Bruce Schneier, le célèbre cryptologue américain (qui se présente comme « technologue d'intérêt public »), vient d'annoncer avoir rejoint Inrupt, la société créée pour déployer Solid, plateforme open source que Tim Berners-Lee a lancée afin de décentraliser le web.
L'objectif est de permettre aux données générées par les objets connectés – ordinateur, téléphone, IoT – d'être écrites sur un « pod » contrôlé par les utilisateurs eux-mêmes, qui autorisent de façon granulaire l'accès à ce module « à qui vous voulez pour la raison que vous voulez. Vos données ne sont plus dans des milliards d'endroits sur Internet, contrôlés par vous-ne-savez-qui. C'est le votre ».
Les exemples parlent d'eux-mêmes : « Si vous souhaitez que votre compagnie d'assurance ait accès à vos données de fitness, vous le leur accordez via votre pod. Si vous souhaitez que vos amis aient accès à vos photos de vacances, vous pouvez le leur accorder via votre pod. Si vous souhaitez que votre thermostat partage des données avec votre climatiseur, vous leur donnez accès via votre pod. »
Laurent Chemla, de son côté, explique dans un billet qu'« il est évidemment plus qu’urgent de réguler les GAFAM pour leur imposer l'interopérabilité », mais également qu'il a quitté la Quadrature du Net parce qu'elle aurait « décidé d'ignorer » le fait que « l’obligation d’avoir une identité reconnue par le service auquel on accède est sans doute le prix à payer pour l’interopérabilité, ce qui ne doit évidemment pas nous obliger à utiliser Messenger, Amazon ou Twitter pour accéder à ces comptes: l’interopérabilité doit permettre d’accéder à nos contacts et à nos données depuis l’outil de notre choix, grâce à l’ouverture obligatoire des API, pourvu qu’on dispose d’une identité respectant les standards du service qui stocke ces données. On pourrait résumer ce nouveau type de régulation avec cette phrase simple : "si ce sont MES données, alors je dois pouvoir y accéder avec l’outil de MON choix" ».
Commentaires (17)
#1
Laurent Chemla insiste aussi sur la différence entre interopérabilité et interconnexion, qui sont deux choses différentes et aucunement liées.
Sa vision est d’imposer un fonctionnement neutre pour le client mais pas d’imposer une anonymisation des services, ou du moins d’imposer un système d’authentification qui ne serait pas en accord avec celui du service utilisé:
par exemple : qu’on puisse utiliser un client tiers pour accéder à Facebook Messenger mais qu’on doive utiliser pour cela un compte Facebook valide, pas un compte XMPP tiers ou un compte twitter, ou Google ou même aucun compte nul part en mode anonyme.
#2
Je n’ai ni le temps ni les compétences pour gérer mes données personnelles en toute sécurité. Je préfère confier cela à des professionnels.
Quant à l’obligation d’ouvrir les API, c’est contraire à la liberté d’entreprendre. Ici aussi, on nous propose moins de liberté pour soi-disant plus de sécurité…
#3
#4
Ce que dit Laurent Chemla me paraît “logique” à propos de l’authentification. J’ai du mal à comprendre la position de ceux qui souhaitent l’anonymat… Pour moi, l’interopérabilité, c’est la capacité d’un “opérateur” d’offrir à ses utilisateurs une communication avec un utilisateur d’une “instance”-tierce (d’un réseau-tiers).
Par hypothèse, si je souhaite discuter sur Whatsapp avec un utilisateur de la messagerie Threema, je me connecte à mon compte utilisateur Whatsapp et j’envoie un message à l’utilistateur du “réseau” (de la plateforme) Threema aussi facilement que s’il s’agissait d’un utilisateur Whatsapp : il faut bien que Threema me reconnaisse pour transmettre le flux issu de Whatsapp, non ? Les instances Mastodon doivent bien utiliser un système embryonnaire de ce genre pour transmettre les Pouets aux utilisateurs entre les instances, non ?
Autre hypothèse, Whatsapp ne me convient plus, je décide de transférer mon compte chez Signal : il faut bien une sorte de “RIO” (comme pour l’abonnement d’accès à internet) pour savoir qu’il s’agit bien de moi, non ?
Finalement, je commence peut-être à comprendre : la Quadrature du Net souhaite peut-être que l’utilisateur final garde la main sur la totalité de son interconnexion au service qu’il choisit. Alors que Laurent Chemla est sur une position plus pragmatique du fonctionnement en réseau en donnant le pouvoir au réseau de reconnaître les utilisateurs pour les aiguiller (ce qu’on appelle l’interopérabilité dans le monde des télécoms - cf. le fonctionnement de la 5G d’ailleurs qui va donner au réseau de distribution la capacité de collecter des données au plus près des antennes-relais pour limiter la latence).
#5
J’ai du mal aussi à imaginer obliger les gafam à l’interopérabilité.
En revanche, un changement de mentalité est certainement possible de leur propre part. De la même façon que l’open-source est devenue courante chez Google, Microsoft, Facebook et désormais de plus en plus Amazon ; peut-être qu’ils finiront également par voir qu’ouvrir les tuyaux (même sur des produits closed-source) peut leur être bénéfique pour créer un écosystème plus riche et autonome.
#6
#7
#8
Prenons les choses dans l’ordre. Si l’objectif (c’est en tous cas celui qui est proclamé) est de pouvoir “quitter” Facebook tout en conservant le contact avec notre réseau social, alors cela suppose :
- Déjà qu’on avait un compte Facebook. Pour pouvoir le quitter, hein…
- Donc des messages, publics et privés, des contacts, des amis… bref.
De deux choses l’une :
- Soit on “quitte” Facebook en fermant ce compte, mais alors quid du passé si Facebook décide d’effacer les données associées ? Ou alors la Quadrature milite pour que Facebook conserve nos données personnelles même quand on ferme son compte ? J’imagine que non.
Or si Facebook détruit nos données quand on ferme un compte, la notion de “garder le contact” perd tout son sens. On peut supposer que la Quadrature parte du principe qu’on aura auparavant demandé le transfert de ces données, mais qu’en faire pour “garder le contact” qui serait différent de ce que permet déjà le « droit au transfert des données » du RGPD ? Pas grand chose. On pourra, sans doute, imaginer que l’interopérabilité contrainte obligera Facebook à nous laisser écrire à notre ancien carnet d’adresse depuis l’extérieur, mais c’est tout, et c’est peu : le graphe social est perdu, l’historique aussi : nos amis restés sur Facebook continueront d’échanger, entre eux mais sans nous, puisque rien ne pourra contraindre Facebook à exporter ces échanges vers un compte tiers qui n’est plus relié à rien en interne chez eux (nos données y ont été effacées). Il faudrait alors que l’outil tiers imaginaire aille rechercher sur Facebook les messages de nos anciens contacts (qui ne nous sont pas adressés) pour que la conversation persiste et qu’on puisse y répondre ? De quel droit puisqu’on ne pourra pas s’identifier ?
L’objectif initial n’est pas atteint, et ce qui reste relève d’une gymnastique (exportation “RGPD” des données, fermeture du compte et - peut-être - importation de ce qui sera utilisable sur un service tiers à ce jour inexistant) que fort peu d’utilisateurs “grand public” pourront - ou voudront - faire. Même si c’est automatisé.
- Soit on “quitte” Facebook en cessant d’utiliser les outils de Facebook au profit d’outils interopérables, mais en y conservant son compte, ses amis, ses anciens messages et contacts (ce que je défends).
Mais alors, si on prend la position de la Quadrature qui dit qu’on ne doit dès lors plus s’identifier sur Facebook mais qu’une identification sur l’outil tiers suffira, comment fera Facebook pour que nos données ne soient accessibles qu’à nous ?
On peut imaginer qu’on sera d’abord passé par un processus permettant à Facebook de lier notre identité externe à notre ancien compte, mais ça ne change rien : on sera bel et bien identifié quand on accédera à nos données sur Facebook. Ce n’est qu’une indirection.
Ça suppose de n’imaginer la fonction “réseau social” que comme un standard rendu obligatoire par la loi et opposable, dans tous les pays, non seulement pour Facebook mais pour tous les réseaux sociaux existant ou ayant existé, une fonction “messagerie” respectant les mêmes principes, et sans doute encore d’autres. C’est… affligeant. On peut détester les GAFAM et Facebook, c’est mon cas d’ailleurs, mais de là à imaginer qu’on va contraindre des multinationales à agir ainsi sous la contrainte, et des milliards d’utilisateurs à changer leurs usages juste pour éviter d’avoir à s’identifier avant de publier un contenu… comment dire ça gentiment?
Je peux comprendre l’idée : elle est séduisante au 1er abord, mais dès qu’on creuse un peu on voit à quel point elle est inapplicable techniquement. Et encore, je ne parle même pas des aspects légaux (croire qu’on pourra imposer l’idée qu’il est possible de publier des contenus sur un service tiers sans en avoir accepté les CGU - donc en s’identifiant - relève de la croyance plus que de la logique, par exemple).
Bref: il vaut mieux que je m’arrête là avant de devenir insultant.
#9
Intéressant (et merci pour le lien, je ne connaissais pas). Après une lecture rapide j’ai l’impression que le périmètre de ce DTP est assez restreint, ça semble concerner l’accès à l’ensemble des données statiques telle que prévue par le RGPD, donc un tout petit morceau de ce que couvrent les API de ces services. Par exemple ce serait insuffisant pour créer un nouveau client Twitter. Mais enfin oui, l’idée serait d’avoir ça, en beaucoup plus élargi.
#10
En quoi serait-ce un frein à l’innovation ? Tous les appareils électriques doivent avoir le même format de fiche secteur, ça n’empêche pas d’innover, ça évite juste que si ta maison est prévue pour un lave-linge Miele, le constructeur ne peut pas t’empêcher de le remplacer par un Whirlpool…
#11
Je me demande comment les USA réagiraient si la France (ou l’Europe) décidait de lui imposer la même norme que nous pour les fiches secteurs, tiens. Et combien ça coûterait.
En règle générale, il vaut mieux ne pas partir d’une situation idéale et totalement vierge quand il est question de modifier un truc déjà existant : l’email (ou le téléphone) étaient interopérables dès leur origine, ce n’est pas comparable avec l’état des lieux des messageries et des réseaux sociaux.
#12
Et pourtant c’est bien le cas : un constructeur du fin fond du Massachusetts est obligé de fournir une prise adaptée s’il veut vendre en France…
#13
La façon dont je vois les choses (avec toutes les limites que les métaphores imposent…) : la prise US c’est le compte FB, l’adaptateur le lien FB-service tiers évoqué par Laurent.
On ne supprime pas la prise US, on ajoute un moyen d’utiliser l’appareil depuis un lieu qui utilise un standard différent.
Donc pour l’intéropérabilité des réseaux sociaux, on ne supprime pas le compte FB, on permet à l’utilisateur d’y accéder depuis un autre service lié à son compte FB.
Mais sinon le point de Laurent sur les CGU et l’aspect légal de manière générale est très pertinent : on ne peut pas obliger FB à accepter des intéractions avec des utilisateurs qui n’acceptent pas les CGU de FB ou dont FB ne peut pas conserver les données requises par les différentes législations nationales (telle la loi sur le renseignement, qu’on soit d’accord avec ou pas).
#14
#15
Qu’on ait un pseudonyme public, qu’on communique à l’aide d’un ou plusieurs pseudonymes sur une ou plusieurs plateformes, ce n’est pas la question que je me posais (je parlais d’anonymat/authentification vis-à-vis des plateformes interopérables entre elles). Mais visiblement, je n’ai pas compris l’enjeu du problème soulevé dans l’article, donc je vais devoir me pencher un peu plus sur le sujet pour comprendre.
#16