d’appel essaie de m’expliquer qu’elle n’est pas une opératrice de centre d’appel (la dernière fois c’était peu avant Noël, le « standard » de l’Institut Curie qui me sollicitait pour un don). Comme quoi je ne dois pas être le seul à en avoir marre, c’est peut-être bon signe.

Le quart d’heure d’anonymat

Du quart d’heure de célébrité « inventé » par Andy Warhol en 1968, on arrive maintenant, avec Internet et les réseaux sociaux au quart d’heure d’anonymat suggéré par Jean-Marc Manach. Un article qui résume bien la question telle qu’elle se pose aujourd’hui, avec la nécessité pour chacun de devenir son propre « dircom » et de s’auto-aseptiser.

Extraits :

Comme le souligne danah boyd, chercheuse ès médias sociaux, “la vie privée n’est pas une technologie binaire que l’on peut allumer ou éteindre” :

“La vie privée renvoie au fait de pouvoir contrôler la situation, de pouvoir contrôler quelle information va où, et d’avoir la possibilité d’en réajuster le flux de manière appropriée lorsque l’information déborde ou va trop loin. Les gens se préoccupent de leur vie privée parce qu’ils ont peur d’en perdre le contrôle.”

[…]

Le problème, c’est que le statut de “personnalité publique“, après avoir longtemps été réservé à un nombre restreint de privilégiés, est aujourd’hui accessible à tout un chacun, en quelques clics. Or, s’inquiète danah boyd, “les conséquences sociales, considérables, de ce changement de paradigme ne seront jamais assumées par les geeks de la Silicon Valley qui en sont responsables” :

“Certains d’entre eux voudraient forcer tout le monde à accepter ce changement culturel où la vie publique serait la nouvelle norme sociale. Je ne pense pas que ce soit très raisonnable, et ne pense pas non plus que c’est ce que réclament les gens.

Ce n’est pas parce que certains ont compris qu’ils pouvaient gagner quelque chose à s’exposer que tout le monde en a envie. Et ça ne veut pas dire, non plus, que la “vie privée” n’a plus de valeur. Il faut leur donner la possibilité de se protéger, et de faire face aux conséquences que cela entraînera.”

I’m sorry Dave, I’m afraid I can’t do that

Suite à la débacle Buzz, cela fait plusieurs jours que je me demande le sort que je dois réserver aux différents comptes que j’ai chez Google, tous liés au même compte Gmail. Voici où j’en suis à ce jour :

  • un compte Gmail/Gtalk -> conservé (je m’en sers principalement pour Gtalk)
  • un compte Buzz -> détruit
  • un compte Orkut -> informations personnelles nettoyées au maximum, permissions fermées au maximum, ne reste que 2 photos et la liste d’amis
  • un compte Reader -> vidé, réglages disponibles fermés
  • un compte Analytics -> détruit
  • un compte Webmaster Tools -> en cours de nettoyage, à migrer
  • un compte Wave -> préservé pour l’instant
  • un compte App Engine -> préservé pour l’instant
  • un compte Calendar -> probablement vide, à vérifier de près
  • un compte Docs -> non vide, à vérifier de près
  • un compte Contacts (synchronisé depuis mon téléphone Android) -> à vider à l’occasion, dès que j’aurai trouvé une autre solution ; il existe des applications Android pour cela.
  • un compte Picasa -> vérifié vide
  • un compte iGoogle -> théoriquement vide, à vérifier
  • un compte Web History -> désactivé
  • un compte Maps -> préservé pour l’instant, à vérifier de près
  • un compte Sites -> vidé mais à vérifier de près

Où l’on s’aperçoit à quel point la loi Informatique et Libertés, qui interdit le croisement de fichiers, était visionnaire… dès 1977.

J’ai l’impression d’être l’astronaute Dave dans la scène de 2001, Odyssée de l’espace, qui démonte l’ordinateur HAL, bloc de mémoire par bloc de mémoire, après que celui-ci ait tenté de le laisser périr dans l’espace pour le bien de l’humanité.

Tout cet inventaire est facile grâce au tableau de bord Google. Merci, Google.

L’étape numéro 2, très importante, va consister à séparer les comptes subsistants en créant autant de comptes Gmail distincts et en y migrant les données, afin d’éviter que Google relie entre eux des comptes que je ne souhaite pas voir reliés.

Cela comprendra donc au minimum :

  • un nouveau compte pour Webmaster Tools
  • un nouveau compte pour Docs
  • ultérieurement, éventuellement, de nouveaux comptes pour Maps et Wave

En revanche je vais rencontrer un gros problème pour ce qui concerne les comptes liés à Android (Gmail, Calendar, Maps, Contacts) : je ne crois pas qu’Android me laisse gérer cela sur plusieurs comptes Google séparés. Le cas échéant, je viderai purement et simplement les comptes qui continuent à me poser problème.

Je sais que tu fais tout cela pour me simplifier la vie, GoogHAL, mais j’aime avoir une vie compliquée en décidant moi-même des choses qui ne concernent que moi.

Mise à jour : création d’un nouveau compte Gmail… incroyable, même après avoir explicitement refusé Buzz (en cliquant sur le petit lien bien caché à côté du gros bouton “Essayer Buzz”), Buzz apparaît dans le nouveau compte, il faut le détruire explicitement en confirmant 2 fois… on dirait le sparadrap du capitaine Haddock dans Vol 714 pour Sydney.

L’OPA de Google Buzz sur nos données personnelles

Les problèmes de Google Buzz ? Oubliés, mieux que ça : ils n’ont jamais existé, ce sont les utilisateurs qui avaient mal compris. La plainte EPIC/FTC ? « On adore discuter avec les associations ». Le mélange vie privée – vie professionnelle ? On n’en parle même pas, de toute façon Google a décrété que les deux sphères allaient fusionner, puisqu’on vous le dit.

Le concierge de Buzz a annoncé ce jour quelques petits trucs à connaître, juste histoire de faire bien comprendre aux naïfs que la vie vue par Google reprend ses droits.

Chapeau. C’est du grand art ; à ce niveau ce n’est plus du noyage de poisson, c’est de l’atomisation de cachalot, catégorie champion olympique.

LOPPSI 2 et autres lois en I après DADVSI, HADOPI…

Après la loi DADVSI (2006, déjà caduque), la HADOPI qui lui fait suite (devra faire la preuve de son efficacité, non avérée, depuis le 1er janvier 2010, mais les ayants-droit ne se font probablement guère d’illusion), aujourd’hui a été votée à l’assemblée la nouvelle loi dite “LOPPSI” qui comprend un volet complétant l’arsenal juridique des lois Internet :

PROJET DE LOI d’orientation et de programmation pour la performance de la sécurité intérieure :

Conformément à l’engagement de la ministre de l’intérieur, le présent projet d’article met à la charge des fournisseurs d’accès à Internet l’obligation d’empêcher l’accès des utilisateurs aux contenus illicites. La liste des sites dont il convient d’interdire l’accès leur sera communiquée sous la forme d’un arrêté du ministre de l’intérieur. En pratique, l’OCLCTIC transmettra au FAI les données utiles par voie dématérialisée. Les FAI auront le libre choix des technologies de blocage selon leurs infrastructures.

(voir aussi un article complet sur les mesures de LOPPSI 2 sur lemonde.fr)

Les FAI seraient financièrement dédommagés des coûts de mise en oeuvre du filtrage par l’autorité publique.

Il y a plusieurs choses à noter en l’occurrence.

Continue reading LOPPSI 2 et autres lois en I après DADVSI, HADOPI…

Google Buzz start-up requesters update

Apparently the Google Buzz team is very hard at work (on a week-end break!) to fix some of the more blatant problems with Buzz initialization, see their post titled A new Buzz start-up experience based on your feedback; including a nice apology at the end regarding the panic.

My gut feeling is that there are still way too many opt-out things. List visibility, for one: opt-out still does not feel quite right to me; it is too easy for people to not care at first and regret it only when it’s too late. The obvious fact that leaked information can’t be unleaked should be taken into account.

Also, one of the core problems, clearly separating contacts vs friends, apparently remains. I’ll need to retry Buzz someday to see how it feels after this update.

Update: see also Google Buzz – anatomy of a slow motion train wreck, a very good analysis of what happened and things to expect. I share the feeling about the shift in privacy habits that Google (or should I say, some people at Google, but from where I stand that is irrelevant) are trying to shove down our throats.

Update: the mainstream press is getting angry, too. Furious John Naughton article in The Guardian, quoting:

In the real world, the devil is in the details. In cyberspace, it’s in the defaults. And the default settings in Buzz are so crass that one cannot imagine they are the product of corporate carelessness.

The Google boys are smart and know exactly what they’re doing. They’ve been enviously watching the stupendous growth of Twitter and Facebook and wondering how Google can cut them off at the knees before they become really unstoppable – which brings us back to Microsoft.

Update: another article, Buzz: Google Needs Better ‘People Skills’: (this one I find slightly unfair, albeit not totally undeserved)

Given the option, Google’s choice for default settings were what benefited Google the most, not what best protected its consumers.[…]

Privacy, however, impacts everything Google does. That the company could get Buzz privacy so terribly wrong is reason for serious concern.

Google needs to learn when to put people first and technology second.pdate:

Continue reading Google Buzz start-up requesters update

Google Buzz privacy debacle

So… as I said just 2 days ago, I tried Buzz.

And as I also said, « certainly missed a boatload of things and got some wrong ». Famous last words. How right I was !

I tried Buzz just like half the planet actually, which I didn’t realize until yesterday, when I found my Gmail account spammed by people I never heard about before, replying on my buzzes or writing buzzes I received or subscribing to my stuff.

I was panic-struck, just like the rest of the planet. That was the main theme of the comments I saw: « I’m panicking, are you? » « Oh yes I am, but who are you and how come you write this in my Buzz? ».

It somehow found the feed to this blog. I still haven’t quite figured out how; maybe that’s my fault, maybe not; anyway I validated it. I’m glad I wasn’t using Blogger, sorry but I’ve got enough knives planted in my back at the moment.

I did what everybody did yesterday evening: shut down all the incoming feeds, deleted posts and/or comments (“did I write something to my contacts that’s not for public consumption?”), tried to shut down everything outgoing, checked out all my subscribers, and tried to figure out how the damn thing decides that something should be visible or not visible, by others from me or by me from others. I’m still freaked out.

I still think this stuff makes Facebook look like amateur privacy violators by comparison. Even the quote by Eric Schmidt about privacy looks like a detail now (even though it was right-on).

The major, enormous psychological (not technical) error is that this was placed in the Gmail account; something you typically expect to be private. Putting there stuff that’s geared to be broadcast all over the place, in a opt-out way (second major error: everything is public by default, and you can’t ever revert to private after publishing, your only bet is to delete), is a tragically bad, bad, bad idea. Third error, fuzzy rules (recommendations? I’m not even sure) allowing buzzes to skip over contact boundaries.

By putting Buzz inside of Gmail, Google probably wanted to drive up adoption. Well done, it’s adopted all over the place with posts and comments and blog posts and tweet guts spilled everywhere, aggregated, resent, accessible without your knowledge. What a sorry mess. Evil? Still not sure about that. Ill-considered, that’s for sure.

Fourth, but not least, error — but is that really an error? Looks like a strategy, really –, Google confuses public availability with right-to-broadcast. My buzzes or blog posts being public does not mean that I want Google to spam these to contacts of contacts of contacts.

I’ll have to wait until the dust settles in my mind to know whether I really want to use this stuff. It’ll remain anyway as one of my most creepy experiences of late.

Already we see blog posts everywhere flowing about people who’ve unknowingly leaked private information to bosses, ex-husbands and so on. Too many to mention.

Update: Sixth error, the blocking of followers is not real security over leakage. It’s cleaning up after the fact (see the blog post linked-to above).

Update (21h41): Seventh error, and now (since when? since Buzz? No idea whatsoever, seems new since it also appears on my buzzes now) my Orkut photograph has been imported to my Gmail profile and appears to all my chat contacts. I never asked for that… it’s a photograph of me at the age of 3 months! Never meant to be visible in Gmail.

Eight error: so obvious I missed it… the followers/followee list is public by default “Display the list of people I’m following and people following me”. Which means you have a privacy leak in your contact list, since that’s where the followers come from.

This is insane. I think Google really has jumped the shark, this time. I’m out of Buzz for the foreseeable future.

Update (23h38): additional thoughts in relation to the above… Google apparently doesn’t realize that mail contacts (many kinds of people) are very different from friends in a social network; the contact or chat list may look like a friends list functionally, but they do not contain the same kind of people and do not serve the same purpose. It’s obvious if you look at  who’s in your own respective lists. A lot of confusion stems from that. Google is trying to “Facebookize” the Gmail ecosystem and the fit just can’t be good. Maybe that’s a cultural problem.

Update (0h06): an idea I just got. If the Buzz follower/followee lists actually were new lists, treated like real friends lists starting from zero (i.e. not based on any contact list, not even with a pre-filled checkbox list), with a reciprocal acknowledge just like in social networks, the user would really be more in control, with the actual feeling of starting up his own, separate network.