Quand l’UFC que Choisir tombe dans la comm’ facile

L’UFC que choisir s’attaque à des géants du Net américains qui jouent avec nos données, voire pire. Un joli coup de communication.

L’UFC que choisir s’attaque à des géants du Net américains qui jouent avec nos données, voire pire. Un joli coup de communication.

L’association des consommateurs met en demeure FB, Google+ et Twitter de modifier leurs CGU parce que là, c’est vraiment, mais vraiment moche, ce qu’ils font avec les données que, pour la plupart, nous leurs donnons sciemment.

Capture du 2013-06-29 11:44:47

Les CGU ?

Les pages qu’on ne lit jamais et où on accepte tout en cliquant parce que c’est bien que c’est gratuit et qu’on va pas nous saouler avec 20 pages de texte. C’est dans les CGU de Skype, par exemple, qu’on peut lire que l’entreprise a le droit de faire des enregistrements à la volée quand elle veut, sans t’en informer.

Revenons-en à notre histoire. Ils ne sont pas totalement débiles, chez UFC que Choisir, ils font même des trucs très bien la plupart du temps, d’où mon interprétation de l’affaire de la mise en demeure comme un joli coup de communication.

Ils savent que ces sites dépendent des lois où sont les sièges sociaux des entreprises, que certains peuvent aussi dépendre des textes des pays où se trouvent leurs serveurs… et pas de la loi française. Ils le savent, et c’est donc sciemment, qu’ils dépensent beaucoup d’argent en courriers pour les mettre en demeure et qu’ils sont prêts à en dépenser beaucoup en frais d’avocat pour aller en justice si les mammouths du Ouaibe ne respectent pas les demandes des fourmis françaises.

En retour, un représentant de FB, cité par 01net rappelle que sa boite est en conformité avec les lois européennes. Plutôt que de lancer de coûteux ultimatums qui ne donneront, on le d’avance, rien du tout, pourquoi ne pas se lancer dans l’éducation au consommateur à ne pas filer leurs données,  à savoir se protéger en ligne ? Ce serait moins coûteux… ça rapporterait peut être moins en termes de communication.

L’association fixe même un ultimatum ! Un certain Marc Z. doit vraiment avoir peur de sortir de chez lui à l’heure qu’il est.

Illustration Flickr/CC/NicolasNova

#GPG Solution à l’initialisation : la certification

Le dernier billet de la série sur GPG concerne la chaîne de confiance et pourquoi il n’est pas bon de changer de clé à longueur de temps. Suite à une grande discussion sur la signature de clés GPG avec Pierre, je lui ai proposé d’écrire un billet pour Sete’ici à ce sujet. C’était chose déjà faite. Il m’a permis de re-publier ce texte déjà paru chez lui.

Le dernier billet de la série sur GPG concerne la chaîne de confiance et pourquoi il n’est pas bon de changer de clé à longueur de temps. Suite à une grande discussion sur la signature de clés GPG avec Kaiyou, je lui ai proposé d’écrire un billet pour Sete’ici à ce sujet. C’était chose déjà faite. Il m’a permis de re-publier ce texte déjà paru chez lui.

PGP, ou sa variante libre OpenPGP tient pour l’essentiel dans un protocole de certification similaire à X.509 : les clés publiques sont publiées accompagnées de certificats signés par d’autres individus.

À la grande différence de X.509 toutefois, les certificats ne sont pas signés par une autorité de confiance mais par les relations sociales directes de l’individu publiant la clé. Ainsi, moi, Pierre Jaury, peux publier ma clé publique accompagnée d’un certificat d’authenticité signé par mes proches. Quel intérêt alors s’il est possible de générer de fausses signatures à partir de l’identité de fausses relations sociales ? Le graphe social d’un individu est peuplé de liens de confiance.

Détaillons. Moi, Pierre, diffuse ma clé publique accompagnée d’un certificat signé par mon amie Alice. Bob, également ami d’Alice, rencontré sur un salon de discussion, souhaite obtenir une copie sûre de ma clé publique (afin de me communiquer des informations sensibles). Je lui expédie donc le paquetage clé/certificat dans un courrier électronique. Bob ayant déjà récupéré une copie sûre de la clé de Alice peut vérifier l’authenticité de la signature sur le certificat. S’il a confiance en la compétence d’Alice à vérifier mon identité, il considérera le certificat comme une preuve de l’authenticité de ma clé publique et pourra m’adresser des messages chiffrés sans crainte que quiconque sinon moi puisse les lire ; il validera également l’authenticité des messages signés que je lui réserve.

La solidité d’OpenPGP repose donc sur deux conditions :

– un nombre suffisant d’utilisateurs, si possible pas réunis autour d’un noyau unique ;

– le sérieux des vérifications d’identité avant de signer les certificats d’authenticité.

C’est le non respect de la seconde condition qui menace de conduire OpenPGP à sa perte. Un nombre trop important de clés pas suffisamment vérifiées et le système s’effondre.

Conclusion

Peut-être ne touchez-vous pas l’intérêt d’OpenPGP mais aurez été initiés à ses avantages et ses dangers. Quoi qu’il en soit, il est indispensable pour le bien être de ce réseau social de confiance et de sécurité que les utilisateurs prennent à cœur leur responsabilité première : entretenir la sécurité du réseau en validant bien l’identité des individus connectés au graphe social de confiance.

Comment valider une identité ? vérifier l’accès au compte e-mail et une pièce d’identité de l’individu sont les deux aspects principalement nécessaires. Certains trousseaux OpenPGP embarquent également des meta-informations telles qu’une photo ou une adresse ; il conviendra de les vérifier.

De nombreux outils sur des systèmes d’exploitation variés permettent aujourd’hui de gérer proprement son propre jeu de clés et les relations de confiance avec les clés d’autres individus. Ils proposent également une interface pour la signature numérique ainsi que la synchronisation des données avec des annuaires publiques de clés, facilitant l’échange (la validation se fera alors en comparant les empreintes des clés).

  • Tu veux créer une clé GPG ?

Tu es utilisateur de Windows ? Un tutoriel par ici
Tu es un gentil libriste ? Un tutoriel (celui que j’utilise) par là.

  • Les liens qui vont bien

Le billet de Kaiyou dont celui-ci est issu dans sa totalité
Une version grand public chez Korben