Connexion
Abonnez-vous

Bruce Schneier, Laurent Chemla et l’intéropérabilité

Bruce Schneier, Laurent Chemla et l'intéropérabilité

Le 24 février 2020 à 08h39

Bruce Schneier, le célèbre cryptologue américain (qui se présente comme « technologue d'intérêt public »), vient d'annoncer avoir rejoint Inrupt, la société créée pour déployer Solid, plateforme open source que Tim Berners-Lee a lancée afin de décentraliser le web.

L'objectif est de permettre aux données générées par les objets connectés – ordinateur, téléphone, IoT – d'être écrites sur un « pod » contrôlé par les utilisateurs eux-mêmes, qui autorisent de façon granulaire l'accès à ce module « à qui vous voulez pour la raison que vous voulez. Vos données ne sont plus dans des milliards d'endroits sur Internet, contrôlés par vous-ne-savez-qui. C'est le votre ».

Les exemples parlent d'eux-mêmes : « Si vous souhaitez que votre compagnie d'assurance ait accès à vos données de fitness, vous le leur accordez via votre pod. Si vous souhaitez que vos amis aient accès à vos photos de vacances, vous pouvez le leur accorder via votre pod. Si vous souhaitez que votre thermostat partage des données avec votre climatiseur, vous leur donnez accès via votre pod. »

Laurent Chemla, de son côté, explique dans un billet qu'« il est évidemment plus qu’urgent de réguler les GAFAM pour leur imposer l'interopérabilité », mais également qu'il a quitté la Quadrature du Net parce qu'elle aurait « décidé d'ignorer » le fait que « l’obligation d’avoir une identité reconnue par le service auquel on accède est sans doute le prix à payer pour l’interopérabilité, ce qui ne doit évidemment pas nous obliger à utiliser Messenger, Amazon ou Twitter pour accéder à ces comptes: l’interopérabilité doit permettre d’accéder à nos contacts et à nos données depuis l’outil de notre choix, grâce à l’ouverture obligatoire des API, pourvu qu’on dispose d’une identité respectant les standards du service qui stocke ces données. On pourrait résumer ce nouveau type de régulation avec cette phrase simple : "si ce sont MES données, alors je dois pouvoir y accéder avec l’outil de MON choix" ».

Le 24 février 2020 à 08h39

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Laurent Chemla insiste aussi sur la différence entre interopérabilité et interconnexion, qui sont deux choses différentes et aucunement liées.



Sa vision est d’imposer un fonctionnement neutre pour le client mais pas d’imposer une anonymisation des services, ou du moins d’imposer un système d’authentification qui ne serait pas en accord avec celui du service utilisé:

par exemple : qu’on puisse utiliser un client tiers pour accéder à Facebook Messenger mais qu’on doive utiliser pour cela un compte Facebook valide, pas un compte XMPP tiers ou un compte twitter, ou Google ou même aucun compte nul part en mode anonyme.

votre avatar

Je n’ai ni le temps ni les compétences pour gérer mes données personnelles en toute sécurité. Je préfère confier cela à des professionnels.



Quant à l’obligation d’ouvrir les API, c’est contraire à la liberté d’entreprendre. Ici aussi, on nous propose moins de liberté pour soi-disant plus de sécurité…

votre avatar







M’enfin ! a écrit :



Je n’ai ni le temps ni les compétences pour gérer mes données personnelles en toute sécurité. Je préfère confier cela à des professionnels.





C’est ton choix, pas celui de tout le monde. Certains ont le temps et les compétences pour gérer leurs données personnelles. Ou voudraient au moins choisir leur “professionnel”.


votre avatar

Ce que dit Laurent Chemla me paraît “logique” à propos de l’authentification. J’ai du mal à comprendre la position de ceux qui souhaitent l’anonymat… Pour moi, l’interopérabilité, c’est la capacité d’un “opérateur” d’offrir à ses utilisateurs une communication avec un utilisateur d’une “instance”-tierce (d’un réseau-tiers).



Par hypothèse, si je souhaite discuter sur Whatsapp avec un utilisateur de la messagerie Threema, je me connecte à mon compte utilisateur Whatsapp et j’envoie un message à l’utilistateur du “réseau” (de la plateforme) Threema aussi facilement que s’il s’agissait d’un utilisateur Whatsapp : il faut bien que Threema me reconnaisse pour transmettre le flux issu de Whatsapp, non ? Les instances Mastodon doivent bien utiliser un système embryonnaire de ce genre pour transmettre les Pouets aux utilisateurs entre les instances, non ?



Autre hypothèse, Whatsapp ne me convient plus, je décide de transférer mon compte chez Signal : il faut bien une sorte de “RIO” (comme pour l’abonnement d’accès à internet) pour savoir qu’il s’agit bien de moi, non ?



Finalement, je commence peut-être à comprendre : la Quadrature du Net souhaite peut-être que l’utilisateur final garde la main sur la totalité de son interconnexion au service qu’il choisit. Alors que Laurent Chemla est sur une position plus pragmatique du fonctionnement en réseau en donnant le pouvoir au réseau de reconnaître les utilisateurs pour les aiguiller (ce qu’on appelle l’interopérabilité dans le monde des télécoms - cf. le fonctionnement de la 5G d’ailleurs qui va donner au réseau de distribution la capacité de collecter des données au plus près des antennes-relais pour limiter la latence).

votre avatar

J’ai du mal aussi à imaginer obliger les gafam à l’interopérabilité.



En revanche, un changement de mentalité est certainement possible de leur propre part. De la même façon que l’open-source est devenue courante chez Google, Microsoft, Facebook et désormais de plus en plus Amazon ; peut-être qu’ils finiront également par voir qu’ouvrir les tuyaux (même sur des produits closed-source) peut leur être bénéfique pour créer un écosystème plus riche et autonome.

votre avatar







jotak a écrit :



J’ai du mal aussi à imaginer obliger les gafam à l’interopérabilité.



En revanche, un changement de mentalité est certainement possible de leur propre part. De la même façon que l’open-source est devenue courante chez Google, Microsoft, Facebook et désormais de plus en plus Amazon ; peut-être qu’ils finiront également par voir qu’ouvrir les tuyaux (même sur des produits closed-source) peut leur être bénéfique pour créer un écosystème plus riche et autonome.





Comme ça ?https://datatransferproject.dev/


votre avatar







M’enfin ! a écrit :



Quant à l’obligation d’ouvrir les API, c’est contraire à la liberté d’entreprendre.





Êtes-vous un troll ? Sinon, vous rendez-vous comptes de la violence de votre propos ?

Tout le fanatisme dogmatique néo-libérale, tout le mépris cynique de nos maîtres pour la civilisation résumé en quelques mots. Belle performance littéraire. Ceci dit un tigre aurait peut-être fait un meilleur avatar pour vous si vous pensez réellement ce que vous écrivez. Car il semble que même les sociétés simiennes s’autorisent souvent à avoir des lois plus évoluées que la seule règle du rapport de force.

Et c’est précisément l’objet des lois que de limiter la créativité des entrepreneurs au seul sous ensemble des choses utiles (ou à tout le moins non néfaste) pour la société. Si à l’aube de l’informatique il était légitime que le législateur laisse faire ; ne serait-il pas désormais temps de limiter le droit des fournisseurs de service à employer leurs bonnes vieilles méthodes d’enfermement des utilisateurs dont la nocivité est désormais amplement démontrée ?


votre avatar

Prenons les choses dans l’ordre. Si l’objectif (c’est en tous cas celui qui est proclamé) est de pouvoir “quitter” Facebook tout en conservant le contact avec notre réseau social, alors cela suppose :

 

 - Déjà qu’on avait un compte Facebook. Pour pouvoir le quitter, hein…

 - Donc des messages, publics et privés, des contacts, des amis… bref.

 

 De deux choses l’une :

 

 - Soit on “quitte” Facebook en fermant ce compte, mais alors quid du passé si Facebook décide d’effacer les données associées ? Ou alors la   Quadrature milite pour que Facebook conserve nos données personnelles même quand on ferme son compte ? J’imagine que non.

 

   Or si Facebook détruit nos données quand on ferme un compte, la notion de “garder le contact” perd tout son sens. On peut supposer que la Quadrature parte du principe qu’on aura auparavant demandé le transfert de ces données, mais qu’en faire pour “garder le contact” qui serait différent de ce que permet déjà le « droit au transfert des données » du RGPD ? Pas grand chose. On pourra, sans doute, imaginer que l’interopérabilité contrainte obligera Facebook à nous laisser écrire à notre ancien carnet d’adresse depuis l’extérieur, mais c’est tout, et c’est peu : le graphe social est perdu, l’historique aussi : nos amis restés sur Facebook continueront d’échanger, entre eux mais sans nous, puisque rien ne pourra contraindre Facebook à exporter ces échanges vers un compte tiers qui n’est plus relié à rien en interne chez eux (nos données y ont été effacées). Il faudrait alors que l’outil tiers imaginaire aille rechercher sur Facebook les messages de nos anciens contacts (qui ne nous sont pas adressés) pour que la conversation persiste et qu’on puisse y répondre ? De quel droit puisqu’on ne pourra pas s’identifier ?

  

   L’objectif initial n’est pas atteint, et ce qui reste relève d’une gymnastique (exportation “RGPD” des données, fermeture du compte et - peut-être - importation de ce qui sera utilisable sur un service tiers à ce jour inexistant) que fort peu d’utilisateurs “grand public” pourront - ou voudront - faire. Même si c’est automatisé.

  

 - Soit on “quitte” Facebook en cessant d’utiliser les outils de Facebook au profit d’outils interopérables, mais en y conservant son compte, ses amis,  ses anciens messages et contacts (ce que je défends).

  

   Mais alors, si on prend la position de la Quadrature qui dit qu’on ne doit dès lors plus s’identifier sur Facebook mais qu’une identification sur l’outil tiers suffira, comment fera Facebook pour que nos données ne soient accessibles qu’à nous ?

  

   On peut imaginer qu’on sera d’abord passé par un processus permettant à Facebook de lier notre identité externe à notre ancien compte, mais ça ne change rien : on sera bel et bien identifié quand on accédera à nos données sur Facebook. Ce n’est qu’une indirection.

  




  • Reste alors comme seule solution le fait d’imposer à Facebook non plus seulement l’interopérabilité, mais carrément l’obligation d’intégrer le Fédivers, ou de développer une technologie équivalente, c’est à dire de le contraindre à utiliser des technologies qu’il n’a pas choisies, de modifier toutes ses procédures et ses contrats, et de mettre toutes les données dont il dispose dans un format compatible avec cette idée. C’est ce qui serait nécessaire pour qu’en fermant un compte Facebook on puisse poursuivre des conversations préalables comme si elles avaient eu lieu là où l’on part (ce qui n’est même pas possible à l’heure actuelle sur Mastodon, par exemple, puisque l’import/export de nos followers n’est pas possible. Et c’est une bonne chose : je n’ai pas à obliger mes followers à me suivre sur une instance dont les CGU m’autoriseraient des choses que mon précédent compte ne me permettait pas).



    Ça suppose de n’imaginer la fonction “réseau social” que comme un standard rendu obligatoire par la loi et opposable, dans tous les pays, non seulement pour Facebook mais pour tous les réseaux sociaux existant ou ayant existé, une fonction “messagerie” respectant les mêmes principes, et sans doute encore d’autres. C’est… affligeant. On peut détester les GAFAM et Facebook, c’est mon cas d’ailleurs, mais de là à imaginer qu’on va contraindre des multinationales à agir ainsi sous la contrainte, et des milliards d’utilisateurs à changer leurs usages juste pour éviter d’avoir à s’identifier avant de publier un contenu… comment dire ça gentiment?



    Je peux comprendre l’idée : elle est séduisante au 1er abord, mais dès qu’on creuse un peu on voit à quel point elle est inapplicable techniquement. Et encore, je ne parle même pas des aspects légaux (croire qu’on pourra imposer l’idée qu’il est possible de publier des contenus sur un service tiers sans en avoir accepté les CGU - donc en s’identifiant - relève de la croyance plus que de la logique, par exemple).



    Bref: il vaut mieux que je m’arrête là avant de devenir insultant.

votre avatar

Intéressant (et merci pour le lien, je ne connaissais pas). Après une lecture rapide j’ai l’impression que le périmètre de ce DTP est assez restreint, ça semble concerner l’accès à l’ensemble des données statiques telle que prévue par le RGPD, donc un tout petit morceau de ce que couvrent les API de ces services. Par exemple ce serait insuffisant pour créer un nouveau client Twitter. Mais enfin oui, l’idée serait d’avoir ça, en beaucoup plus élargi.

votre avatar

En quoi serait-ce un frein à l’innovation ? Tous les appareils électriques doivent avoir le même format de fiche secteur, ça n’empêche pas d’innover, ça évite juste que si ta maison est prévue pour un lave-linge Miele, le constructeur ne peut pas t’empêcher de le remplacer par un Whirlpool…

votre avatar

Je me demande comment les USA réagiraient si la France (ou l’Europe) décidait de lui imposer la même norme que nous pour les fiches secteurs, tiens. Et combien ça coûterait.



En règle générale, il vaut mieux ne pas partir d’une situation idéale et totalement vierge quand il est question de modifier un truc déjà existant : l’email (ou le téléphone) étaient interopérables dès leur origine, ce n’est pas comparable avec l’état des lieux des messageries et des réseaux sociaux.

votre avatar

Et pourtant c’est bien le cas : un constructeur du fin fond du Massachusetts est obligé de fournir une prise adaptée s’il veut vendre en France…

votre avatar

La façon dont je vois les choses (avec toutes les limites que les métaphores imposent…) : la prise US c’est le compte FB, l’adaptateur le lien FB-service tiers évoqué par Laurent.

On ne supprime pas la prise US, on ajoute un moyen d’utiliser l’appareil depuis un lieu qui utilise un standard différent.

Donc pour l’intéropérabilité des réseaux sociaux, on ne supprime pas le compte FB, on permet à l’utilisateur d’y accéder depuis un autre service lié à son compte FB.



Mais sinon le point de Laurent sur les CGU et l’aspect légal de manière générale est très pertinent : on ne peut pas obliger FB à accepter des intéractions avec des utilisateurs qui n’acceptent pas les CGU de FB ou dont FB ne peut pas conserver les données requises par les différentes législations nationales (telle la loi sur le renseignement, qu’on soit d’accord avec ou pas).

votre avatar







joma74fr a écrit :



Ce que dit Laurent Chemla me paraît “logique” à propos de l’authentification. J’ai du mal à comprendre la position de ceux qui souhaitent l’anonymat… Pour moi, l’interopérabilité, c’est la capacité d’un “opérateur” d’offrir à ses utilisateurs une communication avec un utilisateur d’une “instance”-tierce (d’un réseau-tiers).



 

Pour moi on parlerais plutôt de “pseudonymat”: Chaque plateforme permet de créer un ou plusieurs compte, sans que les tiers ne sachent si ils appartiennent au même individu, ou si c’est un bot (ou un chien) derrière. Si ca se trouve , joma74fr est la même personne que carbier …



Moi, ou un autre ne peuvent PAS savoir à qui corresponds réellement le pseudo , c’est en cela que c’est “anonyme”.

L’administrateur du site peux en savoir un peu plus (via l’IP) et restreindre les infos qui peuvent, ou pas, être exactes (la similitude des IPv4 ne signifie pas l’unicité de la personne physique).



Dans les cas extrêmes seul les autorités peuvent, avec un degré significatif de certitude après enquête quelle personne physique se cache derrière un message & un pseudo.



J’ai le sentiment que c’est le cas depuis que l’imprimerie existe…


votre avatar

Qu’on ait un pseudonyme public, qu’on communique à l’aide d’un ou plusieurs pseudonymes sur une ou plusieurs plateformes, ce n’est pas la question que je me posais (je parlais d’anonymat/authentification vis-à-vis des plateformes interopérables entre elles). Mais visiblement, je n’ai pas compris l’enjeu du problème soulevé dans l’article, donc je vais devoir me pencher un peu plus sur le sujet pour comprendre.

votre avatar







joma74fr a écrit :



Qu’on ait un pseudonyme public, qu’on communique à l’aide d’un ou plusieurs pseudonymes sur une ou plusieurs plateformes, ce n’est pas la question que je me posais (je parlais d’anonymat/authentification vis-à-vis des plateformes interopérables entre elles). Mais visiblement, je n’ai pas compris l’enjeu du problème soulevé dans l’article, donc je vais devoir me pencher un peu plus sur le sujet pour comprendre.





J’avoue que j’ai aussi un peu de mal à comprendre tout l’enjeu.



Typiquement , pour le mail par contre effectivement on commence à voir les grandes plates-forme se fermer aux autres (sous prétexte de spam & ou autre) , le plus connu étant microsoft qui détruit silencieusement les mails adressés aux gens qui ont une adresse en @live.com ou @hotmail.com/fr/… si le domaine d’origine n’est pas en liste blanche.



Gmail a fait pareil à un moment avant de rapidement rétropédaler, mais bon… pour combien de temps.


Bruce Schneier, Laurent Chemla et l’intéropérabilité

Fermer